dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen.

In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze wurde über eine große Batchdatei gesteuert, die für jedes der Objekte die sieben dsacls-Kommandos ausführte. Das passierte auf einem Domänencontroller unter Windows Server 2008 R2, der in einer nicht optimierten VM lief (nur 512 MB RAM und eine einzige virtuelle Festplatte).

Der Vorgang dauerte etwas weniger als zwei Stunden. Erst war ich überrascht über die lange Bearbeitungszeit, aber dann habe ich mal nachgerechnet:

• 16.308 Objekte mit jeweils sieben ACL-Änderungen ergibt 114.156 einzelne ACL-Änderungen.
• Die Ausführung dauerte etwas weniger als zwei Stunden, was etwa 1000 ACL-Änderungen pro Minute ergibt.
• Das wiederum bedeutet, dass etwas mehr als 15 Änderungen pro Sekunde erfolgten.
• Hierbei muss man – neben dem geringen Arbeitsspeicher des Servers – berücksichtigen, dass jede Änderung im Ereignisprotokoll mitgeschrieben wurde und dass dsacls bei jeder Ausführung die Berechtigungen des Objekts als Text ausgibt, hier umgeleitet in eine Datei.
• Die Datenbank-Dateigröße des AD änderte sich durch diesen Vorgang übrigens nicht, was wahrscheinlich auf die pro Objekt geringe Anzahl geänderter ACLs zurückzuführen ist.

Exchange Server 2007 bringt ein PowerShell-Skript mit, mit dem man zu allen Öffentlichen Ordnern eines Exchange-Servers ein Replikat hinzufügen kann. Muss es auch, denn die grafische Ordnerverwaltung hat diese Funktion leider nicht mehr …

Leider schlägt das Skript aber oft fehl und meldet, es könne einen Parameter nicht erkennen. Dabei handelt es sich dann um einen Teil des Ordnernamens. Es liegt auf der Hand: Das Skript kommt nicht mit Leerzeichen klar. (Eigentlich ziemlich peinlich, aber lassen wir das.)

Die Abhilfe ist zwar einfach, aber man kommt kaum selbst drauf: Man füge in die Angabe des Ordnernamens innerhalb der doppelten Anführungsstriche noch einmal “einfache” Anführungsstriche hinzu (besser gesagt: Apostrophen). So:

AddReplicatoPFRecursive.ps1 -TopPublicFolder "'\PublicFolder with space'" -ServerToAdd NeuerServer

Hier noch die Quelle – Ehre, wem Ehre gebührt:

[Managing spaces in AddReplicaToPFRecursive.ps1 script | Zero Hour Sleep]

http://www.zerohoursleep.com/2009/12/managing-spaces-in-addreplicatopfrecursiveps1-script/

Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab Windows 2003 (SP1) beantwortet repadmin diese Frage.

repadmin /showbackup

Die Ausgabe sieht ungefähr so aus:

Da ich gerade an der neuen Version 3.0 meines AD-Dokumentationswerkzeugs José arbeite, wollte ich diese Daten aber per Skript herausfinden, ohne auf repadmin angewiesen zu sein. Das stellte sich als gar nicht so einfach heraus, denn die Information ist im AD gut versteckt.

… weiterlesen

Exchange-MVP Walter Steinsdorfer hat einen lesenswerten Artikel zu der Marketingaussage geschrieben, dass Exchange 2010 aufgrund seiner Verfügbarkeits-Architektur kein Backup mehr benötige. Sein Fazit: “Exchange 2010 ohne Backup zu betreiben geht. Allerdings in engen Grenzen.”

Hier geht’s zum Artikel:

[Microsoft, Exchange 2010 und die Datensicherungsstory – Exchange, Security and Active Directory]
http://msmvps.com/blogs/wstein/archive/2010/02/24/microsoft-exchange-2010-und-die-datensicherungsstory.aspx

Auf der diesjährigen CeBIT, die schon in der nächsten Woche in meiner Heimatstadt stattfindet, werde ich zwei Vorträge für den heise-Verlag halten.

