Active Directory (AD) basierte Gruppenrichtlinienobjekte (auf Englisch: Group Policy Object, kurz GPO) bestehen hauptsächlich aus zwei Komponenten, bestehend aus der logischen und physikalischen Struktur. Der logische Teil einer GPO wird in der AD-Datenbank (NTDS.dit) gespeichert und wird als Gruppenrichtliniencontainer (auf Englisch: Group Policy Container, kurz GPC) bezeichnet. Die physikalische Komponente einer GPO wird im Dateisystem, im replizierten Verzeichnis SYSVOL gespeichert und lautet Gruppenrichtlinienvorlage (auf Englisch: Group Policy Template, kurz GPT).
In den Eigenschaften eines GPC werden alle AD relevanten Konfigurationsdaten einer GPO gespeichert, wie beispielsweise der Pfad zur Gruppenrichtlinienvorlage (das Attribut gPCFileSysPath im entsprechenden GPC, also der Pfad zum GPT), der Status von Gruppenrichtlinienobjekten (das Attribut flags) oder die Zugriffsteuerungsliste (Access Control List, kurz ACL) die bestimmt, welcher Benutzer bzw. Gruppe die Einstellungen eines GPOs verwalten darf. Den GPC selbst findet man in der Domänenpartition im Container CN=Policies,CN=System,DC=<Domäne>. Diesen Container kann man in der MMC Active Directory-Benutzer und –Computer (dsa.msc) zum Vorschein bringen. Dazu muss man jedoch zuerst in der MMC dsa.msc unter Ansicht die „Erweiterte Features“ aktivieren. Die GPC werden im AD-Container Policies mit ihrer {GUID} dargestellt und ist derselbe, wie er auch im GPT angezeigt wird.
Im GPT befinden sich die meisten Einstellungen eines GPOs sowie verschiedene Verzeichnisse und Konfigurationsdateien. Im GPT werden also alle aktuellen GPO-Einstellungen eines GPOs gespeichert. Die GPTs werden im Dateisystem tatsächlich unter %windir%\SYSVOL\domain\Policies, jeweils dargestellt mit ihrer {GUID}, gespeichert. Nicht zu verwechseln mit den Junction Points unter %windir%\SYSVOL\sysvol\<Domäne>\Policies. Tools für die Verwaltung von GPOs (z.B. die GPMC) verwenden die Junction Points und nicht den echten Speicherort der GPTs.
Wichtig für das Troubleshooting ist zu wissen, dass die hauptsächlichen Komponenten einer GPO, nämlich der GPC und das GPT, auf unterschiedliche Weise repliziert werden. Der GPC wird im Rahmen der AD-Replikation repliziert. Das GPT wird je nach Domänenfunktionsmodus entweder vom FRS (File Replication Service) oder vom DFS-R (Distributed File System Replication) repliziert. Liegen die Wurzeln einer Domäne im Domänenfunktionsmodus „Windows Server 2003“ oder niedriger, wird das GPT durch den FRS repliziert. Wurde die Domäne mindestens im Domänenfunktionsmodus „Windows Server 2008“ installiert, kommt DFS-R für die Replikation des GPT und somit des SYSVOLs zum Einsatz.
Die Performance bei der Abarbeitung von GPOs erhöhen
Für die Performance des Clients bei der Abarbeitung von GPOs (die auf ihn wirken) ist es empfehlenswert, den nicht konfigurierten Teil einer GPO stets zu deaktivieren. Das bedeutet, wenn in einer GPO lediglich Einstellungen im Benutzerkonfigurationsteil vorgenommen wurden, sollte der Computerkonfigurationsteil deaktiviert werden und vice versa.
Deaktivieren lässt sich ein Teil oder die gesamte GPO in der GPMC (Group Policy Management Console, zu Deutsch: Gruppenrichtlinienverwaltungskonsole). Mit einem Rechtsklick auf der entsprechenden GPO wählt man die Option Objektstatus aus und kann dann den gewünschten Teil oder die gesamte GPO deaktivieren. Das funktioniert auch wenn man die entsprechende GPO in der GPMC ausgewählt hat und danach zum Reiter Details wechselt.
Den Status der GPOs abfragen
Den Status einer GPO veranschaulicht das Attribut flags, das sich in den Eigenschaften jedes GPCs befindet.
Dabei kann das Attribut flags folgende Werte enthalten:
- Der Wert 0 im Attribut flags bedeutet, das gesamte Gruppenrichtlinienobjekt, also der Benutzerkonfigurations- und Computerkonfigurationsteil ist aktiviert.
