Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Neue Attribute im Active Directory erstellen

Frage Microsoft Windows Netzwerk

Mitglied: MisterB85

MisterB85 (Level 1) - Jetzt verbinden

09.06.2013 um 15:50 Uhr, 4509 Aufrufe, 19 Kommentare

Hallo zusammen,

ich wurde von meinem Brötchengeber im Zuge des Corporate Design mit der Aufgabe betraut eine kleine Anwendung zum zentralen administrieren der Outlook-Signaturen zu entwicklen. Damit wir nun aber nichts alles doppelt und dreifach pfelgen müssen, greife ich auf die Nutzerdaten im Active Directory zurück, da dort fast alle relevanten Informationen zu finden sind.

Meine Idee war nun, die Signatur in drei Teilebereiche zu gliedern.
Der erste Teilbereich umfasst alle Anwenderspezifischen Daten wie bspw. die Telefonnummer, E-Mail, Position, Abteilung etc.
Da das Unternehmen eine Konzernstruktur aufweist, existieren mehrere Tochterunternehmen und ein Mutterunternehmen, glücklicherweise verfügt jedes Unternehmen über nur einen Standort, weshalb ich für jedes Unternehmen eine separate Gruppe anlegen würde, welche die Adressdaten etc. enhält. Der letzte Teilbereich ist für Unternemensübergreifende Ankündigungen gedacht.

Nun habe ich gelesen das man den Objekten der AD (Gruppen, Personen) neue Attribute geben kann, indem das Schema bearbeitet wird. Meine Frage ist nun, wie riskant ist dies? Ich bin jetzt weniger Administrator, als viel mehr Entwickler und kenne mich daher in dieser Materie nur rudimentär aus. Aber meiner Vorstellung nach dürfte es doch kein Risiko darstellen neue Attribute einzufügen, solange ich keine bestehenden verändere oder gar lösche.

Mit freundlichen Grüßen,
MisterB85
Mitglied: GuentherH
09.06.2013 um 15:56 Uhr
Lies dir diesen Artikel durch, und entscheide dann ob es gefährlich ist - http://www.faq-o-matic.net/2009/04/08/ad-schemaerweiterung-ein-paar-hin ...

LG Günther
Bitte warten ..
Mitglied: MisterB85
09.06.2013 um 18:22 Uhr
Hallo Günther,

zunächst einmal vielen Dank für die schnelle Antwort.
Den Artikel von FAQ-O-Matic kenne ich bereits, leider ist er nur unter Aspekten der Einführung interessant da er nicht wirklich detailiert auf die Risiken eingeht. Natürlich ist es gut zu wissen das einmal hinzugefügte Attribute nur deaktiviert und nicht mehr entfernt werden können, aber ansonsten steht dort nur das es Risiken gibt, jedoch nicht wie wahrscheinlich diese sein können.
Bitte warten ..
Mitglied: benpunkt
09.06.2013, aktualisiert um 18:58 Uhr
Allgemein wird unter allen Umständen davor abgeraten, dass AD Schema ändern. Schemaänderungen können nicht wieder rückgängig gemacht werden und verbleiben immer im AD.

1. Wenn Du das Schema veränderst und dabei Inkonsistenzen auslöst, kannst Du das komplette AD neu aufsetzen mit samt Exchange und anderen integrierten Servern.

2. Änderungen können nicht rückgängig gemacht werden.

3. Allgemein sind Softwarelösungen, die das Schema ändern, eher zu vermeiden. Das kommt bei IT-Verantwortlichen nie gut, und schon gar nicht, wenn es um so eine "kleine" Lösung wie zentrale Signaturen geht. Da gibt es bereits Lösungen, die das ohne Schemaänderungen können.

Ich rate Dir auf jeden Fall davon ab.
Bitte warten ..
Mitglied: GuentherH
09.06.2013, aktualisiert um 20:23 Uhr
Ich würde dir auch abraten, das Schema zu ändern. Warum nimmst du nicht einfach die im AD vorhandenen Daten und den Rest pflegst du über eine eigene Datenbank ein.
Und dann gehst du den umgekehrten Weg. User werden nicht über das AD gepflegt, sonder über deine Applikation. Ähnlich macht es ja auch MS mit dem Orchestrator - http://technet.microsoft.com/de-de/library/hh420344.aspx

LG Günther
Bitte warten ..
Mitglied: Cheops
09.06.2013 um 20:41 Uhr
Hallo,

ich kann dir für diesen Zweck das Programm OLXCoporate von www.gangl.de empfehlen. Haben wir für 350 Leute im Einsatz und du musst nicht am Schema rumspielen. Und übertrieben teuer ist es auch nicht.

