Wenn ein SID bekannt ist (beispielsweise weil er in einer Berechtigungsliste auftaucht), aber der Name dazu fehlt, kann man sich mit einem VB-Skript behelfen. Eine andere Variante wäre das Tool SID2User (Download der kompilierten Fassung z.B. hier).
… weiterlesen

Neben der Möglichkeit, für den gerade angemeldeten Benutzer mit dem Tool "whoami.exe" (Resource Kit bzw. bei Windows 2003 im Lieferumfang) das Access Token auszulesen, das alle Gruppenmitgliedschaften verzeichnet, kann man das Feld "tokenGroups" im AD auslesen. Ein Tool des MVP-Kollegen Richard Mueller liest diese Daten aus und stellt sie übersichtlich dar: http://www.rlmueller.net/IsMember4.htm.

Das ist recht komplex. Es gibt zwar einen LDAP-Query, den du bei WS2003 in den Gespeicherten Abfragen verwenden kannst, der funktioniert aber nur, wenn du die Konten gesperrt lässt oder wenn du den Query bei jeder Ausführung anpasst.

… weiterlesen

Windows-Server kennen zwei (bzw. drei) Modelle, wie die Client-Zugriffe lizenziert werden. Erforderlich sind dabei "Client Access Licenses" (CALs), die in jedem Fall gleich viel kosten. Vorsicht: Eine CAL für Windows 2000 Server berechtigt nicht zum Zugriff auf einen Windows Server 2003! … weiterlesen

Dazu gibt es keine Möglichkeit, die ausreichend sicher ist. runas selbst kennt den Schalter /savecred, mit dem man einmalig die Anmeldedaten speichern kann. Aber dann kann man den Sicherheitsfaktor auch gleich bleiben lassen.
… weiterlesen

Hier die beiden wichtigsten Hilfsmittel:

• Die Microsoft Knowledge Base
• Die Event-ID-Datenbank eventid.net 

Zur Dokumentation oder zum Reporting von Berechtigungen auf einem Windows-System gibt es zahlreiche Möglichkeiten. Hier ein Überblick (ohne Anspruch auch Vollständigkeit):
… weiterlesen

Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User als Besitzer. Die einzige Ausnahme sind Admins: Wenn ein Mitglied der lokalen Gruppe „Administratoren“ Besitzer eines Objekts ist, so setzt Windows stattdessen die Administratoren-Gruppe als Besitzer. Das Ändern des Besitzers ist bis einschließlich Windows XP offiziell nur duch Besitzübernahme möglich: Der neue Besitzer muss aktiv den Besitz übernehmen. Ein Besitz kann dort nie übergeben werden. Dies hat Sicherheitsgründe: Es soll nicht möglich sein, jemandem den Besitz an Objekten „in die Schuhe zu schieben“. Erst in der Verwaltungsoberfläche des Windows Server 2003 ist es nun auch direkt möglich, den Besitz zu übergeben.
… weiterlesen

Um den SID eines Benutzer- oder Gruppenkontos herauszufinden, gibt es keinen eingebauten Befehl. Mit einem WMI-Script geht es aber recht einfach (grundsätzlich auch per ADSI, aber nicht so komfortabel). Folgendes Script als name2sid.vbs speichern und ausführen. Achtung: Es dauert ein bisschen, bis das Ergebnis angezeigt wird. Eine andere Variante wäre das Tool User2Sid (Download der komilierten Version z.B. hier).

 1: ' Beginn

 2: strSearch = InputBox("Zu welchem Namen wird der SID gesucht?")

 3:

 4: Set objWMI = GetObject("winmgmts:")

 5: strWQL = "select SID from win32_account where Name='" & strSearch & "'"

 6: Set objResult = objWMI.ExecQuery(strWQL)

 7:

 8: For Each objAcc In objResult

 9:      strResult = objAcc.SID

 10: Next

 11:

 12: InputBox "Der SID von " & strSearch & " lautet: ", , strResult

 13: ' Ende

Wer von einer Workstation aus nur das AD verwalten möchte, aber nicht alle anderen Serverdienste, muss nicht das ganze Adminpak installieren. Mit folgendem Kommando werden nur die AD-Verwaltungstools installiert:

… weiterlesen