WolverineJR

Hast Du es schonmal über den anderen Link probiert? Dort gibt es auch einen Download. Wenn alle Stricke reissen, schicke ich es Dir auch gern per Mail. Sind ca. 2,5 MB

Hat jetzt zwar nichts mit deinem speziellen Problem zu tun, aber wenn Du einfach nur aus einem Skript heraus E-Mails versenden willst, dann benutze doch einen Freeware-Mail-Client. Ich z.B. benutze das Tool "blat". Damit kann man wunderbar über SMTP E-Mails per Skript verschicken.

Das Tool heißt "ADMap". Kannst Du hier herunterladen: http://www.violentnexus.net/tech/AdMap.msi Ist nicht schlecht... hast Du in wenigen Minuten einige komplette Doku deiner ADS. :D Grüße! P.S.: hier noch eine kleine Infoseite dazu: http://www.jsifaq.com/SUBQ/tip8400/rh8420.htm

DumpSec von http://www.somarsoft.com ... ist Freeware

Kann Dir noch von http://www.sysinternals.com das Tool AccessEnum nennen. Das haben wir im Hause aber durch DumpSec abgelöst, weil AccessEnum bei einer gewissen Verzeichnistiefe abstürzt. Was spricht denn gegen DumpSec?

Hab´s selbst hinbekommen. Danke! :D

Hallo Leute, hab hier ein kleines Problem. Am Wochenende habe ich einen unserer beiden ADS-Controller aus unserer Domäne entfernt, weil dieser einige Fehlermeldungen beim Backup der ADS-Daten brachte. Hat auch alles funktioniert. Habe bis heute gewartet, damit alle unsere DC´s (haben mehrere Domänen!) es mitbekommen. Heute habe ich dann eine neue VMWare-Session aufgesetzt (die DC´s laufen als VMWare-Images auf VMWare-GSX-Server) und als DC konfiguriert. Danach ist mir aber aufgefallen, dass die Festplattengröße des Images zu klein war. Also Image runtergefahren, und über die VMWare-Tools das Image vergrößern lassen (VMWare betreut ein Kollege von mir). Beim Hochfahren ist Windows aber mit Fehlermeldungen in einen Loop geraten. Jetzt meine Frage: Wenn ich den DC komplett neu aufsetze, kann es dann passieren, dass ich mir meine ADS-Daten in irgendeiner Weise zerschieße? Muss ich vorher den DC aus ADS herausnehmen? Wenn ja, wie? Danke!!

Tja... Backup existiert nicht mehr. So ein Sch... Und jetzt??? Gibt es wirklich keine andere Möglichkeit??

Für ein paar Hundert Euro kannst Du Dir einen für Deine Bedürfnisse mehr als ausreichenden Linux-Server mit SATA-Raid ins Netz stellen. Dort dann mit SAMBA Freigaben erzeugen und von deinen Windows-Servern draufsichern. Musst Du Dir keine Gedanken mit der Lagerung machen, wenn Du den Linux-Server z.B. in einen anderen Brandabschnitt stellst o.ä.

Hi, dem Thema habe ich mich vor ein paar Tagen auf zugewendet und vor ca. 1 Stunde hinbekommen. Was Du brauchst ist - Samba (ich in der Version 3.0.20) - Kerberos (ist bei Redhat normalerweise standardmäßig dabei) - PAM (ist bei Redhat normalerweise standardmäßig dabei) als erstes: Samba herunterladen und am besten kompilieren. Folgende Syntax (im /source-Verzeichnis des Binary-Verzeichnis des heruntergeladenen Samba): ./configure --with-ads --with-pam --> wenn Du noch ACL´s und User-Quotas haben willst, noch --with-acl-support --with-quotas mitgeben) make make install --> Samba wird in /usr/local/samba installiert danach: /usr/local/samba/lib/smb.conf anpassen (hier meine aktuelle... kann aber bei belieben angepasst werden: [global] unix charset = ISO8859-1 display charset = ISO8859-1 workgroup = [hier der Name der Domäne] realm = [DNS-REALM] netbios name = [Netbios-Name des lokalen Servers] server string = [beschreibung des Servers] security = ADS password server = [DC deiner Domäne] log level = 2 log file = /var/log/samba/%m.log max log size = 50 keepalive = 0 ldap ssl = no idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = + winbind use default domain = yes winbind enum users = no winbind enum groups = no inherit permissions = Yes inherit acls = Yes use sendfile = No smb ports = 139 template shell = /bin/bash dann: Kerberos anpassen: liegt unter /etc/krb5.conf hier meine eigene: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = [REALM der Domäne] dns_lookup_realm = false dns_lookup_kdc = false [realms] [REALM der Domäne] = { kdc = [DC] admin_server = [DC] } [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } dann: PAM anpassen: hierbei habe ich mich auch auf Neuland bewegt. Inzwischen bin ich soweit durchgestiegen, dass unter /etc/pam.d/ Dateien vorhanden sind, welche nach den Diensten benamt sind, auf die PAM reagieren soll. Also wenn Du per SSH dich auf die Linux-Maschinen verbinden willst, nimmst du die Datei "sshd" (das ist der Dienstname von SSH unter Linux --> ps -ef | grep ssh). Dort trägst Du folgende Zeilen ZUSÄTZLICH(!!) am Anfang der Datei ein: (ACHTUNG: Wenn Du hier einen Fehler machst, kann es sein, dass Du Dich und auch kein anderer mehr einloggen kannst!! also SICHERHEITSKOPIE der Datei!!!!!) auth sufficient pam_winbind.so account sufficient pam_winbind.so danach: Sichere die Dateien /lib/security/pam_winbind.so . Danach kopiere die gleiche Datei aus dem Binary-Verzeichnis deiner Samba-Version unter source/nsswitch in /lib/security danach: passe die Datei /etc/nsswitch.conf folgendermaßen an: passwd: files winbind group: files winbind danach: füge die Linux-Maschine in die Domäne ein: /usr/local/samba/bin/net ads join -U Administrator --> Passwort des Domänen-Admins nun ist die Linux-Kiste in der ADS-Domäne integriert (Maschinenkonto wurde erzeugt) danach: starte den winbind-Daemon: nohup /usr/local/samba/sbin/winbindd & danach: Teste die Verbindung mit: /usr/local/samba/bin/wbinfo -u --> User der Domäne sollten angezeigt werden /usr/local/samba/bin/wbinfo -g --> Gruppen der Domäne sollten angezeigt werden getent passwd --> zuerst lokale passwd und dann User der Domäne werden angezeigt Nun sollte es eigentlich funktionieren.... bei Problemen (welche erfahrungsgemäß mit hoher Wahrscheinlichkeit auftreten, einfach fragen)