- Der Wert 1 bedeutet, der Benutzerkonfigurationsteil einer GPO ist deaktiviert.
- Ist der Wert 2, wurde der Computerkonfigurationsteil einer GPO deaktiviert.
- Beim Wert 3 ist das gesamte GPO deaktiviert.
State of the Art kann man den Status der GPOs in der AD-PowerShell mit folgenden Einzeilern abfragen:
# Alle GPOs mit ihrem Status anzeigen lassen:
Get-ADObject -Server <DC> -LDAPFilter "(flags=*)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | Select displayName,flags | FT -A
# Alle GPOs anzeigen, die beide Teile (Benutzer- und Computerkonfiguration) aktiviert haben:
Get-ADObject -Server <DC> -LDAPFilter "(flags=0)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | Select displayName,flags | FT -A
# Alle GPOs die den Teil der Benutzerkonfiguration deaktiviert haben, werden folgendermaßen angezeigt:
Get-ADObject -Server <DC> -LDAPFilter "(flags=1)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | Select displayName,flags | FT -A
# Alle GPOs die den Computerkonfigurationsteil deaktiviert haben, werden wie folgt angezeigt:
Get-ADObject -Server <DC> -LDAPFilter "(flags=2)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | Select displayName,flags | FT -A
# Alle komplett deaktivierten GPOs (beide Teile Benutzer- und Computerkonfigurationsteil sind deaktiviert) werden so angezeigt:
Get-ADObject -Server <DC> -LDAPFilter "(flags=3)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | Select displayName,flags | FT -A
Das Attribut flags automatisiert mit einem AD-PowerShellskript abfragen
Man kann die Abfrage auch automatisiert mit folgendem AD-PowerShellskript durchführen.
######################################################
#
# AD-PowerShellskript zur Statusabfrage von GPOs
#
# Von: Yusuf Dikmenoglu 05/2011
#
# http://blog.dikmenoglu.de
#
######################################################
$auswahl = Read-Host "Welcher GPO-Status soll angezeigt werden (0... Alle komplett aktiven GPOs anzeigen 1...Benutzerkonfiguration ist deaktiviert 2...Computerkonfiguration ist deaktiviert 3...GPOs die komplett deaktiviert sind):"
switch ($auswahl){
0 {
Get-ADObject -Server <DC> -LDAPFilter "(flags=*)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | ForEach-Object {
if ($_.flags -eq 0){
write-host "Gesamte GPO aktiviert: " $_.displayName
}
}
}
1 {
Get-ADObject -Server <DC> -LDAPFilter "(flags=*)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | ForEach-Object {
if ($_.flags -eq 1){
write-host "Benutzerkonfiguration des GPO ist deaktiviert: " $_.displayName
}
}
}
2 {
Get-ADObject -Server <DC> -LDAPFilter "(flags=*)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | ForEach-Object {
if ($_.flags -eq 2){
write-host "Computerkonfiguration des GPO ist deaktiviert: " $_.displayName
}
}
}
3 {
Get-ADObject -Server <DC> -LDAPFilter "(flags=*)" -SearchBase "CN=Policies,CN=System,DC=<Domäne>" -SearchScope Subtree -Properties displayName,flags | ForEach-Object {
if ($_.flags -eq 3){
write-host "Gesamte GPO deaktiviert: " $_.displayName
}
}
}
default{
Write-Host "Ungültige Eingabe"
}
}
Der Unterschied zwischen einer beschreibbaren und nur lesbaren Verzeichnispartition (auf Englisch Naming Context, kurz NC) liegt im Attribut instanceType. Dieses Attribut besteht aus einer Bitmaske und existiert in den Eigenschaften jeder Verzeichnispartition. Ist das dritte Bit (Hex = 0x4; Dezimal = 4) im Attribut instanceType, in den Eigenschaften einer Verzeichnispartition auf einem DC gesetzt, so ist die Verzeichnispartition auf diesem DC beschreibbar. Falls das dritte Bit nicht gesetzt ist, ist die Verzeichnispartition auf diesem DC nur lesbar.
Da ein Read-Only Domänencontroller (RODC) nur einen lesenden Zugriff auf die Active Directory-Datenbank (NTDS.DIT) und somit auf alle Verzeichnispartitionen hat, ist logischerweise in allen Verzeichnispartitionen die sich auf einem RODC befinden das dritte Bit in instanceType nicht gesetzt!
Auch in den fremden Domänenpartitionen die sich im globalen Katalog befinden, ist das dritte Bit in instanceType nicht gesetzt!
