Windows regelt Zugriffsrechte auf Ressourcen wie Dateien, die Registry oder auch kritische Systemfunktionen über die Mitgliedschaft in speziellen Gruppen. Nur wer etwa der Gruppe “Administratoren” auf einem Windows-Rechner angehört, darf das System verwalten und alle Einstellungen bearbeiten. Doch weil es so schön bequem ist, bei der Arbeit unter Windows nicht gebremst zu werden, arbeiten immer noch viele Benutzer unter Administratorrechten – obwohl sie diese meist gar nicht benötigen. Mit einem Skript entlarven Sie falsche Administratoren.

Den elften Teil meiner Skriptkolumne finden Sie in der Ausgabe Juni 2007 des IT-Administrator von Seite 42 bis 42.

Die Arbeit mit Windows-Berechtigungen ist nicht immer einfach. Insbesondere die Sicherheitskennung (Security Identifier, SID) stellt Admins oft vor die Frage: Welcher Benutzer hat denn welche SID? In der vorherigen Scripting- Kolumne haben wir aufgezeigt, wie Sie SIDs aus dem Active Directory auslesen. Für manche Zwecke gibt es aber auch einen direkteren Weg. Hier eilt – wie so oft – die Windows Management Instrumentation (WMI) Administratoren zu Hilfe.

Den vollständigen Beitrag finden Sie in der Ausgabe Mai 2007 des IT-Administrator von Seite 50 bis 51.

Windows identifiziert seine Benutzer und Gruppen nicht anhand ihres Namens, sondern durch eine numerische Sicherheitskennung, den “Security Identifier”(SID). Diese unhandliche Zahl wird an vielen Stellen im System genutzt, um Berechtigungen zu verwalten. Oft weicht die Darstellung dabei vom gewohnten Format ab, da die SID hexadezimal gespeichert ist. Ein Skript macht die Daten lesbar.

Der neunte Teil meiner Scripting-Kolumne findet sich in Ausgabe April 2007 des IT-Administrator auf Seite 44/45.

Schlaue Admins legen nicht jeden Benutzer im Active Directory (AD) einzeln an:Das Kopieren vorhandener Userkonten im Verwaltungsprogramm “Active Directory-Benutzer und -Computer” spart Arbeit und vermeidet Fehler. Die wichtigsten Werte und Optionen kopiert Windows dabei gleich mit. Aber nicht immer reicht die vordefinierte Auswahl an Feldern aus. Wer häufiger neue Benutzerkonten anlegt, wird daher viele Felder beim Duplizieren vermissen.Welche Werte tatsächlich in die Kopie übernommen werden, lässt sich mit einem Skript konfigurieren.

Den vollständigen Beitrag finden Sie in der Ausgabe “März 2007″ des IT-Administrator von Seite 60 bis 61.

VisualBasic Script verwöhnt seine Nutzer nicht gerade mit Komfort. Besonders lästig: Bei jedem Fehler bricht ein Skript einfach ab. Zwar kann der Skriptentwickler erzwingen, dass der Code nach einem Fehler weiterläuft, aber dann muss er selbst nach jeder Aktion prüfen, ob vielleicht etwas schiefgegangen ist. Zu allem Überfluss schweigen sich manche Komponenten über die Art des Fehlers aus und geben nur kryptische Nummern zurück. An dieser Stelle hilft ausgerechnet ein Griff in die Mottenkiste.

Den vollständigen Beitrag finden Sie in der Ausgabe “Februar 2007″ des IT-Administrator von Seite 38 bis 39.

An einigen Stellen vertraut auch Windows Server 2003 noch auf Mechanismen aus der DOS-Zeit. Eine dieser Stellen ist der Suchpfad: Er legt fest, in welchen Ordnern das System nach Programmen und Daten sucht, wenn diese nur über ihren Namen angesprochen werden. Dazu dient die Umgebungsvariable PATH. Dass diese sich als Ansatzpunkt für subtile Angriffsmethoden nutzen lässt, wissen nur wenige. Ein Skript sorgt hier für Sicherheit.

