Den Bereich für die globale Suche können Sie auch auf Suche im globalen Katalog für alle Gesamtstrukturen festlegen, die Sie in der ausgewählten Instanz des Active Directory-Verwaltungscenters verwalten, oder aber auf einen oder mehrere Knoten, die aktuell dem Navigationsbereich hinzugefügt sind. Wenn Sie den Bereich der Abfrage auf Suche im globalen Katalog für eine bestimmte Gesamtstruktur festlegen, die Sie im Active Directory-Verwaltungscenter verwalten, gibt die Abfrage eine Teilmenge der Active Directory-Objekte zurück, die in allen Partitionen der ausgewählten Gesamtstruktur gespeichert sind. Darin eingeschlossen sind Domänenpartitionen, Konfigurationspartitionen, Schemapartitionen und alle anderen benutzerdefinierten Partitionen. Wenn Sie den Bereich der Abfrage auf einen oder mehrere Knoten festlegen, die aktuell dem Navigationsbereich hinzugefügt sind, gibt die Abfrage eine Teilmenge der Active Directory-Objekte zurück, die in den Containern gespeichert sind, die die ausgewählten Navigationsknoten repräsentieren.
Ich versuche mir meinen Arbeitsalltag mit "Gespeicherten Abfragen" unter den "Active Directory Benutzer und Computer" zu vereinfachen. Bei diesen Suchen handelt es sich meistens um LDAP-Abfragen, die teilweise nicht ganz schlüssig sind. Die Grundabfragen, die mich ein wenig Arbeit gekostet haben bzw. wo ich stark suchen musste, stelle ich gerne zur Verfügung: Welche Anwender sind in der Gruppe "GRP-Intern" in der OU "Intern" der Domäne ""? (objectCategory=user)(memberOf=CN=GRP-Intern, OU=Intern, DC=W2K8Cert, DC=local) Nun kann man eine entsprechende Abfrage konkretisieren und die "nicht aktiven Anwender" (disabled) nicht mit anzeigen lassen. Dort muss in der Abfrage folgendes eingebaut werden: (! userAccountControl:1. 2. 840. 113556. 1. 4. 804:=2) Über die selbe Abfrage können aber auch alle deaktvierten User der Domäne angezeigt werden, da das Ausrufezeichen ach der Klammer nur als Negierung der Eigenschaft gilt: (objectCategory=user)(! userAccountControl:1. 804:=2) Über den Austausch der Category "user" gegen "computer" können auch deaktiverte Computerkonten angezeigt werden Um zu prüfen, ob alle Anwender ein Loginskript haben, kann folgende Abfrage genutzt werden: (objectCategory=user)(!
Das Verschlüsseln von Laufwerken mit BitLocker ist auf Windows-Notebooks ein unabdingbarer Schutz gegen den Diebstahl und Missbrauch von Daten. Wenn sich User damit jedoch aussperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen. Für Unternehmen macht es Sinn, BitLocker zentral über Gruppenrichtlinien zu konfigurieren. Ebenso empfiehlt es sich, die Wiederherstellungsschlüssel an einem zentralen Ort zu speichern, wo sie vor dem unbefugten Zugriff geschützt sind. Microsoft sieht dafür unter anderem das Active Directory vor. Die Verwaltung des Schlüssels ist somit ohne Tools von Drittherstellern möglich. Gruppenrichtlinien konfigurieren Im ersten Schritt erstellt man ein GPO für jene OUs oder Domänen, für deren Computerobjekte der Recovery Key im Active Directory gespeichert werden soll. Die Einstellungen für BitLocker finden sich unter Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => BitLocker-Laufwerksverschlüsselung.
Alle Berichte können Sie als CSV-, PDF-, XLS- oder HTML-Dateien exportieren und so planen, dass Ihnen diese regelmäßig zu von Ihnen gewählten Zeitpunkten zugesendet werden. Da die Berichte lokal archiviert und gespeichert werden können, müssen sich Administratoren keine Gedanken um Speicherplatzbeschränkungen machen, wie es bei den nativen Windows-Tools der Fall wäre. Auf diese Weise können Sie auch Protokolle lange zurückliegender Ereignisse so lange archivieren, wie es für forensische Untersuchungen und Compliance erforderlich ist. Das Alarmierungsmodul von ADAudit Plus informiert Sie in Echtzeit über alle kritischen Ereignisse. ADAudit Plus bietet u. a. folgende Echtzeit-Auditberichte: Überwachung der Benutzeranmeldungen Dateiserver-Audits Auditing von AD-Objekten Windows-Server-Auditing Auditierung von Wechseldatenträgern Aber das ist noch nicht alles! Ihre AD-Protokolle werden zusätzlich in vorkonfigurierten Compliance-Berichten zusammengefasst, die Sie beim Einhalten von Branchenvorschriften oder gesetzlichen Vorgaben unterstützen.
Sollte das in der Variable $lastLogonToCheck gespeicherte Datum älter sein als das aktuelle Datum aus $lastLogon, so wird dieses als neues LastLogon-Datum gesetzt, bis wir zum Schluss das höchste und aktuellste Datum erhalten haben: 1 2 3 4 5 6 7 8 9 10 11 12 foreach ( $ dc in $ dcs) { try { $ user = Get - ADUser $ samAccountName - Server $ dc. lastlogon) if ( $ lastlogon - lt $ lastlogonToCheck) { $ lastlogon = $ lastlogonToCheck $ lastLogonValue = $ user. lastlogon}} catch { continue}} LastLogon und LastLogonTimeStamp formatieren Zum Schluss lassen sich die Werte von LastLogon und LastLogonTimestamp noch formatieren. Sollte der Wert noch unserem Initialen Wert entsprechen, heißt das, dass sich der Nutzer noch nie angemeldet hat. Ansonsten lässt sich das Datum in ein beliebiges Format ändern: if ( $ lastlogon - ne ( New - Object System. DateTime) - And $ lastlogon - ne [ datetime]:: fromFileTime ( 0)) { $ lastlogon = $ lastlogon. ToString ( " HH:mm:ss")} else { $ lastlogon = "-"} if ( $ lastLogonTimestamp - ne ( New - Object System.