Überprüfen kann man das mit dem Schweizer Messer Werkzeug für die AD-Replikation Repadmin. Führt man den Befehl Repadmin /showrepl /verbose in der Kommandozeile aus, erhält man solch eine Ausgabe:
In der Ausgabe werden alle Verzeichnispartitionen aufgelistet, die der DC repliziert. Die Verzeichnispartitionen in denen der DC das Schreibrecht besitzt, sind mit WRITEABLE gekennzeichnet. Die Verzeichnispartitionen in der der DC lediglich das Leserecht besitzt, sind nicht mit WRITEABLE gekennzeichnet.
Ob eine Verzeichnispartition auf einem bestimmten DC nur lesbar oder beschreibbar ist, kann man mit dem folgenden AD-PowerShellskript überprüfen:
######################################################
#
# AD-PowerShellskript zum überprüfen ob eine Verzeichnispartition
# nur lesbar oder beschreibbar ist.
#
# Von: Yusuf Dikmenoglu 05/2011
#
# http://blog.dikmenoglu.de
#
######################################################
# Hier den distinguishedName der entsprechenden Verzeichnispartition (= NC = Naming Context) angegeben
$searchbase = "DC=ad2008R2,DC=dikmenoglu,DC=de"
# Wenn man einen NC von einem globalen Katalog (GC) abfragen möchte, muss man bei "-Server" den FQDN
# des DCs und den GC-Port angeben. Also: "R2DCON01.ad2008R2.dikmenoglu.de:3268"
Get-ADObject -Server R2DCON01 -LDAPFilter "(instanceType=*)" -SearchBase $Searchbase -SearchScope base -Properties instanceType | ForEach-Object {
if ($_.instanceType -band 4){
write-host $_.ncName "Beschreibbare Verzeichnispartition: $Searchbase"
}
else{
write-host $_.ncName "Lesbare Verzeichnispartition: $Searchbase"
}
}
Weitere Informationen:
Welche Verzeichnispartitionen befinden sich auf einem DC?
Instance-Type Attribute
Read-Only Domain Controller (RODC)
Hin und wieder kommt es vor, dass man den Benutzeranmeldenamen mehrerer Domänen-Benutzer ändern muss. Da sich die Domänen-Benutzer mit dem „Benutzeranmeldenamen“ oder mit dem „Benutzeranmeldenamen (Prä-Windows 2000)“ anmelden können, müssen beim ändern des Benutzeranmeldenamen die Werte in den beiden Attributen userPrincipalName (kurz, UPN) und sAMAccountName geändert werden. Bei wenigen Benutzern lassen diese sich recht einfach händisch ändern. Doch wie sieht es mit hunderten oder >1.000 Benutzern aus?!
Diese Aufgabe lässt sich einfach und State of the Art mit Excel und der AD-PowerShell lösen! Die Basisdaten kann man sich recht simpel in eine CSV-Datei, die sich wiederum in Excel importieren lässt, aus dem AD exportieren. Dazu eignen sich CSVDE und die AD-PowerShell. Wie man einen Export (und Import) mit CSVDE oder der AD-PowerShell durchführen kann, zeigt dieser Artikel:
Massenimporte- und -exporte mit CSVDE und der AD-PowerShell durchführen
Die Excel-Datei könnte beispielsweise folgendermaßen aussehen:
Danach lässt sich der userPrincipalName sowie sAMAccountName mit dem folgenden AD-PowerShellskript ändern.
######################################################
#
# AD-PowerShell Skript zum umbenennen von AD-Benutzer.
# Mit diesem Skript wird der sAMAccountName, userPrincipalName
# und das Attribut name umbenannt
#
# Von: Yusuf Dikmenoglu 04/2011
#
# http://blog.dikmenoglu.de
#
######################################################
clear
# Excel Einstellungen
$excel = New-Object -ComObject Excel.Application # create base object
$excel.visible = $false
$wb = $excel.workbooks.open("C:\Tools\Benutzernamen.xls")
$ws1 = $wb.Worksheets.item(1)
# Programmbeginn
$count = 5
for ($index = 2; $index -lt $count; $index++) {
Write-Host $index
$loginAlt = $ws1.Cells.Item($index,6).text.trim()
$loginNeu = $ws1.Cells.Item($index,10).text.trim()
$aduser = Get-ADUser $loginAlt | ForEach-Object {
$ws1.Cells.Item($index,4) = $_.givenname
$ws1.Cells.Item($index,3) = $_.surname
$pricipalname = $loginNeu + "@Domäne.de"
Set-ADUser -Identity $loginAlt -SamAccountName $loginNeu -UserPrincipalName $pricipalname
Rename-ADObject -Identity $loginAlt -NewName $loginNeu # Funktioniert nur, wenn das Attribut "name" gleich "sAMAccountName" ist
}
}
$wb.save()
$wb.Close()
$excel.Quit()
Weitere Informationen:
Die Active Directory-Attribute hinter den Feldnamen
Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008
LDIFDE - LDAP Data Interchange Format Data Exchange
Verknüpfte Attribute (linked attributes) sind Verknüpfungspaare, die aus einem Forward-Link und einem Back-Link Attribut bestehen. Ob es sich bei einem Attribut im AD-Schema um ein verknüpftes Attribut handelt, wird von dem linkID Attribut bestimmt, das sich im attributeSchema-Objekt befindet. Das linkID Attribut im Forward-Link enthält immer einen geraden und das linkID Attribut im verknüpften Back-Link enthält stets einen ungeraden Wert, nämlich den Wert „Forward-linkID plus 1“. Der Administrator kann dabei ausschließlich das Forward-Link Attribut bearbeiten, nicht jedoch das Back-Link Attribut! Repliziert werden nur die Forward-Link Attribute, nicht jedoch die Back-Links.
