Hier stelle ich ein sehr interessantes Tool vor, um *.msi-Dateien zu packen, um sie dann später verteilen zu können (MDT2010, NetInstall, GPO usw), ohne dass man so ein Monster wie Adminstudio 9.0 für schlappe 5000€ bemühen muss.

Zuerst  hier den AppDeploy Repackager 1.02 runterladen (Anmeldung auf der Webseite ist nötig, der Rest ist aber kostenlos) und auf dem PC lokal installiert. Zweifelsohne ist es bei solch einem Tool,  welches *.msi Dateien anhand von Veränderungen des Systems generiert, besser, es in einer virtuellen Maschine laufen zu lassen. Dazu installiert man sich eine leere virtuelle Maschine, macht einen Snapshot, dann installiert man den AppDeploy Repackager 1.02 und macht wieder einen Snapshot. So kann man bequem beliebig *.msi Pakete erstellen und kann vor jeder Neuerstellung einfach den Snapshot wieder zurück sichern.

Da ich meinen PC gerade neu aufgesetzt habe und noch kein VMware installiert habe, wird VMware Workstation 7.0 unser Testobjekt!

… weiterlesen

Wie bereits in einem vorherigen Artikel beschrieben, lässt sich die integrierte Windows-7-Suche durch das Hinzufügen weiterer Suchconnectoren erweitern. Nun hat Microsoft einen Suchconnector zur Verfügung gestellt, mit dem es möglich ist, die Microsoft Technet direkt aus Windows 7 zu durchsuchen.

Hier eine kurze Anleitung zur Einrichtung des Suchconnectors.

… weiterlesen

ADRAP ist die Abkürzung für das Microsoft Services Risk Assement Program for Active Directory. Es handelt sich dabei um eine formalisierte, eingehende Prüfung einer bestehenden Active Directory Umgebung durch Microsoft mit anschließender Beurteilung des “Gesundheitszustandes” des betreffenden ADs. Diese Prüfung (ehemals “AD Health Check” genannt) wird vom Microsoft Service als Dienstleistung angeboten.

Für die Prüfung kommt ein speziell für das ADRAP zertifizierter Microsoft Premier Field Engineer (PFE) vor Ort, sammelt mit speziellen Tools Daten aus der Umgebung (nur lesend), führt mit den zuständigen Administratoren eingehende Interviews über die Arbeitsweisen und Prozesse bezüglich AD und lässt sich auch allerhand an (hoffentlich vorhandener) internen Betriebshandbüchern, Desaster-Recovery-Merkblättern etc. zeigen. Je nach Größe der Umgebung kann das Ganze auch schon mal mehrere Tage dauern.

… weiterlesen

In Domänen, die unter Windows Server 2008 R2 laufen, ist keine Vertrauensstellung zu Windows NT 4.0 möglich. Das bedeutet, dass man nicht nur keine NT-Clients mehr in so einer Domäne betreiben kann, sondern es sind auch keine Trusts zu NT-Domänen mehr möglich.

Die unter Windows Server 2008 noch vorhandene Möglichkeit, die Verschlüsselung zugunsten der NT-Integration abzuschwächen, besteht im aktuellen Windows Server nicht mehr! Einige Hintergründe erläutert das deutsche AD-Blog:

[Aktives Verzeichnis Blog : Was "Ende des Lebenszyklus" bedeuten kann]
http://blogs.technet.com/deds/archive/2010/04/07/was-ende-des-lebenszyklus-bedeuten-kann.aspx

Um einen Windows Server 2008 R2 in der “Core”-Installationsvariante einzurichten, gibt es Kommandozeilentools und ein kleines Skript zur Hilfe. Komfortabler geht es aber mit dem CoreConfigurator, den wir im Folgenden vorstellen.

… weiterlesen

Philipp Föckeler hat ein Programm namens “Liza” veröffentlicht, mit dem man Objektberechtigungen in Active Directory anzeigen und analysieren kann. Das Werkzeug zeigt nicht nur container- und objektweise die vorhandenen Berechtigungen an, sondern es kann auch die Frage bveantworten: “Welche Zugriffsrechte hat Ellen Bogen wo in unserem AD?”. Naturgemäß erfordert das Programm ein wenig Einarbeitung, weil das AD-Berechtigungssystem sehr komplex ist. Liza ist allerdings wesentlich übersichtlicher und leistungsfähiger als die in den Windows-Tools eingebauten Möglichkeiten. Und: Es ist kostenlos und benötigt keine aufwändige Installation.

[LIZA – Active Directory Security, Permission and ACL Analysis]
http://www.ldapexplorer.com/en/liza.htm

Microsoft Research hat eine neuartige Shell entwickelt, die auf natürliche Sprache reagiert. faq-o-matic.net hatte Gelegenheit, sich einen frühen Prototypen anzusehen. Als eine von wenigen Communities weltweit stellen wir euch einen ersten Eindruck vor – alles Weitere in unserem Video!

Der Microsoft-Supportmitarbeiter Herbert Mauerer hat einen sehr lesenswerten Artikel zum Disaster Recovery für Active Directory geschrieben. Er bezieht sich insbesondere auf Probleme, die beim Authoritative Restore unter Windows Server 2003 auftreten können.

Hier geht’s lang:

[Ask the Directory Services Team : Best practices around Active Directory Authoritative Restores in Windows Server 2003 and 2008]
http://blogs.technet.com/askds/archive/2010/03/30/best-practices-around-active-directory-authoritative-restores-in-windows-server-2003-and-2008.aspx

Anders als in der Onlinehilfe beschrieben, tauchen getrennte Mailboxen oft nicht von selbst im Zweig “Getrenntes Postfach” der Verwaltungskonsole auf. Ähnlich wie in den Vorgängerversionen kann man Exchange dann auffordern, nach den Mailboxen zu suchen. Hierzu verwendet man in der Exchange-Shell folgendes Kommando:

Clean-MailboxDatabase "Name-der-Datenbank"

Danach sollten die getrennten Mailboxen auch im GUI sichtbar sein. Um diese direkt per PowerShell aufzulisten, eignet sich folgendes Kommando:

Get-MailboxStatistics -server SERVERNAME | Where {$_.DisconnectDate -ne $null}

Wichtig ist dabei der Servername – die TechNet-Dokumentation gibt das leider falsch an.

Getrennte Mailboxen entstehen, wenn man eine Mailbox von dem zugehörigen AD-Benutzerkonto trennt (Befehl “Deaktivieren” in der Konsole bzw. “Disable-Mailbox” in der Shell). Im Gegensatz zum Entfernen einer Mailbox bleibt das AD-Benutzerkonto hierbei erhalten.

Seit kurzem ist ein Windows-Update aktiv, das neuen Benutzern die Auswahl ihres bevorzugten Webbrowsers gestattet. Auf Druck der EU hat Microsoft dies als grafische Auswahl gestaltet, die dem Benutzer mehrere Browser anbietet.

In einer Testumgebung kam ich gerade in den Genuss dieser Funktion. Zunächst wies mich ein pompöses Startfenster auf diese unglaubliche Freiheit hin und kündigte an, dass ich nun aber gleich echt wählen darf. Ich klickte OK, aber was ich dann sah, ist sicher nicht das, was damit gemeint ist …

… weiterlesen