Ein paar Notizen zu RIDs und zu den Problemen, wenn sie ausgehen … Objekte im AD erhalten einen eindeutigen SID (Security Identifier), und der sieht etwas kryptisch aus: S-1-5-21-3872706870-2942580982-876211802-6705 Eine Beschreibung der SIDs findet sich zum Beispiel im Microsoft-Knowledgebase-Artikel 243330. Für diesen Blogartikel interessant ist die Zahl hinter dem letzten „-„, im obigen Beispiel also die „6705“. […]

Manchmal denkt man, eine Funktion verstanden zu haben, und steht dann völlig ratlos da, wenn etwas nicht wie vorhergesagt funktioniert. So ging es mir mit der Einstellung „Minimales Kennwortalter“ in den Windows GPOs. Wie gesagt ist die Funktion eigentlich klar: Ein Kennwort muss x Tage alt sein, bevor ein Benutzer es das nächste Mal ändern […]

Während die meisten Devices im Netz die Möglichkeit haben, per syslog Ereignisse an einen anderen Server zu senden, fehlt dies bei Windows. Auf Clients mag man noch darauf verzichten können, aber in einer gemischten Serverlandschaft hätte das durchaus Vorteile. Die Auswertung der Logfiles aller Komponenten (Windows, Linux, Switche etc) kann an einer zentralen Stelle erfolgen […]

Hatte schon vor einiger Zeit ein Tool auf CodePlex gefunden, mit dem man Teilbäume von den TechNet- und MSDN-Hilfeseiten herunterladen und offline als CHM abspeichern kann. Das hatte damals noch etwas Probleme mit Bildern, das ist aber in der neuen Version (1.3.4) wohl behoben. Das Tool heißt Package This! und ist ganz einfach zu bedienen…

Im Active Directory kann man ja, wie allseits bekannt, auf OUs etc. auch Rechte vergeben. Und natürlich lassen sich diese Rechte auch vererben an darunter liegende Objekte. Dass diese Vererbung nicht immer ganz einleuchtend ist, zeigt folgendes Beispiel: Eine OU=Deutschland, darunter eine OU=Bayern und darunter eine OU=Franken. Dazu noch eine Gruppe CN=Bayrisch,OU=Deutschland und eine Gruppe […]

Dieser Beitrag erschien zuerst auf Ralfs Blog. Es gibt sicher viele Wege, ein vergessenes Kennwort zurückzusetzen, aber diese hier ist glaube ich die Einfachste und funktioniert auch an Domänencontrollern mit dem Domänen-Administrator-Konto. Ein bisschen erschrocken war ich schon, aber zumindest wird jetzt hoffentlich auch noch dem letzten klar, dass physischer Zugriff zu einem Server absolut […]

Dieser Beitrag erschien zuerst in Ralfs Blog. In einem Standard-AD sieht man bei Objekten drei verschiedene Leserechte, nämlich List Child (LC) regelt die Sichtbarkeit von Objekten unterhalb des aktuellen Objektes, also zum Beispiel den Inhalt einer OU Read Control (RC) bzw. Read Permissions  regelt die Lesbarkeit von Besitzer, primärer Gruppe und der DACL (nicht der […]