Um den SID eines Benutzer- oder Gruppenkontos herauszufinden, gibt es keinen eingebauten Befehl. Mit einem WMI-Script geht es aber recht einfach (grundsätzlich auch per ADSI, aber nicht so komfortabel). Folgendes Script als name2sid.vbs speichern und ausführen. Achtung: Es dauert ein bisschen, bis das Ergebnis angezeigt wird. Eine andere Variante wäre das Tool User2Sid (Download der komilierten […]

Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User als Besitzer. Die einzige Ausnahme sind Admins: Wenn ein Mitglied der lokalen Gruppe „Administratoren“ Besitzer eines Objekts ist, so setzt Windows stattdessen die Administratoren-Gruppe als Besitzer. Das Ändern des Besitzers ist bis einschließlich Windows XP […]

Zur Dokumentation oder zum Reporting von Berechtigungen auf einem Windows-System gibt es zahlreiche Möglichkeiten. Hier ein Überblick (ohne Anspruch auch Vollständigkeit):

Wer von einer Workstation aus nur das AD verwalten möchte, aber nicht alle anderen Serverdienste, muss nicht das ganze Adminpak installieren. Mit folgendem Kommando werden nur die AD-Verwaltungstools installiert:

Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten – hier eine (unvollständige) Auswahl einiger Bordmittel. Achtung, mit Ausnahme des "dsget"-Beispiels geben alle Kommandos nur die direkten Mitglieder der Gruppe aus, aber nicht die indirekten. Die Beispiele gehen von einer Gruppe namens "Consulting" aus:

Das folgende Skript gibt den Wert eines beliebigen Attributs aus dem Active Directory für einen User zurück, dessen Logon-Name (SAM-Name, sAMAccountName) bekannt ist. Das ist nützlich, wenn beispielsweise zu der bekannten Systemvariablen %username% die Mailadresse, die Telefonnummer, der LDAP-Pfad oder irgendwas anderes aus dem AD erfragt werden soll.

Um verschiedene Windows-Versionen beispielsweise innerhalb eines Loginscripts unterscheiden zu können, kann man sich des Befehls "ver" bedienen. Da es sich um einen Konsolenbefehl handelt, muss seine Ausgabe allerdings geparst werden.

In den Gruppenrichtlinien gibt es die Möglichkeit, bestimmte Laufwerke auszublenden und sie so vor dem Benutzer zu verbergen. Dies ist insbesondere in Terminal-Server-Umgebungen interessant.

Eines der am weitesten verbreiteten Missverständnisse bezüglich moderner Windows-Versionen betrifft den Einsatz von WINS (Windows Internet Naming Service). WINS ist der Dienst, mit dem klassischerweise NetBIOS-Namen (die bis zu 15 lesbare Zeichen langen, nicht strukturierten Namen, die seit LANManager-Zeiten genutzt werden) in IP-Adressen aufgelöst werden können.

Im Wesentlichen hast du dazu zwei Möglichkeiten. In-place Upgrade: Den Server als NT4-BDC installieren, replizieren lassen. Zum PDC hochstufen. Auf dem Server das Upgrade auf WS2003 durchführen. Dadurch wird die bestehende Domäne als ADS konvertiert, die Objekte bleiben. Vorteil: Kann mit geringem Aufwand abgehen, alle Objekte und Berechtigungen bleiben bestehen. Nachteil: Altlasten werden übernommen. Wenn […]