Wer sich schnell einen Überblick über die Objektstruktur einer Active-Directory-Umgebung verschaffen möchte, kommt oft sehr weit mit der Information, in welchen OUs wie viele Objekte liegen. Diese Daten lassen sich mit der PowerShell recht schnell zusammentragen. Das folgende Skript liest die OU-Struktur der Domäne aus und bringt sie in eine sortierbare und übersichtliche Form. Für […]

Auch unser Tool Angelo, das Meta-Reports zu einer Active-Directory-Umgebung erzeugt, hat (endlich) eine Überarbeitung erfahren. Die neue Version 1.6 steht ab sofort zum Download bereit. Was Angelo tut Angelo steuert einige Reporting-Tools und Skripte, um den Aufbau und den generellen Zustand einer AD-Umgebung zu dokumentieren. Es eignet sich damit sehr gut für einen “ersten Blick” […]

Nach langer Zeit haben wir eine neue Version von José, unserem Dokumentationstool für Active Directory, publiziert. Es sind nur kleine Änderungen, aber damit ist das Werkzeug nun wieder Up-to-date. Die neue Version 3.13 gibt es auf Deutsch und auf Englisch. Schema-Versionen und Betriebsmodi ergänzt (Windows Server 2025, Exchange 2026 bis CU23, Exchange 2019 bis CU […]

Nach fast fünf Jahren haben wir eine neue Version unserer Liste zum Schema des Active Directory veröffentlicht. Die Liste umfasst die Namen aller Objekte und Attribute, die zum AD-Schema gehören, und benennt die Produkte und Versionen, die diese Definitionen dem Schema hinzugefügt haben. Dies erlaubt Analysen einer AD-Umgebung, um etwa für Migrationen oder Integrationen zu […]

Genau heute vor 25 Jahren erschien Windows 2000 auf dem Markt. Als Nachfolger von Windows NT machte es Ernst mit einigen Entwicklungen, die Microsoft schon länger in Arbeit hatte. Darunter war Active Directory als Verzeichnisdienst, der Microsoft endgültig in den Rechenzentren etablierte. Windows 2000 kam in drei Fassungen auf den Markt: Windows 2000 Professional, Server […]

Wenn man automatisiert Benutzerkonten in einer AD-Umgebung erzeugt, kann es – je nach Methode – vorkommen, dass diese Konten keine Kennwörter haben. Das passiert etwa, wenn man solche Konten mit dem uralten Kommando csvde.exe erzeugt. Die Konten sind dann auch deaktiviert, es entsteht also keine direkte Gefahr. Es lauert aber eine – mit der man […]

Aus der LDAPS-ohne-PKI-Diskussion sind noch ein paar weitere Punkte hervorgegangen. Der AD-Spezialist Evgenij Smirnov hat nun einige technische und logische Aspekte in einem sehr lesenswerten Artikel zusammengefasst, auf den wir ohne weitere Umschweife hier verweisen: [LDAP auf Port 389 deaktivieren – ein Reality Check – Evgenij Smirnov] https://it-pro-berlin.de/2024/06/ldap-deaktivieren-ein-reality-check/

Eine meiner Thesen in meiner Session “Broken by Design: Warum wir PKIs nicht trauen können (aber keine andere Wahl haben)” auf der Experts Live Germany 2024 lautete: Betreibe keine PKI, wenn du sie nicht wirklich brauchst. Das führte zu einiger Diskussion. Ein Teilnehmer fragte mich, ob ich damit etwa davon abraten würde, LDAPS in einer […]

Heute mal wieder ein (hihi) Quickie: Die Gruppe “BUILTIN\Prä-Windows 2000 kompatibler Zugriff” in Active Directory ist ein eingebautes Sicherheitsloch. Warum das so ist, könnt ihr an vielen Stellen im Web nachlesen. Kurz zusammengefasst: Diese Gruppe enthält standardmäßig die Pseudo-Systemgruppe “Authentifizierte Benutzer”, und damit kann jeder Benutzer (und auch jeder Computer) nahezu alles lesen, was im […]

Mein Metareporting-Tool Angelo für Active Directory hat nun nach vielen Jahren ein Update bekommen. Es ergänzt die Reports und behebt ein paar ärgerliche Fehler. Angelo eignet sich gut, um einen ersten umfassenden Überblick über eine AD-Umgebung zu erhalten, ohne stundenlang in den GUI-Tools herumzuklicken. Es eignet sich auch als Basis, um den “Gesundheitszustand” und die […]