DFS-Berechtigung für Nicht-Administratoren

Posted on By Daniel Lensing Keine Kommentare zu DFS-Berechtigung für Nicht-Administratoren

In manchen FĂ€llen mach es Sinn Berechtigungen an weitere Kollegen zu delegieren, allerdings ohne sofort direkte Rechte auf alle administrativen Berechtigungen zu geben.

Dieses galt in meinem Fall fĂŒr die Einrichtung von DFS-VerknĂŒpfungen. Leider bekam der betroffene Kollege, nach dem er die erforderlichen Daten fĂŒr eine DFS-VerknĂŒpfung eingegeben hatte, die Meldung Zugriff verweigert.

Im Bereich des DFS kann man keine Einstellungen vornehmen und auch bei den auf dem DomÀnencontroller angelegten Ordern waren einfach nur die erforderlichen Rechte angelegt. Somit musste es noch eine weitere Stelle zur Administration der Berechtigungen geben.

Nach etwas Suche fand ich die Lösung, da man die “Erweiterten Funktionen” im MMC-Snap-In “Active Directory Benutzer und Computer” aktivieren muss. Dort ist dann in der erweiterten DomĂ€nen-Ansicht unter dem Ordner “System” auch ein Ordner “DFS-Configuration” zu finden.

Nun gibt es zwei Möglichkeiten.
Entweder man vergibt dem entsprechenden Kollegen die Rechte auf diesen Ordner oder man berechtigt ihn auf den entsprechend darunter angebundenen DFS-Stamm. 

Sollte man den Kollegen auf den Ordner “DFS-Configuration” administrieren, erhĂ€lt dieser auch automatisch Zugriff auf in Zukunft neu angelegte DFS-StĂ€mme.

Bei der zweiten Variante kann zum Beispiel im Falle einer Migration eine neue Struktur bereits angelegt werden ohne das ein delegierter Nicht-Administrator Anpassungen im DFS-Stamm durchfĂŒhren kann. Ein weiteres Beispiel wĂ€re, wenn es lokale Administratoren gibt zum Beispiel fĂŒr unterschiedliche Standorte gibt, die jeweils einen eigenen DFS-Stamm haben, kann der entsprechende Delegierte zwar auf seinen Stamm zugreifen und Anpassungen durchfĂŒhren, allerdings nicht auf allen weiteren.

Link

Windows Server

DSMOD GROUP bei Trusts

Posted on By Daniel Lensing Keine Kommentare zu DSMOD GROUP bei Trusts

Zum Anlegen mehrere Ordner nutze ich gerne die Möglichkeit mir eine Batch-Datei zu erstellen.

Heuee habe ich zum ersten Mal versucht auch globale Gruppen als Mitglied einer DomĂ€nenlokalen Gruppe zu setzen. Dieses funktionierte auch wie gewĂŒnscht.

Bei meinem zweiten Auftrag scheiterte ich allerdings. Nach einer lĂ€ngeren Recherche, was der Unterschied zwischen den beiden Skripten ist. Dabei viel mir auf, dass ich beim zweiten Skript eine Gruppe einer DomĂ€neB in die domĂ€nenlokale Gruppe der DomĂ€neA hinzuffĂŒgen wollte.

Diese Funktion wird vom Skript leider nicht unterstĂŒtzt und muss manuell ĂŒber das AD-SnapIn durchgefĂŒhrt werden.

Windows Vista

AD-User gesperrt unter Win7

Posted on By Daniel Lensing Keine Kommentare zu AD-User gesperrt unter Win7

Durch einen unglĂŒcklichen Umstand musste ich durch Zufall mit meinen Windows 7-System ein Benutzerkonto ĂŒberprĂŒfen, welches gesperrt sein sollte.

Die meisten kennen ja das Feld „Konto ist gesperrt“, welches im Normalfall ausgegraut ist. Bei allen Windows Versionen inklusive Windows Vista war dieses Feld mit einem Haken versehen, den man Entfernen musste, um das Konto wieder freizugeben.

Unter Windows 7 muss man nun einen Haken setzen bei der Aussage „Heben Sie die Kontosperrung auf. Das Konto ist derzeit auf dem Active Directory-DomĂ€nnecontroller gesperrt.“ gesetzt werden und nach dem DrĂŒcken von Okay steht das Konto wieder wie gewohnt zur VerfĂŒgung.

Windows 7

Windows-WLAN sichern und wiederherstellen

Posted on By Daniel Lensing Keine Kommentare zu Windows-WLAN sichern und wiederherstellen

Da ich mein Windows 7 RC –Testsystem neuinstallieren wollte und mir die Einrichtung der 11 installierten WLAN-Netze mit in der regel komplexen SchlĂŒsseln, die ich teilweise auch erst einmal hĂ€tte auslesen mĂŒssen zu umstĂ€ndlich war, suchte ich nach einer Lösung, wie ich diese möglichst zeitschonend aus dem System exportieren kann.