Dann probiere ich das Morgen mal. Bis dahin!

Das wird in der Tat ein Problem. Die Server, von denen das Image damals gemacht wurde, haben wir nun als VMWare-GSX-Server für die DC´s im Einsatz. Und ein vergleichbares Modell haben wir z.Z. nicht verfügbar. Dann wäre eventuell dein zweiter Vorschlag ein Versuch wert. Muss ich also einen neue Maschine aufsetzen (am besten eine VMWare-Session) und auf die das Konto des Domänen-Admins der Sicherung draufkopieren. Muss das dann ein DC sein? Oder kann ich das auch mit einem ganz normalen W2k3-Standard-Server machen?

Werde ich mal ausprobieren (also das komplette Zurücksichern)...jetzt muss ich nur bis morgen warten, bis unser Backup-Admin wieder da ist. Macht das was, wenn der DC damals noch W2k3 OHNE SP1 gewesen ist? Aktuell haben alle unsere DC´s SP1 installiert.

Das wäre noch ne Möglichkeit. Machen ja Jahressicherungen, welche, was weiß ich wieviele Jahre, aufgehoben werden müssen. Dort könnte ich mal nachsehen, ob noch ne Sicherung vorhanden ist. Befindet sich das Zertifikat in der SYSVOL-Sicherung des Servers? Oder muss ich da ein komplettes Image nehmen?

Tja... dann war es das wohl... durch eine Migration unserer DC´s auf VMWare-Sessions von nem 3/4-Jahr existieren von den erwähnten drei Domänen die ersten DC der jeweilige Domäne nicht mehr. Gibt es keine Möglichkeit mehr, in diesem Fall den privaten Schlüssel wieder zu exportieren?

"Dumpsec" funktioniert einwandfrei! Und hat noch eine verwertbare Ausgabe. Damit werden wir nun ab heute regelmäßig unsere Rechtestruktur sichern. @lamu Danke nochmal für den Tipp!

Dann les mal meinen Beitrag nochmal durch...

Hallo Leute! Habe heute mir mal die Zeit genommen, einige Dokumente bezüglich ADS-Pflege zu wälzen. U.a. wird dort dringend empfohlen, den privaten Schlüssel und das Zertifikat des Domänen-Administrators zu exportieren und sicher extern abzulegen. Nun haben wir hier insg. 6 ADS-Domänen. Bei 3 von diesen konnte ich den privaten Schlüssel und das Zertifikat jeweils in eine Datei exportieren. Bei den restlichen dreien konnte ich den privaten Schlüssel nicht exportieren. Die Meldung besagt, dass der private Schlüssel nicht gefunden werden kann. Nun meine Frage: Wie erzeuge bzw. finde ich diesen Schlüssel und binde ihn an? Danke!

Danke für den Tipp! Probiere ich gerade aus. Heute Nacht lasse ich das Teil über den Datenbereich fliegen, bei dem "AccessEnum" immer ausgestiegen ist. Mal sehen, ob "Dumpsec" das schafft.

