Active Directory: Wer hat den Benutzer angelegt

23. Mai 2013 · Kommentieren · Kategorien: Windows Server, Windows Server 2012

In größeren Unternehmen gibt es im Regelfall nicht nur einen Administrator für die Active Directory, sondern mehrere. Es kann in diesem Zusammenhang auch schon mal zu Fehlern kommen, die kurzfristig analysiert werden müssen. Es gibt einen recht einfachen Weg herauszufinden, um zu ermitteln, wer das Objekt angelegt hat , in dem man sich den Besitzer des Objektes anschaut.

Sollte der Benutzer, welcher das Objekt angelegt hat nur über die Berechtigung “Konten-Operatoren” oder noch dediziertere Rechte verfügen, wird das Attribut “Besitzer” auf den Ersteller des Objektes gesetzt. Ist der Benutzer allerdings Mitglied in der Gruppe “Domänen-Admins” oder “Organisations-Admins”, werden diese Gruppen als Besitzer eingetragen. 

Wird der Benutzeraccount des Erstellers gelöscht, bleibt weiterhin die SID des gelöschten Accounts am Objekt. Änderungen am Benutzeraccount können am Attribut “Besitzer” nicht ermittelt werden.

Powershell: Active Directory erstellen

13. Mai 2013 · Kommentieren · Kategorien: Windows Server, Windows Server 2012

Einen schnellen Weg eine Active Directory-Domäne bzw. eine neue Gesamtstruktur zu erstellen ist diese per Powershell zu aktivieren. Als erstes wird die Active Directory Domain Services-Rolle auf dem Server installiert ebenso wie der DNS-Server und auch die Gruppenrichtlinien-Verwaltung:

Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools

Hiermit wird der die Voraussetzungen zur Konfiguration der neuen Gesamtstruktur geschaffen sowie die benötigten Verwaltungstools installiert.

Als nächstes erfolgt die Installation der Active Directory-Gesamtstruktur

Install-ADDSForest -DomainName “testing.loc” -DatabasePath “C:\Windows\NTDS” -DomainMode Win2012 -DomainNetbiosName “TESTING” -ForestMode Win2012 -LogPath “C:\Windows\NTDS” -NoRebootOnCompletion -SafeModeAdministratorPassword (Read-Host -AsSecureString -Prompt “Enter Recovery Password”) -SkipPreChecks -SysvolPath “C:\Windows\SYSVOL” -Force:$true

In dem Aufruf müssen nur die Einstellungen hinter dem Parameter “DomainName” und “DomainNetbiosName” angepasst werden.

Da ich diesen Aufruf regelmäßig in virtuellen Umgebungen benutze, fehlt in diesem String die Option “CreateDNSDelegation”. Mit dieser Angabe wird die DNS-Verwaltung dem im Active Directory Domain Services integrierten DNS-Server übergeben.

Diese Befehlszeile kann auch für ältere Domänenumgebungen genutzt werden, in dem die Optionen “ForestMode” und “DomainMode” entsprechend editiert werden.

Meine meistgenutzen Windows-SIDs

10. Mai 2013 · Kommentieren · Kategorien: Windows Server, Windows Server 2012

Im Bereich der Programmierung, des Skriptings oder Verwaltung von Zugriffsberechtigungen werden regelmäßig zur eindeutigen Identifizierung SIDs verwandt, da der Anzeigename verändert werden kann und es somit Probleme entstehen können. Bei der Nutzung von SIDs ist die Bezeichnung des entsprechenden Objekts nicht relevant.

Hier eine Auflistung meiner meist genutzten SIDs:

  • S-1-1-0 = Jeder
  • S-1-5-2 = Netzwerk
  • S-1-5-4 = Interaktiv
  • S-1-5-14 = Terminaldienste-Anmeldung
  • S-1-5-18 = System
  • S-1-5-32-544 = Gruppe der Administratoren
  • S-1-5-32-545 = Gruppe der Benutzer
  • S-1-5-32-548 = Gruppe der Konten-Operatoren (auf Domänencontrollern)
  • S-1-5-32-550 = Gruppe der Server-Operatoren
  • S-1-5-32-550 = Gruppe der Druck-Operatoren
  • S-1-5-32-555 = Gruppe der Remote Desktop Benutzer
  • S-1-5-32-573 = Gruppe der Ereignisanzeigen-Leser
  • S-1-5-32-578 = Gruppe der Hyper-V-Administratoren
  • S-1-5-32-580 = Gruppe der Remote-Management-Benutzer

Die nun folgenden Nutzer werden vom Computer bzw. einer Domäne mit einem zusätzlichen String identifiziert, der durch einen Zufallsgenerator bereits bei der Installation des Systems erzeugt wird. Als Platzhalter für diesen Eintrag verwende ich “xxx”:

  • S-1-5-21-xxx-500 = Lokaler Administrator
  • S-1-5-21-xxx-512 = Gruppe der Domänen-Administratoren
  • S-1-5-21-xxx-513 = Gruppe der Domänen-Benutzer

Es gibt auch noch weitere Benutzer und Gruppen, die entsprechend nachgelesen werden können

Link

WMI: Versionen und ProductType von Win32_OperatingSystem

15. April 2013 · Kommentieren · Kategorien: Windows 7, Windows 8, Windows Server, Windows Server 2012, Windows Vista, Windows XP

Wer bei Gruppenrichtlinien mit WMI-Filtern arbeiten möchte muss die Werte von “Version” und “ProductType” des WMI-Objektes “Win32_OperationSystem kennen. Aus diesem Grund zum schnellen Überblick hier eine Auflistung

Version:

  • 5.1 – Windows XP
  • 5.2 – Windows Server 2003
  • 6.0 – Windows Vista und Windows Server 2008
  • 6.1 – Windows 7 und Windows Server 2008 R2
  • 6.2 – Windows 8 und Windows Server 2012

Da aber der Versionsnummerierung 6.0 die Client und Serverbetriebssysteme unter einer Versionsnummer geführt wurden, muss seit dem auch der “ProductType” ausgewertet werden.

