NorbertFe 1.799 Geschrieben 18. September 2008 Melden Teilen Geschrieben 18. September 2008 Moin, das geht nicht, weil eure Freunde aus der GPO-Productgroup nicht an eine Scripting-Schnittstelle für die Inhalte gedacht haben ... Gruß, Nils Ich könnte mir auch schwerlich einen Report vorstellen, der einen Praxisnutzen mit den Inhalten der GPOs darstellt. Obwohl "Zeige alle Richtlinien in denen definiert ist "Alle DesktopIcons ausbleden""? ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 18. September 2008 Melden Teilen Geschrieben 18. September 2008 Hi, das geht nicht, weil eure Freunde aus der GPO-Productgroup nicht an eine Scripting-Schnittstelle für die Inhalte gedacht haben ... hmm, dann halt nicht. Vielen Dank trotzdem Deine Tools und den Einsatz. ;) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. September 2008 Melden Teilen Geschrieben 18. September 2008 Salut, Aus dem Grund scheue ich mich etwas, sowas wie lastLogonTimeStamp ins GUI zu nehmen, weil man es damit schnell überfrachtet. würde ich auch nicht machen. Das LastLogonTimestamp hat zwar gegenüber dem Last-Logon den Vorteil das es repliziert wird, aber leider eben nicht zeitnah sondern um mehrere Tage versetzt. Siehe: Yusufs Directory Blog - Die letzte Benutzeranmeldung herausfinden (Wobei es mit lastLogonTimestamp in meiner Testumgebung grad nicht klappt, das muss ich mal prüfen.) Evtl. ist der DFL nicht auf Windows Server 2003? Ach so, die Sache mit der Primary Group: Dass solche Mitglieder nicht aufgelistet werden, ist normal, denn die stehen nicht in der member-Liste. Ja, hier müsste primaryGroupID (513 wären die Domänenbenutzer) abgefragt werden. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 19. September 2008 Autor Melden Teilen Geschrieben 19. September 2008 Moin, so, ich habe gerade die Beta 2 auf meine Homepage hochgeladen. Der Link bleibt derselbe: .: www.kaczenski.de :. Folgendes habe ich gemacht: lastLogonTimestamp wird richtig aufgelöst (wenn in Definitions-Datei angefordert) userAccountControl wird aufgelöst Kontensperrung/Deaktivierung wird richtig berechnet und neu dargestellt Berechtigungsproblem beim Auslesen der Konten-Deaktivierung wird mit Symbolen gekennzeichnet Kontenattribute hinzugefügt Achtung, einige Attribute (z.B. lastLogonTimestamp) lassen sich nur über die Kommandozeile hinzufügen, weil sonst das GUI zu unübersichtlich wird. Probiert das doch bitte mal aus. (Möglich auch primaryGroupID - das Thema hatten wir im Thread dieser Tage.) Das Problem mit fälschlich als deaktiviert dargestellten Konten ist jetzt hoffentlich gelöst. Dabei bin ich über einige seltsame Phänomene im AD gestoßen, wenn man Windows 2008 oder Vista einsetzt - offenbar gibt es bei dem zuständigen Attribut (userAccountControl) manchmal Berechtigungsprobleme. Es sollte richtig aufgelöst werden, wenn ihr José bzw. JoseExec ausdrücklich als Domänen-Admin ausführt. Bei normalen Usern kann es sein, dass die Berechtigung zum Auslesen des Werts fehlt - dann sollte José ein Fragezeichen als Symbol bei dem betreffenden Objekt anzeigen. Die Terminalserver-Einstellungen fehlen noch - da gibt es noch seltsamere Phänomene im 2008er-AD, die ich erst verstehen muss. Die Zählung der GPOs ist auch noch ein To-do. Bitte testen und rückmelden, danke! Ein schönes Wochenende, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2008 Melden Teilen Geschrieben 20. September 2008 so, ich habe gerade die Beta 2 auf meine Homepage hochgeladen. Der Link bleibt derselbe: .: www.kaczenski.de :. Vielen Dank schonmal. Komme aber erst später zum Testen. ;) [*]Kontensperrung/Deaktivierung wird richtig berechnet und neu dargestellt Damit ist nicht das Kontoablaufdatum gemeint, oder? Falls nein, dann wäre die Frage ob man sowas irgendwie sinnvoll mit einbauen könnte. Die Zählung der GPOs ist auch noch ein To-do. :) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 20. September 2008 Autor Melden Teilen Geschrieben 20. September 2008 Moin, Damit ist nicht das Kontoablaufdatum gemeint, oder? nein. Ich habe jetzt die Funktion neu aufgebaut, die gesperrte und deaktivierte Konten prüft. Sollte jetzt besser gehen (und hoffentlich nicht mehr zu viele Konten als deaktiviert anzeigen). Falls nein, dann wäre die Frage ob man sowas irgendwie sinnvoll mit einbauen könnte. Hm ... ja, wenn man deaktivierte und gesperrte anzeigt, könnte man das auch anzeigen. Seh ich mir mal an. Gruß, Nils Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 20. September 2008 Melden Teilen Geschrieben 20. September 2008 Hm ... ja, wenn man deaktivierte und gesperrte anzeigt, könnte das auch anzeigen. Seh ich mir mal an. Wäre zumindest im Reporting per cmd sicher ganz praktisch. