Skip to content

Rechner im AD LDAP mit Powershell auflisten

Ich hab ein wenig mit Powershell herumgespielt (weil ich das Script das auch in de.Hackin9.org 08/2011 abgebildet war nicht verstanden habe). Dabei kam dann folgendes funktionierendes Script heraus, es sortiert mit alle Rechner des AD LDAPs und zeigt diese in einem grafischen Viewer mit Betriebsystemversion und Servicepack Level an:
$ldapSearcher = new-object directoryservices.directorysearcher;
$ldapSearcher.filter = "(objectclass=computer)";
$computers = $ldapSearcher.findall();
$pcs = @();
foreach ($c in $computers) {
  $pc = "" | Select-Object Name,OS,SP,SPN;
  $pc.Name=$c.properties["cn"];
  $pc.OS=$c.properties["operatingsystem"];
  $pc.SP=$c.properties["operatingsystemservicepack"];
  $pc.SPN=$c.properties["serviceprincipalname"];
  $pcs += $pc;
}
$pcs | sort-object OS,SP,Name | Out-GridView;
Ich habe aber keine Ahnung wie man einfacher aus den Dictionary Entries des $c.Properties Member direkte Properties machen kann ohne diese mit einer foreach Schleife und direktem Assignment aufwändig zu kopieren. Ich hoffe ein mitlesender Powershell Guru kann mir das kurz sagen? :) Update: Max Trinidad (@MaxTrinidad) hat mich auf die Idee mit New-Object gebracht, damit lässt sich das Script etwas vereinfachen und die Attribute in Strings konvertieren:
$ldapSearcher = new-object directoryservices.directorysearcher;
$ldapSearcher.filter = "(objectclass=computer)";
$computers = $ldapSearcher.findall();
[Array] $pcs = $null;
foreach($c in $computers) {    
    $pcs += New-Object PSobject -property @{
        Name = [string]$c.properties["cn"];
        OS = [string]$c.properties["operatingsystem"];
        SP = [string]$c.properties["operatingsystemservicepack"];
        SPN = [string]$c.properties["serviceprincipalname"]; }
}
Und darauf aufbauend (aber ohne String Konvertierung) dann die Lösung mit der Automatischen Übernahme aller Dictionary Einträge aus dem AD Objekt:
$ldapSearcher = New-Object directoryservices.directorysearcher;
$ldapSearcher.filter = "(objectclass=computer)";
$computers = $ldapSearcher.findall();
[Array] $pcs = $null;
$computers | ForEach-Object { $pcs += New-Object PSobject -property $_.Properties; }
$pcs | Out-GridView;

Private Nutzung

Immer wieder liest man Empfehlungen dass man auf keinen Fall private Nutzung der Unternehmens-IT zulassen darf, dass es problematisch ist wenn man persönliche Mails duldet, ja sogar steuerlich schwierig ist, wenn man den Mitarbeitern geldwerte Vorteile (wie einen Internet Zugang) bietet. Auch vor den Sicherheitsaspekten wird gewarnt. Lizenzgründe oder Haftungsgründe werden angeführt. Ich möchte mich hier mal auf die andere Seite stellen: warum haben Arbeitgeber ein Interesse daran, dass Mitarbeiter die Firmen-IT auch für Aktivitäten nutzen die nicht direkt im Geschäftsinteresse stehen. Nun allen voran natürlich die Mitarbeiterzufriedenheit. Gute Mitarbeiter zu halten ist wichtig. Wenn diese ein offenes Klima erleben sind sie viel gewillter zu bleiben. Grade bei Überstunden oder exotischen Arbeitszeiten ist es wichtig nebenbei auch Kontakt mit den Lieben zu halten. Sich mit der Freundin im Messenger auszutauschen damit diese nicht den Arbeiter nach Hause zitiert. Daneben ist jeder Mitarbeiter der sich im Web bewegt auch ein informierter Mitarbeiter. Im Zweifel auch ein Mitarbeiter der für das Unternehmen Werbung macht. Ganz gemäss des (schon öfters genannten) Cluetrain Manifests werden immer mehr Kunden durch direkte Kontakte mit Mitarbeitern auf Produkte aufmerksam. Betrachtet man das Leben eines Consultants (Road Warriors) auf der Straße und in Hotels, so hat dieser gewiss andere Probleme als mehr als einen Notebook mit sich herumzuschleppen. Wird Ihm verwehrt diesen auch zum DVD Genuss einzusetzen, so wird er noch weiter benachteiligt und hat irgendwann kein Interesse mehr auf Außeneinsatz. Die Nutzung von Diensten des Arbeitgebers wie Mail und IM sollte so offen gestaltet sein, dass Mitarbeiter gerne auch nach Feierabend diese Medien nutzen. Ganz im Interesse der Firma: die Mitarbeiter bleiben in Notfällen einfacher ansprechbar. Das surfen am Arbeitsplatz - sei es nun in Wartezeiten oder der Mittagspause ist eine Entspannung vergleichbar mit der Raucherpause oder dem Mittagsspaziergang. Wird die Nutzung des Webs eingeschränkt oder strikt kontrolliert, so suchen sich kreativ arbeitende Köpfe andere Ablenkungen (zum Beispiel sinnlose Meetings). Es ist also nur in Ausnahmefällen so, dass die Produktivität dadurch gesteigert wird. Unmotivierte Mitarbeiter die Zeit haben ihren Tag zu vertrödeln sind eine Herausforderung an das Team oder die Vorgesetzten, aber sicher nicht für die interne-IT.

