Exchange lässt es nicht zu, Berechtigungen innerhalb von Mailboxen zentral zu verteilen. Obwohl dies vom Datenschutzaspekt her nachvollziehbar erscheinen mag, ist es in Unternehmensumgebungen doch sehr hinderlich: Insbesondere Lese- und Schreibrechte auf die Kalender sollen oft nach bestimmten Standards erteilt werden, um eine produktive Zusammenarbeit zu ermöglichen.

Windows bringt leider keine einfache Möglichkeit mit, das lokale Administratorpasswort auf allen Rechnern eines Netzwerks zentral zu ändern. Hier muss man sich mit Skriptlösungen behelfen – oder man lässt es ganz bleiben, was leider in den meisten Netzwerken der Fall ist. Ein kleines, freies Tool kann hier sehr gute Dienste leisten: Password Pusher von Samuelbrothers (Henry […]

Im Laufe der Zeit sammeln sich leider durch Rechnertausch, Defekte usw. immer mehr Computerkonten an, zu denen die Rechner gar nicht mehr existieren. Um diese in größerer Stückzahl zu löschen, bietet sich eine Abfrage des Active Directory an. Je nach Betriebssystem der Domänencontroller können dabei unterschiedliche Wege gegangen werden.

Zwar sind grundsätzlich alle Domänencontroller im Active Directory gleichberechtigt. Doch für einige wenige Funktionen gibt es auch hier Server, die „gleicher“ sind als die anderen. Dies sind die "Betriebsmaster" oder "Flexible Single Master Operations (FSMO)" und der "Globale Katalog" ("Global Catalog, GC"). Man sollte wissen, wie diese Funktionen zu verwalten sind.

Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit, Informationen aus dem Active Directory auszulesen. Hierzu lässt sich das COM-Objekt "ADSystemInfo" verwenden. Es gewährt einen schnellen Zugriff auf einige oft benötigte Daten aus dem AD. Die Dokumentation des Objekts findet sich im MSDN (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/iadsadsysteminfo.asp).

Oft muss man herausfinden, ob ein Benutzer mit Administratorrechten arbeitet oder nicht. Dazu muss man wissen, dass lokale Administratorrechte genau dann (und nur dann) vorhanden sind, wenn der Benutzer Mitglied der lokalen Gruppe „Administratoren“ ist. Dies kann allerdings auch dadurch gegeben sein, dass der Benutzer Mitglied einer anderen Gruppe ist, die ihrerseits in die Gruppe […]

Benutzer können Dateien löschen, auf die sie keinen Zugriff haben. Das ist das, was als Feature (!) dokumentiert ist, sich aber meist als Riesenproblem äußert. Dann gibt es noch undokumentierte Schwächen, die auch problematisch sind, z. B. können manche Dateien, auf die nur Leserecht erteilt wurde, verändert werden.

Die Betriebsmasterrollen (FSMO) sollten, wenn möglich, nur dann auf einen anderen DC übertragen werden, wenn sowohl der momentane Rolleninhaber als auch der neu zu belegende Server online sind. Sollte der ursprüngliche Rolleninhaber allerdings ausgefallen sein, so geht dies natürlich nicht. In diesem Falle sollte abgewogen werden:

Ein "Blue Screen of Death" (BSOD oder schlicht Bluescreen) zeigt an, dass Windows einen Systemfehler festgestellt und sich deshalb heruntergefahren hat. Damit versucht Windows, schwere Schäden zu verhindern, die bei Weiterarbeit u.U. an der Hardware oder dem System auftreten könnten. Das ist zwar in der Regel sehr ärgerlich, aber sicher besser, als wenn es keine […]

Mit Carmen kann man Daten aus dem AD mit SQL-Kommandos abfragen. Dazu stellt Carmen eine grafische Oberfläche bereit, in die man einfach die gesuchten Felder und die gewünschten Kriterien (in SQL-ähnlicher Syntax) angibt. Per Klick auf einen Button wird die Abfrage ausgeführt (und das Kommando angezeigt) und das Ergebnis als HTML-Tabelle angezeigt.