Schon seit der ersten Version des Active Directory kennt der Verzeichnisdienst mehrere Betriebsmodi. Handelte es sich zu Windows-2000-Zeiten noch um die Unterscheidung von “Mixed Mode” und “Native Mode”, die angab, ob es im AD noch Domänencontroller (hier: BDCs) unter Windows NT 4.0 geben konnte, ist seither mit jeder neuen Version von Windows Server (mindestens) ein […]

Mein Dokumentationswerkzeug José ist nun in Version 3.1 verfügbar. Neben einigen Fehlerkorrekturen gibt es ein paar neue Funktionen. Im Einzelnen: Neue Funktionen: Exchange-Schemaversion 2010 SP1 Anzahl Werte bei Multi-Value-Feldern (z.B. Gruppen – die Anzahl Gruppenmitglieder ist so leicht abzulesen) alle DCs der aktuellen Domäne in Domänen-Info angegeben OUs jetzt mit Angabe der Schachtelungstiefe (erleichtert die […]

My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I added an English version for an international audience. Carmen lets you query Active Directory using SQL-style syntax. This makes it easier for most admins to get data from AD as SQL is more common to […]

Unter Windows 7 mit Service Pack 1 lassen sich die ursprünglichen Remote-Admintools (Remote Server Admin Tools, RSAT) nicht installieren. Diese Tools braucht man, um in einer Domäne verschiedene Dienste zu verwalten, die auf Windows-Servern laufen (z.B. Active Directory, DNS, DHCP usw.). Bei,m Versuch, die RSAT zu installieren, erhält man eine Fehlermeldung. Waren die RSAT hingegen […]

Auf dem Active-Directory-Teamblog ist ein guter Artikel erschienen, der die Funktion und die einzelnen Tests des wertvollen AD-Diagnosetools vorstellt und auch einige typische Missverständnisse auflöst: [What does DCDIAG actually… do? – Ask the Directory Services Team] http://blogs.technet.com/b/askds/archive/2011/03/22/what-does-dcdiag-actually-do.aspx

Im Active Directory kann man ja, wie allseits bekannt, auf OUs etc. auch Rechte vergeben. Und natürlich lassen sich diese Rechte auch vererben an darunter liegende Objekte. Dass diese Vererbung nicht immer ganz einleuchtend ist, zeigt folgendes Beispiel: Eine OU=Deutschland, darunter eine OU=Bayern und darunter eine OU=Franken. Dazu noch eine Gruppe CN=Bayrisch,OU=Deutschland und eine Gruppe […]

Bereits seit der ersten Version von Windows NT kennt Microsofts professionelles Betriebssystem Benutzergruppen, die es nutzt, um Rechte und Privilegien innerhalb des Systems sowie Zugriffsrechte auf Objekte (z.B. Dateien) zu erteilen. Die Grundidee dabei ist, dass es erheblich einfacher ist, ein bestimmtes Recht einer Gruppe zuzuteilen und in diese Gruppe dann Benutzerkonten als Mitglieder aufzunehmen. […]

Auf diese Frage gibt es gleich zwei Antworten: eine kurze und eine längere. Die kurze ist: Ja, man darf, wenn man es richtig macht. Die längere beschäftigt sich damit, wie man es richtig macht. Oder genauer: Was man besser nicht macht.

Ich habe schon häufig nach einem Tool gesucht, mit dem man schnell für Active-Directory-Benutzer- und Rechnerkonten diejenigen heraussuchen kann, die bestimmte, interessante Eigenschaften haben, oder deren aktueller Status eine Besonderheit darstellt. Damit meine ich z.B. den tatsächlichen Zeitpunkt der letzten Anmeldung, den Lockout-Status, das Erzeugungsdatum, das Passwort-Ablaufdatum, den Status bzgl. Fine-Grained Password Policies und vieles […]

Das Schema ist das Rückgrat des Active Directory: Es definiert die Datenfelder und Objekttypen, die das Verzeichnis kennt. Damit entscheidet es darüber, welche Daten man in AD ablegen kann. Manipulationen des Schema können sich gravierend auswirken, wenn sie falsch laufen: Es droht nicht weniger als der komplette Datenverlust. Aber wie empfindlich ist das Schema wirklich? […]