gidnumber im Active Directory

Zur Einführung in die Gruppen verweise ich hier einfach mal auf einen anderen Artikel von mir…

Wenn Benutzerinfos im Active Directory von Linux aus abgefragt werden, dann müssen die Felder uidnumber und gidnumber belegt sein. Das geschieht nicht automatisch, da die Informationen in einem reinen Active Directory nicht benötigt werden. Also muss das von Hand erfolgen (oder natürlich besser über Identity Management Systeme oder Provisioning Tools, um mal nur zwei Buzzwords zu nennen…). Weiterlesen

Advertisements
Veröffentlicht unter Active Directory, LDAP | Verschlagwortet mit , , | Kommentar hinterlassen

Gruppengeheimnisse

Ich habs mal so genannt, weil das stellenweise etwas verworren ist, was in Active Directory da mit member, memberOf, primaryGroup und so abgeht, und überhaupt Gruppen in den Systemen nur auf den ersten Blick einfach aussehen. Und weil ich es mir zum 3. Mal schon herleiten musste, hab ich’s jetzt mal aufgeschrieben. Weiterlesen

Veröffentlicht unter Active Directory, LDAP | Verschlagwortet mit , , , , , | 2 Kommentare

Pagesize bei LDAP-Queries

In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen an das AD nicht alle Benutzer gefunden werden. Dies liegt an einer Standard-Limitierung für LDAP-Abfragen, die im AD bei 1000 Datensätzen liegt. Wem das zu gering ist, der kann das Limit auch hochsetzen. Dazu gibt es einen Knowledgebase-Artikel bei MS (315071), aber bitte nicht den deutschen Artikel verwenden, der ist falsch, sondern den englischen! Hier das Wichtigste daraus: Weiterlesen

Veröffentlicht unter Active Directory, LDAP, Windows Server | 5 Kommentare

Fehler bei GPO Troubleshooting

Mir grade aufgefallen, bevor ich nochmal reinfalle, konserviere ich es hier mal:

Ich wollte grade auf einem Windows 7 System für ein Group Policy Troubleshooting das Debug Logging aktivieren. Ich hab also streng nach KB-Artikel 944043 (ganz unten) in der Registry den GPSVCDebugLevel gesetzt. Nach einem “gpupdate/force” bin ich nach “c:\windows\debug” und hab gemerkt, dass es den Zielordner für das Logfile (“usermode”) nicht gibt und damit auch kein Logfile.

Legt man den Ordner von Hand an, dann taucht auch das Logfile auf…

Veröffentlicht unter Active Directory, GPO | Kommentar hinterlassen

dSHeuristics

Im Configurations-Container eines Active Directories findet sich ein Attribut namens dSHeuristics, das für die unterschiedlichsten, forestweiten Funktionalitäten verantwortlich ist. Da es immer mal wieder bei einem der Artikel auftaucht, aber dort stets nur mit Blick auf die aktuelle Einstellung behandelt wird, hab ich mir mal die einzelnen Funktionen zusammengesucht.

Weiterlesen

Veröffentlicht unter Active Directory, Windows Server | Verschlagwortet mit , | Kommentar hinterlassen

Admin-Kennwort ganz einfach zurücksetzen

Es gibt sicher viele Wege, ein vergessenes Kennwort zurückzusetzen, aber diese hier ist glaube ich die Einfachste und funktioniert auch an Domänencontrollern mit dem Domänen-Administrator-Konto. Ein bisschen erschrocken war ich schon, aber zumindest wird jetzt hoffentlich auch noch dem letzten klar, dass physischer Zugriff zu einem Server absolut keine gute Idee ist…

Weiterlesen

Veröffentlicht unter Windows Server | Verschlagwortet mit , | 18 Kommentare

List Object Access Mode

In einem Standard-AD sieht man bei Objekten drei verschiedene Leserechte, nämlich

  • List Child (LC)
    • regelt die Sichtbarkeit von Objekten unterhalb des aktuellen Objektes, also zum Beispiel den Inhalt einer OU
  • Read Control (RC)bzw. Read Permissions
    • regelt die Lesbarkeit von Besitzer, primärer Gruppe und der DACL (nicht der SACL)
  • Read Property (RP)
    • kontrolliert die Lesbarkeit der Eigenschaften eines Objektes. Fehlt einem Benutzer beispielsweise dieses Recht, dann weiß er nicht, um welche Art von Objekt es sich handelt (genauer gesagt um welche Objektklasse) , und ools wie “Active Directory Users and Computers” können das Objekt nur mit einem neutralen Icon darstellen.

Genau genommen gibt es aber noch ein viertes Leserecht, nämlich “List Object” (LO). Dieses Recht wird aber standardmäßig nicht angezeigt. Um seine Bedeutung zu verstehen, hier zunächst ein kleines Beispiel:

Weiterlesen

Veröffentlicht unter Active Directory | Verschlagwortet mit , | 3 Kommentare