Weitere Details liefert der folgende Artikel:
Verknüpfte Attribute
Alle verknüpften Attribute mit der AD-PowerShell abfragen
Alle Forward- und Back-Link Attribute die im AD-Schema existieren, kann man sich mit der AD-PowerShell wie folgt anzeigen lassen:
Get-ADObject -LDAPFilter "(&(objectClass=attributeSchema)(linkID=*))" -Properties lDAPDisplayName,linkID -SearchBase "CN=Schema,CN=Configuration,DC=AD2008R2,DC=Dikmenoglu,DC=DE" -searchScope oneLevel | Select lDAPDisplayName,linkID | Sort-Object linkID | FT -A
Alle verknüpften Attribute mit dem Kommandozeilentool dsquery abfragen
Mit dsquery lassen sich alle Forward- und Back-Link Attribute folgendermaßen anzeigen:
dsquery * "CN=Schema,CN=Configuration,DC=AD2008R2,DC=Dikmenoglu,DC=DE" -Scope oneLevel -Filter "(&(objectClass=attributeSchema)(linkID=*))" -attr lDAPDisplayName linkID -Limit 0
Alle verknüpften Attribute mit LDP abfragen
Nachdem man sich in LDP mit einem DC verbunden und mit dem AD “gebunden” hat, muss man unter Durchsuchen – Suchen zuerst diesen Filter angeben: (&(objectClass=attributeSchema)(linkID=*)). Es genügt als Suchbereich die Option Eine Ebene zu wählen und im Feld Attribute, die beiden Attribute lDAPDisplayName;linkID anzugeben. Anschließend werden alle verknüpften Attribute angezeigt.
Die verknüpften Attribute mit einem AD-PowerShell Skript abfragen
Mit dem folgenden AD-PowerShell Skript kann man sich gezielt nur die Forward-Link, Back-Link oder Forward- und Back-Link Attribute anzeigen lassen. Für das Skript ist es zwingend notwendig, dass die AD-PowerShell Cmdlets zur Verfügung stehen. Die AD-PowerShell, die out-of-the-box unter Windows Server 2008 R2 zur Verfügung steht, lässt sich auch in einer Windows Server 2003 und Windows Server 2008 Umgebung einsetzen. In diesen Umgebungen ist es jedoch erforderlich, das Active Directory Management Gateway Service bereitzustellen.
Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008
######################################################
#
# AD-PowerShell Skript zum Anzeigen von Forward-Link,
# Back-Link oder Forward- und Back-Link Attribute
#
# Von: Yusuf Dikmenoglu 11/2010
#
# http://blog.dikmenoglu.de
#
######################################################
clear
$auswahl = Read-Host "Welche Attribut Art soll angezeigt werden (1...Forward-Link 2...Back-Link 3...Forward- und Back-Link):"
switch ($auswahl){
1 {
Get-ADObject -LDAPFilter "(&(objectClass=attributeSchema)(linkID=*))" -Properties lDAPDisplayName,linkID -SearchBase "CN=Schema,CN=Configuration,DC=Root-Domäne" -searchScope oneLevel | Sort-Object linkID | ForEach-Object {
if (!($_.linkID % 2)){
Write-Host "Forward-Link: " $_.lDAPDisplayName $_.linkID
}
}
}
2 {
Get-ADObject -LDAPFilter "(&(objectClass=attributeSchema)(linkID=*))" -Properties lDAPDisplayName,linkID -SearchBase "CN=Schema,CN=Configuration,DC=Root-Domäne" -searchScope oneLevel | Sort-Object linkID | ForEach-Object {
if ($_.linkID % 2){
Write-Host "Back-Link: " $_.lDAPDisplayName $_.linkID
}
}
}
3 {
Get-ADObject -LDAPFilter "(&(objectClass=attributeSchema)(linkID=*))" -Properties lDAPDisplayName,linkID -SearchBase "CN=Schema,CN=Configuration,DC=Root-Domäne" -searchScope oneLevel | Sort-Object linkID | ForEach-Object {
if ($_.linkID % 2){
Write-Host "Back-Link: " $_.lDAPDisplayName $_.linkID
}
else {
Write-Host "Forward-Link: " $_.lDAPDisplayName $_.linkID
}
}
}
default{
Write-Host "Ungültige Eingabe"
}
}
In einer Windows Server 2008 R2 AD Umgebung ohne jegliche AD-Erweiterung (wie beispielsweise eigene Schemaerweiterungen, Exchange etc.), existieren folgende 97 verknüpfte Attribute:
member 2
memberOf 3
manager 42
directReports 43
owner 44
ownerBL 45
siteObject 46
siteObjectBL 47
nonSecurityMember 50
nonSecurityMemberBL 51
queryPolicyObject 68
queryPolicyBL 69
privilegeHolder 70
isPrivilegeHolder 71
managedBy 72
managedObjects 73
hasPartialReplicaNCs 74
msDS-IsPartialReplicaFor 75
hasMasterNCs 76
masteredBy 77
syncMembership 78
serverReference 94
serverReferenceBL 95
bridgeheadTransportList 98
bridgeheadServerListBL 99
netbootServer 100
netbootSCPBL 101
frsComputerReference 102
frsComputerReferenceBL 103
fRSMemberReference 104
fRSMemberReferenceBL 105
fRSPrimaryMember 106
siteLinkList 142
siteList 144
msCOM-PartitionLink 1040
msCOM-PartitionSetLink 1041
msDS-NC-Replica-Locations 1044
msFRS-Hub-Member 1046
msCOM-UserPartitionSetLink 1048
msCOM-UserLink 1049
msDS-SDReferenceDomain 2000
msDS-HasInstantiatedNCs 2002
msDS-NonMembers 2014
msDS-NonMembersBL 2015
msDS-MembersForAzRole 2016
msDS-MembersForAzRoleBL 2017
msDS-OperationsForAzTask 2018
msDS-OperationsForAzTaskBL 2019
msDS-TasksForAzTask 2020
msDS-TasksForAzTaskBL 2021
msDS-OperationsForAzRole 2022
msDS-OperationsForAzRoleBL 2023
msDS-TasksForAzRole 2024
msDS-TasksForAzRoleBL 2025
msDS-HasDomainNCs 2026
msDS-IsDomainFor 2027
msSFU30PosixMember 2030
msSFU30PosixMemberOf 2031
msDS-hasMasterNCs 2036
msDs-masteredBy 2037
msDS-ObjectReference 2038
msDS-ObjectReferenceBL 2039
msPKIDPAPIMasterKeys 2046
msPKIAccountCredentials 2048
msDFSR-ComputerReference 2050
msDFSR-ComputerReferenceBL 2051
msDFSR-MemberReference 2052
msDFSR-MemberReferenceBL 2053
msDS-KrbTgtLink 2100
msDS-KrbTgtLinkBl 2101
msDS-RevealedUsers 2102
msDS-RevealedDSAs 2103
msDS-hasFullReplicaNCs 2104
msDS-IsFullReplicaFor 2105
