In einem Kundenprojekt war kürzlich abzuwägen, ob für bestimmte Informationen das Schema des Active Directory erweitert werden sollte. Um diesen Vorgang den Verantwortlichen gegenüber ein wenig einzuordnen, recherchierte ich ein wenig und fand einen älteren, aber gut geschriebenen Artikel von AD-Urgestein Brian Desmond: [Extending the Active Directory Schema | IT Pro]https://www.itprotoday.com/active-directory/extending-active-directory-schema Brian stellt einige technische […]

Nach längerer Zeit gibt es mal wieder ein Update unserer Liste zum AD-Schema. Die Sammlung von Klassen und Attributen ist diesmal nur geringfügig erweitert und enthält (endlich) auch die Schema-Neuerungen von Exchange Server 2019. Außerdem haben wir ein paar kleine Korrekturen in der Darstellung vorgenommen. Neu ist aber, dass wir nun eine zweite, separate Liste […]

Wir haben unsere Liste der AD-Schema-Objekte aktualisiert. Die neue Fassung ergänzt folgende Produkte bzw. Versionen: Windows Server 2019 Insider Preview Build 17623 Exchange Server 2016 CU7 Services for Unix 3.0 Die Liste findet sich unter folgendem dauerhaft gültigen Link: https://faq-o-matic.net/ad-schema-list

Wir haben unsere Liste von Schema-Einträgen des Active Directory aktualisiert. Sie enthält nun auch die Attribute und Objekte von Windows Server 2016 sowie der aktuellen Exchange-Versionen. Als exotisches Goodie haben wir darüber hinaus auch die Schema-Daten des alten Microsoft Mobile Information Server 2001 aufgenommen. Insgesamt umfasst die Liste jetzt über 4800 Einträge. Die Datenbank listet […]

In einer Support-Situation stellte sich die Frage, welche Felder eigentlich übernommen werden, wenn man ein Benutzerobjekt kopiert. Dazu muss man wissen, dass dieser Kopiervorgang nicht durch Active Directory selbst erfolgt, sondern durch das Verwaltungswerkzeug. Dieses sollte sich dabei an die Vorgaben des AD-Schemas halten, denn dort ist hinterlegt, welche Attribute “kopierbar” sind. Je nachdem, mit […]

Das Active-Directory-Schema bildet das Rückgrat der Datenbank des Verzeichnisdienstes: Es gibt an, wie die einzelnen Objekte definiert sind. Dazu definiert es Klassen und Attribute: Die Klassen kann man sich vorstellen wie Objekt-Vorlagen und die Attribute wie Felder in einer Datenbank oder Spalten in einer Tabelle. So definiert die Klasse “user”, wie ein User-Objekt aussieht, welche […]

Ich bin überzeugt, dass auch heute noch in vielen Active-Directory-Umgebungen das lokale Administratorpasswort über Group Policy Preferences (GPP) gesetzt wird. Dieses Verfahren ist leider aufgrund von Sicherheitsproblemen nicht mehr zu empfehlen (siehe http://matthiaswolf.blogspot.de/2014/05/ms14-025-das-ende-der-gespeicherten.html). Auch Microsoft hat dieses erkannt und das Hinterlegen von Passwörtern in Group Policy Prefrences mit dem Update MS14-025 ( https://technet.microsoft.com/en-us/library/security/ms14-025.aspx) unterbunden. Bis […]

Es gibt einen Mechanismus in Active Directory, den man normalerweise nie braucht. Leider wissen viele Administratoren das nicht und setzen den Mechanismus ein, was oft zu unerwünschten Reaktionen führt. Das Dumme daran: Es können daraus durchaus Sicherheitsprobleme entstehen. Die Rede ist von den Primary Groups (im Deutschen: Primäre Gruppe). Für jedes Benutzerobjekt kann man genau […]

In der TechNet-Gallery gibt es ein kostenloses kleines Programm zur Analyse des Active-Directory-Schemas. Neben einigen Metadaten wie der Information, wann das Schema erzeugt und wann es jeweils geändert wurde, ordnet das Programm den jeweiligen Schema-Einträgen zu, zu welcher Windows- oder Applikationsversion sie gehören. [Active Directory Schema Discover 1.0] http://gallery.technet.microsoft.com/scriptcenter/Active-Directory-Schema-1aab6664/description

Das Schema ist das Rückgrat des Active Directory: Es definiert die Datenfelder und Objekttypen, die das Verzeichnis kennt. Damit entscheidet es darüber, welche Daten man in AD ablegen kann. Manipulationen des Schema können sich gravierend auswirken, wenn sie falsch laufen: Es droht nicht weniger als der komplette Datenverlust. Aber wie empfindlich ist das Schema wirklich? […]