Erweiterte Verwaltung von Active Directory
Verwenden des Schemas und der Anzeigebezeichner
Mit diesem Dokument erhalten Sie eine Einführung in die erweiterte Verwaltung des Verzeichnisdienstes Active Directory mit dem MMC-Snap-In für die Active Directory Schemaverwaltung und der Möglichkeit zum ändern von Anzeigebezeichnern. Sie können im Schema Klassen und Attribute hinzufügen und ändern und sowohl die Benutzershell als auch die Verwaltungsprogramme erweitern, indem Sie Attribute in Anzeigebezeichnern ändern.
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
 | Einführung |
| Die Szenarien dieses Leitfadens |
| Verwalten des Active Directory-Schemas |
| Hinzufügen von Werten zu neuen Attributen |
| Ändern von Anzeigebezeichnern |
Einführung
Mit diesem Dokument erhalten Sie eine Einführung in die erweiterte Verwaltung des Verzeichnisdienstes Active Directory mit dem MMC-Snap-In für die Active Directory Schemaverwaltung und der Möglichkeit zum ändern von Anzeigebezeichnern. Sie können im Schema Klassen und Attribute hinzufügen und ändern und sowohl die Benutzershell als auch die Verwaltungsprogramme erweitern, indem Sie Attribute in Anzeigebezeichnern ändern.
Voraussetzungen
Die Version Release Candidate 2 des Betriebssystems Microsoft Windows 2000 Server (einschließlich Active Directory) muss auf einem Server in Ihrem Netzwerk installiert sein. Sie können die in diesem Leitfaden verwendeten Verwaltungsprogramme und Skripts vom Server aus oder von der Version Release Candidate 2 des Betriebssystems Windows 2000 Professional aus ausführen.
Die Verwaltungsprogramme werden standardmäßig auf allen Windows 2000-Domänencontrollern installiert. Auf eigenständigen Windows 2000-Servern oder -Arbeitsstationen können die Active Directory-Verwaltungsprogramme bei Bedarf aus dem Paket der optionalen Komponenten von Windows 2000 installiert werden.
Die Szenarien dieses Leitfadens
In diesem Leitfaden werden Verfahrensweisen für die folgenden Aufgabenstellungen vorgestellt:
| • | Verwalten des Schemas: Diese Aufgabenstellung umfasst das Prüfen von sicherheitsrelevanten Berechtigungen und des Schreibzugriffs auf das Schema, das Erstellen neuer Klassen und Attribute und das Erweitern vorhandener Klassen. |
| • | Verwalten von Anzeigebezeichnern: Diese Aufgabenstellung umfasst das Erweitern der Shell und der Verwaltungsprogramme durch Hinzufügen von Kontextmenüs. |
Im vorliegenden Leitfaden plant ein fiktives Unternehmen (die Firma Antipodes), einige zusätzliche Benutzerinformationen in Active Directory zu speichern. Bei diesen Informationen handelt es sich um sensible Mitarbeiterdaten (Human Resources Data, HR) wie beispielsweise die Sozialversicherungsnummern (Social Security Number) und das Gehaltsniveau (Salary Level) der Mitarbeiter. Damit diese zusätzlichen Informationen gespeichert werden können, müssen Sie eine Erweiterungsklasse mit dem Namen HumanResources erstellen. Diese Klasse enthält die Attribute SocialSecurityNumber und SalaryLevel. Anschließend fügen Sie die Erweiterungsklasse HumanResources der Klasse User hinzu.
Um diese Informationen nun entweder in den Verwaltungsprogrammen oder der Windows-Shell anzuzeigen, müssen Sie für die zusätzlichen Kontextmenüs der neuen Klassen und Attribute Anzeigebezeichner erstellen.
Verwalten des Active Directory-Schemas
Die Active Directory Schemaverwaltung ermöglicht Schemaadministratoren die Verwaltung des Active Directory-Schemas durch das Erstellen und ändern von Klassen und Attributen und durch die Festlegung, welche Attribute indiziert sind und welche Attribute im globalen Katalog katalogisiert werden müssen. Administratoren führen im Allgemeinen nur selten das Schema betreffende Verwaltungsaufgaben durch, und sie sollten änderungen mit Umsicht ausführen. Daher bleibt die Schemaverwaltung einer neuen Gruppe von Administratoren vorbehalten, den so genannten Schemaadministratoren. Es gibt drei Sicherheitsvorkehrungen, mit denen die Möglichkeiten für Schemaänderungen gesteuert und beschränkt werden.
