Active Directory

    Mitgliedschaft eines Users in Active-Directory-Gruppen ausgeben

    Ein AD-User kann neben seiner primären Gruppe Mitglied in anderen Gruppen sein. Dafür gibt es im AD die Attribute PrimaryGroup und MemberOf, die per Get-AdUser gemeinsam abgefragt werden. Die Abfrage selber ist sehr einfach, die Schwierigkeit für alle, die bei der PowerShell erst am Anfang stehen besteht darin, die Namen zu einer einzigen Ausgabe zusammenzufassen.

    Gelöschte Active-Directory-Objekte wiederherstellen mit PowerShell

    Wird ein AD-Objekt wie zum Beispiel ein User-Objekt gelöscht, ist es noch nicht ganz verloren. Es wird bekanntlich in einen speziellen Container (auch Tombstone genannt) mit dem Namen "CN=Deleted Objects" verschoben, indem es in der Regel noch 180 Tage (dieser Wert kann variieren) frisch gehalten wird. Dieser Container wird in der regulären Active Directory Benutzer- und Computer-Konsole nicht angezeigt, kann aber mit dem Tool Ldp.exe sichtbar gemacht werden.

    Vollständige PowerShell-Referenz für Microsoft Teams als kostenloses PDF

    Microsoft Teams PowerShellEine Colla­boration-Lösung wie Microsoft Teams bietet den Benutzern normaler­weise genügend Spiel­raum, um ihre Umgebung selbst zu orga­ni­sieren. Dennoch bleiben der IT einige admini­strative Auf­gaben. Viele davon betreffen Bulk-Operat­ionen oder wieder­­kehrende Tätig­keiten, die sich am besten mit PowerShell erledigen lassen.

    Forefront Identity Manager 2010 R2: Password Reset, Outlook-Plugin

    Der Forefront Identity Manager 2010 ist Microsofts Integrationsplattform für das Identity-Management. Er kann neben dem Active Directory auch eine Reihe von Fremdprodukten anbinden, darunter Novells eDirectory, SAP oder diverse relationale Datenbanken. Neben einem zentralen Management für Benutzerkonten und Zertifikaten unterstützt er auch das Single-Sign-on über die externen Verzeichnisse. Das bevorstehende Release 2 des FIM 2010 bringt einige Neuerungen, darunter Password Reset als Self-Service, Reporting-Funktionen und ein Plugin für Outlook 2010.

    Security Compliance Manager 2: GPOs prüfen und Systeme absichern

    Microsoft Security Compliance ManagerDer Security Compliance Manager ist ein kosten­loser Solution Accelerator von Microsoft, der es erlaubt, vorhandene Gruppenricht­linien mit empfohlenen Einstellungen des Herstellers zu vergleichen. Bei vorhandenen Abweichungen lassen sich die Vorgaben von Microsoft einzeln oder pauschal übernehmen. Die solcherart gehärteten Einstellungen können anschließend in die produktive Umgebung exportiert werden, wobei das Tool hier mehrere Formate unterstützt.

    netdom, add-computer: Windows-Domäne beitreten von der Kommandozeile

    Zu Arbeitsgruppe oder Domäne beitretenWill man einen Computer über die grafische Oberfläche einer Windows-Domäne anschließen, dann führt der Weg normalerweise über Systemsteuerung => System und Sicherheit => System. Dieses Verfahren kann sich in bestimmten Fällen als umständlich erweisen und hat zudem den Nachteil, dass sich der Beitritt zu einer Domäne nicht durch zusätzliche Angaben steuern lässt.

    Computer im Active Directory vor dem Beitritt zur Domäne eintragen

    Wenn ein Computer einer Windows-Domäne beitritt, dann erhält er automatisch ein Konto im Active Directory. Allerdings landet er dann standardmäßg im Container Computer. Dabei handelt es sich jedoch um keine organisatorische Einheit (OU), so dass sich dem Rechner zum Beispiel keine Gruppenrichtlinien zuordnen lassen. Um diesen Zustand zu vermeiden, kann man einen Computer bereits vor seinem Beitritt zur Domäne in der zuständigen OU vorab eintragen.