msDS-NeverRevealGroup 2106
msDS-RevealOnDemandGroup 2110
msDS-AuthenticatedAtDC 2112
msDS-AuthenticatedToAccountlist 2113
msDS-NC-RO-Replica-Locations 2114
msDS-NC-RO-Replica-Locations-BL 2115
msDS-PSOAppliesTo 2118
msDS-PSOApplied 2119
addressBookRoots2 2122
globalAddressList2 2124
templateRoots2 2126
msDS-BridgeHeadServersUsed 2160
msPKI-CredentialRoamingTokens 2162
msDS-OIDToGroupLink 2164
msDS-OIDToGroupLinkBl 2165
msDS-HostServiceAccount 2166
msDS-HostServiceAccountBL 2167
msDS-EnabledFeature 2168
msDS-EnabledFeatureBL 2169
msTSPrimaryDesktop 2170
msTSPrimaryDesktopBL 2171
msTSSecondaryDesktops 2172
msTSSecondaryDesktopBL 2173
In einer Windows Server 2008 R2 und Exchange 2010 SP1 Umgebung, existieren folgende 314 verknüpfte Attribute:
member 2
memberOf 3
altRecipient 12
altRecipientBL 13
publicDelegates 14
publicDelegatesBL 15
homeMDB 32
homeMDBBL 33
manager 42
directReports 43
owner 44
ownerBL 45
siteObject 46
siteObjectBL 47
nonSecurityMember 50
nonSecurityMemberBL 51
queryPolicyObject 68
queryPolicyBL 69
privilegeHolder 70
isPrivilegeHolder 71
managedBy 72
managedObjects 73
hasPartialReplicaNCs 74
msDS-IsPartialReplicaFor 75
hasMasterNCs 76
masteredBy 77
syncMembership 78
serverReference 94
serverReferenceBL 95
bridgeheadTransportList 98
bridgeheadServerListBL 99
netbootServer 100
netbootSCPBL 101
frsComputerReference 102
frsComputerReferenceBL 103
fRSMemberReference 104
fRSMemberReferenceBL 105
fRSPrimaryMember 106
authOrig 110
authOrigBL 111
dLMemSubmitPerms 112
dLMemSubmitPermsBL 113
unauthOrig 114
unauthOrigBL 115
dLMemRejectPerms 116
dLMemRejectPermsBL 117
responsibleLocalDXA 122
assocRemoteDXA 123
supportingStack 132
supportingStackBL 133
siteLinkList 142
siteList 144
msExchHomeSyncService 146
msExchChildSyncAgreements 147
msExchRoutingGroupMembersDN 1000
msExchHomeRoutingGroupDNBL 1001
msExchSourceBridgeheadServersDN 1002
msExchBridgeheadedLocalConnectorsDNBL 1003
msExchTargetBridgeheadServersDN 1004
msExchBridgeheadedRemoteConnectorsDNBL 1005
msExchCASchemaPolicy 1006
msExchSchemaPolicyConsumers 1007
msExchOwningPFTree 1008
msExchOwningPFTreeBL 1009
msExchPolicyList 1012
msExchPolicyListBL 1013
msExchUseOAB 1014
msExchUseOABBL 1015
msExchAddressListServiceLink 1016
msExchAddressListServiceBL 1017
msExchComputerLink 1018
msExchExchangeServerLink 1019
msExchConferenceZone 1020
msExchConferenceZoneBL 1021
msExchMasterService 1022
msExchMasterServiceBL 1023
msExchExportContainersLinked 1028
msExchExportContainersBL 1029
msExchResponsibleMTAServer 1030
msExchResponsibleMTAServerBL 1031
msExchImportContainerLinked 1032
msExchAppliesToSmtpVS 1034
msExchAppliesToSmtpVSBL 1035
msExchConferenceMailbox 1036
msExchConferenceMailboxBL 1037
msExchMCUHostsSites 1038
msExchMCUHostsSitesBL 1039
msCOM-PartitionLink 1040
msCOM-PartitionSetLink 1041
msDS-NC-Replica-Locations 1044
msFRS-Hub-Member 1046
msCOM-UserPartitionSetLink 1048
msCOM-UserLink 1049
msExchHomeRoutingGroup 1050
msExchRoutingGroupMembersBL 1051
msExchMobileMailboxPolicyLink 1058
msExchMobileMailboxPolicyBL 1059
msExchAvailabilityPerUserAccount 1060
msExchAvailabilityPerUserAccountBL 1061
msExchAvailabilityOrgWideAccount 1062
msExchAvailabilityOrgWideAccountBL 1063
msExchUMDTMFFallbackAutoAttendantLink 1064
msExchUMDTMFFallbackAutoAttendantBL 1065
msExchOWATranscodingFileTypes 1066
msExchOWATranscodingFileTypesBL 1067
msExchOWAAllowedFileTypes 1068
