José 2.0: Betaphase

[NorbertFe]

Zitat von NilsK Moin, das geht nicht, weil eure Freunde aus der GPO-Productgroup nicht an eine Scripting-Schnittstelle für die Inhalte gedacht haben ... Gruß, Nils

Ich könnte mir auch schwerlich einen Report vorstellen, der einen Praxisnutzen mit den Inhalten der GPOs darstellt.
Obwohl "Zeige alle Richtlinien in denen definiert ist "Alle DesktopIcons ausbleden""?

Bye
Norbert

[Sunny61]

Hi,

Zitat von NilsK das geht nicht, weil eure Freunde aus der GPO-Productgroup nicht an eine Scripting-Schnittstelle für die Inhalte gedacht haben ...

hmm, dann halt nicht. Vielen Dank trotzdem Deine Tools und den Einsatz.

[Daim]

Salut,

Zitat von NilsK Aus dem Grund scheue ich mich etwas, sowas wie lastLogonTimeStamp ins GUI zu nehmen, weil man es damit schnell überfrachtet.

würde ich auch nicht machen. Das LastLogonTimestamp hat zwar gegenüber dem Last-Logon den Vorteil das es repliziert wird, aber leider eben nicht zeitnah sondern um mehrere Tage versetzt.

Siehe:
Yusufs Directory Blog - Die letzte Benutzeranmeldung herausfinden

(Wobei es mit lastLogonTimestamp in meiner Testumgebung grad nicht klappt, das muss ich mal prüfen.)

Evtl. ist der DFL nicht auf Windows Server 2003?

Ach so, die Sache mit der Primary Group: Dass solche Mitglieder nicht aufgelistet werden, ist normal, denn die stehen nicht in der member-Liste.

Ja, hier müsste primaryGroupID (513 wären die Domänenbenutzer) abgefragt werden.

[NilsK]

Moin,

so, ich habe gerade die Beta 2 auf meine Homepage hochgeladen. Der Link bleibt derselbe:
.: www.kaczenski.de :.

Folgendes habe ich gemacht:

• lastLogonTimestamp wird richtig aufgelöst (wenn in Definitions-Datei angefordert)
• userAccountControl wird aufgelöst
• Kontensperrung/Deaktivierung wird richtig berechnet und neu dargestellt
• Berechtigungsproblem beim Auslesen der Konten-Deaktivierung wird mit Symbolen gekennzeichnet
• Kontenattribute hinzugefügt

Achtung, einige Attribute (z.B. lastLogonTimestamp) lassen sich nur über die Kommandozeile hinzufügen, weil sonst das GUI zu unübersichtlich wird. Probiert das doch bitte mal aus. (Möglich auch primaryGroupID - das Thema hatten wir im Thread dieser Tage.)

Das Problem mit fälschlich als deaktiviert dargestellten Konten ist jetzt hoffentlich gelöst. Dabei bin ich über einige seltsame Phänomene im AD gestoßen, wenn man Windows 2008 oder Vista einsetzt - offenbar gibt es bei dem zuständigen Attribut (userAccountControl) manchmal Berechtigungsprobleme. Es sollte richtig aufgelöst werden, wenn ihr José bzw. JoseExec ausdrücklich als Domänen-Admin ausführt. Bei normalen Usern kann es sein, dass die Berechtigung zum Auslesen des Werts fehlt - dann sollte José ein Fragezeichen als Symbol bei dem betreffenden Objekt anzeigen.

Die Terminalserver-Einstellungen fehlen noch - da gibt es noch seltsamere Phänomene im 2008er-AD, die ich erst verstehen muss.

Die Zählung der GPOs ist auch noch ein To-do.

Bitte testen und rückmelden, danke!

Ein schönes Wochenende,

Nils

[NorbertFe]

Zitat von NilsK so, ich habe gerade die Beta 2 auf meine Homepage hochgeladen. Der Link bleibt derselbe: .: www.kaczenski.de :.

Vielen Dank schonmal. Komme aber erst später zum Testen.

[*]Kontensperrung/Deaktivierung wird richtig berechnet und neu dargestellt

Damit ist nicht das Kontoablaufdatum gemeint, oder? Falls nein, dann wäre die Frage ob man sowas irgendwie sinnvoll mit einbauen könnte.

Die Zählung der GPOs ist auch noch ein To-do.

Bye
Norbert

[NilsK]

Moin,

Zitat von NorbertFe Damit ist nicht das Kontoablaufdatum gemeint, oder?

nein. Ich habe jetzt die Funktion neu aufgebaut, die gesperrte und deaktivierte Konten prüft. Sollte jetzt besser gehen (und hoffentlich nicht mehr zu viele Konten als deaktiviert anzeigen).

Falls nein, dann wäre die Frage ob man sowas irgendwie sinnvoll mit einbauen könnte.

Hm ... ja, wenn man deaktivierte und gesperrte anzeigt, könnte man das auch anzeigen. Seh ich mir mal an.

Gruß, Nils


Bye
Norbert

[NorbertFe]

Zitat von NilsK Hm ... ja, wenn man deaktivierte und gesperrte anzeigt, könnte das auch anzeigen. Seh ich mir mal an.

Wäre zumindest im Reporting per cmd sicher ganz praktisch.

Bye
Norbert

[NorbertFe]

Also ein erster Test zeigt genau das beschriebene Verhalten: Alle in Beta1 als deaktivierte Konten werden jetzt mit einem ?-Zeichen markiert. Wobei mir persönlich vollkommen unklar ist, nach welchem Schema dies passiert. Das sind willkürlich ausgewählte User. Wäre mal interessant, ob und wie das Probem in einer Testumgebung (ohne evenuelle Altlasten) nachvollziehbar ist.

Bye
Norbert

[NilsK]

Moin,

in dem Fall hat das Konto, mit dem du José ausführst, wahrscheinlich keine ausreichenden Berechtigungen auf das Attribut "userAccountControl" bei allen Usern. Jedenfalls ist das das bisherige Ergebnis meiner Nachforschungen. Bei mir hat es einen Unterschied gemacht, wenn ich das Tool ausdrücklich (als ggf. UAC in Vista/2008 beachten!) als Domänen-Admin ausgeführt habe. Dann war es überall lesbar und wurde korrekt angezeigt.

Warum allerdings userAccountControl manchmal zugriffsbeschränkt ist und manchmal nicht, habe ich noch nicht herausgefunden. In meiner Demoumgebung ist jedenfalls nichts an den Berechtigungen geändert worden.

Gruß, Nils

[NorbertFe]

Zitat von NilsK Moin, in dem Fall hat das Konto, mit dem du José ausführst, wahrscheinlich keine ausreichenden Berechtigungen auf das Attribut "userAccountControl" bei allen Usern.

Naja es ist mein normales Dom-Konto welches in keiner Administrativen Gruppe der Domäne enthalten ist. Was mich eben wundert ist, dass ich bei einigen Usern den Zugriff erhalte und bei anderen nicht.

Warum allerdings userAccountControl manchmal zugriffsbeschränkt ist und manchmal nicht, habe ich noch nicht herausgefunden. In meiner Demoumgebung ist jedenfalls nichts an den Berechtigungen geändert worden.

Hmm naja mal abwarten was noch so rauskommt.

Bye
Norbert