Kategorie: Windows Server

Vor längerer Zeit fragte mich ein bekannter Administrator einer größeren Umgebung, ob ich eine Möglichkeit kennen würde, wie man anhand einer SID den Benutzer ermitteln kann, da einem System, an dem sich ca. 30 Anwender anmelden eine Änderung an 11 Benutzer-Registry durchgeführt werden müsste.

Über das Tool SidToName ist dieses möglich. Es muss einfach an einem Rechner per CMD das Tool ausgeführt werden, der ebenfalls der Domäne hinzugefügt ist. Dieses Tool ist eine Kommandozeilen-Programm. Der Befehl lautet dann:

c:\sidtoname.exe <SID>

Link

Mit dem Tool “Memberof” kann bei einem angemeldeten Benutzer alle Gruppen in eine Text-Datei zu exportieren. Mit alle Gruppen sind auch die Verschachtelten Gruppen gemeint, die eventuell hinter einer Hauptgruppe liegen. Das Tool zeigt ebenfalls an, ob die Gruppe eine Domänenlokale oder eine Globale Gruppe ist.

Ich nutze immer den folgenden Aufruf:
c:\memberof.exe > c:\%username%.txt

Link

In den letzten Tagen bin ich im Bereich der Datensicherung und Datenrücksicherung des Active Directory Domain Services an 2 Begriffe geraten, die mich im Lernen ein wenig zum Stolpern gebracht haben:

nicht-autorisierte Wiederherstellung
autorisierte Wiederherstellung

Nach dem ich meine Bücher gewälzt habe, möchte ich hier meine Eselsbrücke mitteilen, die vielleicht auch anderen hilft:

Gibt es nur einen Domänencontroller, ist die Art der Wiederherstellung egal.

Gibt es mehrere Domänencontroller und der Stand der weiteren Domänenkontroller soll übernommen werden, muss die nicht-autorisierte Wiederherstellung gewählt werden.

Gibt es mehrere Domänencontroller und der Stand des wiederhergestellten Domänencontroller soll übernommen werden, muss die autorisierte Wiederherstellung gewählt werden. Durch die Autorisierung werden die Objekte als neuer definiert und an die anderen DCs repliziert.

Ich versuche mir meinen Arbeitsalltag mit “Gespeicherten Abfragen” unter den “Active Directory Benutzer und Computer” zu vereinfachen. Bei diesen Suchen handelt es sich meistens um LDAP-Abfragen, die teilweise nicht ganz schlüssig sind. Die Grundabfragen, die mich ein wenig Arbeit gekostet haben bzw. wo ich stark suchen musste, stelle ich gerne zur Verfügung:

Welche Anwender sind in der Gruppe “GRP-Intern” in der OU “Intern” der Domäne “W2K8Cert.local” ?
(objectCategory=user)(memberOf=CN=GRP-Intern,OU=Intern,DC=W2K8Cert,DC=local)

Nun kann man eine entsprechende Abfrage konkretisieren und die “nicht aktiven Anwender” (disabled) nicht mit anzeigen lassen. Dort muss in der Abfrage folgendes eingebaut werden:
(!userAccountControl:1.2.840.113556.1.4.804:=2)

Über die selbe Abfrage können aber auch alle deaktvierten User der Domäne angezeigt werden, da das Ausrufezeichen ach der Klammer nur als Negierung der Eigenschaft gilt:
(objectCategory=user)(!userAccountControl:1.2.840.113556.1.4.804:=2)
Über den Austausch der Category “user” gegen “computer” können auch deaktiverte Computerkonten angezeigt werden

Um zu prüfen, ob alle Anwender ein Loginskript haben, kann folgende Abfrage genutzt werden:
(objectCategory=user)(!scriptPath=*)
Anstatt dem Sternchen kann auch der Aufruf des Loginskripts genutzt werden, um zu prüfen, wer ein falsches Skript nutzt.

Für Userpasswort läuft nicht ab kann folgende Abfrage angewandt werden:
(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=65536)

Die größte Suche habe ich in letzter Zeit in die folgende Abfrage investeriert:
Ich musste als Nicht-Domänen-Administrator herausbekommen, ob die User im Reiter “Dial-In” den Punkt Deny für die “Remote Access Permission” gesetzt hatten. Der folgende Eintrag muss den Usern ausgewertet werden:
(objectcategory=person)(objectClass=user)(msNPAllowDialin=FALSE)
Ändert man den Wert “FALSE” auf “True” so können auch alle Anwender abgefragt werden, bei denen die Einstellung auf “Allow” gesetzt ist.

Selbstverständlich ist eine Kombinierung von mehreren Werten möglich.

Über die “Active Directory Benutzer und Computer” werden standardmäßig keine Informationen zu einem Passwort angezeigt.

Da ich wie bereits in einigen vorherigen Artikeln ich mich mit dem Windows Server 2008 bzw. den dazugehörigen AD-Features beschäftige, suche ich gerne nach Tools und Arbeitserleichterungen. Mir fiel in diesem Zusammenhang, das Tool “Addidtional Account Info” wieder ein. Mit diesem Tool lassen sich a) Passwortdaten, z.B. wann das Passwort abläuft anzeigen.

Desweiteren wird die SID angezeigt, welches ich bereits mehrfach zur Fehleranalyse von Systemen genutzt habe, als Änderungen an der Registry nötig waren, an einem System, wo sich viele Nutzer anmelden.

Die DLL muss in den System32-Ordner des Windows-Systems kopiert werden und dann per regsvr32 registriert werden.

Die DLL-Datei befindet sich inzwischen zeit in einem Paket welches sich “Account Lockout and Management Tools” nennt und von Microsoft angeboten wird.

Link

Mir ist heute ein Artikel aus der Microsoft KnowledgeBase in die Finger gekommen mit dem man einen Windows Server 2008 zu einer eingeschränkten Arbeitsplatzstation umbauen kann.

Im Bereich des Developments beziehungsweise zur Durchführung von Tests ist dieses bestimmt sinnvoll. Im Artikel wird erläutert, wie die entsprechenden Einstellungen installiert werden können sowie welche überhaupt verfügbar sind.

Link