Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197
AD « Tag « festplatte.ch


GPO Proxy Settings über Computerobjekte steuern

Active Directory, GPO, Security, Windows No Comments »

Normal werden die Proxysettings über User Configurations gesteuert. Dies kann z.B mit den Explorer Maintenance Policy erfolgen.
Es kann aber durchaus nützlich sein, dass die Settings der Proxyeinstellungen über Computer Configurations (Computer Objekt) gesteuert werden können. So können z.B mit OUs Desktops und Notebooks unterschieden und entsprechend über die GPO anders konfiguriert werden.

Damit dies möglich ist, muss die Policy “Make proxy settings per-machine (rather than per-user) aktiviert werden. Diese ist unter Computer Configuration/Administrativ Templates/Windows Components/Internet Explorer zu finden.

Die Settings selbst können nach wie vor im Explorer Maintenance Objekt zentral über den User konfiguriert werden. Es wird keine doppelte Pflege der Settings nötig.

Share


Explorer Maintenance Policies bei jedem Boot neu laden

GPO, Security, Windows No Comments »

Die Internet Explorer Maintenance Group wird von den Clients als Template angeschaut und somit nur beim ersten Login des User gezogen (und natürlich bei jeder Änderung von dem GPO)
Werden nun Änderungen von den Usern durchgeführt (Proxy, Trusted Sites, local Sites, Startpage, IE-Settings etc…), stimmen danach die Parameter nicht mehr und werden bis zu einer Änderung der Explorer Maintenance GPO auch nicht mehr gesetzt.

Dies kann mittels der Policy “Internet Explorer Maintenance Policy Processing” unter Computer Configuration\Administrative Templates\System\Group Policy umgangen werden, damit das Template bei jedem Boot neu geladen wird. Zusätzlich ist noch SlowLink Detection und Background Processing einstellbar.

Weitere Infos:
http://support.microsoft.com/kb/306915/en-us

Share


lokale, globale, universelle Gruppen

Active Directory, Windows No Comments »

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt. Diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Lokale Gruppen:
Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Gruppe hat folgende Eigenschaften:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden

• Zugriff auf Ressourcen in einer Domäne
Über eine lokale Domänengruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in der gleichen Domäne befindet, wie die lokale Gruppe
Globale Gruppen:
Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren. Eine globale Gruppe hat folgende Merkmale:

• Eingeschränkte Mitgliedschaften
Nur Personen aus der gleichen Domäne können in die Gruppe aufgenommen werden.

•Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden

Universelle Gruppen:
Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:

• Offene Mitgliedschaft
Es können Personen aus beliebigen Domänen hinzugefügt werden
• Zugriff auf Ressourcen in allen Domänen
Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden
• Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden, und sie können in deren ACL (Access Control Lists) auftauchen. Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft, und alle Benutzerrechte werden hiermit geregelt.


Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst, wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

Zwei Modi (Mixed/Native Mode)
Will man jetzt betrachten, welche Gruppe in anderen Gruppen aufgenommen werden kann, muss man einen wichtigen Punkt beachten. Je nachdem, in welchem Modus Windows betrieben wird, unterscheidet sich diese Übersicht.

Arbeitet Windows noch im so genannten “gemischten Modus – Mixed Mode” (Windows und NT BDC Server werden noch zusammen eingesetzt) oder im “einheitlichen Modus . Native Mode” (nur noch Windows Server werden eingesetzt) (weitere Infos unter “Gemischter und einheitlicher Modus”). Da sich im “gemischten Modus” der NT BDC noch mit dem Windows FSMO abgleichen muss (dieser übernimmt die Rolle des PDC), müssen auch die Gruppen die Regeln von Windows NT beachten.

Gemischter Modus (Mixed Mode):
mixmode
Im gemischten Modus gibt es die Gruppenart “universell nicht!

Einheitlicher Modus (Native Mode):
nativmode

Berechtigungsvergabe:

A – G – DL – P Prinzip
Accounts go in Global Groups nested in Domain Local Groups that are granted Permissions.

Links:
http://www.winfaq.de/faq_html/Content/tip1000/onlinefaq.php?h=tip1147.htm

Share

Account Info dll – acctinfo.dll

Active Directory, Windows 1 Comment »

Im Windows Resource Kit befindet sich eine kleine aber sehr hilfreiche DLL, die manuell registriert werden muss.
Es werden danach die SID-History, den Zeitpunkt der letzten Anmeldung etc. zusätzlich direkt im AD Benutzer/Computer Snap-in angezeigt.

acctinfo03

Share

Gruppen für alle User in AD entfernen

Active Directory, Scripts, Windows No Comments »

Mit folgendem Script können für alle User in einer AD Gruppen (Member Of) entfernt werden

strNetBIOSDomain = “DOMAINNAME”
strGroup = “GROUPNAME”

Set grp = GetObject(“WinNT://” & strNetBIOSDomain & “/” & strGroup & “,group”)
For Each Usr In grp.Members
grp.Remove(Usr.AdsPath)
Next

Share