| • | Alle Domänencontroller gestatten standardmäßig nur den Lesezugriff auf das Schema. Auf dem Domänencontroller muss ein Registrierungseintrag festgelegt werden, um den Schreibzugriff auf das Schema auf diesem Domänencontroller zuzulassen. |
| • | Das Schemaobjekt wird vom Windows 2000-Sicherheitsmodell geschützt; daher muss Administratoren hierfür die explizite Berechtigung erteilt werden oder sie müssen Mitglieder der Gruppe Schemaadministratoren sein, um änderungen am Schema vornehmen zu können. |
| • | Es kann jeweils immer nur ein Domänencontroller Schreibzugriff auf das Schema erhalten. Diese Rolle wird als Schema-FSMO (Floating Single Master Operations) bezeichnet, d. h. Sie müssen mit der Schema-FSMO verbunden sein, um das Schema verwalten zu können. |
Überprüfen auf Mitgliedschaft in der Gruppe "Schemaadministratoren"
Bevor Sie sich im Einzelnen mit diesem Leitfaden befassen, stellen Sie sicher, dass Ihr Konto Mitglied der Gruppe Schemaadministratoren ist. Informationen über das Verwalten von Gruppenmitgliedschaften finden Sie im Dokument Verwalten von Active Directory. Das Administratorkonto ist standardmäßig Mitglied der Gruppe Schemaadministratoren.
Starten der Active Directory Schemaverwaltung
Die Active Directory Schemaverwaltung ist ein MMC-Snap-In (Microsoft Management Console). Da davon auszugehen ist, dass Schemaverwaltungsaufgaben nicht allzu häufig zu erledigen sind, gibt es weder eine gespeicherte Schemaverwaltungskonsole noch einen Eintrag im Startmenü. Sie müssen die Schemaverwaltung manuell in MMC laden.
So starten Sie die Active Directory Schemaverwaltung
1. | Melden Sie sich mit einem Konto an, das Mitglied der Gruppe Schemaadministratoren ist. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie das Schema nicht ändern. |
2. | Starten Sie die Microsoft Management Console. Klicken Sie im Menü Start auf Ausführen, und geben Sie dann MMC ein. Klicken Sie auf OK. |
3. | Laden Sie das Snap-In für die Schemaverwaltung. Klicken Sie hierfür in MMC auf Konsole, wählen Sie Snap-In hinzufügen/entfernen aus, wählen Sie Hinzufügen aus, und wählen Sie dann Active Directory-Schema (Active Directory Schema Manager) aus (s. Abbildung 1).  Abbildung 1: Active Directory Schemaverwaltung |
4. | Sie können eine MMC-Konsole mit dem geladenen Snap-In für die Schemaverwaltung speichern. Zum Speichern der Konsole klicken Sie auf Konsole, wählen Sie Speichern aus, und geben Sie dann einen Namen für die zu speichernde Konsole ein (z. B. Schema.msc). Klicken Sie auf Speichern. |
Die übrigen Prozeduren in diesem Dokument handeln vom Snap-In für die Schemaverwaltung (s. Abbildung 2).
Abbildung 2: Snap-In für die Schemaverwaltung
Der linke Fensterausschnitt wird als Bereichsausschnitt, der rechte als Ergebnisbereich bezeichnet. Die drei angezeigten Knotentypen sind der Stammknoten, der Klassen- und der Attributknoten.
Schema-FSMO
Active Directory basiert zwar auf einem Multimaster-Verwaltungsmodell, dennoch gibt es einige Operationen, die nur einen einzelnen Master unterstützen. Eine dieser Operationen ist die Schemaverwaltung. Das Schema kann jeweils immer nur von einem Domänencontroller aus geändert werden. Der Fachbegriff hierfür lautet Floating Single Master Operations (FSMO). Das Snap-In für die Schemaverwaltung ist standardmäßig für Schema-FSMO ausgelegt.
Sie können die Schema-FSMO von einem Server auf einen anderen übertragen. Wenn in Ihrem Netzwerk jedoch nur ein einziger Windows 2000-Domänencontroller installiert ist, erübrigt sich dieses Verfahren natürlich. In dem Fall ist dieser einzelne Server dann standardmäßig die Schema-FSMO.
