Archive for the ‘Windows 2003’ Category.

Active Directory – Cleanup Old Users and Computers

Man kan med joeware’s freeware utility “OldCmp” rense ud i gamle user og computer objekter.
Nedenstående lister en række cmd-script til formålet.
Men først kan man teste “OldCmp” med et par standard kommandoer:

Html Report – Computere der har været inaktive indenfor 90 dage
oldcmp -report -age 90 -llts -sort pwage

Excel Report – Computere der har været inaktive indenfor 90 dage
oldcmp -report -age 90 -llts -sort pwage -format csv -delim tab

Html Report – Brugere der har været inaktive indenfor 90 dage
oldcmp -report -age 90 -users -llts -sort pwage

Excel Report – Brugere der har været inaktive indenfor 90 dage
oldcmp -report -age 90 -users -llts -sort pwage -format csv -delim tab

Nedenstående lister et udsnit fra en export til excel:


Script til cleanup af gamle user account + mail rapport med account info:

REM UserCleanUp.cmd
REM Active Directory User Cleanup
REM Scheduleres til afvikling hver uge

REM Disable User account, der har været inaktive inden for de sidste 90 dage.
oldcmp -disable -age 90 -users -llts -safety 25 -forreal –excldn (skal stå på same line)
“CN=users,DC=win,DC=local”;”OU=Users,OU=ITservices,OU=WinRoot,DC=win,DC=local” -newparent OU=OldUsers,DC=win,DC=local

REM Opretter HTML rapport.
oldcmp -report -age 90 -users -llts format html -excldn “CN=users,DC=win,DC=local”;”OU=Users,OU=ITservices,OU=WinRoot,DC=win,DC=local” -file output.htm

REM Generer mime attachments
mpack -s “AD User Cleanup” -o body.msg output.htm

REM Sender “Active Directory User Cleanup Rapport”
bmail -s 192.168.35.18 -p 25 -t jra@win.local -f ActiveDirectory@win.local -h -a “AD User Cleanup” -m body.msg

Script til cleanup af gamle computer account + mail rapport med computer info:

REM CoCleanUp.cmd
REM Active Directory Computer Cleanup
REM Scheduleres til afvikling hver uge

REM Disable Computer account, der har været inaktive inden for de sidste 90 dage.
oldcmp -disable -age 90 -llts -safety 25 -excldn -forreal “CN=Computers,DC=win,DC=local” -newparent OU=OldComputers,DC=win,DC=local

REM Opretter HTML rapport.
oldcmp -report -age 90 -llts format html -excldn “CN=Computers,DC=win,DC=local” -file output.htm

REM Generer mime attachments
mpack -s “AD Computer Cleanup” -o body.msg output.htm

REM Sender “Active Directory Computer Cleanup”
bmail -s 192.168.35.18 -p 25 -t jra@win.local -f ActiveDirectory@win.local -h -a “AD Computer Cleanup” -m body.msg

UserCleanUp.cmd disabler user account (max. 25) der har været inaktive i 90 dage og flytter dem over i en OU som hedder OldUsers.
Der bliver herefter sendt en mail med en vedhæftet html rapport til den/de ansvarlige sys admins.
I user scriptet har jeg excludet  system OU’en users og ITservices, hvor jeg har en række system account til diverse IT services.

CoCleanUp.cmd disabler computer account (max 25) der har været inaktive i 90 dage og flytter dem over i en OU som hedder OldComputers.
Der bliver herefter sendt en mail med en vedhæftet html rapport til den/de ansvarlige sys admins.
I computer scriptet har jeg excludet  system OU’en computers. Domain Controller OU’en bliver automatisk excluderet.

Det er vigtigt først at teste ovenstående uden kommandoen -forreal, idet det først vil blive udført (disable+ move), når denne bliver indsat i scriptet.
Nedenstående lister et udsnit af en mail rapport for old User og computers:

 


Man kan ligeledes automatisk slette de disabled objekter fra AD. Dette kan gøres med nedenstående script.
Dette eksempel medtager kun disablet user account. Igen test det først uden kommandoen -forreal .

oldcmp -delete -age 120 -users -llts -safety 100 -onlydisabled -forreal -b OU=OldUsers,DC=win,DC=local

oldcmp er også testet i et Windows 2008 domæne. De enkelte script kan ikke afvikles på en x64 platform, p.g.a mpack og bmail.