Nur so ne Idee

Grüße
Bitte warten ..
Mitglied: filippg
09.06.2013 um 21:22 Uhr
Hallo,

Allgemein wird unter allen Umständen davor abgeraten, dass AD Schema ändern.
Das kann ich so nicht nachvollziehen. Schemaänderungen (und im speziellen -erweiterungen) sind z.B bei Exchangeinstallationen (aber auch etlichen sonstigen Produkten) standard.
Aber auch von "eigenentwickelten Schemaerweiterungen" wird nicht "unter allen Umständen abgeraten" (zumindest nicht von MS). Man sollte sich halt nur vorher überlegen, was man tut, weil bestimmte (!) Änderungen nicht rückgängig gemacht werden können.

Schemaänderungen können nicht
wieder rückgängig gemacht werden und verbleiben immer im AD.
Nennt mich kleinlich, aber das stimmt so nicht: Etliche Änderungen können sehr wohl rückgängig gemacht werden, etwa die Einstellungen, ob Attribute in den GC repliziert werden. Auch ACLs sind Teil des Schemas und können geändert werden. Was _nicht_ Rückgängig gemacht werden kann, ist eine Erweiterung des Schemas.
Aber auch hier gibt es Mechanismen, um sich bei einer falschen Eingabe beim Anlegen nicht gleich das ganze AD zu zerlegen (ordentlicher Test vorher oder Schemamaster isolieren).

Trotzdem würde auch ich davon abraten, eigene Attribute zu definieren & zu verwenden.
Zum einen sind diese nicht so toll zu administrieren, im AD Users & Computers SnapIn werden sie nicht auftauchen. Deine Nutzerverwaltung benötigt also auf jeden Fall ein zusätzliches, selbst geschriebenes Tool. Wer pflegt dieses dauerhaft?
Zum anderen ist auch die Verwendung aus deiner Software heraus u.U. gar nicht so einfach. In einer Single-Domain-Umgebung geht das alles noch. Wie sieht's bei Multidomain aus? Habt ihr derzeit nicht? Um so schlimmer: Was ist, wenn die in 2 Jahren kommt & dann keiner mehr Ahnung von der eigenen Erweiterung hat?

Gruß

Filipp
Bitte warten ..
Mitglied: Pjordorf
09.06.2013, aktualisiert 11.06.2013
Hallo,

Zitat von MisterB85:
administrieren der Outlook-Signaturen zu entwicklen.
Warum das Rad nochmals neu erfinden? Selbst das Outlooksignature ist deinem doch Lichtjahre voraus.

Gruß,
Peter

EDIT Mitchell: Link gelöscht, enthält Malware

[Nachtrag]
Sorry für den Link. Stammte aus meiner Linksammlung und hatte ich nicht geprüft. Es ging da um Zerbit und sein Outlooksignature.
[/Nachtrag]
Bitte warten ..
Mitglied: benpunkt
10.06.2013, aktualisiert um 09:09 Uhr
Hallo Filipp,

Änderungen am AD können NICHT rückgängig gemacht werden. Natürlich kann man bestimmte Attribute deaktivieren, aber zurücknehmen - geht nicht. Das ist eine Einbahnstraße. Ein AD ist außerdem viel zu wichtig für derartige Spielereien. Da kann man nicht kleinlich genug sein.

Was sagt Microsoft dazu:
Schemaänderungen
Nur selten empfiehlt es sich, Änderungen am AD DS-Schema vorzunehmen. Fehler bei Schemaänderungen können zu Verlust und Beschädigung von Daten führen. Bevor Sie Änderungen an Schemaobjekten vornehmen, sollten Sie daher sicherstellen, dass Sie die Auswirkungen der Änderung nachvollziehen können, dass Sie die Änderung in einer Testgesamtstruktur umgesetzt und ihre Auswirkungen geprüft haben.

Natürlich gibt es Programme, die das Schema ändern. Exchange, ganz klar, aber da steht ja auch eine entsprechender Nutzen dahinter und ich denke, Microsoft kann man vertrauen bein Eingriff in die Struktur des ADs.

Generell gilt - und das ist wirklich so - das Softwarelösungen vermieden werden, die unnötigerweise das Schema ändern. Das habe ich schon beim Vergleich und bei der Auswahl von Lösungen erlebt: dass es Punkt Abzug dafür gibt, wenn das Schema geändert wird.