So übertragen Sie die Schema-FSMO auf einen anderen Server
1. | Klicken Sie mit der rechten Maustaste auf den Stammknoten Active Directory-Schema, und wählen Sie dann Domänencontroller ändern aus. |
2. | Geben Sie den Namen des gewünschten Domänencontrollers an. Das Snap-In ist nun auf den von Ihnen gewählten Domänencontroller gerichtet (s. Abbildung 3).  Abbildung 3: Ändern des Domänencontrollers |
3. | Klicken Sie mit der rechten Maustaste auf den Stammknoten Active Directory-Schema, und wählen Sie dann Betriebsmaster aus. |
4. | Klicken Sie auf die Schaltfläche Ändern. |
5. | Klicken Sie auf OK. |
Einstellen der Registrierung zum Zulassen von Schreiboperationen am Schema
Damit ein Domänencontroller Schreibzugriff auf das Schema erhält, müssen Sie eine Registrierungseinstellung vornehmen, die Schemaaktualisierungen zulässig macht. Die Registrierungsstruktur ist die folgende:
HKEY LOCAL MACHINE\System\Current Control Set\Services\NTDS\Parameters
Der Schlüssel lautet Schema Update Allowed, und dessen Wert ist vom Typ REG DWORD. Ein Wert ungleich Null gibt an, dass Schemaaktualisierungen zulässig sind. Mithilfe des MMC-Snap-Ins für die Active Directory Schemaverwaltung können Sie den Status dieses Schlüssels festlegen.
So legen Sie den Registrierungsschlüssel fest
1. | Klicken Sie mit der rechten Maustaste auf den Stammknoten Active Directory-Schema, und wählen Sie dann Betriebsmaster aus. |
2. | Wählen Sie Schema kann auf diesem Domänencontroller geändert werden (The Schema may be modified on this server)aus (s. Abbildung 4). Hiermit legen Sie den Registrierungsschlüssel fest.  Abbildung 4: Verwenden der Schemaverwaltung zum Aktualisieren des Registrierungsschlüssels Der Server erkennt diese änderung der Registrierung automatisch. Sie müssen den Server also nicht neu starten, damit das Schema aktualisiert werden kann. |
Erstellen eines neuen Attributs
Sie erstellen nun mithilfe der Schemaverwaltung die neuen Attribute für die Klasse HumanResources.
So erstellen Sie ein neues Attribut
1. | Klicken Sie im Snap-In für die Schemaverwaltung mit der rechten Maustaste auf den Knoten Attribute. | |||||||||
2. | Wählen Sie Neu aus, und klicken Sie dann auf Attribut (s. Abbildung 5).  Abbildung 5: Erstellen eines neuen Attributobjekts | |||||||||
3. | Erstellen Sie die folgenden neuen Attribute:
| |||||||||
4. | Klicken Sie nach der Erstellung jedes neuen Attributs auf OK. |
Erstellen einer neuen Klasse
Nun erstellen Sie mithilfe der Schemaverwaltung die Klasse HumanResources.
So erstellen Sie die neue Klasse
1. | Klicken Sie im Snap-In für die Schemaverwaltung mit der rechten Maustaste auf den Knoten Klasse. | ||||||||||||
2. | Wählen Sie Neu aus, und klicken Sie dann auf Klasse (s. Abbildung 6).  Abbildung 6: Erstellen der Klasse "HumanResources" | ||||||||||||
3. | Erstellen Sie die neue Klasse mit den folgenden Werten:
|
Hinzufügen der Attribute zu der Klasse
Nachdem Sie die Klasse erstellt haben, fügen Sie dieser die Attribute hinzu.
So fügen Sie die Attribute hinzu
1. | Klicken Sie im Ergebnisbereich der Schemaverwaltung mit der rechten Maustaste auf den Knoten HumanResources. |
2. | Wählen Sie Eigenschaften aus, und klicken Sie dann auf die Registerkarte Attribute (Attributes). |
3. | Fügen Sie der Klasse die beiden Attribute SalaryLevel und SocialSecurityNumber hinzu (s. Abbildung 7).  Abbildung 7: Hinzufügen von Attributen zur Klasse |
Anmerkungen zum Erstellen von Klassen und Attributen
| • | Verwenden Sie beim Eingeben der Namen für Attribute und Klassen keine Leerzeichen. Ein LDAP-Anzeigename mit Leerzeichen kann in dieser Version von Windows 2000 Probleme verursachen. |
| • | Objektbezeichner (OIDs) werden von internationalen Standardisierungsbehörden wie beispielsweise der ITU (International Telecommunication Union) ausgegeben, um die Verwendung von Duplikaten zu verhindern. Wenn zu erwarten ist, dass in Ihrer Organisation neue Klassen und Attribute erstellt werden müssen, möchten Sie möglicherweise erst OIDs von den in Ihrem Land zuständigen Standardisierungsbehörden anfordern. Die hier aufgeführten OIDs wurden von Microsoft ausgegeben und sind garantiert eindeutig. Erstellen Sie KEINESFALLS eigene OIDs. |
Hinzufügen einer Erweiterungsklasse zur Klasse "User"
Nachdem Sie die Erweiterungsklasse HumanResources erstellt und der Klasse Attribute hinzugefügt haben, können Sie die neue Erweiterungsklasse der Klasse User hinzufügen.
