Viele komplexe Applikationen integrieren sich in Active Directory (AD). Einige davon legen dort auch Konfigurationsdaten ab, beispielsweise Exchange oder Ciscos Call Manager. Zu diesem Zweck erweitern sie das Schema des AD, also die Definition der Datenbank: Sie legen neue Attribute (Datenfelder) und meist auch neue Objektklassen an, die den Aufbau bestimmter Objekte beschreiben. Doch auch […]
Wie eben gerade im Vortrag versprochen – hier sind die Folien meines Vortrags „Active Directory als Datenspeicher? Was Sie beim Schema tun und lassen sollten“ auf der \\ice:2008 in Lingen. Eine kleine Korrektur, auf die mich Frank Röder aufmerksam gemacht hat: Seit der MMC 3.0 kann man Erweiterungen der Admin-Oberfläche nicht nur in C++, sondern auch […]
Immer mehr netzwerkfähige Geräte, wie zum Beispiel Scanner oder auch Telefonanlagen, unterstützen das Einlesen der Benutzer per LDAP. Leider kranken diese Geräte oft an der fehlenden Fähigkeit, sich an einem LDAP Server zu authentifizieren oder anderen Dingen. Manchmal steht der Administrator auch vor der Aufgabe, dass beispielsweise eine Telefonanlage von mehreren Firmen genutzt wird und […]
In vielen Active-Directory-Umgebungen wird die Möglichkeit genutzt, bestimmten Mitarbeitern Berechtigungen auf das Active Directory zu geben. So könnte man zum Beispiel dem Azubi der IT-Abteilung das Recht einräumen, neue Benutzer in Active Directory anzulegen. Dadurch kann der Azubi also keinen Schaden anrichten. Er kann ja nur neue Benutzer anlegen …
In dem kürzlich hier erschienenen Artikel „Schema-Erweiterungen auffinden“ habe ich einen manuellen Weg beschrieben, mit dem sich Erweiterungen im Schema des Active Directory über einen Vergleich von zwei CSV-Exportdateien ausfindig machen lassen. Mit dem Skript „CompareSchemaCSV.vbs“ lässt sich dies nun automatisieren. Das Skript gibt es hier zum Download:
Wer eine fremde Active-Directory-Umgebung übernimmt oder bearbeitet, steht vor der Frage, in welchem Zustand sich diese befindet. Neben der Konfiguration der Umgebung kann es auch relevant sein, ob das AD-Schema erweitert wurde. Leider ist es nicht ganz einfach, Schema-Erweiterungen nachträglich ausfindig zu machen, wenn sie nicht ordentlich dokumentiert worden sind. Mit ein wenig manuellem Aufwand […]
Wenn man in Active Directory ein vorhandenes Benutzerobjekt kopiert, dann wird eine Untermenge der verfügbaren Attribute in das neue Objekt übernommen. Wie kann man aber steuern, welche Attribute mit kopiert werden und welche nicht?
Am 28. April 2006 habe ich für Microsoft TechNet einen einstündigen Webcast über die Arbeit mit dem Schema des Active Directory gehalten. Es geht dabei neben einigen theoretischen Grundlagen zum Schema vor allem um praktische Aspekte bei der Erweiterung des Schema. Mit vielen Praxisdemos beleuchte ich, was ihr berücksichtigen solltet, wenn ihr mit dem AD-Schema arbeiten wollt, […]
Folgende sind die einfachsten Möglichkeiten: Untersuche das Schema mit dem MMC-Snap-in "Active Directory-Schema" (bei installiertem Adminpak das Snap-in zunächst registrieren mit regsvr32 schmmgmt.dll, dann das Snap-in zu einer MMC hinzufügen) Die Schema-Doku im MSDN (msdn.microsoft.com) Exportiere das Schema in eine Textdatei, die du mit Excel o. ä. ansehen kannst. Das geht z. B. mit csvde.exe: csvde -d […]
Das Schema ist erweitert worden. Wie können die neuen Attribute und Objekte nun genutzt werden? Ohne weiteres erst mal gar nicht. Die Verwaltungstools von Windows 2000/2003 lassen sich nicht einfach so um zusätzliche Attribute (Datenfelder) und Objektklassen erweitern. Man kann zwar durchaus neue Registerkarten einfügen, das geht aber nur über COM-Programmierung mit C++.