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 23. September 2008 Melden Teilen Geschrieben 23. September 2008 Also ein erster Test zeigt genau das beschriebene Verhalten: Alle in Beta1 als deaktivierte Konten werden jetzt mit einem ?-Zeichen markiert. Wobei mir persönlich vollkommen unklar ist, nach welchem Schema dies passiert. Das sind willkürlich ausgewählte User. Wäre mal interessant, ob und wie das Probem in einer Testumgebung (ohne evenuelle Altlasten) nachvollziehbar ist. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 23. September 2008 Autor Melden Teilen Geschrieben 23. September 2008 Moin, in dem Fall hat das Konto, mit dem du José ausführst, wahrscheinlich keine ausreichenden Berechtigungen auf das Attribut "userAccountControl" bei allen Usern. Jedenfalls ist das das bisherige Ergebnis meiner Nachforschungen. Bei mir hat es einen Unterschied gemacht, wenn ich das Tool ausdrücklich (als ggf. UAC in Vista/2008 beachten!) als Domänen-Admin ausgeführt habe. Dann war es überall lesbar und wurde korrekt angezeigt. Warum allerdings userAccountControl manchmal zugriffsbeschränkt ist und manchmal nicht, habe ich noch nicht herausgefunden. In meiner Demoumgebung ist jedenfalls nichts an den Berechtigungen geändert worden. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 23. September 2008 Melden Teilen Geschrieben 23. September 2008 Moin, in dem Fall hat das Konto, mit dem du José ausführst, wahrscheinlich keine ausreichenden Berechtigungen auf das Attribut "userAccountControl" bei allen Usern. Naja es ist mein normales Dom-Konto welches in keiner Administrativen Gruppe der Domäne enthalten ist. Was mich eben wundert ist, dass ich bei einigen Usern den Zugriff erhalte und bei anderen nicht. Warum allerdings userAccountControl manchmal zugriffsbeschränkt ist und manchmal nicht, habe ich noch nicht herausgefunden. In meiner Demoumgebung ist jedenfalls nichts an den Berechtigungen geändert worden. Hmm naja mal abwarten was noch so rauskommt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 23. September 2008 Autor Melden Teilen Geschrieben 23. September 2008 Moin, Was mich eben wundert ist, dass ich bei einigen Usern den Zugriff erhalte und bei anderen nicht. genau das verstehe ich auch nicht. Guck dir doch mal bei einem Objekt, wo es geht, und bei einem, wo es nicht geht, die Berechtigungen von "userAccountControl" an (im GUI: Kontenbeschränkungen lesen - glaube ich zumindest). Das wird vermutlich unterschiedlich sein. Die Frage ist: Wieso? Mal sehen, ob ich bei MS jemanden finde, der mir das erklären kann. Übrigens: Ablaufende Konten löst José jetzt auch auf. Dabei gibt es aber dasselbe Berechtigungsproblem ... Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 23. September 2008 Melden Teilen Geschrieben 23. September 2008 genau das verstehe ich auch nicht. Guck dir doch mal bei einem Objekt, wo es geht, und bei einem, wo es nicht geht, die Berechtigungen von "userAccountControl" an (im GUI: Kontenbeschränkungen lesen - glaube ich zumindest). Das wird vermutlich unterschiedlich sein. Die Frage ist: Wieso? Werd ich mal machen. Melde mich dann wieder. Übrigens: Ablaufende Konten löst José jetzt auch auf. Dabei gibt es aber dasselbe Berechtigungsproblem ... Schon im Download verfügbar? ;) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 24. September 2008 Autor Melden Teilen Geschrieben 24. September 2008 Moin, Schon im Download verfügbar? ;) in Kürze. Dafür dann auch mit GPO-Zählung (ist gestern abend reingekommen). :cool: Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Moin, in Kürze. Dafür dann auch mit GPO-Zählung (ist gestern abend reingekommen). :cool: Gruß, Nils Immer her damit :) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 24. September 2008 Autor Melden Teilen Geschrieben 24. September 2008 Moin, Beta 3 ist jetzt verfügbar. Der Link ist wieder derselbe: José 2.0: Beta: .: www.kaczenski.de :. Neu in Beta 3 (neben einigen Korrekturen): gesperrte, deaktivierte und ablaufende Konten werden nun richtig aufgelöst (wenn Berechtigung vorhanden!) GPOs und ihre Links werden gezählt Aus meiner Sicht dürfte kaum mehr was fehlen. Bitte testet noch mal intensiv: gegen verschiedene Umgebungen (XP, Vista, 2000, 2003, 2008) mit verschiedenen Berechtigungen (v.a. User vs. Domänen-Admin) die Kommandozeilen-Funktion zusätzliche Attribute in der Definitionsdateil, z.B. lastLogonTimestamp, aber auch andere (siehe Hilfetext) Reports auf verschiedenen OU-Ebenen naja und allgemein ;) Viel Spaß und vielen Dank, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.