Seit Urzeiten gibt es in Exchange-Umgebungen eine Reihe von Objektattributen, in denen man bei Bedarf eigene Werte ablegen kann. Diese “Custom Attributes” oder auch “Extension Attributes” sind seit Windows 2000 auch Teil des Active-Directory-Schemas. Es gibt 15 dieser Attribute, die von 1 bis 15 durchnummeriert sind (extensionAttribute1 bis extensionAttribute15). Über die Jahre sind diese Attribute […]

Es gibt einen Mechanismus in Active Directory, den man normalerweise nie braucht. Leider wissen viele Administratoren das nicht und setzen den Mechanismus ein, was oft zu unerwünschten Reaktionen führt. Das Dumme daran: Es können daraus durchaus Sicherheitsprobleme entstehen. Die Rede ist von den Primary Groups (im Deutschen: Primäre Gruppe). Für jedes Benutzerobjekt kann man genau […]

Beim Monitoring oder bei der Auswertung des Active Directory kann es von Interesse sein, welche Objekte nach einem bestimmten Datum erzeugt wurden. Leider ist es nicht immer ganz einfach, Datumswerte aus dem AD abzufragen oder sie gar als Suchkriterien zu verwenden. Im konkreten Fall hält sich der Aufwand aber in Grenzen. Eine einfache Art, diese […]

Ab und an kommt es mal vor, dass ein User im AD erhöhte Rechte oder zusätzliche Gruppen bekommen muss. Zum Beispiel könnte dieser erhöhte Rechte im Internet (AD-basierte Proxygruppen) oder für eine Applikation (Argh!) benötigen. Was passiert aber nun, wenn diese Rechte in Vergessenheit geraten und dadurch Schaden (z.B. Data-Loss, Malware, …) entsteht? Die Frage […]

Active Directory speichert das Anmeldedatum eines Benutzers (bzw. eines Computers) in einem etwas eigenwilligen Format. Dieses gibt die Anzahl der 100-Nanosekunden-Intervalle an, die seit dem 1. Januar 1601 vergangen sind. Dies ergibt dann Werte wie 130104058290831818 (die technisch noch dazu in mehreren Einträgen hinterlegt sind, aber das führt an dieser Stelle zu weit). Viele Anzeige-Werkzeuge […]

Fabian Müller aus dem deutschen Active-Directory-Support bei Microsoft beschreibt in einem Artikel, wie man feststellen kann, ob ein Windows-Benutzer sich per Smartcard oder per Kennwort angemeldet hat. Dazu stellt er gleich mehrere Methoden vor, die in unterschiedlichen Situationen interessant sind. [Find out if a Smart Card was used for logon – TechNet Articles – United […]

Unter den Fragen, die mir oft gestellt werden, nimmt diese einen vorderen Platz ein: Wie kann ich Benutzer- oder Computerkonten in Active Directory identifizieren, die nicht mehr benötigt werden? Auf diese naheliegende Frage gibt es eine einfache Antwort: OldCmp. OldCmp identifiziert: veraltete Computerobjekte veraltete Userobjekte (obwohl der Name anderes verheißt) anhand wählbarer Kriterien, z.B. dem […]

My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I added an English version for an international audience. Carmen lets you query Active Directory using SQL-style syntax. This makes it easier for most admins to get data from AD as SQL is more common to […]

Ich habe schon häufig nach einem Tool gesucht, mit dem man schnell für Active-Directory-Benutzer- und Rechnerkonten diejenigen heraussuchen kann, die bestimmte, interessante Eigenschaften haben, oder deren aktueller Status eine Besonderheit darstellt. Damit meine ich z.B. den tatsächlichen Zeitpunkt der letzten Anmeldung, den Lockout-Status, das Erzeugungsdatum, das Passwort-Ablaufdatum, den Status bzgl. Fine-Grained Password Policies und vieles […]

Unsere FAQ bietet ein paar Artikel, die die Mitglieder von Gruppen ausgeben. Spannend ist aber auch die Frage: In welchen Gruppen ist ein Benutzer denn Mitglied? Auch dafür gibt es eine Reihe von Möglichkeiten zur Ausgabe. Hier eine kleine Auswahl (wie immer ohne Anspruch auf Vollständigkeit). Grundsätzlich sind alle Gruppenmitgliedschaften in dem AD-Feld “memberOf” eines […]