msExchOWAAllowedFileTypesBL 1069
msExchOWAAllowedMimeTypes 1070
msExchOWAAllowedMimeTypesBL 1071
msExchOWAForceSaveFileTypes 1072
msExchOWAForceSaveFileTypesBL 1073
msExchOWAForceSaveMIMETypes 1074
msExchOWAForceSaveMIMETypesBL 1075
msExchOWABlockedFileTypes 1076
msExchOWABlockedFileTypesBL 1077
msExchOWABlockedMIMETypes 1078
msExchOWABlockedMIMETypesBL 1079
msExchOWARemoteDocumentsAllowedServers 1080
msExchOWARemoteDocumentsAllowedServersBL 1081
msExchOWARemoteDocumentsBlockedServers 1082
msExchOWARemoteDocumentsBlockedServersBL 1083
msExchOWARemoteDocumentsInternalDomainSuffixList 1084
msExchOWARemoteDocumentsInternalDomainSuffixListBL 1085
msExchOWATranscodingMimeTypes 1086
msExchOWATranscodingMimeTypesBL 1087
msExchSMTPReceiveDefaultAcceptedDomainLink 1088
msExchSMTPReceiveDefaultAcceptedDomainBL 1089
msExchHABShowInDepartments 1090
msExchHABShowInDepartmentsBL 1091
msExchHABRootDepartmentLink 1092
msExchHABRootDepartmentBL 1093
msExchHABChildDepartmentsLink 1094
msExchHABChildDepartmentsBL 1095
msExchMobileRemoteDocumentsAllowedServers 1096
msExchMobileRemoteDocumentsAllowedServersBL 1097
msExchMobileRemoteDocumentsBlockedServers 1098
msExchMobileRemoteDocumentsBlockedServersBL 1099
msExchMobileRemoteDocumentsInternalDomainSuffixList 1100
msExchMobileRemoteDocumentsInternalDomainSuffixListBL1101
msExchServerSite 1102
msExchServerSiteBL 1103
msExchHostServerLink 1104
msExchHostServerBL 1105
msExchMDBAvailabilityGroupLink 1110
msExchMDBAvailabilityGroupBL 1111
msExchConfigurationUnitLink 1112
msExchConfigurationUnitBL 1113
msExchPolicyTagLink 1114
msExchPolicyTagLinkBL 1115
msExchRoleLink 1116
msExchRoleBL 1117
msExchUserLink 1118
msExchUserBL 1119
msExchDomainRestrictionLink 1120
msExchDomainRestrictionBL 1121
msExchConfigRestrictionLink 1122
msExchConfigRestrictionBL 1123
msExchApprovalApplicationLink 1124
msExchArbitrationMailboxesBL 1125
msExchCoManagedByLink 1126
msExchCoManagedObjectsBL 1127
msExchModeratedByLink 1128
msExchModeratedObjectsBL 1129
msExchOrganizationsGlobalAddressListsLink 1130
msExchOrganizationsGlobalAddressListsBL 1131
msExchOrganizationsAddressBookRootsLink 1132
msExchOrganizationsAddressBookRootsBL 1133
msExchOrganizationsTemplateRootsLink 1134
msExchOrganizationsTemplateRootsBL 1135
msExchExchangeRPCServiceArrayLink 1136
msExchExchangeRPCServiceArrayBL 1137
msExchParentPlanLink 1178
msExchParentPlanBL 1179
msExchBypassModerationLink 1180
msExchBypassModerationBL 1181
msExchBypassModerationFromDLMembersLink 1182
msExchBypassModerationFromDLMembersBL 1183
msExchFedAcceptedDomainLink 1184
msExchFedAcceptedDomainBL 1185
msExchServerAssociationLink 1186
msExchServerAssociationBL 1187
msExchSupervisionUserLink 1188
msExchSupervisionUserBL 1189
msExchSupervisionDLLink 1190
msExchSupervisionDLBL 1191
msExchSupervisionOneOffLink 1192
msExchSupervisionOneOffBL 1193
msExchMailboxMoveTargetMDBLink 1194
msExchMailboxMoveTargetMDBBL 1195
msExchRBACPolicyLink 1196
msExchRBACPolicyBL 1197
msExchMailboxMoveSourceMDBLink 1198
msExchMailboxMoveSourceMDBBL 1199
msExchArchiveDatabaseLink 1200
msExchArchiveDatabaseBL 1201
msExchRMSComputerAccountsLink 1202
msExchRMSComputerAccountsBL 1203
msExchDelegateListLink 1204
msExchDelegateListBL 1205
msExchDeviceAccessControlRuleLink 1206
msExchDeviceAccessControlRuleBL 1207
msOrg-Leaders 1208
msOrg-LeadersBL 1209
msExchIntendedMailboxPlanLink 1210
msExchIntendedMailboxPlanBL 1211