• Am Mittwoch, 3. März um 12:00 Uhr geht es in Halle 5, Stand E 38 um IT-Sicherheit: “Sicherheit? Ich hab doch ‘ne Firewall! Was Sie vielleicht noch nicht bedacht haben”
  [Heise Events | 2010 | heise Forum | Programm]
  http://www.heise.de/events/2010/heise_forum/plan_tag2/
• Am Donnerstag, 4. März um 15:30 stelle ich in Halle 3, Stand G06, ein Kundenprojekt mit Hyper-V vor.
  [iX-Konferenz: iX CeBIT Forum 2010]
  http://www.ix-konferenz.de/programm.php?vortyp=Cluster%2FVirtualisierung&konferenzid=79&st=Programm

In Exchange 2007 und 2010 sind neue Mail-Verteilergruppen standardmäßig nur intern nutzbar. Möchte man einen Verteiler einrichten, der von außen per Mail erreichbar ist, muss man dies ausdrücklich einstellen. Anderenfalls erhält man die Fehlermeldung:

#550 5.7.1 RESOLVER.RST.AuthRequired; authentication required

Zur Umstellung öffnet man in der Exchange-Konsole (GUI) den Verteiler, dort die Registerkarte „Nachrichtenübermittlungseinstellungen“ und dort „Einschränkungen für die Nachrichtenzustellung“. Die dortige Einstellung „Authentifizierung aller Absender anfordern“ ist bei Exchange 2007 und 2010 standardmäßig für neue Gruppen aktiviert. Wenn der Verteiler von außen erreichbar sein soll, muss man das Häkchen entfernen.

Mit Exchange 2007 ist der vormals separate “Auto-Accept Agent” Teil des Hauptprodukts geworden. Diese Funktion ermöglicht es, einen zentral gepflegten und automatisch verwalteten Kalender für eine Ressource wie etwa einen Besprechungsraum zu erzeugen. Bei aktivierter Einstellung trägt der Raum Terminbuchungen in seinen Kalender ein (sofern er Zeit hat) und informiert den Einladenden darüber. Besteht ein Terminkonflikt, so lehnt die Ressource die Anfrage ab.

Soweit, so gut. Mit Exchange 2007 war es etwas beschwerlich, solche Mailboxen zu konfigurieren, weil vieles nur über die Shell möglich war. In Exchange 2010 lassen sich die Einstellungen komfortabel über die grafische Konsole verwalten. Ein Wunsch bleibt aber in vielen Umgebungen offen: Benutzer sollen sich in manchen Firmen den Kalender eines solchen Raums öffnen können, um nach freien Zeiten Ausschau zu halten.

… weiterlesen

Bei einer Domänenmigration meines Rechners sind einige Daten nicht mitgekommen, weil Windows EasyTransfer sie nicht berücksichtigt (anders als etwa die des Live Writer – die sind alle dabei). Dazu gehören die Einstellungen und Daten meines RSS-Readers FeedDemon. Die Übertragung ist aber sehr einfach, wenn das alte Profil noch vorhanden ist:

• Öffne ein CMD-Fenster mit Adminrechten.
• Navigiere zu: C:\Users\<Altes Profil>\AppData\Local\FeedDemon\v1
• Kopiere die Daten mit: xcopy *.* C:\Users\<Neues Profil>\AppData\Local\FeedDemon\v1\ /S /Y
• Starte FeedDemon neu.

Die Installation von einem USB Stick hat diverse Vorteile: Sie ist wesentlich schneller als von DVD und vor allem haben viele System heutzutage gar kein CD-/DVD-Laufwerk, sodass USB die einzige Alternative für die ganze NetBook- und SubNotebook-Generation darstellt.

Gehört man nun zu denen, die regelmäßig unterschiedliche Betriebssysteme installieren, bei Kunden, in Schulungsräumen, zuhause, in Testumgebungen etc., dann ist es sicherlich interessant, auf einem USB Stick mehr als nur die eine Version zu hinterlegen. Dieser Artikel beschreibt es für Windows 7 und Server 2008, Vista und PE lassen sich über den gleichen Weg integrieren, selbst Linux ist möglich. Was noch ein interessantes Szenario für diverse Datenrecovery und auch Datenshredder bietet.

… weiterlesen

Im Artikel zu Windows EasyTransfer habe ich eine Methode vorgestellt, mit der sich auch bei einer Domänenmigration Benutzerprofile von einem “alten” Benutzerkonto auf ein “neues” übertragen lassen. Eine andere Methode nutzt der “User Profile Wizard” von ForensiT, den es in einer “Personal Edition” kostenlos gibt:

[ForensiT Domain Migration]
http://www.forensit.com/domain-migration.html

Dieses Programm überträgt nicht, wie es EasyTransfer und USMT tun, die Daten des einen Profils auf ein anderes Profil, sondern es passt die Berechtigungen eines vorhandenen Profils so an, dass der “neue” Benutzer dieses Profil verwenden kann. Das Haupt-Szenario dieses Werkzeugs ist also tatsächlich eine Domänenmigration, in der Benutzer, Computer und eben Profile weitgehend “eins zu eins” von einer Domäne in eine andere übertragen werden.

… weiterlesen