Unter den Fragen, die mir oft gestellt werden, nimmt diese einen vorderen Platz ein: Wie kann ich Benutzer- oder Computerkonten in Active Directory identifizieren, die nicht mehr benötigt werden? Auf diese naheliegende Frage gibt es eine einfache Antwort: OldCmp. OldCmp identifiziert: veraltete Computerobjekte veraltete Userobjekte (obwohl der Name anderes verheißt) anhand wählbarer Kriterien, z.B. dem [...]

My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I added an English version for an international audience. Carmen lets you query Active Directory using SQL-style syntax. This makes it easier for most admins to get data from AD as SQL is more common to [...]

Ich habe schon häufig nach einem Tool gesucht, mit dem man schnell für Active-Directory-Benutzer- und Rechnerkonten diejenigen heraussuchen kann, die bestimmte, interessante Eigenschaften haben, oder deren aktueller Status eine Besonderheit darstellt. Damit meine ich z.B. den tatsächlichen Zeitpunkt der letzten Anmeldung, den Lockout-Status, das Erzeugungsdatum, das Passwort-Ablaufdatum, den Status bzgl. Fine-Grained Password Policies und vieles [...]

Unsere FAQ bietet ein paar Artikel, die die Mitglieder von Gruppen ausgeben. Spannend ist aber auch die Frage: In welchen Gruppen ist ein Benutzer denn Mitglied? Auch dafür gibt es eine Reihe von Möglichkeiten zur Ausgabe. Hier eine kleine Auswahl (wie immer ohne Anspruch auf Vollständigkeit). Grundsätzlich sind alle Gruppenmitgliedschaften in dem AD-Feld “memberOf” eines [...]

Philipp Föckeler hat ein Programm namens “Liza” veröffentlicht, mit dem man Objektberechtigungen in Active Directory anzeigen und analysieren kann. Das Werkzeug zeigt nicht nur container- und objektweise die vorhandenen Berechtigungen an, sondern es kann auch die Frage bveantworten: “Welche Zugriffsrechte hat Ellen Bogen wo in unserem AD?”. Naturgemäß erfordert das Programm ein wenig Einarbeitung, weil [...]

Seit jeher lässt Windows zu, für einen Benutzer Anmeldezeiten zu definieren – seit Windows NT und auch jetzt in Active Directory. Darüber lässt sich festlegen, an welchen Wochentagen und zu welchen Uhrzeiten dem Benutzer die Anmeldung mit dem jeweiligen Konto gestattet ist. Nicht ganz einfach ist es allerdings, diese Zeiten auszulesen. Zwar gibt es natürlich [...]

Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab Windows 2003 (SP1) beantwortet repadmin diese Frage. repadmin /showbackup Die Ausgabe sieht ungefähr so aus: Da ich gerade an der neuen Version 3.0 meines AD-Dokumentationswerkzeugs José arbeite, wollte ich diese Daten aber per Skript herausfinden, [...]

Das umfangreiche Whitepaper von Florian Frommherz beschreibt Grundlagen, Syntax und Tipps und Tricks für LDAP-Filter in Active Directory. Es zeigt die praktische Nutzung und einige Tools anhand von Beispielen.

Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen Gruppe. Das funktioniert wurderbar – mit einer Ausnahme: Für die Gruppe “Domänen-Benutzer” gibt dies (in der Regel) keine Mitglieder aus. Warum ist das so? In “Domänen-Benutzer” ist doch automatisch jedes AD-Benutzerkonto Mitglied?

Die neue Gruppenrichtlinienverwaltungskonsole (GPMC), die mit Windows Server 2008 und den Remote Server Administration Tools (RSAT) ausgeliefert wird, enthält ein interessantes neues Feature: Erstmals ist es nun möglich, Kommentare zu ganzen Gruppenrichtlinienobjekten (GPO) oder zu einzelnen Einstellungen zu hinterlegen. Leider sind die technischen Hintergründe dieser Funktion wenig dokumentiert, daher ist ein wenig Ausprobieren angesagt. Hier [...]