So fügen Sie die Erweiterungsklasse der vorhandenen Klasse "User" hinzu
1. | Klicken Sie im Snap-In für die Schemaverwaltung mit der rechten Maustaste auf den Knoten der Klasse User. |
2. | Wählen Sie Eigenschaften aus, und klicken Sie dann auf die Registerkarte Beziehung (Relationship). |
3. | Fügen Sie HumanResources der Liste Erweiterungsklassen (AuxilaryClasses) hinzu (s. Abbildung 8).  Abbildung 8: Hinzufügen der Erweiterungsklasse zur vorhandenen Klasse "User" |
Aktualisieren des Schemacaches
Domänencontroller aktualisieren ihren Schemacache automatisch alle fünf Minuten. Wenn Sie für den Domänencontroller, auf den das Snap-In für die Schemaverwaltung gerichtet ist, eine sofortige Aktualisierung erzwingen müssen, verwenden Sie den im Snap-In vorhandenen Menübefehl, um den erneuten Ladevorgang durchzuführen.
So können Sie den Schemachache sofort aktualisieren
| • | Klicken Sie mit der rechten Maustaste auf den Stammknoten Active Directory-Schema, und klicken Sie dann auf Schema neu laden. |
Hinzufügen von Werten zu neuen Attributen
Ändern aller Benutzer in der Organisationseinheit "Marketing"
In diesem Szenario wurden alle Benutzer in der Organisationseinheit Marketing auf ein jeweils neues Gehaltsniveau gesetzt. Sie können ein einfaches Skript aus dem Programmiersystem Microsoft Visual Basic Scripting Edition verwenden, um eine in Stapelverarbeitung ablaufende änderung aller Benutzerobjekte in der Organisationseinheit Marketing durchzuführen. (Visual Basic Scripting Edition, auch unter der Bezeichnung VBScript bekannt, ist eine vereinfachte Version der Programmiersprache Microsoft Visual Basic.) Mit dem Skript werden den Attributen SalaryLevel und SocialSecurityNumber neue Werte hinzugefügt.
So ändern Sie mit VBScript alle Benutzer in der Organisationseinheit "Marketing"
1. | Melden Sie sich als Administrator an. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie die Attribute der Benutzer nicht ändern. |
2. | Kopieren Sie den nachstehenden Text in den Editor. (Beachten Sie, dass das Attribut SalaryLevel mit diesem Skript allen Benutzerobjekten zugewiesen und dass eine Zufallszahl für das Attribut SocialSecurityNumber generiert wird.) Sub ModifyUsers(oObject)
Dim oUser
For Each oUser in oObject
Select Case oUser.Class
Case "user"
oUser.Put "SalaryLevel","10000"
oUser.Put "SocialSecurityNumber",CStr(Int(9999*Rnd()+1))
oUser.SetInfo
Case "organizationalUnit" , "container"
ModifyUsers(oUser)
End select
Next
End Sub
Dim oDomain
Set oDomain=GetObject("LDAP://OU=Marketing,DC=antipodes,DC=com")
ModifyUsers(oDomain)
Set oDomain = Nothing
MsgBox "Finished"
WScript.Quit
|
3. | Speichern Sie die Datei als modify.vbs. |
4. | Geben Sie an der Eingabeaufforderung Folgendes ein: modify.vbs |
5. | Drücken Sie die EINGABETASTE. Das Skript bearbeitet alle Objekte in der Organisationseinheit Marketing nacheinander und ändert alle Benutzerobjekte, indem neue Werte für deren Attribute SalaryLevel und SocialSecurityNumber zugewiesen werden. |
Anzeigen aller Benutzer in der Organisationseinheit "Marketing"
In dieser Prozedur verwenden Sie ein einfaches VBScript-Programm, um den Namen, das Gehaltsniveau und die Sozialversicherungsnummer der Benutzer auf dem Bildschirm anzuzeigen.
