Vor genau 20 Jahren, am 9. April 1999, hat Microsoft seine eigene produktive Windows-Domäne mit gut 27.000 Benutzerkonten nach Active Directory migriert. Dies war die erste ernsthafte Installation des damals neuen Windows-Verzeichnisdienstes. Damit dürfen wir den 9. April 1999 wohl als den “Geburtstag” des Active Directorys ansehen – und wir gratulieren herzlich zum Jubiläum! Auf […]

Nimmt man Windows 10 in eine bestehende Domäne auf, kann es passieren, dass Gruppenrichtlinien darauf nicht wirken. Die Ursache ist oft das UNC-Hardening, das als Sicherheitsfunktion vor einiger Zeit eingeführt wurde. Anders als Windows 7 aktiviert Windows 10 diese Funktion standardmäßig. Im Web findet man als “Problemlösung” dazu häufig die Empfehlung, das Feature abzuschalten. Das […]

Setzt man den Microsoft Identity Manager (kurz MIM, ehemals Forefront Identity Manager/FIM) ein und hat in seiner Umgebung sowohl Linked Mailboxes als auch normale Accounts, die Mailboxes besitzen, so steht man sehr schnell vor einem entscheidenden Problem. Anforderung: Verteilergruppen müssen über MIM verwaltet werden, der Anwender darf nicht in die Pflicht gebracht werden, den richtigen […]

Hat man in der heutigen Zeit mit einer Active-Directory-Migration zu tun, so ist meist die eigentliche Migration der Computer und User das kleinste Übel. Durch die Anbindung diverser Systeme muss aber jede Identität eines Users in jedem angebundenen System berücksichtigt werden. Ein sehr gutes Beispiel hierfür ist Office 365, respektive die Azure-Active-Directory-Identität eines Benutzers, an […]

Wir haben unserer Liste “lustiger Namen” eine neue Portion hinzugefügt. Mittlerweile sind 366 Exemplare zusammengekommen. Wie immer gibt es die Namen als Skript, um daraus schnell eine Struktur mit Test- und Demo-Konten für Activ Directory zu erzeugen. Hier geht’s lang: [AD-Testuser mit Details und lustigen Namen (reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2014/02/17/ad-testuser-mit-details-und-lustigen-namen-reloaded/ Und auch weiterhin gibt es […]

Active Directory kennt verschiedene Gruppentypen, unter anderem Globale, Domänenlokale und Universale Gruppen. Der Typ ist im Verzeichnisdienst als Bitcode gespeichert, wobei verschiedene Bits für unterschiedliche Eigenschaften stehen. Die Werte dazu listet z.B. folgender Artikel unter “Remarks” auf: [Group-Type attribute – Windows applications | Microsoft Docs] https://docs.microsoft.com/en-us/windows/desktop/adschema/a-grouptype Mit Excel kann man die Gruppentypen etwa aus einem […]

In einem Kundenprojekt brauche ich eine Lösung, eine Vertrauensstellung zwischen zwei Domänen in getrennten Forests mit bestimmten Einstellungen zu erzeugen. Da zu dem Projekt auch intensive Laborarbeiten und eine Qualitätssicherung mit hohem Anspruch gehören, muss die gesamte Einrichtung der Umgebung so weitgehend wie möglich mit Skripten geschehen. In der PowerShell gibt es für AD-Vertrauensstellungen leider […]

Wer die OU-Struktur einer Active-Directory-Domäne auswerten möchte, ohne ständig im “Active Directory-Benutzer und -Computer” herumzuklicken oder wer bei der Analyse Kommentare und Notizen hinterlegen möchte, kann sich mit einfachen Mitteln einen strukturierten Export der OU-Struktur in Excel erzeugen. So geht’s: Auf einem Mitgliedsrechner der Domäne, der die AD-Tools installiert hat, in einem CMD-Fenster folgendes Kommando […]

Jeder, der sich schon mal (intensiver) mit der Pflege einer Active-Directory-Domäne auseinandergesetzt hat, kann nicht abstreiten, dass z.B. Computerkonten oft länger als der eigentliche Computer leben. Möchte man dies verhindern, so gibt es viele Wege – einmal sollte dies ein klar definierter Workflow bei der Dekommissionierung eines Computers sein, andererseits ergibt es durchaus Sinn die […]

Möchte man z.B. AD Objekte auf einem Client ohne RSAT (Remote Server Administration Tools) abfragen, so bleibt einem lediglich der Zugriff auf die seit PowerShell v1.0 integrierten bzw. aus dem .NET Framework kommenden „ADSI“- und „ADSISearcher“-Klassen. Da der Umgang mit diesen nicht annährend so komfortable wie die Verwendung der Cmdlets aus dem Active Directory Snapin […]