Beim Erzeugen von Benutzerkonten in Active Directory mit einem Skript passiert es manchmal, dass dort die Option “Kennwort nicht erforderlich” aktiviert ist. Das passiert meist versehentlich, wenn ein Skript die nötigen Konten-Attribute im Feld userAccountControl nicht richtig setzt. Dort muss das sechsthöchste Bit gesetzt sein, das den Dezimalwert 32 repräsentiert. Mit zwei Skripten lassen sich […]

Dieser Artikel erschien zuerst auf Ralfs Blog. Eine LDAP-Authentifizierung oder eine Namensauflösung über LDAP funktioniert in zwei Schritten: Es erfolgt eine subtree-Suche unterhalb der Searchbase nach (uid=loginname). Als Ergebnis wird der komplette DN des gefundenen (und hoffentlich eindeutigen) Objektes zurückgeliefert. Anschließend erfolgt eine Abfrage der benötigten Attribute dieses Objektes bzw. bei LDAP-Login der Versuch eines […]

Seit Urzeiten gibt es in Exchange-Umgebungen eine Reihe von Objektattributen, in denen man bei Bedarf eigene Werte ablegen kann. Diese “Custom Attributes” oder auch “Extension Attributes” sind seit Windows 2000 auch Teil des Active-Directory-Schemas. Es gibt 15 dieser Attribute, die von 1 bis 15 durchnummeriert sind (extensionAttribute1 bis extensionAttribute15). Über die Jahre sind diese Attribute […]

Es gibt einen Mechanismus in Active Directory, den man normalerweise nie braucht. Leider wissen viele Administratoren das nicht und setzen den Mechanismus ein, was oft zu unerwünschten Reaktionen führt. Das Dumme daran: Es können daraus durchaus Sicherheitsprobleme entstehen. Die Rede ist von den Primary Groups (im Deutschen: Primäre Gruppe). Für jedes Benutzerobjekt kann man genau […]

Beim Monitoring oder bei der Auswertung des Active Directory kann es von Interesse sein, welche Objekte nach einem bestimmten Datum erzeugt wurden. Leider ist es nicht immer ganz einfach, Datumswerte aus dem AD abzufragen oder sie gar als Suchkriterien zu verwenden. Im konkreten Fall hält sich der Aufwand aber in Grenzen. Eine einfache Art, diese […]

Ab und an kommt es mal vor, dass ein User im AD erhöhte Rechte oder zusätzliche Gruppen bekommen muss. Zum Beispiel könnte dieser erhöhte Rechte im Internet (AD-basierte Proxygruppen) oder für eine Applikation (Argh!) benötigen. Was passiert aber nun, wenn diese Rechte in Vergessenheit geraten und dadurch Schaden (z.B. Data-Loss, Malware, …) entsteht? Die Frage […]

Active Directory speichert das Anmeldedatum eines Benutzers (bzw. eines Computers) in einem etwas eigenwilligen Format. Dieses gibt die Anzahl der 100-Nanosekunden-Intervalle an, die seit dem 1. Januar 1601 vergangen sind. Dies ergibt dann Werte wie 130104058290831818 (die technisch noch dazu in mehreren Einträgen hinterlegt sind, aber das führt an dieser Stelle zu weit). Viele Anzeige-Werkzeuge […]

Fabian Müller aus dem deutschen Active-Directory-Support bei Microsoft beschreibt in einem Artikel, wie man feststellen kann, ob ein Windows-Benutzer sich per Smartcard oder per Kennwort angemeldet hat. Dazu stellt er gleich mehrere Methoden vor, die in unterschiedlichen Situationen interessant sind. [Find out if a Smart Card was used for logon – TechNet Articles – United […]

Unter den Fragen, die mir oft gestellt werden, nimmt diese einen vorderen Platz ein: Wie kann ich Benutzer- oder Computerkonten in Active Directory identifizieren, die nicht mehr benötigt werden? Auf diese naheliegende Frage gibt es eine einfache Antwort: OldCmp. OldCmp identifiziert: veraltete Computerobjekte veraltete Userobjekte (obwohl der Name anderes verheißt) anhand wählbarer Kriterien, z.B. dem […]

My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I added an English version for an international audience. Carmen lets you query Active Directory using SQL-style syntax. This makes it easier for most admins to get data from AD as SQL is more common to […]