Hallo Leute! Kennt jemand ein Programm, welches es ermöglicht von Verzeichnissen/Freigaben die Sicherheitseinstellungen aller darunterliegenden Dateien und Verzeichnisse auzulesen und einigermaßen nachvollziehbar darstellt? Hatten bisher das Programm "AccessEnum" von "sysinternals". Das ist nun bei uns aber an seine Grenzen gestoßen. Wir haben anscheinend nun eine bestimmte Tiefe in unserer Verzeichnissstruktur erreicht, an dem das Tool einfach abbricht. Vielen Dank!

Gehe in "ActiveDirectory Benutzer und Computer"-Konsole, klicke rechts auf die Domäne, wähle Eigenschaften und den Sicherheitskarteikartenreiter. Dort siehts Du nun die Gruppe, User etc., welche Du mittels "Objektverwaltung zuweisen" authorisiert hast mit den jeweiligen Rechten.

Wie wärs mit einem kleinen Fileserver (SATA z.B.). So laufen alle unsere Backups. Erst gar nicht direkt auf Band, sondern auf einen Fileserver und von dort wird dann per Networker die neuesten Backup-Dateien auf LTO gesichert. Auch wenn ich mich hier jetzt auf sehr dünnes Eis begebe... aber hier würde sich ein SAMBA-Server mit Linux anbieten. Läuft bei uns einwandfrei und bekanntermassen kostenlos. (Hoffe micht jetzt nicht ins Abseits manövriert zu haben)

Ich würde hier eventuell mit Gruppenrichtlinien arbeiten. Hier würde mir adhoc unter "Computerkonfiguration"-"Windows-Einstellungen"-"Sicherheitseinstellungen"-"Lokale Richtlinien"-"Zuweisen von Benutzerrechten" die beide Punkte "lokal anmelden verweigern" und "Anmelden über Terminaldienste verweigern" einfallen. Hier eben die Gruppe der Domänen-Benutzer einfügen. Hier ist aber unbedingt darauf zu achten, dass Du diese Richtlinie nicht auch auf die DC´s und (in deinem Fall) auf die Exchange-Server anwendest... sonst hast du ein kleines Problem. Also am besten vorher einfach mit einer Testmaschine/-User testen. Hoffe Dir geholfen zu haben! P.S.: Wie bringst Du die Leute dazu, dass sie sich Punkt 12 Uhr von ihren PC´s abmelden? Wenn sie angemeldet bleiben, bringt das ja nichts.

Schau mal hier rein: http://technet2.microsoft.com/WindowsServer/f/?en/Library/3c7e666e-524a-4f2e-a538-036c8318b1d61033.mspx Dort dürften deine Frage nach dem "wie" beantwortet werden. Bei dem "ob" müsste zumindest beachtet werden, um was für eine Anzahl von Clients es sich handelt. Wenn Du die Parameter auf dem DC änderst, gilt das für alle angebundenen Clients. Wenn Du nun die Zeit, in welcher sich die Clients abgleichen sollen, sehr weit herunterdrehst, kann ich mir vorstellen, dass der Traffic im Netz doch "etwas" zunehmen kann.

Also 100%-ig bekomme ich das auch nicht mehr zusammen. Prinzipiell ist diese Aussage gültig, wenn mehrere DC´s vorhanden sind, und Du einen davon mit einem alten Image zurückspielst. Wenn das der Fall ist, dann gliedert sich der zurückgesicherte DC als "vollwertiger" (fällt jetzt keine bessere Bezeichnung ein) in die Domäne ein. Bis jetzt ja noch kein Problem. Probleme bekommst Du aber dann, wenn zwischen dem aktuellen Datenbestand der Domäne und dem Datenbestand, welcher vorlag, als Du das verwendete Image gemacht hast, ein Unterschied besteht. Dieser Unterschied wird NIE auf den zurückgespielten DC repliziert werden, weil die laufende Nummerierung (glaube heißt USN) zum Zeitpunkt der Rücksicherung des DC geringer war, als er in der Domäne gewesen ist (Beispiel: vor der Image-Rücksicherung war die USN = 900; zum Zeitpunkt der Image-Erstellung war sie 750; wenn nun das Image auf ein DC zurückgespielt wird und in die Domäne integriert wird, nimmt er sofort die USN 900 an, ohne die 150 ausbleibenden Änderungen zu übernehmen). Darum solltest Du einen DC nicht mit einem einfachen Image-Tool sichern, welches keine Unterstützung für ActiveDirectory hat. Einen DC, welcher komplett abgeraucht ist, stellst Du am besten wieder her, indem Du ihn komplett neu installierst und der in die bestehende Domäne integrierst. Dann kannst Du von ausgehen, dass der DC korrekt läuft. Hierbei ist natürlich die Voraussetzung, dass eine Domäne mit mind. 2 DC vorhanden ist! Ich hoffe, dass ich den Sachverhalt einigermaßen korrekt und nachvollziehbar dargelegt habe. Falls ich hier einen Fehler gemacht habe, bitte ich um Korrektur.