Ich habe ein De ja vù

Früher gab es kostenlose PDF Viewer die leichtgewichtig waren, und auf den meisten Plattformen verfügbar. PDF war ein einfaches Austauschformat. Zwar immer umstritten (Patente, Verschlüsselung, Freie Implementierungen, Versionen, Formulare, Scripte, etc) aber doch sehr erfolgreich (und benutzbar!). Inzwischen ist der Adobe Reader zum Marketing-Vehikel von Adobe geworden. Bilder Galerien oder Web Konferencing Funktionen sind mit drin. Ständige nervige Auto-Updates und Taskleistenpest. Der Plugin ist generell langsam und instabil. PDF Inline Aufrufe klappen entweder Firefox oder im IE nicht (oder bei beiden nicht). Nun ja, ein Mitbewerber ist XPS, aber das ist Microsoft, da kann man auch gleich .doc Files nehmen (was ich sogar bevorzuge!). Das ist ganz schön deprimierend. Aber es geht noch schlimmer! Am Horizont ist ein neues Format angetreten, das ursprünglich aus der Imaging/Scan Ecke kommt und hocheffiziente Komprimierung von Bilddaten anbietet. Neben dem Speichern (und schnellen Abrufen) von Scans kann man es auch für Bilderreiche Publikationen verwenden. Aber irgendwie habe ich den Eindruck Djvu hat den Sprung von "kleinem nützlichen Format" zum "unbenutzbaren Tool" schon vor dessen Verbreitung gemacht. Jedenfalls habe ich grade versucht auf meinem XP ein DJVue Demo Dokument zu öffnen. Zuerst wollte Firefox ein Plugin herunterladen, hat mich dann auf eine manuelle Plugin Installation umgeleitet und diese mit einem 404 beendet. Dann habe ich die Java Version probiert, aber diese stürzt mit einer Security Exception ab (wenn man ein Applet von einem Host läd, dann sollte es auch nur von dort Daten anfordern, liebe Entwickler). Gut, dann halt der Installer von Lizardtech. Ergebnis: der Auto Installer ist nur für IE verfügbar und die Stand-Alone Installation (6MB) bricht mit einem "RPC Server läuft nicht" Fehler im Installer ab. Gut also WinDjview 0.5 heruntergeladen und auf die Foto Demo Seite gegangen. Ja toll, aber wo bekomme ich dort das Dejavu File das ich für den Viewer benötige? Nun gut dann halt einen der Artikel probiert. Dort den .djvu Link angeclicked, und was passiert? Firefox kennt den Viewer nicht - er hat sich nicht mit der File Extension assoziiert. Also Open with.. Other... ah endlich. Aber... ihh.. das ist ja hässlich - da muss man ja mehr als 100% auswählen (in meinem Alter). Also als PDF Ersatz für Texte kann man das vergessen. Kein Anti Aliasing, kein Cleartype, keine Vectorfonts und überhaupt (ist ja auch nicht die Domäne des Formats). Eigentlich wollte ich es ja für Bilder probieren. Ok, also die URL eines Demo Files aus der Seite extrahiert und angeclicked im Browser. Jetzt öffnet sich DeJaView als Anwendung und zeigt rassend schnell 220 leere Seiten an. Äh? Erst beim Click auf "Page Information" kommt dann ein Popup: "Error decoding page". Ok... dann lassen wir es halt.

Intranet Identity Management (Part 1)

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor. Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen). "Intranet Identity Management (Part 1)" vollständig lesen

Not-so-openDS

Offener Brief von Neil Wilson (directorymanager.org) über seine Freisetzung bei Sun und den Druck der auf die (gekündigten) Project-Owner der OpenDS (LDAP Server) Community ausgeübt wurden. Wie Neil beschreibt ist das sicher ein Beipspiel für sich verselbständigendes Middle Management das den Sinn für die Realität verloren hat, aber... wieviel dieser Manager gibts bei Sun noch? (via Ben Rockwood)

