Seit einigen Tagen arbeite ich mich in den Virtual Machine Manager (VMM) aus Microsofts System-Center-Familie ein. Gerade wollte ich dabei mal eine Verbindung zur Konsole einer VM herstellen, auf der die Integration Components noch nicht eingerichtet waren. Doppelklick auf das Vorschaubildchen, ein Fenster öffnet sich (wie man es etwa aus Virtual PC kennt). Wenn man reinklickt, ist die Maus erst mal gefangen. In dem Moment heißt es unten: “Dricken Sie zum Loaslassen der Maus die Tastenkombination STRG+ALT+NACH-LINKS” (siehe Bild oben links). Oha, das ist ja was anderes als bei VMware.

Na gut, ich wollte die Maus wiederhaben. Also drückte ich die Tastenkombination, und …

… weiterlesen

Eine der wesentlichen Änderungen in Windows 7 gegenüber Windows Vista besteht darin, dass die Benutzerkontensteuerung (User Account Control, UAC) nun steuerbar ist: Der Administrator eines Systems hat die Möglichkeit, das Verhalten von UAC in vier Stufen festzulegen.

Die höchste Stufe verhält sich wie unter Vista und Windows Server 2008: UAC fragt bei jeder Systemänderung nach und bittet um Bestätigung durch einen Administrator. In der zweithöchsten Stufe fragt UAC nur, wenn ein Programm eine solche Änderung macht, schweigt aber, wenn der Administrator manuell eine solche Änderung ausführt. So geht es weiter, bis in der vierten, niedrigsten Stufe UAC abgeschaltet ist und sich gar nicht meldet. Als Standard nach der Installation ist die zweithöchste Stufe voreingestellt.

Laut Microsoft sei dies eine angemessene Reaktion auf das Feedback von Kunden und ein sinnvoller Kompromiss zwischen Sicherheit und Komfort. Nun ist das Abwägen zwischen diesen beiden Faktoren – Sicherheit auf der einen, Komfort auf der anderen Seite – immer eine heikle Sache. Warum entsteht in der aktuellen Beta von Windows 7 ein gravierendes und hochgefährliches Problem daraus?

… weiterlesen

In grauer Urzeit (so vor ca. 20 Jahren) hatten wir moderne Terminals, die die Helligkeits- und Kontrastregler an der Unterseite des Monitors hatten. Ideal für Putzfrauen – äh: Reinigungspersonal, die schwungvoll abgestaubt haben.

Anruf einer Rechtsanwaltssekretärin Montag früh: "Mein Bildschirm funktioniert nicht! Bitte kommen Sie schnell, wichtig, viel Arbeit, blablabla". Auf Nachfrage, ob die Regler zufällig verstellt wurden: "Ich bin doch nicht so dumm! Der Bildschirm ist kaputt!". Na gut, auf zum RA, mit der linken Hand (Putzfrauen arbeiten rechtshändig) einen Wischer über beide Regler in die andere Richtung, Cursor blinkt freundlich entgegen. Bildschirm wurde aber innerhalb von Sekunden von der intensiven Gesichtsfarbe der Sekretärin überstrahlt und anschließend die Rechnung (da Helligkeit einstellen nicht im Wartungsvertrag beinhaltet war!) ohne mit der Wimper zu zucken bezahlt …

Man sollte ja meinen, dass ich es besser wissen müsste … jedenfalls habe ich mir am Wochenende arglos eine Betasoftware eines großen Softwarehauses aus Redmond im US-Bundesstaat Washington installiert. Genauer gesagt ging es um ein Office-Plug-in, und zwar das für den Office Live Workspace. Damit ist Office 2007 in der Lage, Dokumente direkt auf einem gemeinsamen Speicherort im Web abzulegen. Dadurch können heterogene Arbeitsgruppen gut zusammenarbeiten. Quasi ein bisschen Sharepoint im Internet für Ad-hoc-Gruppen. Das ging zuhause auch gut.

