Kleine IT-Episoden, der Diabetes & das wahre Leben
Durch die bereits im Umlauf befindliche Beta-Version des Microsoft Exchange Servers 2010 wird in Zukunft in Bereich der IT-Administration auf 64-Bit Betriebssysteme gesetzt.
Die Management-Tools des Servers können zum einen nur noch auf einem Betriebsystem Windows Vista SP1 oder höher installiert werden. Des weiteren muss das Betriebssystem ein 64-Bit-System sein.
Somit muss man sich in Zukunft der IT mehr auf 64-Bit-Betriebssysteme konzentrieren.
Man darf gespannt sein…
Ich erzeuge mit einer Skriptdatei mehrere Logdateien. Diese sollen nun per Mail an mich verschickt werden. Durch die Nutzung in einem Skript ist eine Anpassung der Empfänger-E-Mail-Adresse aufgrund von Urlaub oder Vertretungen kein Problem.
Das Tool Blat.exe ist Open-Source-Projekt, welches mit einem SMTP-Server zusammenarbeitet, um die E-Mails zu versenden. Mit verschiedenen Parametern können viele Aufgaben automatisiert werden.
Das Tool muss einmal mit der Option -install initialisiert werden, da die Daten für den Versand in der Registry gespeichert. Die Daten liegen unter HKEY_Local_Machine\Software\Public Domain\BLAT. Dort muss auch, wie bei mir bereits einmal geschehen, der SMTP-Server angepasst werden.
Des weiteren ist es ebenfalls möglich, die Daten im Skripting zu verankern. In beiden Variante stehen die Daten im Klartext und sollten geschützt werden.
Vor längerer Zeit fragte mich ein bekannter Administrator einer größeren Umgebung, ob ich eine Möglichkeit kennen würde, wie man anhand einer SID den Benutzer ermitteln kann, da einem System, an dem sich ca. 30 Anwender anmelden eine Änderung an 11 Benutzer-Registry durchgeführt werden müsste.
Über das Tool SidToName ist dieses möglich. Es muss einfach an einem Rechner per CMD das Tool ausgeführt werden, der ebenfalls der Domäne hinzugefügt ist. Dieses Tool ist eine Kommandozeilen-Programm. Der Befehl lautet dann:
c:\sidtoname.exe <SID>
Mit dem Tool “Memberof” kann bei einem angemeldeten Benutzer alle Gruppen in eine Text-Datei zu exportieren. Mit alle Gruppen sind auch die Verschachtelten Gruppen gemeint, die eventuell hinter einer Hauptgruppe liegen. Das Tool zeigt ebenfalls an, ob die Gruppe eine Domänenlokale oder eine Globale Gruppe ist.
Ich nutze immer den folgenden Aufruf:
c:\memberof.exe > c:\%username%.txt
In den letzten Tagen bin ich im Bereich der Datensicherung und DatenrĂĽcksicherung des Active Directory Domain Services an 2 Begriffe geraten, die mich im Lernen ein wenig zum Stolpern gebracht haben:
nicht-autorisierte Wiederherstellung
autorisierte Wiederherstellung
Nach dem ich meine Bücher gewälzt habe, möchte ich hier meine Eselsbrücke mitteilen, die vielleicht auch anderen hilft:
Gibt es nur einen Domänencontroller, ist die Art der Wiederherstellung egal.
Gibt es mehrere Domänencontroller und der Stand der weiteren Domänenkontroller soll übernommen werden, muss die nicht-autorisierte Wiederherstellung gewählt werden.
Gibt es mehrere Domänencontroller und der Stand des wiederhergestellten Domänencontroller soll übernommen werden, muss die autorisierte Wiederherstellung gewählt werden. Durch die Autorisierung werden die Objekte als neuer definiert und an die anderen DCs repliziert.
Ich versuche mir meinen Arbeitsalltag mit “Gespeicherten Abfragen” unter den “Active Directory Benutzer und Computer” zu vereinfachen. Bei diesen Suchen handelt es sich meistens um LDAP-Abfragen, die teilweise nicht ganz schlüssig sind. Die Grundabfragen, die mich ein wenig Arbeit gekostet haben bzw. wo ich stark suchen musste, stelle ich gerne zur Verfügung:
Welche Anwender sind in der Gruppe “GRP-Intern” in der OU “Intern” der Domäne “W2K8Cert.local” ?
(objectCategory=user)(memberOf=CN=GRP-Intern,OU=Intern,DC=W2K8Cert,DC=local)
Nun kann man eine entsprechende Abfrage konkretisieren und die “nicht aktiven Anwender” (disabled) nicht mit anzeigen lassen. Dort muss in der Abfrage folgendes eingebaut werden:
(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über die selbe Abfrage können aber auch alle deaktvierten User der Domäne angezeigt werden, da das Ausrufezeichen ach der Klammer nur als Negierung der Eigenschaft gilt:
(objectCategory=user)(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über den Austausch der Category “user” gegen “computer” können auch deaktiverte Computerkonten angezeigt werden
Um zu prĂĽfen, ob alle Anwender ein Loginskript haben, kann folgende Abfrage genutzt werden:
(objectCategory=user)(!scriptPath=*)
Anstatt dem Sternchen kann auch der Aufruf des Loginskripts genutzt werden, um zu prĂĽfen, wer ein falsches Skript nutzt.
Für Userpasswort läuft nicht ab kann folgende Abfrage angewandt werden:
(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=65536)
Die größte Suche habe ich in letzter Zeit in die folgende Abfrage investeriert:
Ich musste als Nicht-Domänen-Administrator herausbekommen, ob die User im Reiter “Dial-In” den Punkt Deny für die “Remote Access Permission” gesetzt hatten. Der folgende Eintrag muss den Usern ausgewertet werden:
(objectcategory=person)(objectClass=user)(msNPAllowDialin=FALSE)
Ändert man den Wert “FALSE” auf “True” so können auch alle Anwender abgefragt werden, bei denen die Einstellung auf “Allow” gesetzt ist.
Selbstverständlich ist eine Kombinierung von mehreren Werten möglich.
Über die “Active Directory Benutzer und Computer” werden standardmäßig keine Informationen zu einem Passwort angezeigt.
Da ich wie bereits in einigen vorherigen Artikeln ich mich mit dem Windows Server 2008 bzw. den dazugehörigen AD-Features beschäftige, suche ich gerne nach Tools und Arbeitserleichterungen. Mir fiel in diesem Zusammenhang, das Tool “Addidtional Account Info” wieder ein. Mit diesem Tool lassen sich a) Passwortdaten, z.B. wann das Passwort abläuft anzeigen.
Desweiteren wird die SID angezeigt, welches ich bereits mehrfach zur Fehleranalyse von Systemen genutzt habe, als Änderungen an der Registry nötig waren, an einem System, wo sich viele Nutzer anmelden.
Die DLL muss in den System32-Ordner des Windows-Systems kopiert werden und dann per regsvr32 registriert werden.
Die DLL-Datei befindet sich inzwischen zeit in einem Paket welches sich “Account Lockout and Management Tools” nennt und von Microsoft angeboten wird.