LDAP://Yusufs.Directory.Blog/ - Wednesday, June 24, 2009

Home

Wieviele Sprachen sprechen Sie? Ich spreche bloß eine: LDAP!

About

Blogroll

ActiveDir

AD Documentation Team

Windows Server Division

Wolfgang Sauer

Contact

Email Me

Disclaimer
The opinions expressed herein are my own personal opinions and do not represent my employer's view in anyway.

Wednesday, June 24, 2009

Die Active Directory-Attribute hinter den Feldnamen

Möchte der Administrator eine LDAP-Abfrage durchführen oder eine Objektdelegierung im Active Directory (AD) einrichten, so muss er wissen welches Attribut hinter dem Feld z.B. in der MMC Active Directory-Benutzer und –Computer (dsa.msc) dahinter steckt, damit er seine Aufgabe durchführen kann.

Die Attribute die hier aufgezeigt werden beziehen sich auf die Felder in der MMC dsa.msc.

Die Attribute hinter den Feldern eines Benutzerkontos

Die Registerkarte: Allgemein

Die Registerkarte: Adresse

Die Registerkarte: Konto

Die Registerkarte: Profil

Die Registerkarte: Rufnummern

Die Registerkarte: Organisation

Die Registerkarte: Mitglied von

Die Übersicht in der MMC "dsa.msc"

Die Attribute hinter den Feldern eines Gruppenkontos

Die Registerkarte: Allgemein

Die Registerkarte: Mitglieder

Die Registerkarte: Mitglied von

Die Registerkarte: Verwaltet von

Die Attribute hinter den Feldern einer Organisationseinheit (OU)

Die Registerkarte: Allgemein

Die Registerkarte: Verwaltet von

Die Attribute in der Registerkarte "Objekt"

Diese Registerkarte kommt in den Eingenschaften einer OU, eines Benutzer-, Gruppen- oder Computerkontos erst dann zum Vorschein, wenn im Snap-In Active Directory-Benutzer und -Computer unter Ansicht die Option Erweiterte Funktionen aktiviert wurde.

Die Attribute hinter den Feldern eines Computerkontos

Die Registerkarte: Allgemein

Die Registerkarte: Betriebssystem

Die Registerkarte: Mitglied von

Die Registerkarte: Standort

Die Attribute hinter den Feldern eines Druckers

Die Registerkarte: Allgemein

Die Attribute hinter den Feldern eines "Kontakts"

Die Registerkarte: Allgemein

Die Registerkarte: Adresse

Die Registerkarte: Rufnummern

Die Registerkarte: Organisation

Weitere Informationen:
Gespeicherte Abfragen
Active Directory - Abfrage
All Attributes (Windows)
All Classes (Windows)
Mappings for the Active Directory Users and Computers Snap-in (Windows)

Wednesday, June 24, 2009 8:04:25 AM (W. Europe Standard Time, UTC+01:00)

Active Directory | Administration | Erweiterte Abfragen | Objektverwaltung |

Friday, June 19, 2009

Den Eintrag „Benutzer“ aus der MMC dsa.msc entfernen

In vielen Unternehmen ist ein Prozess etabliert, wie und wann ein neuer Mitarbeiter im Active Directory (AD) als Benutzer erstellt wird. Viele Firmen verwenden zum erstellen eines Benutzerkontos die Standardwerkzeuge, wie die MMC Active Directory-Benutzer und -Computer (dsa.msc) das im Windows mitgeliefert wird. Andere Firmen verwenden dagegen ihre „eigenen“ Werkzeuge in Form von Dritt-Anbieter Tools, Skripten oder selbst entwickelte Tools, weil dadurch gleich beim erstellen eines Domänen-Benutzers weitere Informationen (z.B. Büro, Rufnummer, Adressinformationen etc.) dem Benutzerkonto in einem Schritt vergeben werden.

Mit einer Unternehmensrichtlinie kann man zwar festlegen, dass ein Benutzerkonto ausschließlich über das eigene Werkzeug erstellt werden soll, doch technisch gesehen kann natürlich der Administrator weiterhin über die MMC dsa.msc Benutzerkonten erstellen.

Das kann man jedoch wie folgt unterbinden:

Dazu ruft man zuerst das ADSIEdit.msc auf, das sich unter Windows 2000 und Windows Server 2003 in den Windows Support Tools befindet und ab Windows Server 2008 bereits im Betriebssystem integriert ist und verbindet sich mit der Schemapartition.
Dann gilt es in den Eigenschaften des Objekts CN=User den Wert des Attributs defaulthidingvalue auf TRUE (Wahr) zu setzen. Ändert man stattdessen das Attribut im Objekt CN=Group, so lassen sich keine Gruppen mehr in der MMC dsa.msc erstellen.
Anschließend steht der Eintrag „Benutzer“ unter „Neu“ nicht mehr zur Verfügung.

