Posts getaggt mit Active Directory
LDAP als einfacher Benutzer

Welche Informationen des Active Directorys kann ein einfacher Benutzer mittels LDAP-Anfrage erhalten? Kurzeinstieg: Was ist LDAP überhaupt? LDAP ist die Abkürzung für Lightweight Directory Access Protocol, einem Protokoll, welches eine Kommunikation zwischen einem Client und einem Verzeichnisdienst ermöglicht. Auf Seiten von Microsoft ist Active Directory ein solcher Verzeichnisdienst, aber auch andere Hersteller und Betriebssysteme haben ein entsprechendes Verzeichnisdienst, welches über dieses Protokoll ausgelesen werden kann.

Weiterlesen
Powershell Quick-Tip: Remove-ADUser vs. Exchange

Will man Benutzer mit dem Befehl Remove-ADUser löschen und hat einen Exchange in seiner Umgebung bekommt man manchmal folgende Fehlermeldung: Der Verzeichnisdienst kann den angeforderten Vorgang nur an einem Endknotenobjekt durchführen

Was die Ursache für den Fehler ist und wie man ihn umgehen kann, werden wir uns im Folgenden genauer anschauen.

Weiterlesen
Powershell Quick-Tip: AD-User ohne ActiveDirectory Modul deaktivieren

Die Powershell ist für viele Bereiche sehr hilfreich und macht einem Administrator das Leben deutlich leichter. Da man allerdings nicht immer alle Module auf dem aktuellen PC installiert hat, die man gerne verwenden möchte, muss man sich auch alternative Wege anschauen. Im Folgenden werden wir einen Benutzer deaktivieren ohne den Befehl Disable-ADAccount zu verwenden, da dieser nur mit dem Modul ActiveDirectory verfügbar ist.

Weiterlesen
Getrenntes Offline Adressbücher (OAB) für verschiedene Gruppen von Nutzern

Sie haben in Ihrer Umgebung verschiedene Gruppen von Nutzern, in diesem konkreten Beispiel Studenten und Mitarbeiter. Da Sie nicht beiden dasselbe OAB zumuten oder zur Verfügung stellen möchten, erstellen Sie zwei gesonderte OABs und weisen der jeweiligen Gruppe das passende zu.

Genau solch ein Szenario beschreibe ich in diesem Beitrag und zeige Ihnen, wie man das alles recht zügig mit der Exchange Management Shell umsetzen kann. Die Voraussetzungen hierfür sind zum einen ein Microsoft Exchange Server 2010 SP2 oder höher und keine Scheu vor der PowerShell bzw. der Exchange Management Shell.

Weiterlesen
AD User leeres Passwort

Leere Passwörter in einer Umgebung stellen ein hohes Sicherheitsrisiko dar, können aber mit Hilfe der PowerShell nicht überprüft werden.  Passwörter sind verschlüsselt, auch leere Passwörter und können nicht ausgelesen werden.

Natürlich gibt es Gruppenrichtlinien, um leere Passwörter zu verbieten, diese können aber mit dem Eintrag PasswordNotRequired im Active Directory Objekt ausgehebelt werden. Falls also keine Passwort-Richtlinien eingerichtet sind oder der genannte Eintrag bei einem oder mehreren Usern gesetzt ist, können leere Passwörter die Domäne unsicher machen.

Weiterlesen
Eigene AD-Attribute - Änderungen mit Windows Server 2012

In meinen Blogeinträgen habe ich die Möglichkeiten vorgestellt, wie man eigene Attribute im AD erstellen kann, sie versteckt bzw. nur für wenige User sichtbar macht. Diese Lösung funktionierte bis Server 2008R2 problemlos. Mit Server 2012 gab es ein paar kleinere Änderungen am Verhalten des ADs, wodurch die Lösung so nicht mehr ganz praktikabel erscheint. Im Folgenden werde ich kurz die wichtigsten Änderungen auflisten und erklären, wie man auf das neue Verhalten reagieren muss.

Weiterlesen
Active Directory Based Activation

Mit der Einführung von Windows 8 und Windows Server 2012 hat Microsoft eine neue Methode zum Aktivieren von Produktlizenzen bereitgestellt.Bisher konnten Produkte über KMS (Key Management Service) oder MAK (Multiple Activation Key) aktiviert werden. Beide Methoden haben ihre Vor- und Nachteile und eignen sich deshalb für verschiedene Anwendungsbereiche. Das neue Tool zum Aktivieren nennt sich Active Directory Based Activation (ADBA) und aktiviert Produkte, die mit der Domäne verbunden sind. In diesem Beitrag wird beschrieben, wie die neue Aktivierungsmethode eingerichtet wird und welche Vor- und Nachteile diese Methode mit sich bringt.

Weiterlesen
Benutzerverwaltung per Powershell - mit GUI

In meinem letzten Blogeintrag habe ich erklärt, wie die verschiedenen Befehle aussehen, die eine Benutzerverwaltung im AD und Exchange ermöglichen. Hier zeige ich nun, wie man sich nur mit PowerShell Befehlen eine kleine Oberfläche (GUI) baut, um das Handling weiter zu verbessern.

Weiterlesen
Benutzerverwaltung im AD über Powershell-Skripte

Wer kennt es nicht. Um einen neuen Mitarbeiter vollständig im AD anzulegen, muss der Benutzer angelegt, dann  in sehr viel verschieden Gruppen eingefügt und einem Postfach im Exchange zugewiesen werden. Da der letzte Mitarbeiter aber schon vor über 3 Monaten eingestellt wurde, weiß niemand mehr genau, was alles gemacht werden muss. Die einfachste Möglichkeit ist hier, eine Doku zu schreiben, an die sich alle halten müssen. Ich stelle hier nun eine weitere Möglichkeit vor. Ein Skript, dass mit allen nötigen Daten gefüttert wird und dann alles selbständig ausführt.

Weiterlesen