Grüße
Bitte warten ..
Mitglied: MisterB85
10.06.2013 um 22:44 Uhr
Hallo zusammen,

zunächst einmal vielen Dank für die vielen und schnellen Antworten.

Einiges hätte ich vielleicht vorweg schreiben sollen.
1) Eine kostenpflichtige Lösung kommt aufgrund der Kosten nicht in Frage.
2) Kostenlose Fremdlösungen würden nur von namenhaften Herstellern in betracht gezogen werden.
3) Als Datenbasis muss das Active Directory verwendet werden, da die Nutzer hier auch direkt mit allen Kontaktdaten hinterlegt werden.

Meine Idee war einfach das Gruppenobjekt um weitere Attribute zu modifizieren um so Firmendaten hinterlegen zu können.
Natürlich könnte ich auf die ExtensionAttribute[1-15] zurückgreifen, jedoch kann ich weder kontrollieren welche Anwendungen ebenfalls auf die Attribute zugreifen, noch ist die Bezeichnung sonderlich aussagekräftig.
Eine weitere Überlegung wäre die Verwendung eines Dummy-Nutzers je Unternehmen, der sämtliche Daten enthält und in jeder Gruppe vorhanden ist.
Bitte warten ..
Mitglied: benpunkt
11.06.2013 um 08:26 Uhr
1.) Kostenlos und namhafter Hersteller sind meistens Eigenschaften, die sich ausschließen
2.) Ihr seid ein Konzern und habt die paar Euros nicht für so eine Software?
3.) Ihr seid ein Konzern und Dein Chef lässt Dich (ohne tiefergehende AD Erfahrung) das AD Schema ändern?

Welche Daten brauchst Du denn, die nicht im Benutzerprofil stehen?
Du hast doch alle Daten und alle Datenfelder, die Du brauchst, im Benutzerprofil.

Wenn Ihr Euer Active Directory anständig pflegt, dann hast Du alles was Du brauchst, in den Benutzerprofilen und in der OU Struktur.

Für so eine Lösung sehe ich keinen Anlass, das Schema zu erweitern. Wie gesagt: andere derartige Lösungen schaffen das auch so...

Grüße
Bitte warten ..
Mitglied: Pjordorf
11.06.2013 um 10:20 Uhr
Hallo,

Zitat von MisterB85:
1) Eine kostenpflichtige Lösung kommt aufgrund der Kosten nicht in Frage.
Aber deine 3 Monatsgehälter zum erstellen einer ersten funktionsfähigen grobversion sind Billiger?

Gruß,
Peter
Bitte warten ..
Mitglied: Cheops
11.06.2013 um 12:48 Uhr
zu 1. Also die von mir vorgeschlagene und eingesetzte Lösung von Gangl.de kostete uns damals 1000 Euro für ca. 400 User. Ich glaube der Betrag ist sogar eine Pauschale. Ich würde einfach mal dort anrufen.

zu 2. Was sind den namenhafte Hersteller? Die Lösung soll funktionieren!

zu 3. Das ist bei OLXCoporate definitiv so gegeben. Lade dir doch einfach mal die Testversion.

Wenn du es schaffst für unter 1000 Euro eine Lösung zu programmieren bin ich beeindruckt. Aber wahrscheinlich fällt dein Gehalt unter "eh da" Kosten. Du bist ja eh da, dann kannst du auch ein wenig programmieren.

So sieht das Ganze mit OLX aus:

***
Mit freundlichen Grüßen / Best regards

FIRMENNAME

%%ATTRIBUT01%% %%VORNAME%% %%NACHNAME%%
%%POSITION%%
%%ABTEILUNG%%

Phone %%ATTRIBUT02%%
Fax %%ATTRIBUT04%%
E-Mail %%ATTRIBUT05%%
%%ATTRIBUT10%% %%ATTRIBUT03%%
FIRMENNAME - Straße - 12345 Stadt
Amtsgericht Stadt (local court) - HRB 12345
Managing Directors: Name, Name, Name, usw
URL www.firma.de
Bitte warten ..
Mitglied: MisterB85
11.06.2013 um 16:06 Uhr
Wollt ihr jetzt wirklich mit mir über die Punkte diskutieren und vielleicht versuchen mich umzustimmen? Warum? Ich habe diese Punkte nicht aufgestellt, mit gestaltet, noch sonst etwas. Ich bin nur derjenige der damit umgehen muss und Ende.