  • 1 – Client
  • 2 – Domänencontroller
  • 3 – Server

Entsprechend gibt es die folgende Unterscheidung auf Client- bzw. Serverbetriebssystem anhand des Beispiels der Version 6.2.

Windows 8:

select * from Win32_OperatingSystem WHERE Version LIKE “6.2%” and ProductType = “1”

Windows Server 2012:

select * from Win32_OperatingSystem WHERE Version LIKE “6.2%” AND ( ProductType = “2” or ProductType = “3” )

Registry-Favoriten können hilfreich sein

14. April 2013 · Kommentieren · Kategorien: Windows 7, Windows 8, Windows Server, Windows Server 2012, Windows Vista, Windows XP

Einige Applikationen unter Windows verewigen sich in der Registry. Dort kann es dann auch zu Fehlern kommen oder man möchte Werte schnell überprüfen. Ähnlich wie in Browsern kann man in der Registry auch Favoriten erstellen, um schneller an das gewünschte Ziel zu kommen. 

Die Favoriten werden benutzerabhängig in der Registry gespeichert unter dem folgenden Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites

Diese können somit dort exportiert und auch auf weiteren Systemen importiert und genutzt werden.

Eine weitere Verwendungsmöglichkeit wären sogenannte applikationsabhänige Registrykeys für den Support, die per Verteilung zum Beispiel per GPO oder Softwaremanagementsystemen zur Verfügung gestellt werden könnten, um Probleme schneller zu beheben oder auf wichtige Registrywerte schneller zugreifen zu können.  

So könnte man eine GPO mit einer Active Directory-Gruppe verknüpfen und sogar per WMI-Filter angepasst auf Computersysteme verteilen, so dass der Supporter, wenn die entsprechende Applikation, welche im WMI-Filter definiert ist, auf dem System installiert ist, zentral bereits die entsprechenden Favoriten zur Verfügung gestellt bekommt. Somit ist das “Durchwandern” der Registry einfacher und effektiver gestaltet.

PowerShell-Skripte per Registry freischalten

19. November 2012 · Kommentieren · Kategorien: Windows 7, Windows 8, Windows Server, Windows Vista

Um PowerShell-Skripte als Benutzer auszuführen möchte muss dieses erst einmal freigeben, da diese Funktion bei der Standard-Installation deaktiviert ist.

Dazu kann der folgende Befehl genutzt werden, der als Administrator ausgeführt werden muss:

Set-ExecutionPolicy Unrestricted

Um dieses zum Beispiel bei automatisierten Installation anpassen zu können, ist auch eine Bearbeitung der Registry möglich, um diese Option anzupassen:

Pfad: HKEY_LOCAL_MACHINE\Software\Microsoft\Powershell\1\ShellIds\Microsoft.Powershell

Name: ExecutionPolicy

Typ: REG_SZ

Wert: Unrestricted

Es gibt allerdings noch weitere Policy-Einstellungen, die ich hier gern hier einmal zusammenfasse:

  • Restricted: Keine Ausführung von Skripten
  • AllSigned: Nur von einem vertrauenswürdigen Herausgeber signiert wurden können ausgeführt werden.
  • RemoteSigned: Heruntergeladene Skripte müssen von einem vertrauenswürdigen Herausgeber signiert werden, bevor sie ausgeführt werden können.
  • Unrestriced: Alle Skripte können ausgeführt werden.

0x80040201 bei DLL-Registrierung für AD-Schema-SnapIn

03. Mai 2012 · Kommentieren · Kategorien: Windows Server

Am gestrigen Tage erhielt ich eine Anfrage aufgrund meines Artikels zum Active Directory-Schema und der Installation des entsprechenden SnapIns per DLL-Registrierung. Der Anfragende bekam immer die Fehlermeldung “The Module schmmgmt.dll Loaded but the Call to DllRegisterServer Failed with Error Code 0x80040201″.

Er hatte auch seinem Benutzer die höchstmöglichen Active-Directory-Rechte eingeräumt, was allerdings den Fehler nicht beseitigte. Das Hinderniss um den Befehl erfolgreich auszuführen war die UAC, die bei Windows Server 2008 R2 genauso aktiviert ist wie bei den Clientbetriebssystemen.

Nachdem der Fragende den Befehl “regsvr32 schmmgmt.dll” in einem Konsolenfenster mit administrativer Berechtigung ausgeführt hatte bekam er von dem System eine Erfolgreiche Rückmeldung und konnte auch das SnapIn nutzen.

« Ältere Beiträge
Neuere Beiträge »