Mit dem Kommando “dsmove” kann man seit Windows Server 2003 AD-Objekte per Kommandozeile verschieben. Anders als die anderen ds*-Tools kommt dsmove leider nicht mit dem Piping klar: Zwar kann man etwa die Ausgabe eines “dsquery”-Befehls per Pipe an dsmove weiterleiten und so nacheinander mehrere Objekte an den Befehl verfüttern – doch dsmove wird nur das [...]

dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen. In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze [...]

Neulich rief ein Kollege bei mir an und berichtete mir, dass einige Benutzer ihre Domänenpasswörter nicht mehr ändern konnten. Sie erhielten folgende Fehlermeldung: Da es in den Benutzerkontenoptionen eine Checkbox namens „Benutzer kann Passwort nicht ändern“ gibt, die ein Verändern des Benutzerpasswords durch den Benutzer selbst verhindert, schloss ich darauf, dass das Problem dort liegen [...]

rendom.exe: Umbenennen einer Domäne – Schritt für Schritt. Dieses PDF-Dokument beschreibt den Idealfall einer Domänen-Umbenennung in Active Directory.

Active Directory ist in vielen Unternehmen die zentrale Adressdatenbank für alle Mitarbeiterinnen und Mitarbeiter – vor allem, wenn Exchange eingesetzt wird. Dadurch tritt aber schnell ein Rollenkonflikt auf: Änderungsrechte im AD hat meist nur die IT-Abteilung. Die Pflege der internen Adressdaten ist aber in den meisten Firmen eigentlich eine Aufgabe der Personalabteilung oder des Sekretariats. [...]

Immer mehr netzwerkfähige Geräte, wie zum Beispiel Scanner oder auch Telefonanlagen, unterstützen das Einlesen der Benutzer per LDAP. Leider kranken diese Geräte oft an der fehlenden Fähigkeit, sich an einem LDAP Server zu authentifizieren oder anderen Dingen. Manchmal steht der Administrator auch vor der Aufgabe, dass beispielsweise eine Telefonanlage von mehreren Firmen genutzt wird und [...]

Excel ist ein beliebtes Werkzeug für vielerlei Aufgaben. Am meisten lieben es – einem gängigen Klischee folgend – Buchhalterinnen und Controller. Viele Administratoren nutzen es nur, um einfache Listen zu verwalten. Dabei kann Excel viel mehr für den Admin tun! Die Tabellenkalkulation eignet sich nämlich hervorragend als Skriptgenerator und Programmierhilfe. Dazu kann man sich gut [...]

In vielen Active-Directory-Umgebungen wird die Möglichkeit genutzt, bestimmten Mitarbeitern Berechtigungen auf das Active Directory zu geben. So könnte man zum Beispiel dem Azubi  der IT-Abteilung das Recht einräumen, neue Benutzer in Active Directory anzulegen. Dadurch kann der Azubi also keinen Schaden anrichten. Er kann ja nur neue Benutzer anlegen …

Basierend auf dem Artikel "Eigene Funktionen in die AD-Tools integrieren" von Nils habe ich das dort vefügbare Beispiel erweitert. Zweck dieser Erweiterung ist es, das extensionAttribute3 modifzieren zu können. Im konkreten Fall wird dieses Attribut genutzt, um eine Kostenstellenzuordnung für eine Cisco-VOIP-Telefonanlage zu schaffen.

Windows Server 2003 enthält die so genannten "ds*-Tools": Eine Sammlung von Kommandozeilenprogrammen, die Massenoperationen an Active Directory zulassen. Zu diesen Tools zählen dsquery (Abfragen des AD), dsget (Zugriff auf bestimmte Objekte erhalten), dsadd (Objekte erzeugen), dsmove (Objekte verschieben), dsmod (Objekte manipulieren) und andere. Das Interessante ist, dass diese Tools das Piping unterstützen, d.h. man kann [...]