E-Mail-aktivierte Gruppen könnten unter Exchange sowohl von intern als auch von extern adressiert werden. Viele Administratoren passen die Gruppenmitgliedschaften per Skript an und stützen sich dabei auf Datenbestände, die durch die Personalabteilung gepflegt werden. Dabei besteht die Gefahr, dass ein solches Skript falsche Änderungen ausführt und die Gruppe ohne Mitglieder zurücklässt. Doch was ist, wenn eine Gruppe keine Mitglieder beinhaltet?

… weiterlesen

Der LDAP-Standard sieht unglücklicherweise vor, dass die Objektklasse "user" nicht nur Benutzerobjekte umfasst (wie man annehmen könnte). Setzt man also bei der AD-Abfrage einen Filter wie (objectClass=user), so erhält man nicht nur Benutzer-, sondern auch Computerobjekte zurück.

… weiterlesen

Ihr Administrator hat den neuen Kollegen schon eingetragen im Active Directory und ihm auch schon eine Emailadresse gegeben. Natürlich wollen Sie netterweise eine Begrüßungsmail schreiben, aber im Globalen Adressbuch ist der Neue nicht aufzufinden. Voller Panik rufen Sie ihren Administrator an …

… weiterlesen

Wer schon mal eine Migration von Windows NT 4.0 nach Active Directory geplant hat, kennt die Problemstelle Windows NT BDC genau. Meist ärgert man sich dann darüber, dass man damals die Frage, die einem das NT Setup stellte, nicht anders beantwortet hat.

Erst recht, wenn man möglicherweise als Dienstleister zum Kunden gerufen wird und feststellt, dass vom Typ NT BDC ca. 20 Server vorhanden sind. Wahrscheinlich ist man damals davon ausgegangen, Sicherungs-Domänen-Controller höre sich irgendwie nach Backup an, könne also nicht ganz falsch sein. 🙂

Nun gibt es aber in der Migrationsphase zum Active Directory einiges, was nicht funktioniert,  solange es BDCs in der Domäne gibt. Dazu gehören unter anderem der Gruppentyp „Universelle Gruppen“ und die Möglichkeit der Gruppenschachtelung. Für beide Funktionen gibt es gute Einsatzmöglichkeiten.
Nun könnte man natürlich auf die Idee kommen, den BDC einfach mittels Windows 200x Setup einem Update zu unterziehen, um danach durch dcpromo wieder einen Mitgliedsserver zu haben. Leider gibt es aber diverse Software, die auch heute noch nicht unter Windows 2000 zum Laufen zu bewegen ist, bzw. der Aufwand, diese Software zu aktualisieren, wäre zu hoch. Microsoft hat beim Design von Windows NT scheinbar nicht damit gerechnet, dass jemand auf die Idee kommen könnte, die Rolle eines Windows Servers nachträglich zu ändern. Der Support von Windows NT ist seit geraumer Zeit abgelaufen, und viele Firmen haben den Sprung von Windows NT 4.0 auf Windows 2000 ausgelassen. Damit müssen diese sich der Herausforderung stellen.

Migrationstool Upromote von Algin Technology

Für alle Administratoren, die vor einem solchen  Problem stehen, gibt es von Algin Technology Hilfe in Form von UPromote.

Mittels UPromote lassen sich bestehende Windows NT 4.0 BDCs zu Memberservern zurückstufen. Die anderen Optionen, etwa einen Memberserver nachträglich zum PDC oder BDC einer Domäne heraufzustufen, wird heute wahrscheinlich niemand mehr nutzen wollen.

UPromote kostet ab 99$ für einen einzelnen Server (http://utools.com/shop.asp).
Nachfolgend nur ein kurzer Durchlauf durch die Funktion des Programms.

Nach der Installation und Lizenzierung kann es auch schon losgehen.

Abbildung 2: Demote eines BDC zu einem alleinstehenden Server

Der Frage nach der Änderung der SID sollte man im Normalfall zustimmen. Zumindest im Falle des Wiederbeitretens zur gleichen Domain ist es unabdingbar, die SID zu ändern. In der mitgelieferten Hilfe finden sich hierzu nützliche Informationen.

Abbildung 3: Änderung der SID

Vor allem wenn der BDC als Fileserver fungiert, sollte man sich die Antwort auf nachstehende Frage genau überlegen und auch hier die Hilfe konsultieren. Denn durch den Wizard lässt sich bestimmen, ob die Dateisystemberechtigungen der einzelnen Laufwerke mitkonvertiert werden sollen. Dies ist bei ausgeklügelten Dateisystemstrukturen aber meist nicht gewünscht. Der Wizard würde bei Anpassung von Laufwerken die bestehenden SIDs im Filesystem durch die neu entstandenen SIDs nach der Konvertierung ersetzen. Dadurch wäre es später den Domänenbenutzern nicht mehr möglich auf ihre Daten zuzugreifen.