Source Reference til ovenstående:
http://www.joeware.net/myforum/viewtopic.php?t=363&sid=dda37bd2b102389a9497a332ec1a2697

Download OldCmp:
http://www.joeware.net/freetools/tools/oldcmp/index.htm

OldCmp Kommandoer:
http://www.joeware.net/freetools/tools/oldcmp/usage.htm

Download mpack:
ftp://ftp.andrew.cmu.edu/pub/mpack/old/mpack15d.zip

Download bmail:
http://www.beyondlogic.org/solutions/cmdlinemail/bmailv107.zip

Additional Active Directory User Account Information


Hvis man registrerer acctinfo.dll på en XP admin workstation eller en Windows 2003 med Admin Tool Pack, kan man få flere informationer omkring status på user password og logons.
Acctinfo.dll kommer med “Account Lockout and Management Tools”. Den registreres som følger:
regsvr32  “C:MasterALtoolacctinfo.dll”

Efter registrering, vil den integrere sig i ADUC interfacet, som vist på nedenstående billede.
Her vil man også kunne se de yderligere status informationer den tilføjer.

 

Man kan fjerne fanebladet igen, ved at køre nedenstående kommando:
regsvr32 /u  “C:MasterALtoolacctinfo.dll”

Det virker også på et Windows 2008 domæne. Man kan dog ikke registrere acctinfo.dll på en x64 Windows 2008 DC.
Men man vil fint kunne se ovenstående informationer fra en XP eller Windows 2003 server.

Download “Windows Server 2003 Service Pack 2 Administration Tools Pack for x86 editions”.
http://www.microsoft.com/downloads/details.aspx?FamilyID=86B71A4F-4122-44AF-BE79-3F101E533D95&displaylang=en

Download “Account Lockout and Management Tools”.
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e

File Server Migration Toolkit – FSMT


FSMT er et freeware GUI tool fra Microsoft, som gør det nemt at migrere ældre filservere (NT/2000/2003) over til en ny Windows 2003 R2.
Med dette tool flytter man data, sharing samt permissions-informationer i en og samme proces.
I denne proces får man også mulighed for at fixe eventuelle fejl, samt retry uden at skulle gentage hele kopierings-processen en gang til.
Tidligere var det almindeligt at benytte Xcopy/Robocopy, samt at eksportere registry shares fra gammel til ny filserver.

Syntaks for Xcopy + Retain Permissions:
http://support.microsoft.com/kb/289483/en-us
http://support.microsoft.com/kb/323007/en-us

Robocopy GUI:
http://technet.microsoft.com/da-dk/magazine/cc160891(en-us).aspx

Saving and restoring existing Windows shares:
http://support.microsoft.com/?kbid=125996

Ovenstående metode har jeg igennem de sidste par år udskiftet til fordel for FSMT.
Efter installationen af FSMT er vi nu klar til den egentlige migration process.
I denne øvelse kalder jeg min Source server demo-002 og Target server demo-003.
Installer FSMT på Target serveren, demo-003.
Start FSMT og vælg “New Migration Project”

Vælg navn og location
 

Fravælg DFS. Jeg vil senere lave en række blog-post omkring DFS i Windows 2003 R2 og Windows 2008.


Angiv Data location på den nye filserver og Wizarden afsluttes.
 
Man bliver herefter præsenteret for et GUI konsol, hvor nedenstående billede lister de migration-step man skal igennem.

Første step, er at angive sin Source server (demo-002).

Godkend herefter de settings som FSMT default sætter.

Næste trin er at tilrette den default Target share som FSMT angiver. Det er det eneste uheldige ved FSMT og skal således rettes i XML filen for det føroprettede Migration Project.
Default settings er vist på nedenstående billede for en given share.
 
