Kategorie-Archiv: Active Directory

Wenn der Administrator dem eigenen Login vorgezogen wird

Irgendwie hat sich bei uns das leidige Problem eingeschlichen, dass gewisse Personen lieber den AD-Administrator anstelle des eigenen AD-Logins verwenden und das, obwohl die Rechte die selben sind. Und da ich für die Sicherheit der Server zuständig bin, sehe ich das verständlicherweise überhaupt gar nicht gerne!
Dummerweise kann ich nicht einfach hingehen und das Passwort ändern und niemandem mehr sagen, denn für Support-Fälle muss der Administrator jederzeit verfügbar sein.

Also versuche ich es zuerst auf die nette Art und Weise über einen Hinweis via GPO > Logonscript:

if /i "%USERNAME%" == "administrator" goto warnung

REG ADD "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "" /f
%SYSTEMROOT%\System32\rundll32.exe user32.dll,UpdatePerUserSystemParameters

goto :eof

:warnung
msg %username% Es ist verboten mit dem Administrator-Account zu arbeiten - Bitte benuetze der Sicherheit wegen stets dein AD-Login!

REG ADD "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "C:\PFAD\ZUM\BILD.bmp" /f
%SYSTEMROOT%\System32\rundll32.exe user32.dll,UpdatePerUserSystemParameters

Eindruck macht dabei vor allem der Hintergrund, welcher ein beliebiges Bild, zum Beispiel mit einem fetten Hinweis, anzeigen kann.

GPO exportieren und importieren

Hinterlasse eine Antwort

Gestern stand ich vor der Aufgabe auf einem Windows Active Directory die GPOs von einem Server 2008 auf ein Server 2008 R2 zu zügeln. Da gleichzeitig auch noch die Domäne umbenannt werden sollte, entschieden wir uns gegen ein simples Synchronisieren und zogen die Domäne neu auf. Da ich aber nicht noch einmal alle Einstellungen für die GPOs durchackern wollte, beschloss ich diese zu übernehmen, im Idealfall zu importieren.

Dazu habe ich zuerst von den GPOs auf dem alten Server ein Backup erstellt. Dazu einfach Rechtsklick auf die betreffende GPO und dann “Back Up…”:

Wenn man mehrer GPOs exportieren will, so empfehlen sich Unterordner, da das Backup die einzelnen GPOs nur GIDs als Namen gibt. Sind also alle exportiert, so können diese auf den neuen Server kopiert werden. Natürlich geht auch ein Share oder ähnliches.

Weiterlesen →

Nagios zur Server Überwachung

Hinterlasse eine Antwort

Hauptsächlich für mich selbst, aber vielleicht hilft es ja auch jemand anderem, habe ich zusammengefasst, was ich in meiner Nagios-Installation wie überwache.
Dies sind Auszüge aus der command.cfg und aus meiner devices.cfg. Zuerst folgt die Beschreibung, dann auf Linie 1 das Kommando aus der command.cfg und auf Linie 2 der Befehl aus der devices.cfg:

Prüft eine Webseite URL mit dem Unterordner SUBFOLDER ob ein bestimmtes Wort KEYWORD vorhanden ist:

$USER1$/check_http -H $ARG1$ -u $ARG2$ -s $ARG3$ -w 10 -c 20 -t 30
check_website!URL!/SUBFOLDER/!KEYWORD

Prüft die Verbindung via RDP auf eine Windows Maschine:

$USER1$/check_x224 -H $HOSTADDRESS$ -p 3389 $ARG1$
check_rdp!-w 10 -c 50

Prüft den Health-Zustand eines ESX-Servers:

/usr/bin/python $USER1$/check_esx_wbem.py https:\/\/$HOSTADDRESS$:5989 $USER3$ $USER4$
check_esx

Prüft eine Sharepoint-Installation auf dessen Erreichbarkeit:

$USER1$/check_sharepoint $HOSTADDRESS$
check_sharepoint

Weiterlesen →

LDAP Synchronisation Script

4 Antworten

Für einen Kunden wurde ich angefragt, ob ich ein Synchronisationsscript in PHP erstellen könne, welches die User samt Telefonnummer aus dem LDAP / AD ausliest und in eine MySQL-Tabelle umspeichert, so dass diese danach auf der Intranet-Seite angezeigt werden können. Leider wurde aus dem Auftrag nichts, da sich der User plötzlich nicht mehr gemeldet hatte, also dachte ich mir, veröffentlichen wir das Script halt, das es anderen vielleicht auch hilft.
Damit das ganze funktioniert, muss das LDAP-Modul in der PHP.ini einkommentiert und die passende SO-Datei vorhanden sein.
Unter Ubuntu und Debian geht das ganz einfach:

apt-get install php5-ldap

Auch andere Distros sind nicht allzu wild, genaueres dazu findet man zum Beispiel hier.

Das Script selbst war dann auch ganz einfach geschrieben, geplant war es, dieses jeweils mittels Cronjob alle paar Stunden laufen zu lassen, da sich die Benutzerdatenbank ja nicht gerade alle Minuten ändert. Also durchaus angemessen so!

So und hier ist also das Script.
Weiterlesen →

Bits, Bytes and my 5 cents

Life is just a technical game

Kategorie-Archiv: Active Directory

Wenn der Administrator dem eigenen Login vorgezogen wird

GPO exportieren und importieren

Nagios zur Server Überwachung

LDAP Synchronisation Script