msExchDefaultPublicMDB 1212
msExchDefaultPublicMDBBL 1213
msExchMailboxMoveSourceUserLink 1214
msExchMailboxMoveSourceUserBL 1215
msExchMailboxMoveStorageMDBLink 1216
msExchMailboxMoveStorageMDBBL 1217
msExchMailboxMoveTargetUserLink 1218
msExchMailboxMoveTargetUserBL 1219
msExchSharedConfigLink 1220
msExchSharedConfigBL 1221
msExchMailboxMoveSourceArchiveMDBLink 1222
msExchMailboxMoveSourceArchiveMDBBL 1223
msExchMailboxMoveTargetArchiveMDBLink 1224
msExchMailboxMoveTargetArchiveMDBBL 1225
msExchShadowManagerLink 1226
msExchSupportedSharedConfigLink 1228
msExchSupportedSharedConfigBL 1229
msExchDisabledArchiveDatabaseLink 1230
msDS-SDReferenceDomain 2000
msDS-HasInstantiatedNCs 2002
msDS-NonMembers 2014
msDS-NonMembersBL 2015
msDS-MembersForAzRole 2016
msDS-MembersForAzRoleBL 2017
msDS-OperationsForAzTask 2018
msDS-OperationsForAzTaskBL 2019
msDS-TasksForAzTask 2020
msDS-TasksForAzTaskBL 2021
msDS-OperationsForAzRole 2022
msDS-OperationsForAzRoleBL 2023
msDS-TasksForAzRole 2024
msDS-TasksForAzRoleBL 2025
msDS-HasDomainNCs 2026
msDS-IsDomainFor 2027
msSFU30PosixMember 2030
msSFU30PosixMemberOf 2031
msDS-hasMasterNCs 2036
msDs-masteredBy 2037
msDS-ObjectReference 2038
msDS-ObjectReferenceBL 2039
msPKIDPAPIMasterKeys 2046
msPKIAccountCredentials 2048
msDFSR-ComputerReference 2050
msDFSR-ComputerReferenceBL 2051
msDFSR-MemberReference 2052
msDFSR-MemberReferenceBL 2053
msExchELCFolderLink 2054
msExchELCFolderBL 2055
msExchMailboxTemplateLink 2056
msExchMailboxTemplateBL 2057
msExchUMTemplateLink 2058
msExchUMTemplateBL 2059
msExchUMRecipientDialPlanLink 2060
msExchUMRecipientDialPlanBL 2061
msExchUMServerDialPlanLink 2062
msExchUMServerDialPlanBL 2063
msExchUMIPGatewayDialPlanLink 2064
msExchUMIPGatewayDialPlanBL 2065
msExchUMIPGatewayServerLink 2066
msExchUMIPGatewayServerBL 2067
msExchUMAutoAttendantDialPlanLink 2068
msExchUMAutoAttendantDialPlanBL 2069
msExchUMDialPlanDefaultAutoAttendantLink 2070
msExchUMDialPlanDefaultAutoAttendantBL 2071
msExchUMHuntGroupDialPlanLink 2072
msExchUMHuntGroupDialPlanBL 2073
msExchELCExpiryDestinationLink 2080
msExchAttachmentFilteringExceptionConnectorsLink 2082
msExchJournalingRulesLink 2084
msExchMailboxOABVirtualDirectoriesLink 2086
msExchMailboxOABVirtualDirectoriesBL 2087
msExchOABVirtualDirectoriesLink 2088
msExchOABVirtualDirectoriesBL 2089
msExchELCAutoCopyAddressLink 2090
msExchUMMailboxPolicyDialPlanLink 2092
msExchUMMailboxPolicyDialPlanBL 2093
msExchSmtpSendReceiveConnectorLink 2094
msExchTransportSubmissionServerOverrideList 2096
msExchServerAdminDelegationLink 2098
msExchServerAdminDelegationBL 2099
msDS-KrbTgtLink 2100
msDS-KrbTgtLinkBl 2101
msDS-RevealedUsers 2102
msDS-RevealedDSAs 2103
msDS-hasFullReplicaNCs 2104
msDS-IsFullReplicaFor 2105
msDS-NeverRevealGroup 2106
msDS-RevealOnDemandGroup 2110
msDS-AuthenticatedAtDC 2112
msDS-AuthenticatedToAccountlist 2113
msDS-NC-RO-Replica-Locations 2114
msDS-NC-RO-Replica-Locations-BL 2115
msDS-PSOAppliesTo 2118
msDS-PSOApplied 2119
addressBookRoots2 2122
globalAddressList2 2124
templateRoots2 2126
msDS-BridgeHeadServersUsed 2160
msPKI-CredentialRoamingTokens 2162
msDS-OIDToGroupLink 2164
msDS-OIDToGroupLinkBl 2165
msDS-HostServiceAccount 2166
msDS-HostServiceAccountBL 2167
msDS-EnabledFeature 2168
msDS-EnabledFeatureBL 2169
msTSPrimaryDesktop 2170
msTSPrimaryDesktopBL 2171
msTSSecondaryDesktops 2172
msTSSecondaryDesktopBL 2173
|