SAML 2.0 - von der Komplexität erschlagen

Der Trend zu modularen Spezifikationen auf Basis von hochkomplexen XML Technologien hält an. Dabei weisen die Spezifikationen selbst oftmals einen hohen Anteil von Alternativen und Optionen auf. Letztenendes ist dann diese Komplexität nur noch durch die Definition von Profilen in den Griff zu bekommen um überhaupt Lösungen zu finden, die miteinander kommunizieren können. Diese Art der Standardisierung ist insbesondere in OASIS Technical Committees zu beobachten. Ursache davon ist das "Designed by Committee" Syndrom, bei der es zu einer Vermehrung von Featurs kommt, ohne dass diese sich aus der Praxis ergeben hätten. Die notwendige Diplomatie bei der Entscheidungsfindung tut ein übliches dabei, dass das KISS Prinzip oftmals nicht eingehalten werden kann. Ein gutes Beispiel für eine Technologie deren Nutzwert zwar hoch ist, aber deren Komplexität bei der Verbreitung sehr hinderlich ist SAML. Das ist in diesem Fall (ein IT Sicherheitsprotokoll) besonders gravierend, da die Sicherheitsimplikationen der Spezifikation nicht mehr sinnvoll evaluiert und verstanden werden können. Das nun durch OASIS TSSC veröffentlichte Errata zur Version 2.0 enthält über 50 Punkte, davon keinesfalls alles Kleinigkeiten. Einige ändern sogar den normativen Teil der Spezifikation (z.B. ist TLS jetzt beim URL Protokoll nicht mehr verbindlich). Es ist kein Wunder, dass sich im Internet eher leichtgewichtige Lösungen wie z.B. OpenID verbreiten, die aus der Praxis entstanden sind.

Filehippo Update Checker

Nach all der IT Management Theorie in den letzten paar Artikeln mal wieder etwas praktisches für den Windows Desktop. Der Update Checker von Filehippo.com erlaubt es automatisiert einen Großteil aller frei verfügbaren Windows Programme auf Aktualisierungen zu testen. Danke an Oliver Gassner für den Hinweis (in seinem Twitter feed).

twitter.com/eckes

Ich habe mir einen Twitter Account zugelegt, weil ich denke das ist ein gutes Tool seinen Tagesablauf zu dokumentieren. Ich werde mir neben dem öffentlichen Account den Sie gerne tracken dürft auch noch einen privaten anlegen in dem ich z.b. Projektspezifische Zeiten accounten werde. Jetzt muss ich nur noch den RSS Feed auf meiner privaten Homepage einbauen..

Kann man trotz E-Mails produktiv sein?

Im TR Interview mit Donald E. Knuth habe ich diese Stelle gefunden, die mich mal wieder dazu angeregt hat über mein E-Mail Missverhalten nachzudenken. Ich möchte Ihnen das nicht vorenthalten:
Wolfgang Stieler: Aber ein Projekt wie Linux wäre ohne Internet und E-Mail nicht zustande gekommen? Knuth: Nun, ich sage nicht, dass alle E-Mail aufgeben sollten. Ich habe mich entschieden, E-Mail aufzugeben. Die Rolle mancher Menschen ist es, an der Spitze der Dinge zu stehen. Meine Rolle ist es, an der Basis zu stehen. Mein Talent, langfristig zu denken, erfordert es einfach, einen ganzen Tag über etwas nachdenken zu können, ohne dass das Telefon klingelt oder ich von sonst etwas abgelenkt werde. Tatsächlich schicke ich auch E-Mails – über meine Sekretärin, wenn ich beispielsweise jemanden um einen Gefallen bitte. Aber wenn ich E-Mail hätte, ich würde morgens zur Arbeit kommen und um 12 wäre ich dann mal soweit, dass ich mir überlegen könnte, was mache ich denn heute.

Kommunikation aus der Tüte...

... mit Instant-Messaging Clients (IM) müssen Sie nur noch Wasser dazugeben. Setzen Sie im Unternehmen eine offizielle IM Lösung ein, oder haben sich Ihre Mitarbeiter gleichmäßig auf alle öffentlichen Anbieter verteilt?
IDC forecasts the worldwide enterprise instant messaging market -- which includes instant messaging server products as well as enterprise instant messaging security, compliance, and management products -- to grow from $315 million in 2005 to $736 million in 2009. Many business people also use consumer instant messaging networks while at work. IDC reports that the growth and perceived value clearly position enterprise instant messaging applications as mainstream business technology.
Der IM Trend wurde von IDC analysierte das Mart Segment, bei Tekrati gibt es Auszüge. Bei uns im Unternehmen gibt es noch keine einheitliche Lösung im Intranet: ein Großteil der Kommunikation läuft über Windows Messenger, da dieser einer der Clients ist die gut im Hintergrund bleiben. Zur Verwaltung unterschiedlicher Accounts und Protokolle setze ich Gaim ein, aber wirklich zufrieden bin ich mit der Fensterplazierung und den Reconnect Meldungen noch nicht. Praktisch hingegen ist die übersichtliche Buddy Liste und der stabile Jabber/XMPP Support.