Active Directory

    Computer aus Domäne (remote) entfernen mit PowerShell oder netdom

    Domäne verlassen über die SystemsteuerungSollen Computer eine Domäne im Active Directory ver­lassen, dann möchte man diese Aufgabe wahr­scheinlich nicht auf jedem PC inter­aktiv erledigen. Power­Shell ist in der Lage, den Unjoin auch remote für mehrere Rechner gleich­zeitig auszuführen. Das Computer­konto im AD muss man aber separat entfernen.

    Domänenmigration: Vertrauensstellung zwischen Forests im Active Directory einrichten

    Trust-Relationship im Active DirectoryIn der Praxis kommt es gelegent­lich vor, dass AD-Gesamt­strukturen zusammen­geführt werden müssen, beispiels­weise nach der Fusion von Firmen. Bevor man die Konten für Benutzer und Computer oder Gruppen über­nehmen kann, muss man im ersten Schritt eine Vertrauens­stellung zwischen den Forests ein­richten.

    Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"

    Lokal oder an einer Domäne anmelden unter Windows 7Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

    Shadow Groups im Active Directory verwalten mit PowerShell

    Benutzerkonten zwischen Konten und Gruppen synchronisierenShadows Groups im Active Directory stehen für ein Konzept, bei dem man für OUs gleich­namige Sicherheits­gruppen anlegt, welche die gleichen User ent­halten wie die ent­sprechende OU. Power­Shell kann die zusammen­gehörigen OUs und Gruppen syn­chron halten, indem man damit User aus der Gruppe ent­fernt oder ihr hinzu­fügt.

    Veraltete Objekte aus dem AD entfernen mit dem Lingering Object Liquidator

    Lingering Objects entstehen durch Replikationsprobleme des ADMicrosoft veröffent­lichte die Version 2 eines Programms, mit dem Admini­stratoren veral­tete Objekte aus dem Active Directory ent­fernen können. Im Gegen­satz zu den gängigen Bord­mitteln handelt es sich dabei um ein benutzer­freundliches Tool mit grafischer Ober­fläche.

    Mit Windows 10 oder Server 2016 offline einer Domäne beitreten

    Offline Domain JoinMicrosoft führte mit Windows 7 und Server 2008 R2 die Mög­lich­keit ein, mit PCs einer Domäne beizu­treten, ohne dass diese eine Verbin­dung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kom­mando­zeilen-Tool djoin.exe, ein GUI- oder Power­Shell-Äqui­valent dazu gibt es nicht.

    Exchange 2016 CU7: AD-Funktionsebene 2008 R2 erforderlich, kein Support für .NET 4.7

    Exchange LogoMicrosoft ver­öffent­lichte die viertel­jährlichen kumu­lativen Updates für Exchange 2013 (CU18) und 2016 (CU7). Beide bringen keine neuen Funk­tionen, sondern beheben nur bekannte Prob­leme. CU7 für Exchange 2016 stellt jedoch für die Instal­lation neue System­anfor­derungen.

    Anmelden an bestimmten PCs für Benutzer und Gruppen verweigern

    Lokale Anmeldung erlauben oder verweigernPer Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

    Verknüpfte GPOs und OUs finden mit PowerShell

    GPO-Verknüpfungen in der GruppenrichtlinienverwaltungBei einer großen Zahl an OUs und GPOs ist nicht leicht zu über­blicken, welche GPOs mit welchen OUs ver­knüpft sind. In Power­Shell lässt sich das mit relativ geringem Aufwand heraus­finden. Dabei kann man wahl­weise die OUs nach ver­linkten GPOs oder GPOs nach OUs filtern, mit denen sie ver­bunden sind.

    Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren

    Temporäre Mitgliedschaft in AD-GruppenDas optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeit­lich befristet in privi­legierte Grup­pen aufzu­nehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.

    Seiten