Ich glaube der Beitrag zeigt sehr deutlich das ich die Sachen nicht einfach so ändern kann, sondern nur das es kein kategorisches No-Go ist und man mal in der Richtung recherchieren kann. ;)

Wie Cheop es schon schrieb.
Mein Gehalt zählt zu den Fixkosten, dementsprechend ist es unerheblich womit ich meine Zeit verbringen. Das ist keine Ansicht die man teilen muss, ich im übrigen auch nicht, aber so ist nun mal der Bütoalltag bei mir.

Wir haben zwischen den Anwendern und den Unternehmen eine M:N-Beziehung, sprich mehrere Leute in einem Unternehmen, aber auch bestimmte Anwender die in allen Unternehmen sind. Das kann ich über den Anwender alleine nicht darstellen (glaube ich zumindest), weshalb ich auf Gruppen zurückgreifen wollte, und die haben wie bereits erwähnte nicht unbedingt die passenden Attribute.
Bitte warten ..
Mitglied: benpunkt
11.06.2013 um 16:48 Uhr
Du möchtest denn Fall abbilden, dass ein Mitarbeiter verschiedene Signaturen hat, je nach dem, für welchen Unternehmensteil er gerade eine Email verfasst?

Wie soll der Mitarbeiter auswählen können, welche Signatur er hat?
Bitte warten ..
Mitglied: MisterB85
11.06.2013 um 16:58 Uhr
Ich erstelle für jedes Unternehmens eine Gruppe im AD, das die Unternehmensdaten führt. Wird nun ein neuer Anwender angelegt, fügt man ihm den entsprechenden Gruppen hinzu. Glücklicherweise besitzt jedes Unternehmen nur einen Standort und auch die Positions und Abteilungsbezeichnungen bleiben in diesem Sonderfall identisch.
Wird der Rechner nun gestart, startet auch mein kleine Anwendung im Hintergrund dank autostart.
1) Der Ordner mit den Signaturen wird gelöscht.
2) Die Nutzer- und Unternehmensdaten werden im AD abgegriffen.
3) Das Designtemplate wird heruntergeladen.
4) Die Platzhalter werden ersetzt.
5) Die Outlooksignatur wird in den ensprechenden Ordner kopiert.

Bei Schritt 1 und 3 wäre auch ein Abgleich möglich, um unnötigtes kopieren etc. zu vermeiden.
Schritt 4 und 5 wiederholt sich entsprechend der referenzierten Gruppen.

Nun könnten die Anwender, wie bisher auch, über Outlook die Signatur aktivieren die sie gerade brauchen.
Bitte warten ..
Mitglied: benpunkt
11.06.2013 um 22:14 Uhr
Ich versteh noch nicht, wodurch der Unterschied gemacht werden soll...?
Dass der User sich an einem PC eines anderen Standortes anmeldet?

Wie wird entschieden, welche Signatur er jetzt bekommt, wenn er in 3 Gruppen ist?
Bitte warten ..
Mitglied: MisterB85
11.06.2013 um 22:31 Uhr
Welcher Unterschied sollte denn gemacht werden?

Wenn der Anwender in drei Gruppen vertreten ist erhält er drei Signaturen, so das er dann im Outlook entscheiden kann welche er gerade benötigt.
Bitte warten ..
Mitglied: benpunkt
12.06.2013 um 08:03 Uhr
Dann brauchst Du doch keine Attribute hinzufügen:

Mitgliedschaft in Gruppe Trade_GmbH = Signatur für Trade GmbH
Je nachdem, in welchen Gruppen er Mitglied ist, stehen ihm die jeweiligen Signaturen zur Verfügung.
Bitte warten ..
Mitglied: MisterB85
12.06.2013 um 11:22 Uhr
Ich bräuchte die weiteren Attribute auch nicht zum referenzieren von Anwendern auf Gruppen, sondern um auch den Gruppen respektive den Unternehmen Faxnummer, Postnummern etc. zuweisen zu können, falls es denn sowas wie eine Zentrale gibt. Nun hat jedoch eine erste Durchsicht der Gruppen gezeigt, dass ein Attribut wie Fax bspw. nicht als solches existiert.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Linux Userverwaltung
OwnCloud : neues Active Directory : gleiche AD Benutzer : neue ownCloud Benutzer (5)

Frage von ThePcSwagTogether zum Thema Linux Userverwaltung ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...