[2003] Aanpassingen active directory documenteren via tool?*

Ik kan me niet voorstellen dat je alle wijzigingen die Exchange aan het schema doorvoert wilt documenteren. Wat verstandiger is, is dat je vastlegt dat je middels /forestprep en /domainprep je AD voorbereid op de installatie van Exchange. Ook voor de andere programma's kan ik me dit niet voorstellen. In een normale beheersituatie levert deze documentatie je geen voordeel op. Alleen als je middels ADSIedit ofzo in je AD wil gaan zitten hacken heb je er misschien iets aan. Maar dat laatste raad ik met klem af.

Verder lijkt het me ook belangrijker om de OU's, Group Policies, FSMO-rolverdelingen, DNS, etc. te documenteren. Je GPO's documenteren kan behoorlijk wat tijd vergen, dus wellicht een idee om daar iets voor te zoeken (ik zou zo gauw niet weten wat, wij maken vaak screenshots van de gemaakte instellingen of beschrijven de wijzigingen tekstueel per template). Overigens zouden deze zaken ook al uit je ontwerp moeten blijken....

Samengevat: het "hoe" is bij documenteren (in dit geval) vaak belangrijker dan het exacte "wat". Je kunt toch niet ingrijpen op het "wat" en met de "hoe" kun je in ieder geval weer de juiste situatie opbouwen.

Verder lijkt het me ook belangrijker om de OU's, Group Policies, FSMO-rolverdelingen, DNS, etc. te documenteren. Je GPO's documenteren kan behoorlijk wat tijd vergen, dus wellicht een idee om daar iets voor te zoeken (ik zou zo gauw niet weten wat, wij maken vaak screenshots van de gemaakte instellingen of beschrijven de wijzigingen tekstueel per template). Overigens zouden deze zaken ook al uit je ontwerp moeten blijken....

Wel eens van Group Policy Management Console gehoord, kun je al je policies als HTML opslaan en later nakijken.
zie ook: [rml][ windows 2003]Howto: policies en tools[/rml]

WvdWest schreef op dinsdag 17 mei 2005 @ 14:29:
Voor mijn project ben ik op zoek naar een tool waarmee veranderingen die nieuw te installeren programma's doorvoeren in Active Directory worden bijgehouden. Van Exchange weet ik dat er veranderingen in de schema's worden gemaakt, maar het is de bedoeling dat deze veranderingen gedocumenteerd worden.

Aangezien er meerdere programma's geinstalleerd worden moet van elk van deze programma's vastgelegd worden wat ze precies aan aanpassingen maken.

Kan iemand mij misschien op een tool wijzen waarmee deze instellingen ook daadwerkelijk worden vastgelegd? Ik heb al geprobeerd dit te googlen, maar gebruik waarschijnlijk niet de juiste termen, waardoor de informatie die ik hieruit krijg te summier is.

wat je beter kan doen is zorgen dat niemand het recht heeft om het schema te wijzigingen. Als je dan een applicatie installeert zonder dat je op de hoogte bent van schema wijzigingen, dan krijg je netjes een access denied.
admins in het rootdomain kunnen dan evt. zichzelf in de schema admins groep gooien om de app toch te installen (en zich daarna zichzelf weer uithalen), of eerst nog wat onderzoek te doen naar wat er wijzigt.
het builtin administrator account zou ik wel in de schema admins laten zitten, maar dat account niet gebruiken.

Om hier even op in te haken: We moeten een aantal installaties in een complete demo omgeving gaan doorvoeren. Denk hierbij aan Exchange ( is 99% zeker al aanwezig), Live Communications Server en Sharepoint Portal. Uiteraard komen er nog een aantal bij, maar dat boeit voor de rest niet zo. De beheerder van deze omgeving wil dat we vooraf aangeven wat er in zijn AD gaat veranderen. Daarom is om gevraagd deze veranderingen te documenteren.

Het is lief dat iedereen aangeeft hoe de rest van de documentatie opgebouwd kan worden, maar daar is onze ervaring voldoende in. GPO's OU's en dergelijke zijn allemaal al duidelijk gedocumenteerd, maar de installaties die nu moeten volgen mogen de huidoge demo-installatie niet in de weg staan. Het staat namelijk wat slap als je achteraf je excuses aanbiedt voor het om zeep helpen van een complete omgeving die vanuit demo doeleinden is ingericht.

