[English]Ich nehme mal ein Thema für Administratoren in den Blog – möglicherweise ist es breit bekannt. Ich selbst bin im AD-Bereich und den verfügbaren Tools nicht so bewandert. In Windows gibt es das Tool LPD.exe, welches sowohl einen SDDL-Editor als als auch einen SDDL-zu-Text-Konverter enthält. Falls noch nicht bekannt, vielleicht ganz interessant. Hier einige Hintergrundinformationen zu diesem Thema, welches mir schon vor einiger Zeit untergekommen ist.
Anzeige
Was ist LDP?
Ldp ist ein auf einer grafischen Benutzeroberfläche (GUI) basierendes, Windows-Explorer-ähnliches Tool, welches zur Navigation im Active Directory (AD) dient. In der linken Spalte des Tools lässt sich durch den durch den Active Directory-Namensraum navigieren, während im rechten Detailbereich die Ergebnisse der LDAP-Operationen angezeigt werden. Jeder Text, der im Detailbereich angezeigt wird, kann mit der Maus ausgewählt und in die Zwischenablage kopiert werden.
ldp.exe kann zum Beispiel zum Suchen von LDAP-Server verwendet werden, wie Cisco hier beschreibt. Eine weitere Beschreibung zur AD-Verwaltung mit LDP findet sich hier.
Ldp war in Windows Server 2008 Bestandteil der Windows Support Tools – seit Windows Server 2008 R2 ist LDP Bestandteil der Remote Server Administration Tools (RSAT) und wird mit den AD- Verwaltungstools mitinstalliert. In diesem Artikel beschreibt jemand, wie man sich das Tool von Windows Server auf Windows 10 ziehen kann.
Microsoft gibt in diesem Support-Dokument einige Hinweise zu ldp.exe – und dieses Dokument von Microsoft-Mitarbeitern zeigt, wie sich eine Statistik in LDP aktivieren lässt.
Anzeige
Security Descriptor Definition Language (SDDL)
SSDL steht für Security Descriptor Definition Language. Die Security Descriptor Definition Language (SDDL) wird verwendet, um Sicherheitsdeskriptoren darzustellen. Die Sicherheit für Geräteobjekte kann durch eine SDDL-Zeichenfolge angegeben werden, die in einer INF-Datei platziert oder an IoCreateDeviceSecure übergeben wird.
LDP.exe mit SDDL-Editor und Text-Exporter
Ich bin auf X über den nachfolgenden Tweet von Sam Erde auf das Thema gestoßen. Er fragt: Wussten Sie, dass das gute alte LDP.EXE einen eingebauten SDDL-Editor und ein Tool zur Konvertierung von SDDL in Text hat?
In der PowerShell gibt es zudem das Utility ConvertFrom-SddlString, welches zur Konvertierung benutzt werden kann. Keine Ahnung, ob das alles bekannt ist und gebraucht wird. Ich stelle diesen Fundsplitter aber mal hier im Blog ein, vielleicht kann ein Administrator da Vorteile draus ziehen.
Anzeige
Ein bisschen Offtopic: Früher gab es das schöne Tool von Microsoft Active Directory Replication Status Tool –> https://learn.microsoft.com/en-us/previous-versions/troubleshoot/windows-server/get-use-active-directory-replication-status-tool
Das ist aber mittlerweile nicht mehr funktional und wird nicht mehr weiterentwickelt. Hat hier jemand eine Alternative dazu?
https://github.com/ryanries/adreplstatus
Abenteuerlich! Unbedingt (2) lesen!
Das Ding ist gewissermassen (!) der Nachfolger des vom Threadersteller angesprochenen "Active Directory Replication Status Tool" (1), stagniert seit 2023 und steht unter deutlichem Vorbehalt, Zitat (2): "This tool is still very early in development. Right now I need beta testers to report bugs".
Aus den Ausführungen des Programmierers Ries ergibt sich implizit, dass man bei Microsoft von (1) wohl den Quellcode verloren hat und er von Grund auf neu beginnen musste.
Ausserdem muss man ein NuGet package von objectlistview.sourceforge.net/cs/index.html herunterladen. Schwierig!
(1) learn.microsoft.com/en-us/previous-versions/troubleshoot/windows-server/get-use-active-directory-replication-status-tool
(2) github.com/ryanries/ADReplStatus/blob/master/README.md
Auf die Schnelle, ohne jegliche Zusicherungen, wohl älter: repadmin.exe, s. learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc770963(v=ws.11)#commands
LDP.exe ist ETWAS älter als Windows Server 2008: es wurde schon mit Windows (Server) 2000 geliefert (siehe https://support.microsoft.com/en-us/kb/325379 oder .
SDDL in Klartext übel(!)setzen kann auch mein Security Descriptor Definition Language Decoder: siehe https://skanthak.homepage.t-online.de/tidbits.html#sddl
Auch im Hinblick auf Replikation nützlich: afind.exe (1). Siehe dort insb. den Abschnitt "Download".
Replikation betreffende Funktionen lassen sich in (2) per Textsuche nach repli finden. S. vor allem auch den Abschnitt "REPLICATION / METADATA SHORTCUTS".
Grundlage zu allem, nicht nur adfind.exe: (3), 600 Seiten!
(1) joeware.net/freetools/tools/adfind/
(2) joeware.net/freetools/tools/adfind/usage.htm
(3) winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-DRSR/%5BMS-DRSR%5D.pdf
([MS-DRSR]: Directory Replication Service (DRS) Remote Protocol)
Seit vielen Jahren verwalte ich AD-forests und der gute alte repadmin hat immer zuverlässig und schnell seinen Dienst getan. Einige wichtige Befehle:
1. show replication summary: repadmin /replsummary
2. force full replication (forest): repadmin /syncall / Aed
3. check replication queue: repadmin /queue [servername|*]
Beste Grüße