Ablaufdatum des Passwortes der AD User mit PowerShell auslesen


PowerShell

Im heutigen Artikel zeige ich euch ein Script, mit dem ihr alle User aus dem AD auslesen könnt, des Passwort bereits abgelaufen ist oder in den nächsten tage abläuft.

Dies kann in mehren Situationen hilfreich sein. In meinem Anwendungsfall wollte ein Kunde deren Tablet-User 10 Tage vor Ablauf des Passwortes per Mail benachrichtigen, damit diese genug Zeit haben Uhr Passwort zu ändern.

Das ganze wurde mittels Orchestrator umgesetzt, ich zeige euch hier aber das PowerShell welches mir die Informationen ausliest.

Das Script

Zu Beginn natürlich wieder das Active Directory Modul importieren.

(Read more…)

Active Directory Objekte mittels PowerShell wiederherstellen

PowerShell

Wer nicht in den Genuss eines aktuellen Active Directory’s kommt, also ab der Version 2012, der muss eine gelöschtes Active Directory Objekt (User, Gruppen, Computer) noch mittels PowerShell wieder herstellen.

Leider gibt es den grafischen Papierkorb erst ab Version 2012, somit zeige ich euch heute wie ihr einen gelöschten Active Directory Benutzer wieder herstellen könnt, vorausgesetzt der AD Papierkorb ist auch aktiv.

Informationen zum AD Papierkorb findet ihr hier: http://technet.microsoft.com/en-us/library/dd392261(v=ws.10).aspx

Wir kümmern uns jetzt um die PowerShell.

Das Script

Zu Beginn importieren wir mal wieder das Active Directory PowerShell Module

Import-Module activedirectory

Danach können wir mit folgendem Kommando alle Objekte ausgeben die gelöscht wurden und bei denen wir die Option zur Wiederherstellung haben. Dieses Kommando liefert uns alle AD Objekte, egal ob User, Computer, Gruppen…..

(Read more…)

Active Directory Vererbung mittels PowerShell aktivieren

PowerShell

Mal wieder ein Beispiel eines meiner Kunden.

Wir mussten vor einem geplanten Rename aller User das AD bereinigen und eventuell Unterbrechungen der Vererbung wieder aktivieren.

Es gab immer wieder User bei denen die Option “Include inheritable permission from this object’s parent” oder auch “Vererbbare Berechtigungen des übergeordneten Objektes einschließen” nicht aktiv war, somit hatten wir bei diesen Benutzern nicht das Recht etwas zu ändern.

Jetzt hätten wir bei jedem User die Eigenschaften kontrollieren müssen und gegeben falls diese Option aktivieren.

Aber zum Glück haben wir ja PowerShell, damit ist das in Sekunden erledigt.

(Read more…)

Leere AD Gruppen mittels PowerShell ermitteln

PowerShellHeute ein nützliches Script welches euch alle leeren AD Gruppen ausgibt, damit könnt ihr mal euer AD bereinigen.

Ich habe das Script mal geschrieben, da wir bei einem Kunden das AD bereinigen sollten.

Es gibt hier noch mehr dieser Scripte, diese werde ich entweder n dieser Serie oder demnächst mal als Beitrag bringen.

Zuerst einmal holen wir uns alle AD Gruppen mit folgendem Kommando.

Das Script

Get-ADGroup -Filter *

Bei Get-ADGroup oder Get-ADUser gibt es ein besonderes Attribut, und zwar “-Filter” welches auch zwingend ist, dazu aber in einem anderen Beitrag mehr.

In unserem Fall erhalten wir alle AD Gruppen aus dem AD, was dann ungefähr so aussieht.

(Read more…)

Component Architecture Poster für Windows Server 2008 R2

Microsoft hat vor einiger Zeit das neue Component Architecture Poster für Windows Server 2008 R2 veröffentlicht.

Windows Server 2008 R2 Component Architecture Poster

Folgende Komponenten werden im Poster beschrieben:

Active Directory Domain Services
Hyper-V
File Services
Internet Information Services
Remote Desktop Services
BranchCache
Managment
DirectAccess
Das ganze ist ein PDF-Dokument und nur in Englisch verfügbar.

Download: http://www.microsoft.com/downloads/details.aspx?FamilyID=64a5cc28-f8a1-4b30-a4a2-455c65bda8d7&displaylang=en

lg michael

Active Directory ein-mal-eins, Teil 1: FSMO Rollen

Im ersten Teil dieser Serie befassen wir uns mit den 5 FSMO Rollen des Active Directory. Welche gibt es, welche Aufgaben haben sie und ein paar Kommandos zum erkennen, verwalten, verschieben.