Abbildung 4: Von der Auswahl in diesem Menü ist die nachträgliche Arbeit auf Fileservern abhängig

Danach muss man sich nur noch überwinden auf den „Finish“-Knopf zu drücken. 😉

Abbildung 5: …und los

Der Prozess benötigt insgesamt zwei Reboots.

Abbildung 6: Zweimal booten

Nach dem Booten kann man sich mit dem ehemaligen Domänenadmin-Konto anmelden, denn dieses wurde zu einem lokalen Konto konvertiert. Was jetzt noch fehlt, ist das manuelle Löschen des ehemaligen BDC-Kontos im Active Directory sowie der erneute Domänenbeitritt des NT 4.0 Servers.

Abbildung 7: Domänenbeitritt als Mitgliedsserver

Nach dem Entfernen des letzten BDC kann man das Active Directory in den einheitlichen Modus schalten.

Hinweise: Die Nutzung von UPromote sollte vorher getestet werden. Anwendungen, die auf dem BDC liefen, müssen genau geprüft werden. Möglicherweise kommt es nach dieser Änderung zu  Nebenwirkungen, die man nicht sofort bemerkt. Ein Backup des gesamten Systems sollte man auf jeden Fall vorher anfertigen.

Der Exchange Server 200x cached bestimmte Dinge aus Performancegründen für eine gewisse Zeit zwischen. Wenn der User z.B. sein Kennwort ändert, kann es bis zu zwei Stunden dauern, bis diese Änderung vom Exchange bemerkt und benutzt wird:

… weiterlesen

Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen der User bei Anmeldung Mitglied war. Nur dieses Token entscheidet über die tatsächlichen Berechtigungen. Du kannst es z.B. mit whoami.exe auswerten, siehe dazu auch den Artikel über lokale Administratoren und den über Gruppenmitgliedschaften.

Dass eine Änderung von Gruppenmitgliedschaften zunächst scheinbar keinen Effekt hat, liegt in aller Regel daran, dass der betreffende Benutzer noch sein altes Access Token mit den alten Mitgliedschaften nutzt. Er muss sich neu anmelden, damit die geänderten Mitgliedschaften auch wirksam werden. Das übersehen selbst gestandene Windows-Profis gerne, also bei Berechtigungsproblemen: Immer einmal neu anmelden.

Wer Windows als Druckserver verwendet, weiß, dass es schwierig ist, Informationen über das Druckvolumen und Druckverhalten der Benutzer zu erhalten. Dabei kann ein wenig Scripting jedoch beachtlich helfen. … weiterlesen

Wenn man sich die Eigenschaften eines Dateiordners ansieht, wird oft die Markierung für den Schreibschutz angezeigt. Das hat aber in der Regel nichts zu sagen. Zitieren wir heise.de:

Der Schalter „Schreibgeschützt“ kennt nicht zwei, sondern drei Zustände. Neben einem Haken auf weißem Grund für „Schreibgeschützt“ und einem leeren weißen Feld für „Nicht schreibgeschützt“ gibt es auch den Haken auf grauem Grund.

Diese Darstellung steht normalerweise für „Ich weiß es (noch) nicht genau“ (der Explorer hat aus Zeitgründen
nicht nachgeschaut). Hat man kurz zuvor an den Einstellungen etwas geändert, steht er für „Einige, aber nicht alle Dateien sind schreibgeschützt“.

Selbst wenn du den Haken entfernst und anschließend bestätigst, den Schreibschutz auch wirklich für alle im Verzeichnis enthaltenen Dateien zu entfernen, erscheint beim nächsten Öffnen des Eigenschaftenfensters erneut ein Haken auf grauem Grund. Der Explorer hat halt schon wieder nicht nachgeschaut.
Original: heise.de-FAQ. Siehe auch Daniel Melanchthon in einem Newsgroup-Artikel.

Ein weiterer Grund sind die Anzeige- bzw. Handhabungsoptionen des Windows-Explorer, für die die Attribute ebenfalls gebraucht (bzw. eher: zweckentfremdet) werden. Ergänzende Informationen enthält der KB-Artikel 326549 von Microsoft.

Um gezielt nach einer bestimmten Mailadresse im AD zu suchen, eignet sich das folgende Skript. Es fragt nach einem Fragment, das in einer Adresse vorkommen soll (z.B. „support“ oder „@unserefirma“) und gibt alle Adressen und die zugeordneten Objekte (Benutzer, Gruppen usw.) aus, die dieses Fragment enthalten.

… weiterlesen

Die Mailadressen einer Exchange-Organisation sind im Active Directory gespeichert. Für den Zugriff auf die Hauptadresse eines Benutzers gibt es ein einfach auszuwertendes Feld im AD: „mail“ bzw. „E-Mail-Adresse“. Nur: Viele Objekte haben mehr als eine Adresse – diese stehen dann im Feld „proxyAddresses“ bzw. „E-Mail-Adresse (andere)“. Da dieses Feld mehrwertig (multi-valued) ist, kann es über die AD-Verwaltungskonsole leider nicht ohne weiteres durchsucht werden. Noch dazu gibt es zahlreiche weitere Objektklassen, die Mailadressen haben können.

… weiterlesen