seeseekey.net - Invictus Deus Ex Machina

Wenn man Nutzer von einer Active Directory Domäne in andere Domäne migriert, kann das sehr zeitaufwändig sein. Vor allem die Umstellungen des lokalen Profiles kann dabei einige Zeit in Anspruch nehmen. Abhilfe schafft hier das Tool „User Profile Wizard“ welches unter http://www.forensit.com/de/downloads.html bezogen werden kann. Mit diesem ist es möglich ein bestehendes Profil in wenigen Minuten auf einen neuen Nutzer umzuschreiben. Dabei wird das Profil nicht kopiert, sondern die entsprechenden Rechte werden so geändert, das dass Profil dem neuen Nutzer gehört. Die Übernahme funktioniert dabei unter Windows XP, Vista und 7 problemlos. Nur mit der 64-Bit Version von Windows XP gibt es Probleme, welche sich in darin äußern das das Profil nicht umgeschrieben werden kann.

Wenn man das lokale Passwort für einen Windowsrechner vergessen hat so ist das ärgerlich, kann aber dank ntpasswd sehr schnell behoben werden. Schwieriger wird es wenn man das administrative Passwort in einer Windows Domäne verlegt hat. Hier kommt man mit „ntpasswd“ nicht sehr weit, auch die Windows Bordmittel helfen im ersten Moment nicht. Allerdings gibt es natürlich auch hier Mittel und Wege, in diesem Beispiel anhand des Windows Server 2003 beschrieben.

Im ersten Schritt sollte das Passwort für die „Verzeichnisdienstwiederherstellung“ auf eine leere Zeichenkette gesetzt werden. Dies geschieht mittels „ntpasswd“. Dort leert man einfach das Passwort für den Nutzer „Administrator“. Nachdem dies erledigt ist drückt man beim Start von Windows im richtigen Moment die F8 Taste damit die erweiterten Windows-Startoptionen geöffnet werden. Dort wird der Punkt „Verzeichnisdienstwiederherstellung (Windows-Domänencontroller)“ ausgewählt. Das Windows wird damit im abgesicherten Modus gestartet. Der Login lautet dabei „Administrator“ verbunden mit einem leeren Passwort.

Für den nächsten Schritt benötigt man die „Windows Server 2003 Resource Kit Tools“ welche unter http://www.microsoft.com/en-us/download/details.aspx?id=17657 heruntergeladen werden können. Den Installer sollte man unter Umständen mit einem Packprogramm seiner Wahl (z.B. 7-Zip) entpacken, so das man die enthaltenen Dateien zur Verfügung hat. Bei entsprechender Serverkonfiguration kann es nämlich passieren, das der Installer als solches nicht auf dem Domaincontroller ausgeführt werden darf.

Aus dem „Windows Server 2003 Resource Kit Tools“ werden die Dateien „instsrv.exe“ und „srvany.exe“ benötigt. Diese kopiert man sich in ein Verzeichnis seiner Wahl z.B. nach „C:\Temp“. Danach öffnet man die Kommandozeile, wechselt in den Ordner und gibt dort folgendes ein:

instsrv tmpService "C:\Temp\srvany.exe"

Im nächsten Schritt müssen die Parameter des Dienstes „tmpService“ in die Registry eingetragen werden. Dazu wird der Registrierungseditor mittels „regedit“ gestartet“ und dort der Schlüssel (bzw. der Ordner):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmpService

gesucht. In diesem wird ein neuer Schlüssel mit dem Namen „Parameters“ angelegt und in diesem werden folgende Zeichenfolgen angelegt:

Application -> C:\Windows\System32\cmd.exe
AppParameters -> /k net user Administrator neuesPasswort /domain

In der „Systemsteuerung“ sollte danach in der „Verwaltung“ das Fenster „Dienste“ geöffnet werden und dort nach dem Dienst „tmpService“ gesucht werden. In den Eigenschaften wird als Starttyp „Automatisch“ sowie unter „Anmelden“ der Haken bei „Datenaustausch zwischen Dienst und Desktop zulassen“ aktiviert. Nachdem der Dialog bestätigt wurde kann der Rechner neugestartet werden.