Da diese Änderung in der Schemapartition durchgeführt und auf alle DCs in der Gesamtstruktur repliziert wird, betrifft das alle Domänen in der Gesamtstruktur.

Natürlich ist es aber über andere grafische Tools oder mit Kommandozeilentools wie z.B. DSADD weiterhin möglich Benutzer im AD zu erstellen. Diese Änderung betrifft ausschließlich die MMC Active Directory-Benutzer und -Computer.

Weitere Informationen:
Eigene Spalten in ADBuC integrieren

Friday, June 19, 2009 1:07:01 PM (W. Europe Standard Time, UTC+01:00)

Active Directory | Administration |

Thursday, June 11, 2009

Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008

Microsoft stellt das Active Directory Management Gateway Service (AD MGS) für Windows Server 2003 und Windows Server 2008 als separaten Download zur Verfügung.

Wenn das AD MGS installiert ist, stellt es die gleichen Funktionen zur Verfügung wie die Active Directory Web Services (ADWS) unter Windows Server 2008 R2.
Das AD MGS ist das AD-Web Services für Windows Server 2003 und Windows Server 2008.

Die Installationsvoraussetzungen für das AD MGS wären:

Auf dem Server muss das Active Directory bzw. Active Directory Domain Services oder eine Active Directory Lightweight Directory Service-Instanz (AD LDS) installiert sein.
Das AD MGS lässt sich ausschließlich auf Windows Server 2003 SP2, Windows Server 2003 R2 SP2 und auf Windows Server 2008 SP1 (oder höher) installieren.
Jedoch wird das AD MGS nicht auf der Installationsvariante Server Core unter Windows Server 2008 unterstützt.
Das .NET-Framework 3.5 Service Pack 1 muss unter Windows Server 2003 SP2/2003 R2 SP2 und Windows Server 2008 SP1/SP2 installiert sein.
Ist das .NET-Framework 3.5 Service Pack 1 auf dem DC installiert, muss anschließend unter Windows Server 2003 SP2/2003 R2 SP2 und
Windows Server 2008 SP1/SP2 noch zwingend dieser Hotfix installiert werden:

A hotfix rollup package for Active Directory Web Service is available for the .NET Framework 3.5 SP1
Auf einem Windows Server 2003 SP2/2003 R2 SP2 DC muss dann noch dieser Hotfix installiert werden:

Windows 7 clients cannot locate the Active Directory Management Gateway service that is installed on Windows Server 2003-based domain controllers
Auf einem Windows Server 2008 SP1 DC muss dieser Hotfix zusätzlich noch installiert werden:

Windows 7 clients cannot locate the Active Directory Management Gateway Service installed on Windows Server 2008-based domain controllers

Auf einem Windows Server 2008 SP2 DC wird der Hotfix nicht benötigt!

Nach der Installation des AD MGS kann ein Windows Server 2003 DC oder Windows Server 2008 DC über die AD-Powershell und
Active Directory Administrative Center (ADAC) von einem Windows 7 Client oder Windows Server 2008 R2 Mitgliedsserver bzw. DC administriert werden.

Das AD MGS steht hier zum Download zur Verfügung:

Active Directory Management Gateway Service (Active Directory Web Service for Windows Server 2003 and Windows Server 2008)

Weitere Informationen:
The Active Directory Management Gateway Service is now available
Neues in den AD DS: Active Directory-Webdienste
Die AD-Powershell im Windows Server 2008 R2
Das Active Directory-Verwaltungscenter

Thursday, June 11, 2009 9:41:04 AM (W. Europe Standard Time, UTC+01:00)

Active Directory | Administration | AD-Powershell |

Saturday, June 06, 2009

Den Domänen- und Gesamtstrukturfunktionsmodus zurückstufen

Wurde bis einschließlich Windows Server 2008 der Domänen- oder Gesamtstrukturfunktionsmodus z.B. von „Windows Server 2003“ auf „Windows Server 2008“ hochgestuft, ist es nicht möglich weder den Domänen- noch Gesamtstrukturfunktionsmodus zurückzustufen. Die einzige Möglichkeit wäre ein Forest-Recovery durchzuführen. Denn das Heraufstufen des Domänen- bzw. Gesamtstrukturfunktionsmodus ist ein irreversibler Vorgang.

Unter Windows Server 2008 R2 ist nun das zurückstufen in einen bestimmten Domänen- sowie Gesamtstrukturfunktionsmodus unter gewissen Voraussetzungen möglich.

Die Funktionsebenen bestimmen zum einen die zur Verfügung stehenden Active Directory-Funktionen innerhalb der Domäne sowie Gesamtstruktur und zum anderen werden die Betriebssystemversionen beschränkt, die auf Domänencontrollern (DCs) ausgeführt werden können.