Da ich gerne kleine Dateien mir erstelle, die fĂŒr mich die entsprechenden Aufgaben ĂŒbernehmen, fand ich zufĂ€llig im Segment Befehlszeilenprogramm NETSH einen Befehlssatz:

netsh wlan export profile folder=c:\wlan

Entsprechend wurde nach meiner Erwartung die Entstellungen der WLAN-Netze pro Netz in eine eigene Datei gesichert. Der Dateiname bildet sich aus dem Namen des Netzwerkinterfaces und dem Namen der SSID des Netzwerkes als XML-Datei

Diese konnte ich nun auf einem anderen Medium sichern.

Nach der Neuinstallation wollte ich nun einen Import mit den Dateien durchfĂŒhren, um die Einstellungen wieder in das System hinzuzufĂŒgen.
Auch hierfĂŒr fand ich relativ zeitnah einen Befehlssatz:

netsh wlan add profile filename=c:\wlan\datei.xml

Ich habe nun allerdings die Dateinamen etwas angepasst. Da ich diese Daten nun einmal auf einem Datenspeicher abgelegt habe und das hinzufĂŒgen durch eine Batchdatei automatisiert wurde, habe ich wenigstens bei Neuinstallationen keine Probleme mehr, dass ich die Netzwerkdaten zur VerfĂŒgung habe.

P.S. Dieses funktioniert definitiv auch unter Windows Vista.
Leider konnte ich Windows XP noch entsprechend prĂŒfen, aber vielleicht kann mir dieses jemand abnehmen und es als Kommentar hinzufĂŒgen.

Windows 7

GPInventory – Welche Gruppenrichtlinie wird ausgeführt

Posted on By Daniel Lensing Keine Kommentare zu GPInventory – Welche Gruppenrichtlinie wird ausgeführt

Um eine Fehleranalyse einer nicht funktionierenden Gruppenrichtlinie durchfĂŒhren zu können, wollte ich gerne erst einmal eine Übersicht haben, welche Richtlinien ĂŒberhaupt angewendet werden.

Im Windows-Ressource-Kit fand ich die Datei GPInventory.exe mit der man einige Daten von Gruppenrichtlinien sowie einige WMI-Werte remote auslesen kann, so dass man sich erst einmal einen Überblick ĂŒber den aktuellen Zustand erstellen kann.

Was ich sehr hilfreich fand, war den Import der Computerkonten aus einer Active Directory. Als weitere Möglichkeit ist ein Import aus einer Textdatei angeboten.

Bei meinen Ermittlungen habe ich mir die folgenden Werte ausgeben lassen:
– Welche Computer-Policy wird angewandt ?
– Welche User-Policy wird in diesem Moment angewandt?
– Welcher User ist angemeldet?
– Welches Betriebssystem ist installiert?
– Welches Service Pack ist installiert?

Aufgrund dieser Ermittlungen konnte ich in meinem Fall feststellen, dass ein WMI-Filter leider nicht so gearbeitet hat, wie ich es mir vorstellte und eine Richtlinie auch auf Systeme mit dem falschen Betriebssystem zur VerfĂŒgung stellte.

Windows Server

Blackberry – Screenshots erstellen

Posted on By Daniel Lensing Keine Kommentare zu Blackberry – Screenshots erstellen

Da ein Bekannter einen Blackberry von seiner Firma ĂŒbernehmen konnte, allerdings ohne Anbindung an einen Blackberry Server, hatte er das Problem, dass er nach der kompletten Einrichtung seiner Daten keine zusĂ€tzlichen Programme installieren konnte.

Relativ schnell wurde mir klar, das noch eine IT-Policy auf dem Blackberry aktiv ist. Nun wollte ich einfach das System reseten, was allerdings nicht auf Zustimmung stoß, so dass er erst bei seiner IT-Administration nachfragen wollte, ob es auch einen anderen Weg gibt. Ich wollte ihn allerdings nicht ohne eine Anleitung nach Hause gehen lassen und da ich gerne bebilderte Anleitungen erstelle, suchte ich nun ein Tool welches mir dieses ermöglicht.

Ich fand eine Beta-Software mit dem Namen “Blackberry Toolkit” von Sebastian Niehoff in der Version 0.6 Nach der Installation konnte das System nach der Beendigung der “Blackberry Desktop Software” mit dem Tool verbunden werden und es war mir möglich die benötigten Screenshots zu erstellen.

Desweiteren können mit diesem Tool das EndgerĂ€t auf die Werkseinstellungen und sogar komplett vom Firmware befreit werden. Außerdem können auch GerĂ€teinformationen ausgelesen werden und einige sonst umstĂ€ndliche Kleinigkeiten mehr.

Durch die dem Tool zu Grunde liegende Lizenz ist die Software leider nicht fĂŒr den kommerziellen Einsatz freigegeben.

Link

Mobilfunk