Bei unserem letzten Update für das AD-Dokumentationsskript José ist uns ein Fehler unterlaufen: Der Download nannte sich zwar „jose311.zip“, enthalten war aber die ältere Version 3.10. Das haben wir jetzt korrigiert, die Fassung für den Download ist nun also wirklich die 3.11 (sowohl in der englischen als auch in der deutschen Version). Danke für den […]

Unser Dokumentationswerkzeug José für Active Directory hat wieder eine Überarbeitung erfahren. Die neue Version 3.11 bietet Folgendes: Angabe der GPO-Link-Priorität Exchange-Schema 2016 CU2/CU3 AD-Schema WS 2016 RTM (identisch mit TP5) Hinweis „(pur)“ für Domänen entfernt (Abgrenzung vom NT Mixed Mode) Maximale OU-Schachtelungstiefe in der Report-Statistik Wie immer findet sich der Download auf der José-Seite: http://www.faq-o-matic.net/jose/

In Umgebungen, die mehr als eine Sprache für die Betriebssysteme ihrer Server einsetzen, sind bisweilen die Standardobjekte des Active Directory in der falschen Sprache. Da es im AD grundsätzlich problemlos möglich ist, die Objektnamen von Usern und Gruppen zu ändern, kann man das auch in diesen Fällen tun. Die Tücke steckt hier im Detail, denn […]

Bei einem Kunden sollte eine Reihe von AD-Gruppen komplett geleert werden. OK, kein größeres Problem – dachten wir. Ein Weg, das per PowerShell zu machen, geht so: Get-ADGroupMember „test_group“ | ForEach-Object {Remove-ADGroupMember „test_group“ $_ -Confirm:$false} Funktionierte hier aber nicht – die PowerShell gab “Unspecified Errors” zurück. Wie sich herausstellte, lag die Ursache an verwaisten Objekten, […]

Microsoft hat jetzt dokumentiert, welche Gruppenrichtlinien-Einstellungen nur in der Enterprise Edition (und in der Education Edition) von Windows 10 anwendbar sind. Dies gilt ab Version 1607. Für andere Editionen lassen sich die Einstellungen zwar setzen, sie wirken dort aber nicht. [Group Policies that apply only to Windows 10 Enterprise and Education Editions (Windows 10)]https://technet.microsoft.com/en-us/itpro/windows/manage/group-policies-for-enterprise-and-education-editions

Mit Windows 10, insbesondere dem “Anniversary Update” auf die Version “1607”, ändert Microsoft die Anwendungslogik von Gruppenrichtlinien. Künftig unterscheidet die Technik nicht nur Versionen des Betriebssystems (Windows 7, Windows 8, Windows 10), sondern auch die Edition (Pro, Enterprise). Näheres dazu findet sich in einem Beitrag, den ich für den heise-Newsticker geschrieben habe: [Unter Windows 10 […]

Wir haben unser Skript “Angelo” für das Meta-Reporting von Active-Directory-Umgebungen aktualisiert. Die neue Fassung ergänzt ein paar neue Reports, darunter: Angaben zu SID History Namen und Mitgliedschaften vordefinierter Objekte direkte und indirekte Gruppenmitgliedschaften Näheres zu Angelo findet sich in diesem Überblicksartikel: [Angelo: Meta-Reporting für Active Directory | faq-o-matic.net]http://www.faq-o-matic.net/2015/02/23/angelo-meta-reporting-fr-active-directory/ Und der Download ist hier:

ADFS (Active Directory Federation Services), die Microsoft-Infrastruktur für Web-basiertes Single Sign-On mit Techniken wie SAML und OAuth, gehört zu den Techniken, die der Hersteller eher lieblos umgesetzt hat. Leider gilt das besonders für die Fehlersuche: Es gibt ungefähr 1.000 Stellen, an denen es haken kann. Kaum eine davon lässt sich einfach auswerten. Möchte man direkt […]

In einer Foren-Diskussion trat neulich ein Fehler in dem Sysinternals-Programm adrestore.exe zutage. Dieses ältere Programm erlaubt es, gelöschte AD-Objekte (sogenannte “Tombstones”) wiederherzustellen. Auch wenn das Tool schon ziemlich alt ist, funktioniert es prinzipiell auch auf modernen Domänencontrollern und arbeitet auch mit dem AD-Papierkorb zusammen. adrestore.exe setzt voraus, dass der Container bzw. die OU, aus der […]

Bei der Installation eines Domänencontrollers für Active Directory muss man ein Recovery-Kennwort angeben. Dieses dient dazu, den DC im Notfall ohne Active Directory starten und sich trotzdem anmelden zu können. Zu diesem Zweck wird dieses Kennwort lokal gespeichert, es hat nichts mit einem AD-Konto zu tun. Das bedeutet natürlich auch, dass jeder DC sein eigenes […]