[2003 AD] Nederlandse benaming uit AD halen - Serversoftware en clouddiensten

dinsdag 12 februari 2008 16:07

Acties:

Aaaaaaaaahhhhhhhh

Topicstarter

Zit hier op een netwerk waar alles in het engels zou moeten (internationaal bedrijf). Nu is het zo dat ze ooit begonnen zijn met de AD op windows 2000 server. Dat is nooit echt goed afgemaakt. Nu is het een 2003 server omgeving en nu is het wel bijna af. Maar de 2000 versie was een nederlandse. Dus er staan nog objecten in de ad zoals "Gaster" "Beheerder" e.d. Maar die kan ik niet verwijderen.

Is er een mogelijkheid deze te verwijderen? Deze objecten hebben geen Members meer dus ze zouden weg kunnen. Want de groep beheerder is gewoon administrators en gasten staat toch altijd uit (d'uh).

Ze hebben het dus geemigeerd en zijn niet opnieuw begonnen met de AD (wat eigenlijk mijn voorkeur zou zijn, heb je tenminste minder garbage in je AD).

Ohja de objecten zijn Security Group - Domain Local en Security Group - Global

[ Voor 5% gewijzigd door Roman op 12-02-2008 16:09 ]

NOW INTERACTIVE! Joystick controls Fry's left ear.

dinsdag 12 februari 2008 16:16

Acties:

sanfranjake

Computers can do that?

Je AD-inrichting beginnen met een Engelstalige Windows-server, andere oplossingen zijn mij helaas niet bekend.... Net als dat je bij een upgrade van NT4 naar NT5.x ook je userprofiles-dir in C:\WINNT\Profiles houdt bijvoorbeeld

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 12 februari 2008 19:28

Acties:

elevator

Officieel moto fan :)

Volgens mij komt dat eerder omdat de 'default' administrator en guest groepen / accounts een speciale SID/RID hebben waardoor jouw 'fake' administrator groepen eigenlijk precies dat zijn - fake.

Waarom heb je ze niet gewoon gerenamed?

dinsdag 12 februari 2008 23:07

Acties:

alt-92

ye olde farte

Well-known security identifiers in Windows operating systems

Het naampje is toch maar een etiket over de SID heen - renamen is geen echt probleem.

offtopic:
Mods ganging up here - oh oh...

[ Voor 9% gewijzigd door alt-92 op 12-02-2008 23:08 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 13 februari 2008 08:21

Acties:

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

elevator schreef op dinsdag 12 februari 2008 @ 19:28:
Volgens mij komt dat eerder omdat de 'default' administrator en guest groepen / accounts een speciale SID/RID hebben waardoor jouw 'fake' administrator groepen eigenlijk precies dat zijn - fake.

Waarom heb je ze niet gewoon gerenamed?

Ze staan er 2 keer in omdat iemand dus een 2003 AD in een 2000 AD gepropt heeft. Aantal objecten zijn dan engels sommige nederlands en sommige staan er 2 keer in.

Maar hoe moet ik ze dan renamen?

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 14:46

Acties:

Verwijderd

selecteer beheerder >rechtermuis knop > rename > tik "stupidadmin"

woensdag 13 februari 2008 14:53

Acties:

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Dat werkt dus bij de Domain Local helaas niet.

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 15:01

Acties:

alt-92

ye olde farte

Kijk dan naar de RID/SID van die groups c.q. users?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 13 februari 2008 15:08

Acties:

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Eehhh waar vind ik die? (ben nog niet zo in de AD, moet nog de hele 290 tot 294 doen). Ben pas MCDST.

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 15:36

Acties:

alt-92

ye olde farte

[google=user2sid sid2user]

Daarmee kan je dat bijvoorbeeld doen, maar er zijn meerdere wegen die naar Romane leiden als je SIDs van objects wil achterhalen.
LDP is er één van bijvoorbeeld - als je dat te lastig vind, kijk dan naar een LDAP browser die je beter bevalt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 13 februari 2008 16:01

Acties:

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Ah. Kijk LDP is wel een leuk tooltje. Maar als ik nu een van de Domain Locals wil wijzigen krijg ik deze melding:

0x35 = ldap_modrdn2_s(ld, CN=Gasten,CN=Builtin,DC=***,DC=local, CN=Guests,CN=Builtin,DC=***,DC=local, TRUE)
Error: ModifyRDN: Unwilling To Perform. <53>
Server error: 00002185: SvcErr: DSID-031B0E19, problem 5003 (WILL_NOT_PERFORM), data -1946157056

Op problem 5003 kom ik een heleboel enteries tegen op google. Ook dat de SID te lang is. Ik zie de hele SID niet staan bij de info. Dit is wat ik dan krijg als ik de info van b.v. deze gasten bekijk:

>> Dn: CN=Gasten,CN=Builtin,DC=boalgroup,DC=local
2> objectClass: top; group;
1> cn: Gasten;
1> description: Guests;
2> member: CN=IUSR_W2K3-COLO-SFW01,CN=Users,DC=boalgroup,DC=local; CN=Domain Guests,CN=Builtin,DC=boalgroup,DC=local;
1> distinguishedName: CN=Gasten,CN=Builtin,DC=boalgroup,DC=local;
1> instanceType: 0x4 = ( IT_WRITE );
1> whenCreated: 10/13/2007 15:40:35 W. Europe Standard Time W. Europe Daylight Time;
1> whenChanged: 12/21/2007 10:49:21 W. Europe Standard Time W. Europe Daylight Time;
1> uSNCreated: 7475;
1> uSNChanged: 105946;
1> name: Gasten;
1> objectGUID: b05f1cd0-e465-4809-b230-58b0828acc28;
1> objectSid: S-1-5-32-546;
1> sAMAccountName: Guests;
1> sAMAccountType: 536870912;
1> systemFlags: 0x8C000000 = ( FLAG_DISALLOW_DELETE | FLAG_DOMAIN_DISALLOW_RENAME | FLAG_DOMAIN_DISALLOW_MOVE );
1> groupType: 0x80000005 = ( GROUP_TYPE_BUILTIN_LOCAL_GROUP | GROUP_TYPE_RESOURCE_GROUP | GROUP_TYPE_SECURITY_ENABLED );
1> objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=boalgroup,DC=local;
1> isCriticalSystemObject: TRUE;

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 16:15

Acties:

alt-92

ye olde farte

Mja, dan kom je terug op wat SFJ al zei..

FLAG_DISALLOW_DELETE | FLAG_DOMAIN_DISALLOW_RENAME | FLAG_DOMAIN_DISALLOW_MOVE

dan kun je waarschijnlijk alleen met een clean& pristine install of een ADMT migration waar je specifiek deze groepen exclude iets doen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 13 februari 2008 16:22

Acties:

Roman

Aaaaaaaaahhhhhhhh

Topicstarter

Dus is het niet mogelijk om ze te renamen. Toch bij de volgende migratie van scatch af aan beginnen (weet niet wanneer ze dat zullen doen, waarschijnlijk in 4 jaar ofzo).

Jammer... maarja...

NOW INTERACTIVE! Joystick controls Fry's left ear.