Auch Domänencontroller segnen irgendwann das Zeitliche. Weiß man das vorher, dann kann (und sollte) man den DC geordnet aus dem Active Directory entfernen. Das geht recht einfach über eine ordentliche Deinstallation. Nun kann ein DC aber auch einfach “versterben” – der Server ist kaputt und lässt sich nicht reparieren. Für den laufenden Betrieb ist das […]

Möchte man die PrimaryGroupID (näheres siehe in diesem Beitrag) automatisch für alle AD-User prüfen und ggf. auch automatisch korrigieren, so kann man dies natürlich auch per PowerShell tun. Im Active Directory gibt es standardmäßig eine Ausnahme, welche nicht die primaryGroupID 513 („Domain-Users“) hat: Hierbei handelt es sich um den User „Guest“, dieser hat die primaryGroupID […]

In Umgebungen, die mehr als eine Sprache für die Betriebssysteme ihrer Server einsetzen, sind bisweilen die Standardobjekte des Active Directory in der falschen Sprache. Da es im AD grundsätzlich problemlos möglich ist, die Objektnamen von Usern und Gruppen zu ändern, kann man das auch in diesen Fällen tun. Die Tücke steckt hier im Detail, denn […]

Bei einem Kunden sollte eine Reihe von AD-Gruppen komplett geleert werden. OK, kein größeres Problem – dachten wir. Ein Weg, das per PowerShell zu machen, geht so: Get-ADGroupMember „test_group“ | ForEach-Object {Remove-ADGroupMember „test_group“ $_ -Confirm:$false} Funktionierte hier aber nicht – die PowerShell gab “Unspecified Errors” zurück. Wie sich herausstellte, lag die Ursache an verwaisten Objekten, […]

Um Benutzerkonten im AD effizienter anzulegen, habe ich ein Skript entwickelt. Es hat folgende Features: Die Benutzernamen werden aus einer .csv ausgelesen Falls ein Benutzer im AD bereits vorhanden ist, wird man zur Änderung des Namens aufgefordert Es wird am Domänencontroller bzw. im AD folgendes erstellt: 2 Shares – eines als Homedrive, das zweite mit Leserechten für […]

Mit dem Kommando “dsmove” kann man seit Windows Server 2003 AD-Objekte per Kommandozeile verschieben. Anders als die anderen ds*-Tools kommt dsmove leider nicht mit dem Piping klar: Zwar kann man etwa die Ausgabe eines “dsquery”-Befehls per Pipe an dsmove weiterleiten und so nacheinander mehrere Objekte an den Befehl verfüttern – doch dsmove wird nur das […]

dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen. In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze […]

Neulich rief ein Kollege bei mir an und berichtete mir, dass einige Benutzer ihre Domänenpasswörter nicht mehr ändern konnten. Sie erhielten folgende Fehlermeldung: Da es in den Benutzerkontenoptionen eine Checkbox namens „Benutzer kann Passwort nicht ändern“ gibt, die ein Verändern des Benutzerpasswords durch den Benutzer selbst verhindert, schloss ich darauf, dass das Problem dort liegen […]

rendom.exe: Umbenennen einer Domäne – Schritt für Schritt. Dieses PDF-Dokument beschreibt den Idealfall einer Domänen-Umbenennung in Active Directory.

Active Directory ist in vielen Unternehmen die zentrale Adressdatenbank für alle Mitarbeiterinnen und Mitarbeiter – vor allem, wenn Exchange eingesetzt wird. Dadurch tritt aber schnell ein Rollenkonflikt auf: Änderungsrechte im AD hat meist nur die IT-Abteilung. Die Pflege der internen Adressdaten ist aber in den meisten Firmen eigentlich eine Aufgabe der Personalabteilung oder des Sekretariats. […]