Dazu gibt es keine Möglichkeit, die ausreichend sicher ist. runas selbst kennt den Schalter /savecred, mit dem man einmalig die Anmeldedaten speichern kann. Aber dann kann man den Sicherheitsfaktor auch gleich bleiben lassen.
… weiterlesen

Hier die beiden wichtigsten Hilfsmittel:

• Die Microsoft Knowledge Base
• Die Event-ID-Datenbank eventid.net 

Zur Dokumentation oder zum Reporting von Berechtigungen auf einem Windows-System gibt es zahlreiche Möglichkeiten. Hier ein Überblick (ohne Anspruch auch Vollständigkeit):
… weiterlesen

Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User als Besitzer. Die einzige Ausnahme sind Admins: Wenn ein Mitglied der lokalen Gruppe „Administratoren“ Besitzer eines Objekts ist, so setzt Windows stattdessen die Administratoren-Gruppe als Besitzer. Das Ändern des Besitzers ist bis einschließlich Windows XP offiziell nur duch Besitzübernahme möglich: Der neue Besitzer muss aktiv den Besitz übernehmen. Ein Besitz kann dort nie übergeben werden. Dies hat Sicherheitsgründe: Es soll nicht möglich sein, jemandem den Besitz an Objekten „in die Schuhe zu schieben“. Erst in der Verwaltungsoberfläche des Windows Server 2003 ist es nun auch direkt möglich, den Besitz zu übergeben.
… weiterlesen

Um den SID eines Benutzer- oder Gruppenkontos herauszufinden, gibt es keinen eingebauten Befehl. Mit einem WMI-Script geht es aber recht einfach (grundsätzlich auch per ADSI, aber nicht so komfortabel). Folgendes Script als name2sid.vbs speichern und ausführen. Achtung: Es dauert ein bisschen, bis das Ergebnis angezeigt wird. Eine andere Variante wäre das Tool User2Sid (Download der komilierten Version z.B. hier).

 1: ' Beginn

 2: strSearch = InputBox("Zu welchem Namen wird der SID gesucht?")

 3:

 4: Set objWMI = GetObject("winmgmts:")

 5: strWQL = "select SID from win32_account where Name='" & strSearch & "'"

 6: Set objResult = objWMI.ExecQuery(strWQL)

 7:

 8: For Each objAcc In objResult

 9:      strResult = objAcc.SID

 10: Next

 11:

 12: InputBox "Der SID von " & strSearch & " lautet: ", , strResult

 13: ' Ende

Wer von einer Workstation aus nur das AD verwalten möchte, aber nicht alle anderen Serverdienste, muss nicht das ganze Adminpak installieren. Mit folgendem Kommando werden nur die AD-Verwaltungstools installiert:

… weiterlesen

Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten – hier eine (unvollständige) Auswahl einiger Bordmittel. Achtung, mit Ausnahme des "dsget"-Beispiels geben alle Kommandos nur die direkten Mitglieder der Gruppe aus, aber nicht die indirekten. Die Beispiele gehen von einer Gruppe namens "Consulting" aus:

… weiterlesen

Das folgende Skript gibt den Wert eines beliebigen Attributs aus dem Active Directory für einen User zurück, dessen Logon-Name (SAM-Name, sAMAccountName) bekannt ist. Das ist nützlich, wenn beispielsweise zu der bekannten Systemvariablen %username% die Mailadresse, die Telefonnummer, der LDAP-Pfad oder irgendwas anderes aus dem AD erfragt werden soll.

… weiterlesen

Um verschiedene Windows-Versionen beispielsweise innerhalb eines Loginscripts unterscheiden zu können, kann man sich des Befehls "ver" bedienen. Da es sich um einen Konsolenbefehl handelt, muss seine Ausgabe allerdings geparst werden.

… weiterlesen

In den Gruppenrichtlinien gibt es die Möglichkeit, bestimmte Laufwerke auszublenden und sie so vor dem Benutzer zu verbergen. Dies ist insbesondere in Terminal-Server-Umgebungen interessant.

… weiterlesen