fe80::dead:affe:beef

Schlagwort: Active Directory

  • Externe Zeitquelle auf Domain Controller einrichten

    Der Domain Controller, der die FSMO-Rolle des PDC-Emulators hält, wird innerhalb der Domäne als Zeitquelle publiziert. Dieser DC sollte wiederum mit einer externen Zeitquelle abgeglichen werden (im Beispiel mit den 3 Atomuhren der Physikalisch-Technischen Bundesanstalt). Diese Befehle müssen der Reihe nach auf der CMD ausgeführt werden:      w32tm /config /syncfromflags:manual /manualpeerlist:“ptbtime1.ptb.de, ptbtime2.ptb.de, ptbtime3.ptb.de“      w32tm […]

  • Adobe Reader Update per Gruppenrichtlinie deaktivieren

    Zum Deaktivieren der Adobe Reader Updatefunktion, lässt sich ein entsprechender Registry-Key verteilen: 1) >Computerkonfiguration >Einstellungen >Windows Einstellungen >Registrierung 2) >Neu >Registrierungselement 3) Aktion: Aktualisieren 4) Struktur: HKEY_LOCAL_MACHINE 5) Schlüsselpfad: SOFTWARE\Adobe\Adobe ARM\1.0\ARM 6) Name: iCheckReader 7) Werttyp: REG_DWORD 8 ) Wertdaten: 00000000 9) Basis: Hexadezimal

  • Java Update per Gruppenrichtlinie verhindern

    Java prüft nach der Installation standarmäßig nach verfügbaren Updates. Hierzu wird die jusched.exe im Autostart ausgeführt: Jusched.exe triggert im 2. Schritt das Update-Programm jucheck.exe an. Das Ausführen der juckeck.exe erfordert administrative Berechtigungen. Reguläre Wdindows 7 Benutzer können ein entsprechendes Popup-Fenster lediglich beenden. Um Benutzern dieses nervige Popup zu ersparen, kann per Gruppenrichtlinie das Ausführen der […]

  • Active Directory – per PowerShell „Objekt vor zufälligem Löschen schützen“

    Seit Windows Server 2008 lassen sich AD-Objekte vor versehentlichem Löschen schützen. Hierzu muss in den Objekteigenschaften > Reiter Objekt der Haken „Objekt vor zufälligem Löschen schützen“ gesetzt werden (zuvor >Ansicht >Erweiterte Features aktivieren). Zum Aktivieren des Features für mehrere Objekte sollte (seit 2008 R2) die PowerShell genutzt werden. 1) Das AD-Modul aktiveren: Import-Module ActiveDirectory 2) […]

  • Benutzer per Email über Ablauf des Windows-Kennworts benachrichtigen

    In Windows 7 werden Benutzer nach der Anmeldung nur noch durch eine Sprechblase der Taskleiste darüber informiert, dass deren Windows-Kennwort in naher Zukunft abläuft. Da diese Sprechblase gerne von Usern übersehen wird, kann zusätzlich mithilfe eine PowerShell-Skripts eine Emailbenachrichtigung eingerichtet werden. Damit das Skript ausgeführt werden kann, muss es entweder auf einem Domain Controller (Win […]

  • PowerShell | Attribute eines AD-Objekts abfragen

    Abfrage von AD-Attributen anhand eines Benutzer-Objekts (Max Muster): 1) Get-ADUser -Identity Max 2) Wem das zu wenig ist, erhält hiermit sämtliche Attribute des AD-Benutzers: Get-ADUser -Identity Max -Properties * 3) Folgender Befehl zeigt den Common Name [CN] und den SID (cn,objectsid) sämtlicher AD-Benutzer (-Filter *) in Form einer Liste (| fl) an: Get-ADUser -Filter * […]

  • SID eines Benutzers ermitteln

    Viele Wege führen nach Rom; so auch bei der Ermittlung des eindeutigen SID (Security Identifier) eines AD-Benutzers. 1) PowerShell (2008 R2) Im geladenen ActiveDirectory-Modul der Powershell auf dem DC einzugeben: Get-ADUser -Identity <AD-Benutzer> (AD-Benutzer kann sein: DN, GUID, SID oder sAMAccountName. Per SID Rückwärtsabfrage möglich!) 2) DSGET / DSQUERY In CMD auf DC einzugeben: dsget […]

  • Gelöschte AD-Objekte | tombstoneLifetime

    Die Tombstone-Lifetime einer Gesamtstruktur definiert wie lange gelöschte AD-Objekte in der AD-Datenbank vorgehalten werden, bevor sie endgültig gelöscht werden. Während dieser Zeit wird ein Tombstone-Objekt des gelöschten Objekts im Container „Gelöschte Objekte“ erstellt. Das Attribut „isDeleted“ des AD-Objekt wurde zuvor auf „true“ gesetzt. Wurde ein AD-Objekt als isDeleted=true markiert, wurden vor Windows Server 2008 R2 […]

  • Active Directory | Domänenbeitritt von Computern durch Benutzer verhindern

    Standardmäßig dürfen nicht nur Administratoren sondern auch reguläre Domänenbenutzer Computer in die Domäne aufnehmen. Normale Benutzer dürfen zwar nur maximal 10 Computer zu einer Domäne hinzufügen, dies birgt dennoch das Risiko dass ungewollt private Notebooks in die Domäne aufgenommen werden. Um den Domain Join durch normale Benutzer vollständig zu unterbinden gibt es 2 unterschiedliche Möglichkeiten: […]

  • Active Directory | Standardcomputercontainer ändern

    Tritt ein neuer Computer der Domäne bei, landet dieser standardmäßig in „Comuters“. Da es sich bei „Computers“ um einen Container handelt, können auf diesen keine dedizierten Gruppenrichtlinien angewandt werden. Dies ist nur bei Organisationseinheiten (OU) möglich. Container wie beispielsweise „Computers“ erben allerdings Gruppenrichtlinien die auf übergeordneten Schichten (z.B. Domäne oder übergeordnete OU) eingehängt sind. Aus […]