Weitere Informationen über die Funktionsebenen liefert der folgende Artikel:

Domänen- und Gesamtstrukturfunktionsmodus

Den Domänenfunktionsmodus zurückstufen

Der Domänenfunktionsmodus lässt sich unter bestimmten Voraussetzungen wie folgt zurückstufen:

Der aktuelle Domänenfunktionsmodus muss sich auf „Windows Server 2008 R2“ befinden.
Der Domänenfunktionsmodus lässt sich ausschließlich auf „Windows Server 2008“ zurückstufen. Ein zurückstufen auf „Windows Server 2003“ oder früher ist unter keinen Umständen möglich.
Der Gesamtstrukturfunktionsmodus muss den Domänenfunktionsmodus auf den die entsprechende Domäne zurückgestuft werden soll (also auf „Windows Server 2008“) unterstützen. Das bedeutet, befindet sich der Gesamtstrukturfunktionsmodus auf „Windows Server 2008 R2“, so kann die Domäne nicht auf „Windows Server 2008“ zurückgestuft werden, da der Gesamtstrukturfunktionsmodus nur „Windows Server 2008 R2“ Domänen innerhalb der Gesamtstruktur unterstützt.
Der Gesamtstrukturfunktionsmodus muss sich also auf Windows 2000, Windows Server 2003 oder Windows Server 2008 befinden.
Der Domänenfunktionsmodus kann zum einen in der AD-Powershell mit dem Commandlet Set-ADDomainMode und zum anderen, mit dem Attribut-Editor in der MMC Active Directory-Benutzer und -Computer (dsa.msc) oder ADSIEdit zurückgestuft werden.
Unter Start-Verwaltung gilt es das Active Directory Module for Windows Powershell zu starten. Danach kann mit diesem AD Powershell-Befehl der Domänenfunktionsmodus zurückgestuft werden:
Set-ADDomainMode <FQDN der Domäne> -DomainMode Windows2008Domain
Anschließend muss die Aktion mit einem „J“ bestätigt werden.
Leider erscheint in der AD-Powershell keine Meldung das die Aktion durchgeführt wurde. Es wird aber im Verzeichnisdienstprotokoll des DCs die EventID 2039 protokolliert in der bestätigt wird, dass die Neue Domänenfunktionsebene:3 lautet.
Die Zahl „3“ gibt den Wert im Attribut msDS-Behavior-Version an, das sich in der Domänenpartition in den Eigenschaften des Containers <DC=Domäne,DC=TLD> befindet.

Folgende Werte können im Attribut msDS-Behavior-Version eingetragen sein:
0 = Domänenfunktionsmodus: Windows 2000 gemischt und Windows 2000 pur
1 = Domänenfunktions: Windows Server 2003 Interim
2 = Domänenfunktionsebene: Windows Server 2003
3 = Domänenfunktionsebene: Windows Server 2008
4 = Domänenfunktionsebene: Windows Server 2008 R2
Mit dem Attribut-Editor in der MMC Active Directory-Benutzer und -Computer (dsa.msc) oder ADSIEdit lässt sich der Domänenfunktionsmodus ebenfalls zurückstufen. In der MMC dsa.msc gilt es zuerst unter Ansicht die Erweiterte Features zu aktivieren. Anschließend ruft man mit einem Rechtsklick auf den Domänennamen die Eigenschaften auf und wechselt zum Reiter Attribut-Editor. Dort angelangt, ändert man den Wert im Attribut msDS-Behavior-Version von 4 auf 3. Mit ADSIEdit ist die Vorgehensweise ähnlich. Nach dem Aufruf von ADSIEdit stellt man im ersten Schritt eine Verbindung mit der Domänenpartition (Standardmäßiger Namenskontext) her und ändert im zweiten, den Wert im Attribut msDS-Behavior-Version von 4 auf 3.
Der Domänenfunktionsmodus kann natürlich auch in der MMC Active Directory-Benutzer und -Computer (dsa.msc) und Active Directory-Domänen und -Vertrauensstellungen (domain.msc) überprüft werden.
In der AD-Powershell lässt sich der DomainMode mit dem Cmdlet Get-ADDomain verifizieren.