Beim Neustart wird das Passwort nun auf „neuesPasswort“ gesetzt und es ist möglich sich mit diesem einzuloggen. Nun muss der entsprechende Dienst wieder deaktiviert und entfernt werden. Dazu gibt man in der Kommandozeile folgendes ein:

net stop tmpService
sc delete tmpService

Als letzter Schritt müssen nur noch die kopierten Dateien gelöscht werden. Das Passwort des Domaincontrollers wurde damit zurückgesetzt.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Domain_Controller

Manchmal ist es nötig einen Windows Domain Controller zwangsweise herunterzustufen. Dies geschieht auf dem entsprechenden Server in der Kommandozeile mittels:

dcpromo /forceremoval

Allerdings sollte man dabei beachten, das Metadaten auf den anderen Domain Controllern zurück bleiben, da der zwangsweise zurückgestufte Domain Controller den anderen Servern keine Informationen dazu sendet. Diese müssen dann manuell mittels „ntdsutil“ entfernt werden. Wie das funktioniert erklärt ein Technet Artikel bei Microsoft.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Domain_Controller

Manchmal ist es nötig einen Ubuntu Rechner in eine Domäne einzuhängen. Dazu installiert man sich im ersten Schritt erst einmal einige Pakete:

sudo apt-get install likewise-open likewise-open-gui

Dann wird man nach dem Realm sprich dem Domainnamen gefragt. Nachdem man diesen eingegeben hat geht die Installation weiter. Nach der Installation gibt man dann

sudo domainjoin-gui

ein. Daraufhin öffnet sich ein Dialog in welchem man den Namen des Rechners und den Domainnamen angibt. Danach wird man aufgefordert den Rechner neu zu starten. Dieser Aufforderung sollte man auch nachkommen. Danach ist der Rechner Mitglied in der entsprechenden Domäne.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29

Mit bestimmten Windowsversionen gibt es das Problem das man sie nicht in eine Domäne integrieren kann. Dies ist z.B. bei Windows 7 Home Premium der Fall. Doch was macht man wenn man auf die Freigaben der Domäne zugreifen möchte? Der einfachste Weg ist es sich einen lokalen Benutzer anzulegen welcher genauso heißt wie ein entsprechender Domänennutzer (inklusive des gleichen Passwortes). Nun kann man problemlos auf Freigaben in der Domäne zugreifen, natürlich nur unter der Voraussetzung das der entsprechende Domänennutzer Rechte für die jeweilige Freigabe besitzt.

Möchte man in der Domaine die Passwortrichtlinie ändern (z.B. die minimale Länge der Passwörter) so loggt man sich auf seinem Domänenserver ein und geht dort in die Verwaltung (Einstellungen -> Systemsteuerung -> Verwaltung). Dort wählt man dann Active Directory Benutzer und Computer aus und klickt dann mit der rechten Maustaste auf den Domänennamen und dort auf Eigenschaften.

In dem sich öffnenden Dialog wählt man dann den Tab Gruppenrichtlinie. Nun kann man entweder eine neue anlegen oder die bestehende modifizieren. Wobei Microsoft empfiehlt eine neue anzulegen, diese kann nämlich schnell deaktiviert werden falls doch etwas schief gehen sollte und so schnell durch die Standardrichtlinie ersetzen.

Nachdem man die Richtlinie geöffnet hat, kann man unter Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kennwortrichtlinie alles nach seinen Wünschen modifizieren.

Wer einen Rechner betreibt welche in einer Domäne eingehängt ist und dabei mehrere Domänencontroller benutzt hat unter Umständen das Problem das mit der Synchronizität der Zeit. Jeder Domänencontroller holt sich die Zeit vom primären Domaincontroller (PDC Betriebsmaster). Alle normalen Clients von einem der Domaincontroller. Laufen die Domänencontroller nun asynchron so sollte man die Zeit auf dem PDC Betriebsmaster richtig einstellen. Am besten bewerkstelligt man dies mit einem NTP Zeitserver.

Um einen solchen Server zu autorisieren gibt man in der Kommandozeile folgendes ein:

net stop w32time
net time /setsntp:pool.ntp.org
net start w32 time

Und schon läuft der Betriebsmaster mit der richtigen Zeit 🙂

Da mich vor ein paar Tagen mit Gruppenrichtlinien beschäftigt habe, ist einiges an Dokumentation zusammen gekommen. Unter http://www.wintotal.de/Artikel/gruppenrichtlinien/teil1/teil1.php findet man einen Auszug aus dem Integrationshandbuch Microsoft-Netzwerk von Galileo Computing. Das Buch gibt es mittlerweile auch als Openbook zu finden unter http://openbook.galileocomputing.de/microsoft_netzwerk/.

Eine Website welches sich ausführlich mit diesem Thema befasst ist http://www.gruppenrichtlinien.de/. Dort findet man Grundlagen, HowTo’s und vieles mehr wobei auch Windows Vista sowie der Windows Server 2008 mit einbezogen werden.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Gruppenrichtlinie