Im Verwaltungsprogramm „Active Directory-Benutzer und -Computer“ (ADUC) gibt es keine Möglichkeit, den LDAP-Pfad zu vorhandenen Objekten anzuzeigen. In vielen Fällen wird diese Angabe allerdings benötigt, z.B. beim Scripting oder bei einem Authoritative Restore.
fcp.vbs, Version: 1.0, ist ein Skript zum Kopieren von ganzen Ordner-Hierarchien, einzelnen Ordnern, Gruppen von Dateien und einzelnen Dateien. Es erlaubt eine recht große Flexibilität.
Die Syntax zum Kopieren von Ordner-Hierarchien ist:
fcp.vbs <source-folder> <destination-folder>
Exchange lässt es nicht zu, Berechtigungen innerhalb von Mailboxen zentral zu verteilen. Obwohl dies vom Datenschutzaspekt her nachvollziehbar erscheinen mag, ist es in Unternehmensumgebungen doch sehr hinderlich: Insbesondere Lese- und Schreibrechte auf die Kalender sollen oft nach bestimmten Standards erteilt werden, um eine produktive Zusammenarbeit zu ermöglichen.
2. April 2005, 19:14 Uhr
Kategorie: Administration, Client-Administration, Sicherheit, Windows
Windows bringt leider keine einfache Möglichkeit mit, das lokale Administratorpasswort auf allen Rechnern eines Netzwerks zentral zu ändern. Hier muss man sich mit Skriptlösungen behelfen – oder man lässt es ganz bleiben, was leider in den meisten Netzwerken der Fall ist. Ein kleines, freies Tool kann hier sehr gute Dienste leisten: Password Pusher von Samuelbrothers (Henry Samuel).
… weiterlesen
Wer hat es noch nicht verwendet, dieses kleine hilfreiche Tool, mit dem man sich auf Terminal Server verbinden kann, oder auf andere Windows XP Rechner, die “ Remote Desktop Verbindung“. Von der Commandline oder im „Ausführen Menü“ ruft man es mit “ mstsc “ auf. Noch den Rechnernamen oder die IP eingeben, und schon kann man sich fast wie auf der Console einloggen.
Im Laufe der Zeit sammeln sich leider durch Rechnertausch, Defekte usw. immer mehr Computerkonten an, zu denen die Rechner gar nicht mehr existieren. Um diese in größerer Stückzahl zu löschen, bietet sich eine Abfrage des Active Directory an. Je nach Betriebssystem der Domänencontroller können dabei unterschiedliche Wege gegangen werden.
Zwar sind grundsätzlich alle Domänencontroller im Active Directory gleichberechtigt. Doch für einige wenige Funktionen gibt es auch hier Server, die „gleicher“ sind als die anderen. Dies sind die "Betriebsmaster" oder "Flexible Single Master Operations (FSMO)" und der "Globale Katalog" ("Global Catalog, GC"). Man sollte wissen, wie diese Funktionen zu verwalten sind.
Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit, Informationen aus dem Active Directory auszulesen. Hierzu lässt sich das COM-Objekt "ADSystemInfo" verwenden. Es gewährt einen schnellen Zugriff auf einige oft benötigte Daten aus dem AD. Die Dokumentation des Objekts findet sich im MSDN (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/iadsadsysteminfo.asp).
Die zuständigen Mailserver für eine Domäne werden über den sog. Mailexchanger-Eintrag (MX) im DNS gefunden. Diese Einträge werden vermehrt dazu verwendet, Mails von Einwähladressen und offenen Relays auszuschließen, um die Last durch Spammails zu reduzieren.
3. Februar 2005, 19:14 Uhr
Kategorie: Administration, Client-Administration, Sicherheit, Windows
Oft muss man herausfinden, ob ein Benutzer mit Administratorrechten arbeitet oder nicht. Dazu muss man wissen, dass lokale Administratorrechte genau dann (und nur dann) vorhanden sind, wenn der Benutzer Mitglied der lokalen Gruppe „Administratoren“ ist. Dies kann allerdings auch dadurch gegeben sein, dass der Benutzer Mitglied einer anderen Gruppe ist, die ihrerseits in die Gruppe „Administratoren“ aufgenommen wurde.
Der beste Weg, dies in einem Anmeldeskript oder auf andere Weise automatisiert herauszufinden, geht über das Access Token. Dies wird bei der Anmeldung generiert und entscheidet abschließend darüber, welche Gruppenmitgliedschaften ein Benutzer in der aktuellen Session hat.
Um das Access Token auszuwerten, eignet sich das Kommandozeilentool „whoami.exe“ (bei WS2003 enthalten, sonst im Resource Kit). Dessen Ausgabe wird darauf geprüft, ob der SID der Admin-Gruppe enthalten ist:
1: rem --- Admintest.bat ---
2: whoami /groups | find "S-1-5-32-544" > nul
3: if errorlevel 1 goto ende
Translate EN
4: echo Benutzer %username% ist lokaler Administrator.
5: :ende
Dieses Verfahren ist auch sprachneutral, weil es nach dem (stets einheitlichen) SID der Admin-Gruppe sucht.
Wenn es nur darum geht, in einer laufenden Session direkt am Bildschirm herauszufinden, ob der angemeldete Benutzer Administrator ist, gibt es auch noch einen schnellern Weg. Man klicke mit der rechten Maustaste auf den Start-Button. Wenn im Kontextmenü die Einträge „Öffnen – Alle Benutzer“ und „Explorer – Alle Benutzer“ auftauchen, ist ein Administrator angemeldet. (Danke für diesen Tipp an Roger Wassner.)