… weiterlesen

Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen Gruppe. Das funktioniert wurderbar – mit einer Ausnahme: Für die Gruppe “Domänen-Benutzer” gibt dies (in der Regel) keine Mitglieder aus. Warum ist das so? In “Domänen-Benutzer” ist doch automatisch jedes AD-Benutzerkonto Mitglied?

… weiterlesen

Mit Windows Server 2008 bringt Microsoft eine tolle Funktion mit: das Erstellen von Active Directory Snapshots. Mit dieser Funktion lassen sich alte Datenbankstände einsehen und überprüfen, alte Objektstände und deren Attribute, wie Benutzer mit Gruppenmitgliedschaften nachverfolgen, um bei einer versehentlichen Löschung die Originaldaten einsehen zu können. Wie Snapshots unter Server 2008 funktionieren, erfährt man hier:

[faq-o-matic.net » Windows Server 2008: Snapshots des Active Directory]
http://www.faq-o-matic.net/2007/04/30/windows-server-2008-snapshots-des-active-directory/

Leider müssen die Schnappschüsse relativ umständlich mit dem Tool ntdsutil geschossen und bedient werden, anschließend mit LDP untersucht und danach wieder „unmounted“ werden. Für einen kurzen Blick in die Datenbank fast etwas umständlich. Mit dem frei verfügbaren Tool „ADExplorer“ von den Sysinternals (jetzt Microsoft), lässt sich eine ähnliche Funktion herstellen: viel einfacher und schneller.

… weiterlesen

Unser RSS-Feed war leider ein paar Stunden gestört. Die Ursache war offenbar eine Fehlfunktion beim ERzeugen des Feed, die bei Kategorien mit Umlauten im Namen ungültige XML-Zeichen erzeugte. Das war wochenlang nicht aufgefallen, weil es bei uns derzeit nur drei Kategorien mit Umlauten gibt. Erst heute wurde mal wieder eine genutzt („Namensauflösung“) – da war das Problem.

Als Workaround haben wir die Umlaute in den Kategorien entfernt. Um das Problem tatsächlich zu beheben, werden wir mal ein wenig recherchieren. Einstweilen geht aber der RSS-Feed wieder!

Damit sich Clientcomputer erfolgreich an der Domäne anmelden können oder Applikationen den Verzeichnisdienst für Suchen kontaktieren können, müssen Domänencontroller ihre Dienste veröffentlichen und zeigen, dass sie erreichbar sind. Hierzu registrieren Domänencontroller in DNS sogenannte SRV-Records, nach denen Clients suchen und die von DCs zur Verfügung gestellten Dienste gefunden werden können. Näheres zu SRV-Records findet man hier: http://support.microsoft.com/kb/241515/de („Wie Überprüfen der Erstellung von SRV-Einträgen für einen Domäne-Controller“), http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsbc_nar_sdns.mspx?mfr=true („SRV Resource Records“).

Bleiben nur noch die Fragen zu klären, wann und wie Domänencontroller diese SRV-Records in DNS aktualisieren.

… weiterlesen

Wer die ersten drei Teile gelesen hat, hat bereits einen funktionstüchtigen sFTP-Server am Laufen – allerdings mit der Einschränkung, das nur Zugriff auf das Home-Verzeichnis besteht. Ich wollte nun aber Daten in ein anderes Verzeichnis übertragen, das außerhalb des copssh-Installationsordners liegt.

Exemplarisch habe ich mir auf C:\ einen Ordner namens „Test“ angelegt und unterhalb dessen die Ordner „Ordner1“ und „Ordner2“. Zugriff soll der Benutzer aber nur auf „Test“ erhalten, „Ordner1“ und „Ordner2“ sollen ihm nicht zugänglich sein.

… weiterlesen

In Teil 2 hatte ich ja beschrieben, wie man einen Benutzer inkl. /bin/bash als Shell anlegt, dessen Berechtigungen anpasst und dann via Public Key eine Authentifizierung einrichtet. Für reine sFTP-Konnektivität eigentlich blöd, weil der Benutzer dafür ja nur /bin/sftponly als Shell bekommen darf – doch wie passt man dann die Berechtigungen an?

Die Antwort: Gar nicht.

… weiterlesen