Meine Skriptkolumne “Raffinierte Admins nutzen Skripts” findet sich in Heft 01/2007 der Fachzeitschrift IT-Administrator auf Seite 53.

Es leuchtet eigentlich ein: Ein sicheres Kennwort muss das Administratorkonto schützen. Und auch ein sicheres Kennwort sollte regelmäßig gewechselt werden. In vielen Netzwerken gibt es aber eine schier unüberwindliche Hürde: Viele Dienste nutzen das Administratorkonto zur Anmeldung an Windows. Nicht auszudenken, was im Netzwerk los ist, wenn die Dienste nach dem Kennwortwechsel nicht mehr starten können. Wer einen Katalog der Dienste besitzt, kann hier gegensteuern und die Konfiguration gezielt ändern.

Meine Skriptkolumne “Raffinierte Admins nutzen Skripts” findet sich in Heft 12/2006 der Fachzeitschrift IT-Administrator auf Seite 54. (Die Nummerierung ist dort leider falsch: Eigentlich ist es die fünfte Folge, wenn auch die Überschrift behauptet, es sei die sechste …)

Löschen Administratoren versehentlich ein Benutzerkonto aus ihrem Active Directory, so fällt eine Wiederherstellung an: Dazu müssen die zuständigen Mitarbeiter das Objekt von Band restaurieren und dann als “aktuell” markieren. Das bringt viel Arbeit für die Mitarbeiter und eine Offline-Zeit für den Server mit sich. Mit Windows Server 2003 geht es auch anders: Verlorene Objekte lassen sich aus ihrem “Grab” erwecken. Leider fehlen ihnen dann aber viele Daten. Ein Skript schafft hier Linderung.

Diesmal ein echter Leckerbissen: Objekte des Active Directory online wiederherstellen – ohne Downtime und ohne ntdsutil. Der vierte Teil meiner Skriptserie “Raffinierte Skripte für Admins” (eigentlich: “Coole Admins nutzen Skripts”) findet sich in Heft 10 der Fachzeitschrift IT-Administrator ab Seite 58.

Das Umziehen eines Windows-Druckservers auf neue Hardware gestaltet sich in den meisten Umgebungen recht einfach: Drucker lokal installieren, freigeben, fertig. Als vorbereitende Maßnahme kann dies schon zu Zeiten geschehen, zu denen der Umzug noch gar nicht ansteht, denn Windows erlaubt problemlos eine Ansteuerung desselben physischen (Netzwerk-) Druckers von mehreren Servern aus. So lässt sich auch eine simple Standby-Lösung aufbauen. Das Problem: Die Benutzer müssen ihre Druckerverbindungen auf den neuen Pfad ändern, sonst können sie nicht drucken.

Hier hilft das Skript, das ich in der September-Folge meiner Scripting-Kolumne für den IT-Administrator vorstelle. Zum Artikel geht es hier. Das Skript findet sich im Download-Bereich der IT-Administrator-Webseite.

Oft läuft es ja so: Anwender betreiben ihre Firmen-Notebooks zu bestimmten Zeiten auch außerhalb das Unternehmens, etwa Zuhause oder in einem Hotelzimmer. Am Arbeitsplatz läuft ein Proxy, der im Web-Browser mit seinem Namen eingetragen wurde. Zuhause oder im Hotel gibt es aber keinen Proxy – von dort aus das Internet zu nutzen, erfordert immer einige Mausklicks, um die Proxyverbindung abzuschalten. Zurück im Unternehmen, ist der umgekehrte Weg nötig. Das schreit nach einer Skriptlösung!

Den vollständigen Beitrag finden Sie in der Ausgabe “August 2006″ des IT-Administrator von Seite 55 bis 56.