Hier die beiden wichtigsten Hilfsmittel:
10. September 2004, 19:14 Uhr
Kategorie: Administration, Dokumentation, Sicherheit, Sonstiges, Windows
Zur Dokumentation oder zum Reporting von Berechtigungen auf einem Windows-System gibt es zahlreiche Möglichkeiten. Hier ein Überblick (ohne Anspruch auch Vollständigkeit):
… weiterlesen
Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User als Besitzer. Die einzige Ausnahme sind Admins: Wenn ein Mitglied der lokalen Gruppe „Administratoren“ Besitzer eines Objekts ist, so setzt Windows stattdessen die Administratoren-Gruppe als Besitzer. Das Ändern des Besitzers ist bis einschließlich Windows XP offiziell nur duch Besitzübernahme möglich: Der neue Besitzer muss aktiv den Besitz übernehmen. Ein Besitz kann dort nie übergeben werden. Dies hat Sicherheitsgründe: Es soll nicht möglich sein, jemandem den Besitz an Objekten „in die Schuhe zu schieben“. Erst in der Verwaltungsoberfläche des Windows Server 2003 ist es nun auch direkt möglich, den Besitz zu übergeben.
… weiterlesen
10. September 2004, 19:14 Uhr
Kategorie: Administration, Scripting, Sicherheit, Windows
Um den SID eines Benutzer- oder Gruppenkontos herauszufinden, gibt es keinen eingebauten Befehl. Mit einem WMI-Script geht es aber recht einfach (grundsätzlich auch per ADSI, aber nicht so komfortabel). Folgendes Script als name2sid.vbs speichern und ausführen. Achtung: Es dauert ein bisschen, bis das Ergebnis angezeigt wird. Eine andere Variante wäre das Tool User2Sid (Download der komilierten Version z.B. hier).
1: ' Beginn
2: strSearch = InputBox("Zu welchem Namen wird der SID gesucht?")
Translate EN
3:
4: Set objWMI = GetObject("winmgmts:")
5: strWQL = "select SID from win32_account where Name='" & strSearch & "'"
6: Set objResult = objWMI.ExecQuery(strWQL)
7:
8: For Each objAcc In objResult
9: strResult = objAcc.SID
10: Next
11:
12: InputBox "Der SID von " & strSearch & " lautet: ", , strResult
13: ' Ende
Wer von einer Workstation aus nur das AD verwalten möchte, aber nicht alle anderen Serverdienste, muss nicht das ganze Adminpak installieren. Mit folgendem Kommando werden nur die AD-Verwaltungstools installiert:
Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten – hier eine (unvollständige) Auswahl einiger Bordmittel. Achtung, mit Ausnahme des "dsget"-Beispiels geben alle Kommandos nur die direkten Mitglieder der Gruppe aus, aber nicht die indirekten. Die Beispiele gehen von einer Gruppe namens "Consulting" aus:
Das folgende Skript gibt den Wert eines beliebigen Attributs aus dem Active Directory für einen User zurück, dessen Logon-Name (SAM-Name, sAMAccountName) bekannt ist. Das ist nützlich, wenn beispielsweise zu der bekannten Systemvariablen %username% die Mailadresse, die Telefonnummer, der LDAP-Pfad oder irgendwas anderes aus dem AD erfragt werden soll.
Um verschiedene Windows-Versionen beispielsweise innerhalb eines Loginscripts unterscheiden zu können, kann man sich des Befehls "ver" bedienen. Da es sich um einen Konsolenbefehl handelt, muss seine Ausgabe allerdings geparst werden.
22. April 2004, 11:30 Uhr
Kategorie: Gruppenrichtlinien, Sicherheit, Terminal Server
In den Gruppenrichtlinien gibt es die Möglichkeit, bestimmte Laufwerke auszublenden und sie so vor dem Benutzer zu verbergen. Dies ist insbesondere in Terminal-Server-Umgebungen interessant.
Eines der am weitesten verbreiteten Missverständnisse bezüglich moderner Windows-Versionen betrifft den Einsatz von WINS (Windows Internet Naming Service). WINS ist der Dienst, mit dem klassischerweise NetBIOS-Namen (die bis zu 15 lesbare Zeichen langen, nicht strukturierten Namen, die seit LANManager-Zeiten genutzt werden) in IP-Adressen aufgelöst werden können.
