Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Artikel für das Schlagwort ”Active-Directory”

PowerShell: Ablaufdatum des eigenen Kennworts ermitteln

Durch Richtlinien erzwungene, wechselnde Kennwörter sind in Active Directory Umgebungen ein probates Mittel, um den Kennwort-Hash eines Benutzers zyklisch zu ändern. Arbeitet man in vielen unterschiedlichen Umgebungen – bspw. im Support für Kunden – so entsteht oftmals die Frage, wie lange das eigene Kennwort eigentlich noch gültig ist.

Der folgende PowerShell-Befehl löst dieses Rätsel in kürzester Zeit. Dabei wird das Attribut msDS-UserPasswordExpiryTimeComputed des Benutzer-Objektes ausgelesen und die verbleibende Gültigkeit in Tagen berechnet:

([System.Security.Principal.WindowsIdentity]::GetCurrent().User).Value | get-aduser -Properties Displayname,PasswordLastSet,msDS-UserPasswordExpiryTimeComputed | Select-Object -Property Displayname,SamAccountName,PasswordLastSet,@{Name="ExpirationDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}},@{Name="Duration";Expression={$(New-TimeSpan -Start $(Get-Date) -End $([datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed"))).ToString("%d")+" days"}}

Das Ergebnis der Abfrage sieht dann in etwa so aus:

Anzeige und Berechnung der Gültigkeit des Kennwortes

Mit dem aufgeführten PowerShell-Kommando kommt man relativ zügig zum gewünschten Ergebnis. Wer mag, kann den Befehl auch in Anmelde-Skripten integrieren, um dem Benutzer eine etwas vorausschauendere Information über das Kennwortalter zu geben.

Mit dem folgenden Kommando kann die Information im Übrigen ebenfalls einfach abgerufen werden:

net user %username% /domain

Standardspeicherort neuer Computerobjekte im Active Directory festlegen

Vor einiger Zeit habe ich bei meiner Upgrade-Prüfung zum MCSA 2012 eine Frage beantworten müssen, deren Lösung ich wenig später auch bei einem unserer Kunden angewendet habe. Nun – etwa 3 Wochen später – ist das Wissen schon wieder dahin, deshalb der heutige Artikel zu eigenen Dokumentation.

Neue Computer-Objekte, die in einer Active Directory Struktur erstellt werden, landen immer automatisch im vor-definierten Container Computer. Da, unter anderem, mit diesen Container keine Gruppenrichtlinien direkt verknüpft werden können, ist es sinnvoll, diesen Standardspeicherort auf eine andere Organisationseinheit umzustellen.

Beitrag weiterlesen …

PowerShell: Benutzer-Eigenschaften im Active Directory auslesen oder ändern

Oftmals kommt es vor, dass man als Administrator verschiedenste Eigenschaften mehrerer Benutzer im Active Directory anzeigen lassen möchte, ohne – auf umständliche Weise – jeden Benutzer einzeln auszuwählen und über dessen Eigenschaften auf mehrere Reitern nach der gewünschten Information zu suchen.

Doch nicht nur die Suche, auch die Änderung mehrerer Eigenschaften, die für viele oder alle Benutzer identisch sein sollen, ist über die manuelle Eingabe extrem aufwendig. Befinden sich die Benutzer dann noch geordnet in unterschiedlichen Organisationseinheiten (OU), ist die Administration mit Hilfe der MMC Active Directory-Benutzer und Computer nahezu unbrauchbar.

Beitrag weiterlesen …

Datenimport ins Active-Directory mittels Excel-Vorlage und CSVDE

Sicherlich werden die meisten, heutigen IT-Admins während ihrer Berufsausbildung oder im Rahmen von Zusatzqualifikationen an dem Thema Automatisierter Import von Benutzerkonten ins Active Directory vorbeigekommen sein. Ob und wann man dieses Wissen im praktischen Alltag benötigt wird, steht allerdings auf einem anderen Blatt.  Bei mir lagen etliche Jahre dazwischen und die Informationen stammten damals noch aus Windows 2000 Server. Umso erfreuter war ich, dass die Vorgehensweise und Werkzeuge prinzipiell die Gleichen geblieben sind.

Aber wie so oft liegt auch hier der Teufel im Detail und es galt einige Besonderheiten zu beachten, die eine Dokumentation unerlässlich machen. Einer meiner Informatikdozenten (in diesem Fall sogar eine Dozentin) pflegte zu sagen „Was nicht dokumentiert ist, existiert nicht!“ und behielt damit in den meisten Fällen recht, was mich letztendlich zu diesem Artikel bewog.

Beitrag weiterlesen …