Der LDAP-Standard sieht unglücklicherweise vor, dass die Objektklasse "user" nicht nur Benutzerobjekte umfasst (wie man annehmen könnte). Setzt man also bei der AD-Abfrage einen Filter wie (objectClass=user), so erhält man nicht nur Benutzer-, sondern auch Computerobjekte zurück.

Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen der User bei Anmeldung Mitglied war. Nur dieses Token entscheidet über die tatsächlichen Berechtigungen. Du kannst es z.B. mit whoami.exe auswerten, siehe dazu auch den Artikel über lokale Administratoren und den über Gruppenmitgliedschaften. Dass eine […]

Wenn man sich die Eigenschaften eines Dateiordners ansieht, wird oft die Markierung für den Schreibschutz angezeigt. Das hat aber in der Regel nichts zu sagen. Zitieren wir heise.de: Der Schalter „Schreibgeschützt“ kennt nicht zwei, sondern drei Zustände. Neben einem Haken auf weißem Grund für „Schreibgeschützt“ und einem leeren weißen Feld für „Nicht schreibgeschützt“ gibt es […]

Um gezielt nach einer bestimmten Mailadresse im AD zu suchen, eignet sich das folgende Skript. Es fragt nach einem Fragment, das in einer Adresse vorkommen soll (z.B. „support“ oder „@unserefirma“) und gibt alle Adressen und die zugeordneten Objekte (Benutzer, Gruppen usw.) aus, die dieses Fragment enthalten.

Die Mailadressen einer Exchange-Organisation sind im Active Directory gespeichert. Für den Zugriff auf die Hauptadresse eines Benutzers gibt es ein einfach auszuwertendes Feld im AD: „mail“ bzw. „E-Mail-Adresse“. Nur: Viele Objekte haben mehr als eine Adresse – diese stehen dann im Feld „proxyAddresses“ bzw. „E-Mail-Adresse (andere)“. Da dieses Feld mehrwertig (multi-valued) ist, kann es über […]

Zur CeBIT plante unser Unternehmen, eine komplexe Lösung auf der Basis der Terminaldienste von Windows Server 2003 in einer Demo-Umgebung zu präsentieren. Da unserer Stand als Partner eines Herstellers direkt auf der Messe nur sehr klein war, befand sich das Demosystem – fünf Server und ein SAN-System – in unseren Firmenräumen, die nur etwa 700 […]

Ein langjähriger Kunde hatte kürzlich einen Server bei uns gekauft, der als Applikationsserver für seine Branchenlösung dienen sollte. Bei der Grundinstallation und der Einbindung in sein Netzwerk wurde er von unseren Technikern unterstützt, die Applikation selbst wurde vom Hersteller der Anwendung eingerichtet. Die laufende Betreuung und Wartung der Maschine wird – wie auch für den […]

Wer unter Windows XP (oder anderen Versionen) sicher gehen will, verzichtet auf Administrator- und Hauptbenutzerrechte. Muss einmal ein Programm mit höheren Rechten ausgeführt werden, so bietet sich (für Administratoren und verantwortliche Benutzer) die runas-Methode an. Nur hilft dies nicht immer: Bestimmte Vorgänge erfordern, dass das täglich benutzte Anmeldekonto für kurze Zeit über Admin-Rechte verfügt.

In der IT arbeitet man global. Viele interessante Events – z.B. Webcasts, Telefonkonferenzen oder auch Veröffentlichungsdaten – werden von Amerika aus (oder auch von ganz woanders) mit der lokalen Zeitangabe veröffentlicht. Nur: Welche Zeit ist das in Deutschland? Und wie teile ich einer Inderin mit, zu welcher lokalen Zeit sie mich per Instant Messenger anrufen […]

Im Verwaltungsprogramm „Active Directory-Benutzer und -Computer“ (ADUC) gibt es keine Möglichkeit, den LDAP-Pfad zu vorhandenen Objekten anzuzeigen. In vielen Fällen wird diese Angabe allerdings benötigt, z.B. beim Scripting oder bei einem Authoritative Restore.