Immer wieder haben Administratoren Probleme mit dem Kennwort für den Verzeichnisdienstwiederherstellungsmodus. Sie gehen zu leichtfertig und unbedacht mit diesem hochsensiblen Kennwort um und wissen oftmals nicht, für was dieses Kennwort benötigt wird. Sie schreiben sich das Kennwort bei der Vergabe nicht auf und wissen es im Ernstfall nicht mehr. Das man das Kennwort seit Windows …
Continue reading Das Kennwort vom DSRM ab Windows Server 2008 synchronisierenActive Directory|Administration
Im Windows Server 2008 R2 ist erstmals die Active Directory-Powershell in der Version 2.0 Out-of-the-Box für AD DS sowie AD LDS (ehemals ADAM) im Betriebssystem integriert. Es stehen die AD-Powershell Kommandozeile sowie das Snap-In Windows PowerShell Integrated Scripting Environment (ISE) zur Verfügung. Die Powershell-Entwicklungsumgebung ISE muss im Server Manager unter den Features installiert werden, ehe …
Continue reading Die AD-Powershell im Windows Server 2008 R2So einfach wie die Frage im ersten Moment klingt, so schwierig ist sie zu beantworten. Gleich vorweg, letztendlich lässt sich diese Frage nicht pauschal beantworten, denn es gibt keine Faustformel dazu, die Anzahl der benötigten Domänencontroller (DCs) zu berechnen. Aber eins kann man mit Gewissheit empfehlen, jede Domäne muss wegen der Ausfallsicherheit und Verfügbarkeit mindestens …
Continue reading Wie viele DCs pro Domäne werden benötigt?Wenn ein Domänencontroller (DC) ausgetauscht wird, ist darauf zu achten, dass alle Dienste sowie Daten von einem anderen Server bzw. DC übernommen werden. Das trifft auch für die FSMO-Rollen zu. Falls der FSMO-Rolleninhaber ausgetauscht werden sollte, gilt es die FSMO-Rollen entweder durch die grafische Oberfläche oder durch das im Betriebssystem enthaltene Kommandozeilentool NTDSUTIL manuell zu …
Continue reading Die FSMO-Rollen mit DCPROMO verschiebenAn welchen Stellen stößt das Active Directory und seine Werkzeuge an die Grenzen? Das “Active Directory-Benutzer und -Computer” Snap-In Falls in der MMC Active Directory-Benutzer und -Computer in einem Container bzw. OU mehr als 2000 Objekte enthalten sind,wird die folgende Meldung angezeigt: Screenshot vom Windows Server 2008Anschließend kann dem Hinweis gefolgt und somit die …
Continue reading Die Grenzen des Active DirectoryJeder der mit der Additional Account Info DLL (acctinfo.dll) schon einmal gearbeitet hat, weiß diese zusätzlichen Angaben zu schätzen.Die zusätzlichen Angaben werden in einem weiteren Reiter, in den Benutzereigenschaften angezeigt. Diese DLL befindet sich in denAccount Lockout and Management Tools. Dort ist sie mit der Versionsnummer 1.0.0.1111 vorhanden. Nach dem registrieren dieser DLL,taucht in den …
Continue reading Account Info DLL Version 2In einer Active Directory Umgebung findet zwischen den Domänencontrollern eine Multimaster-Replikation statt.Dadurch kann auf jedem Domänencontroller (DC) eine Änderung durchgeführt werden, die Dank der AD-Replikation an alle DCs repliziert wird.Das Active Directory (genauer KCC) reagiert dabei schnell auf etwaige Veränderungen in der Gesamtstrukturtopologie und findet – sofern irgendwie möglich – oftmals eine Lösung. Nun …
Continue reading Active Directory-ReplikationskonfliktSeit der Einführung des “Active Directory” mit Windows 2000, können standardmäßig “authentifizierte Benutzer” 10 Clients in die Domäne aufnehmen. Im weiteren Verlauf wird beschrieben, welche beiden Möglichkeiten dem Administrator zur Verfügung stehen um diese Konfiguration zu ändernund wie die notwendige Berechtigung zum “Hinzufügen der Clients zur Domäne” an die entsprechenden Personen erteilt werden können. Die Gruppenrichtlinie In der Default Domain …
Continue reading Clients in die Domäne hinzufügenEines der vielen Aufgaben eines Administrators ist, Ordnung in seinem Netzwerk zu halten. Dazu gehört unter anderem,Mitarbeiter die das Unternehmen verlassen haben aus dem Active Directory zu löschen (oder mindestens zu deaktivieren).Ebenso bei ausgemusterten Clients, die Computerobjekte aus dem Active Directory zu entfernen. Möchte man nun ein Computerkonto aus dem Active Directory entfernen, könnte es …
Continue reading Computerkonto löschenMöchte man die letzte Anmeldung eines Benutzers herausfinden, so führen zu diesem Vorhaben mehrere Wege zum Ziel.Die benötigte Information lässt sich wie vieles (aufwändig) über das ADSI auslesen.Das Attribut in dem die letzte Anmeldung gespeichert wird, lautet Last-Logon.Der Nachteil an diesem Attribut ist, dass es nicht zwischen den Domänencontrollern repliziert wird.Es gilt also das Attribut …
Continue reading Die letzte Benutzeranmeldung herausfinden