…-o-matic.net/2005/03/22/wie-verwalte-ich-die-speziellen-domaenencontroller-rollen/ Um die Rollen offline zu übertragen, gibt es zwei Möglichkeiten: Übertragung mit den normalen grafischen Verwaltungstools. Die meisten Rollen können auch offline übertragen werden. Die Verwaltungstools beschweren sich zwar, aber mit Ausnahme des RID-Master kann die Übertragung fortgesetzt werden (s.u.). Übertragung mit „ntdsutil.exe“ auf der Kommandozeile. Die Arbei…

…Contacts\*“ Wir sehen nun in der Custome Role – Mail Contacs nur noch vier Rollen, die wir benötigen. Die Rollen heißen wie folgt: Disable-Mailcontact Enable- Mailcontact Get-MailContact Set-MailContact Get-ManagementRoleEntry „Custom Role – Mail Contacts Creation\*“ Hier sind nur noch drei übrig mit folgender Bezeichnung: Get-MailContact New-Mailcontact Remove-MailContact Jetzt müssen wir noch eine letzte Custom Rolle erstellen: New-ManagementRol…

…ehrere DCs zu verteilen. Es hat sich die Empfehlung eingebürgert, die FSMO-Rollen auf dem DC zu belassen, auf dem sie ursprünglich sind, solange dieser Server nicht außer Betrieb geht. Aus Windows-2000-Zeiten gibt es noch Empfehlungen, wie man die Rollen verteilen soll. Diese Empfehlungen sind heute nicht mehr adäquat (sie waren schon unter Windows 2000 für fast alle Umgebungen zu hoch gegriffen). Es ist allerdings wichtig, den administrativen Zug…

…eine Gruppe delegiert werden, deren Mitglied das Servicekonto ist. dsacls DC=domain,DC=tld /I:S /G domain\LDAP-TokenGroups:RP;TokenGroups;user Abbildung 18 Alle folgenden Regeln sind vom Typ „Ansprüche mithilfe einer benutzerdefinierten Regel senden“. Der Regel wird ein entsprechender Name bspw. „Retrieve Token Groups“ vergeben und als Regel folgender Block eingefügt: c:[Type == „http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsacco…

…einem vollwertigen Administrator zu befördern. Im Folgenden möchte ich die Rollen aufführen, die von diesem Problem betroffen sind, da diese Rollen ebenfalls oftmals ein Angriffsvektor darstellen, um einen super GAU in einer Active Directory basierten Netzwerkinfrastruktur auszulösen. Domain Print Operators Die Active Directory-Benutzerolle „Print Operatoren“ besitzt zum Beispiel das Windows-System-Recht, beliebige Gerätetreiber innerhalb der Domä…

…Forest: Die „Flexible Single Master Operations“ (FSMO) oder „Betriebsmasterrollen“. Der augenfälligste Betriebsmaster ist der „PDC-Emulator“. Er stellt gegenüber den Domänenmitgliedern, die noch unter Windows NT 4.0 laufen, den PDC dar. Darüber hinaus sorgt er für eine beschleunigte Replikation sicherheitskritischer Änderungen wie etwa Passwortwechsel. Zur Verwaltung dieser Rolle dient das Programm Active Directory-Benutzer und -Computer: Klicke m…

…ldifde -f Infra_DomainDNSZones.ldf -d “CN=Infrastructure,DC=DomainDnsZones,DC=xxx,DC=com” -l fSMORoleOwner. Der Befehl hat mir den aktuellen Rolleninhaber server#1 angezeigt. Wenn ich das in ‚Active Directory Benutzer und Computer‘ oder ‚NTDSUtil‘ gegenchecke, wird mir aber server#2 angezeigt. Was stimmt da nicht? Um RODCs nutzen zu können, muss Active Directory vorbereitet werden. Dafür muss der Schalter „rodcprep“ von Adprep genutzt werden. ‚Adp…

…geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!): Auf dem ersten DC öffnet man die „Default Domain Policy“. Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich). Hier findet man (im Regelfall) das Zertifikat des Administrators. Rechtsklick darauf, „Exportieren“ wählen. Wichtig: Man exportier das Ze…

…Konsole führt eigenständige die Schritte durch, die zuvor für ein gescheitertes Herunterstufen eines DCs notwendig waren – bekannt als ‚metadata cleanup‘. Eigentlich eine gute Sache – aber was passiert mit den FSMO-Rollen, die ein DC inne hatte, den man per „Active Directory Benutzer und Computer“ löscht? Weiterlesen? Der Originalartikel ist in englischer Sprache auf http://www.frickelsoft.net/blog/?p=234 zu finden….

BGInfo ist ein sehr nützliches kleines Werkzeug von Sysinternals, das Informationen zum lokalen Computersystem ins Windows-Hintergrundbild einblendet. Viele Admins nutzen es gern auf Servern, um schnell feststellen zu können, mit welchem System sie eigentlich gerade verbunden sind. Gerade bei der Remote-Administration einer größeren Umgebung über RDP-Verbindungen ist das sehr hilfreich, denn sonst verliert man schnell den Überblick. Es gibt mit d…