Den Gesamtstrukturfunktionsmodus zurückstufen

Der Gesamtstrukturfunktionsmodus lässt sich unter gewissen Voraussetzungen wie folgt zurückstufen:

Der aktuelle Gesamtstrukturfunktionsmodus muss sich auf „Windows Server 2008 R2“ befinden.
Der Gesamtstrukturfunktionsmodus kann wie der Domänenfunktionsmodus nur auf „Windows Server 2008“ zurückgestuft werden.
Optionale Funktionen die nicht mehr deaktiviert werden können, wie der AD-Papierkorb, dürfen nicht aktiviert sein. Zukünftige optionale Funktionen die deaktiviert werden können, lassen sich mit dem AD-Powershell Cmdlet Disable-ADOptionalFeature deaktivieren.
Das zurückstufen erfolgt entweder in der AD-Powershell mit dem Cmdlet Set-ADForestMode oder mit ADSIEdit.
In dem Active Directory Module for Windows Powershell muss zum zurückstufen des Gesamtstrukturfunktionsmodus dieser Befehl eingegeben werden:
Set-ADForestMode <FQDN der Root-Domäne> -ForestMode Windows2008Forest
Der Vorgang ist mit einem „J“ zu bestätigen.
Danach wird im Verzeichnisdienstprotokoll des DCs die EventID 2040 protokolliert mit der Beschreibung, dass die Neue Gesamtstrukturfunktionsebene:3 lautet.
Auch hier ist mit der Zahl „3“ der Wert im Attribut msDS-Behavior-Version gemeint, das sich in den Eigenschaften des Containers
<CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> befindet.

Die Werte die im Attribut msDS-Behavior-Version eingetragen werden können sind:

0 = Gesamtstrukturfunktionsebene: Windows 2000
1 = Gesamtstrukturfunktionsebene: Windows Server 2003 Interim
2 = Gesamtstrukturfunktionsebene: Windows Server 2003
3 = Gesamtstrukturfunktionsebene: Windows Server 2008
4 = Gesamtstrukturfunktionsebene: Windows Server 2008 R2
Mit ADSIEdit ist zuerst eine Verbindung mit der Konfigurationspartition herzustellen. Anschließend muss der Wert im Attribut msDS-Behavior-Version das sich in den Eigenschaften des Containers <CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> befindet, von 4 auf 3 geändert werden.
Außerdem kann man den Gesamtstrukturfunktionsmodus in der MMC Active Directory-Domänen und -Vertrauensstellungen (domain.msc) kontrollieren.
In der AD-Powershell lässt sich der ForestMode mit dem Cmdlet Get-ADForest überprüfen.

Weitere Informationen:
Der Active Directory-Papierkorb im Windows Server 2008 R2
Die AD-Powershell im Windows Server 2008 R2

Saturday, June 06, 2009 7:00:35 AM (W. Europe Standard Time, UTC+01:00)

Active Directory | Administration | AD-Powershell |

Wednesday, May 27, 2009

Die Konfiguration des Windows Server 2008 R2 Core

Der Kommandozeilenserver Server Core ist mit Windows Server 2008 eingeführt worden und wird mit Windows Server 2008 R2 weiterentwickelt. Redmond stellt für den Server Core unter 2008 R2 weitere Rollen sowie optionale Features zur Verfügung, die man sich mit oclist anzeigen lassen kann und mit ocsetup bzw. dism installiert werden.

Gerade aber die Erstkonfiguration des Server Core stellt viele Administratoren die lieber mit der Maus arbeiten vor eine Herausforderung. Denn mit Bordmitteln lässt sich der Server Core ausschließlich über die Kommandozeile konfigurieren, in der lange Befehle eingetippt werden müssen (was nicht gerade jedermanns Geschmackssache ist).

Kostenlose Tools im Internet schaffen Abhilfe und helfen dem Administrator, der sich nur schwer von seiner geliebten Maus trennen kann, die langen und aufwändigen Befehle nicht per Hand eintippen zu müssen.

Nun befindet sich jedoch in der Installationsvariante Server Core des Windows Server 2008 R2 das Skript Sconfig.cmd im Verzeichnis %windir%\System32 bereits „on Bord“, das die Erstkonfiguration des Server Core wesentlich erleichtert. Mit dem Skript können die folgenden Konfigurationen des Server Core vorgenommen werden:

Domäne/Arbeitsgruppe
Computername
Lokalen Administrator hinzufügen
Remoteverwaltung konfigurieren
Windows Update-Einstellungen
Updates herunterladen u. installieren
Remotedesktop
Netzwerkeinstellungen
Datum und Uhrzeit
Benutzer abmelden
Server neu starten
Server herunterfahren
Zur Befehlszeile wechseln

Der Administrator kann jetzt einfacher die lokale Konfiguration des Server Core mit Bordmitteln vornehmen, damit in Zukunft die Fernwartung über die MMCs durchgeführt werden kann.

Des Weiteren existiert noch ein neues Kommandozeilentool tzutil.exe mit dem die Zeitzone konfiguriert werden kann.

Weitere Informationen:
Windows Server 2008 Core
Tools zum konfigurieren des Server Core
Server Core Installation Option Getting Started Guide
Download details: Server Core Job Aids

Wednesday, May 27, 2009 7:51:44 PM (W. Europe Standard Time, UTC+01:00)

Windows Server |