Schemamaster

Gesamtstruktur-weite Rolle, Forest
Der Schemamaster ist für jede Änderung im Active Directory notwendig, und nur dieser kann solche Änderungen durchführen. Bei einer Exchange Installation wird das AD Schema um das Postfach-Attribut erweitert, ist er Schemamaster DC nicht erreichbar, wird diese nicht erfolgreich durchgeführt, bzw. das Setup beendet.
Es darf nur ein Schemamaster in einem Forest vorhanden sein.
Der Schemamaster sollte auch immer Global Catalog Server sein.

Domain Naming Master

Gesamtstruktur-weite Rolle, Forest
Der Domain Naming Master ist für die Vergabe und Verwaltung von Domän-Namen zuständig. Ohne Domain Naming Master können keine Domänen oder Subdomänen angelegt oder geändert werden.
Es darf nur ein Domain Naming Master in einem Forest vorhanden sein.
Der Domain Naming Master sollte auch immer Global Catalog Server sein.

PDC-Emulator

Domain-weite Rolle, Domäne
Der PDC-Emulator ist der Zeitgeber für alle Server und Clients in der Domäne. Änderungen der Benutzerpasswörter werden direkt mit dem PDC-Emulator repliziert, um diese Änderungen zu beschleunigen. Meldet sich ein Benutzer an der Domäne an, und ein DC stellt einen fehlerhaften Login fest, wird dies zuvor noch vom PDC-Emulator bestätigt, bevor dem User eine Fehlermeldung ausgegeben wird. Ohne einem RDC-Emulator kann es zu sporadischen Anmelde-Problemen kommen. Seit Windows 2003 ist der PDC-Emulator für das Management der “WellKnown Security Principals” (Netzwerkdienst, Jeder, NT-Autorität, Interaktiv…) zuständig.
Es darf nur ein PDC-Emulator pro Domäne vorhanden sein.

RID-Master

Domain-weite Rolle, Domäne
Der RID-Master ist für die Verteilung der RID’s zuständig. In Active Directory wird jedes Objekt mit einer SID versehen. Diese SID’s bestehen (vereinfacht dargestellt) aus Local-ID – Reference-ID (RID), wobei diese RID eine fortlaufende Nummer, beginnend bei 1000, ist. Da jeder DC, Objekte anlegen kann und tut, muss jemand dafür Sorge tragen, das eine RID nie 2mal vorkommt. Somit vergibt der RID-Master an alle DC’s in der Domäne, RID-Pools, bestehende aus einer Anzahl von RID’s mit dem der DC seine Objekte anlegen kann. Ein fehlender RID-Master wird somit nicht sofort bemerkt, sondern erst dann, wenn die RID-Pools auf den DC’s ausgehen.
Es darf nur ein RID-Master in der Domäne vorhanden sein.

Infrastructure Master

Domain-weite Rolle, Domäne
Der Infrastructure Master ist verantwortlich, die referentielle Integrität zwischen verlinkter Active-Directory-Objekten sicherzustellen. Ein Beispiel solcher verlinkter Objekte ist das Attribut “Members” oder “MemberOf” einer Gruppe. Wird eines dieser Objekte verändert, kümmert sicher der Infrastructure Master darum, die Änderungen auf jedes verlinkte Objekt (Member) zu übertragen. Der Infrastructure Master sollte nie mit einem Global Catalog Server auf einem DC betreiben werden (außer jeder DC ist ein Global Catalog Server), da sich der Dienst ansonsten deaktiviert und Replikations-Fehler auftreten. Im Event-Log zeigen sich diese Fehler mit der ID 1419.
Es darf nur ein Infrastructure Master in der Domäne vorhanden sein.

Hier noch eine kleine Skizze, um den Unterschied der Gesamtstruktur- und Domain-weiten Rollen darzustellen.

domain

Zur Verteilung der einzelnen FSMO-Rollen gibt’s noch eins zu sagen. Von Microsoft wird empfohlen den Schemamaster mit dem Domain Naming Master, und den PDC Emulator mit dem RID Master auf einen DC zu betreiben. Um herauszufinden welcher DC welche FSMO Rollen hält, führen wir folgendes Kommando

netdom /query fsmo

in der Eingabeaufforderung aus, und erhalten folgendes Ergebnis:

fsmo

Zum verschieben einer FSMO Rolle nutzen wir das Tool “NTDSUTIL”. Also Eingabeaufforderung auf und folgende Kommandos eingeben

ntdsutil.exe

roles

connections

connect to server *servername*

q

jetzt können wir aus 5 Kommandos wählen, je nachdem welche FSMO-Rolle wir transferieren wollen.

Transfer domain naming master oder Transfer naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

Hier noch ein Bild dazu, leider hab ich in meiner Testumgebung nur einen DC, somit nicht die ganze Wahrheit.

fsmo2

Hoffe das ich euch die FSMO-Rollen gut erklären konnte, und ich werde demnächst noch ein paar Basics zum Active Directory schreiben

lg michael