Om alles zo duidelijk mogelijk te krijgen hebben we een aantal testservers gekregen waar we dit kunnen gaan uitproberen. Het enige wat dus belangrijk is is dat we die aanpassingen aan AD aan de beheerder door kunnen geven, zodat hij kan kijken of het allemaal kan en mag in zijn omgeving.

[ Voor 4% gewijzigd door Pewwy op 18-05-2005 19:39 ]

misschien moet die beheerder een ander vak gaan kiezen. Als je zo paranoia bent hoor je niet in de ICT thuis imho. Zet er monitoring tools op die snapshots voor en na install maken kan hij lekker gaan uitzoeken hoeveel nieuwe objects er in zijn "heilige" AD komen te staan.

Dat is inderdaad het plan. Paranoia is niet echt het goede woord denk ik. Die demo opstelling heeft klauwen vol geld gekost en mag niet om zeep. Hij is nameljk al in gebruik. Dat wij onze demo's daar ook willen geven is een kwestie van gemak en het completeren van een complete omgeving. Als je ziet wat daar allemaal draait dan begrijp je waarom ze zo voorzichtig zijn

Het eerste wat eigenlijk in me opkomt is simpelweg:
- Dump je schema (hoe - weet ik even niet zo snel - maar er zal vast een tooltje voor zijn?) voor je installatie
- Installeer Exchange 2003
- Dump je schema opnieuw en kijk naar de wijzigingen?

Ik heb een tool ter evaluatie die die synchronisatie tussen 2 DC's vastlegt. Hiermee zou één en ander op te vangen moeten zijn. Mocht het allemaal werken dan spam ik het pakket hier als dat is toegestaan. Mocht ooit iemand het nog nodig hebben dan weet hij/zij in ieder geval hoe het hier is opgelost.

De andere optie is de boel via een script bij te controleren (inderdaad door een dump te maken en deze te vergelijken). Dat wordt het volgende project in de vrije tijd denk ik Mocht dat ooit af komen dan plaats ik dat ook nog wel.

Pewwy schreef op woensdag 18 mei 2005 @ 19:19:
Om hier even op in te haken: We moeten een aantal installaties in een complete demo omgeving gaan doorvoeren. Denk hierbij aan Exchange ( is 99% zeker al aanwezig), Live Communications Server en Sharepoint Portal. Uiteraard komen er nog een aantal bij, maar dat boeit voor de rest niet zo. De beheerder van deze omgeving wil dat we vooraf aangeven wat er in zijn AD gaat veranderen. Daarom is om gevraagd deze veranderingen te documenteren.

zoals ik al zei, een beetje product heeft de schema wijzigingen al gedocumenteerd. volgens mij is dit vnl. een kwestie van lezen van de documentatie van de software.

Over welk OS in het specifiek hebben we het hier?

Pewwy schreef op donderdag 19 mei 2005 @ 18:45:
Dat is inderdaad het plan. Paranoia is niet echt het goede woord denk ik. Die demo opstelling heeft klauwen vol geld gekost en mag niet om zeep. Hij is nameljk al in gebruik. Dat wij onze demo's daar ook willen geven is een kwestie van gemak en het completeren van een complete omgeving. Als je ziet wat daar allemaal draait dan begrijp je waarom ze zo voorzichtig zijn

Dus je gaat een DEMO opstelling maken, om voor te bereiden wat er in de DEMO opstelling gaat veranderen ?

Kan je beter gelijk de eerste voor jezelf houden...

Dan zet ik conform Windows Operating Systems - Policy nog even [2003] in de topictitel

Beetje laat, maar de hele boel moest ook tijdens niet declarabele uren

Met behulp van Change Auditor van NetPro hebben we de schema wijzigen netjes kunnen documenteren. Mocht iemand dit dus ooit nog een moeten doen dan weet hij wat er voor software gebruikt kan worden. Uiteindelijke resultaat is dat we goedkeuring hebben om de boel in de demo-omgeving te installeren en configureren.

Iedereen bedankt voor het meedenken