Mit ønske er her at Source og Target share skal være ens. Det betyder at inden jeg kan gå videre i migration processen,
bliver jeg nødt til at lukke FSMT ned og til XML filen der tilknytter til projektet.
Gå til C:FileServerMigration<migration project> og replace all med følgende i XML filen

 

 
Start herefter FSMT og vælg det tilrettede Migration Project. Vi kan nu se at Source og Target share er ens.

Vælg Continue – Continue og kopiering af foldere og filer går i gang.

Vælg Continue igen og den afsluttende fase indledes. FSMT opretter her shares på Target serveren, samt sikre at permissions er ens på source og target server.
 
Filserver migration afsluttes.
 

N.B: FSMT er ikke kompatibel med Windows 2008. Microsoft vil senere komme med en ny/opgraderet version til denne platform.

Download FSMT:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d00e3eae-930a-42b0-b595-66f462f5d87b&displaylang=en

Mere info omkring FSMT:
http://technet.microsoft.com/da-dk/magazine/cc160911(en-us).aspx

Antivirus scan exclusions for system og servere


Nedenstående link giver et rigtigt godt overblik for Antivirus exclusion af diverse server systemer.
http://myitforum.com/cs2/blogs/scassells/archive/2007/05/14/what-anti-virus-scanning-exclusions-should-be-considered-for-system-and-servers.aspx

PolicyMaker Registry Extension


Microsoft overtog sidste år i oktober firmaet DesktopStandard. Med dette opkøb fik Microsoft også adgang til freeware applikationen PolicyMaker Registry Extension,
som vil blive en del af den fremtidige GPO struktur.
“PolicyMaker Registry Extension” erstatter behovet for at skrive custom ADM templates til diverse applikationer, samt system konfig.
Man kan med fordel anvende PolicyMaker Registry Extension på følgende platforme – Terminal – Citrix – Workstations.
Det betyder at man nu kan udrulle alle sine Registry settings via en native Group Policy.
Det giver et dejligt overblik og man slipper således for at holde styr på en masse reg/script filer.

System krav:

  • Skal installeres på de servere/workstations, man normalt administrere sine GPO’er fra.
  • Windows 2000/XP/2003/Vista
  • GPMC

På klienterne som skal opdateres, skal man have installeret en klient (polregcl.msi). Denne kan rulles ud via en GPO eller installeres manuelt.
Når man har installeret “PolicyMaker Registry Extension” på sin Admin server/workstation, kan man finde klienten i følgende sti:
“C:Program FilesDesktopStandardPolicyMakerClientpolregcl.msi”.
Som eksempel kunne man udrulle 3 Registry ændringer til en række Citrix desktop brugere.
Det er her en fordel at have en virtual Test server/workstation hvor disse registry ændringer er sat. De 3 ændringer er som følger:

  • Show System Clock
  • Show Quick Launch
  • Disable Print Notification

Jeg viser her fremgangsmåden for “Show System Clock”. Princippet er det samme for de 2 andre ændringer.
Start GPMC – Opret en ny GPO med navnet DesktopStandard – Gå til User Configuration – User Settings – Registry – Opret en ny “Collection Item” med navnet “Show System Clock”.

Opret herefter en ny Registry Item under den føroprettede collection. Værdierne kan man browser efter på en local eller remote test server/workstation.
Nedenstående vil herefter bliver oprettet automatisk.
Action: Update
Hive: HKEY_CURRENT_USER
Key Path: SoftwareMicrosoftWindowsCurrentVersionExplorerStuckRects2
Value name: Settings
Value type: REG_BINARY
Value Data: 28000000FFFFFFFF02000000030000003C0000001E000000FEFFFFFFFE030000920600001C040000
Se nedenstående billeder for GUI.

  
 

PolicyMaker Registry Extension tilbyder også et avanceret filter, hvor man kan bestemme hvilke Brugere/workstations der skal have denne registry opdatering udefra nedenstående options.
Ovenstående viser et eksempel på en Windows desktop opdatering via Registry.
Men “PolicyMaker Registry Extension” er også et rigtigt godt Add-On til ens eksisterende software deployment (Adobe,
Oracle, SAP GUI, Java, mfl.),
hvor man efterfølgende har behov for en række centrale registry ændringer.