Wer hat es noch nicht verwendet, dieses kleine hilfreiche Tool, mit dem man sich auf Terminal Server verbinden kann, oder auf andere Windows XP Rechner, die “ Remote Desktop Verbindung“. Von der Commandline oder im „Ausführen Menü“ ruft man es mit “ mstsc “ auf. Noch den Rechnernamen oder die IP eingeben, und schon kann man sich fast wie auf der Console einloggen.
Im Laufe der Zeit sammeln sich leider durch Rechnertausch, Defekte usw. immer mehr Computerkonten an, zu denen die Rechner gar nicht mehr existieren. Um diese in größerer Stückzahl zu löschen, bietet sich eine Abfrage des Active Directory an. Je nach Betriebssystem der Domänencontroller können dabei unterschiedliche Wege gegangen werden.
Zwar sind grundsätzlich alle Domänencontroller im Active Directory gleichberechtigt. Doch für einige wenige Funktionen gibt es auch hier Server, die „gleicher“ sind als die anderen. Dies sind die "Betriebsmaster" oder "Flexible Single Master Operations (FSMO)" und der "Globale Katalog" ("Global Catalog, GC"). Man sollte wissen, wie diese Funktionen zu verwalten sind.
Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit, Informationen aus dem Active Directory auszulesen. Hierzu lässt sich das COM-Objekt "ADSystemInfo" verwenden. Es gewährt einen schnellen Zugriff auf einige oft benötigte Daten aus dem AD. Die Dokumentation des Objekts findet sich im MSDN (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/iadsadsysteminfo.asp).
Die zuständigen Mailserver für eine Domäne werden über den sog. Mailexchanger-Eintrag (MX) im DNS gefunden. Diese Einträge werden vermehrt dazu verwendet, Mails von Einwähladressen und offenen Relays auszuschließen, um die Last durch Spammails zu reduzieren.
3. Februar 2005, 19:14 Uhr
Kategorie: Administration, Client-Administration, Sicherheit, Windows
Oft muss man herausfinden, ob ein Benutzer mit Administratorrechten arbeitet oder nicht. Dazu muss man wissen, dass lokale Administratorrechte genau dann (und nur dann) vorhanden sind, wenn der Benutzer Mitglied der lokalen Gruppe „Administratoren“ ist. Dies kann allerdings auch dadurch gegeben sein, dass der Benutzer Mitglied einer anderen Gruppe ist, die ihrerseits in die Gruppe „Administratoren“ aufgenommen wurde.
Der beste Weg, dies in einem Anmeldeskript oder auf andere Weise automatisiert herauszufinden, geht über das Access Token. Dies wird bei der Anmeldung generiert und entscheidet abschließend darüber, welche Gruppenmitgliedschaften ein Benutzer in der aktuellen Session hat.
Um das Access Token auszuwerten, eignet sich das Kommandozeilentool „whoami.exe“ (bei WS2003 enthalten, sonst im Resource Kit). Dessen Ausgabe wird darauf geprüft, ob der SID der Admin-Gruppe enthalten ist:
1: rem --- Admintest.bat ---
2: whoami /groups | find "S-1-5-32-544" > nul
3: if errorlevel 1 goto ende
Translate EN
4: echo Benutzer %username% ist lokaler Administrator.
5: :ende
Dieses Verfahren ist auch sprachneutral, weil es nach dem (stets einheitlichen) SID der Admin-Gruppe sucht.
Wenn es nur darum geht, in einer laufenden Session direkt am Bildschirm herauszufinden, ob der angemeldete Benutzer Administrator ist, gibt es auch noch einen schnellern Weg. Man klicke mit der rechten Maustaste auf den Start-Button. Wenn im Kontextmenü die Einträge „Öffnen – Alle Benutzer“ und „Explorer – Alle Benutzer“ auftauchen, ist ein Administrator angemeldet. (Danke für diesen Tipp an Roger Wassner.)
ADModify (siehe unseren Überblicksartikel) kann auch Exchange-Attribute im AD bearbeiten. Dieser Artikel gibt ein kurzes Beispiel. Achtung: Die Exchange-Attribute können mit ADModify nur dort bearbeitet werden, wo der ESM installiert ist!
Die Integration von MassStorage Device Treibern in eine Installationsquelle läuft folgendermaßen ab.
Die Erstellung einer bootfähigen CD setze ich voraus. Dieser Step-by-Step Guide beschreibt nur die Änderung der Quellen, da ein Setup auch unattended aus einem Netzwerkshare erfolgen kann.
Benutzer können Dateien löschen, auf die sie keinen Zugriff haben. Das ist das, was als Feature (!) dokumentiert ist, sich aber meist als Riesenproblem äußert. Dann gibt es noch undokumentierte Schwächen, die auch problematisch sind, z. B. können manche Dateien, auf die nur Leserecht
erteilt wurde, verändert werden.
… weiterlesen
Viele Administratoren benutzen gern csvde, da die Ausgangsdateien sich sehr schön mit einer Tabellenkalkulation wie Excel erzeugen lassen. Hier können insbesondere mittels verknüpfter Tabelleninhalte umfangreiche Userdaten einfach gepflegt werden. Problematisch dabei ist die Zeilenbegrenzung, die dabei schnell erreicht wird. Ich persönlich ziehe daher ldifde vor. Dieses Tool ist ebenso auf jedem Windows Domaincontroller zu finden und arbeitet nicht spalten-, sondern zeilenorientiert.