So zeigen Sie alle Benutzer in der Organisationseinheit "Marketing" an
1. | Melden Sie sich als Administrator an. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie die Attribute der Benutzer nicht anzeigen. |
2. | Kopieren Sie den nachstehenden Text in den Editor. Sub ModifyUsers(oObject)
Dim oUser
For Each oUser in oObject
Select Case oUser.Class
Case "user"
Wscript.Echo oUser.Name & " " & oUser.SalaryLevel & " " & oUser.SocialSecurityNumber
Case "organizationalUnit" , "container"
ModifyUsers(oUser)
End select
Next
End Sub
Dim oDomain
Set oDomain=GetObject("LDAP://OU=Marketing,DC=antipodes,DC=com")
ModifyUsers(oDomain)
Set oDomain = Nothing
MsgBox "Finished"
WScript.Quit |
3. | Speichern Sie die Datei als hrinfo.vbs. |
4. | Geben Sie an der Eingabeaufforderung Folgendes ein: hrinfo.vbs |
5. | Drücken Sie die EINGABETASTE. Das Skript bearbeitet alle Objekte in der Organisationseinheit Marketing nacheinander und zeigt die Attribute Name, SalaryLevel und SocialSecurityNumber der Benutzer an. |
Ändern von Anzeigebezeichnern
Die Shell-Dienstprogramme und Verwaltungsprogramme (wie das Snap-In für die Verzeichnisverwaltung) verwenden Anzeigebezeichner, um dynamisch Kontextmenüeinträge und Eigenschaftenseiten zu erstellen. Anzeigebezeichner ermöglichen das Lokalisieren von Klassen- und Attributnamen, Kontextmenüs und Eigenschaftenseiten und unterstützen auch neue Klassen und Attribute wie beispielsweise die, die Sie in den vorherigen Prozeduren in diesem Dokument erstellt haben.
Anzeigebezeichner sind Objekte der Klasse displaySpecifier und werden in einem Container in Active Directory abgelegt, der der Gebietschemakennung entspricht. Dieser ist wiederum im Anzeigebezeichnercontainer im Namespace Configuration gespeichert. Beispielsweise sind die Anzeigebezeichner US English in folgendem Container gespeichert:
cn=409/cn=Display Specifiers/cn=Configuration......
Der Name eines Anzeigebezeichners wird aus der Verkettung des Objektklassen-Anzeigenamens von LDAP (Lightweight Directory Access Protocol) mit -Display hergeleitet. Beispielsweise trägt die Objektklasse User den LDAP-Anzeigenamen User. Deren Anzeigebezeichnerobjekt trägt also den Namen user-Display.
Hinzufügen von Attributanzeigenamen
In diesem Leitfaden haben Sie der vorhandenen Klasse User bereits eine Erweiterungsklasse hinzugefügt. Nun müssen Sie nur noch dem Anzeigebezeichner User zusätzliche Kontextmenüs und Attributanzeigenamen hinzufügen. Sie können für die neuen Attribute SalaryLevel und SocialSecurityNumber Attributanzeigenamen, ein Kontextmenü für das Active Directory-Benutzer und -Computer-Snap-In und ein Kontextmenü für die Shell hinzufügen.
So erweitern Sie den Anzeigebezeichner der Klasse "User"
1. | Melden Sie sich als Administrator an. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie die Attribute der Benutzer nicht anzeigen. |
2. | Kopieren Sie den nachstehenden Text in den Editor. Dim oRoot
Dim oDisp
Dim oCont
Dim aMenu
Dim iCount
Dim sNewMenu
Dim oFileSystem
Dim sOutFile
Dim sSystemFolderSet oFileSystem = WScript.CreateObject("Scripting.FileSystemObject")
sSystemFolder = oFileSystem.GetSpecialFolder(1)'Connect to Display Specifiers Container
set oRoot = Getobject("LDAP://RootDSE")
set oCont = GetObject("LDAP://" & "CN=409, CN=DisplaySpecifiers," & oRoot.get("configurationNamingContext"))
Set oDisp = oCont.GetObject("displaySpecifier","cn=user-Display")
MsgBox "Display Specifier: " & oDisp.Name'Add Attribute Display Names
oDisp.PutEx 3,"attributeDisplayNames" , Array("SalaryLevel,Annual Salary","SocialSecurityNumber,Social Security Number")
oDisp.SetInfo'Add Shell Context Menu
MsgBox "Adding Shell Context Menu item"
iCount = 0
If Not IsEmpty(oDisp.shellContextMenu) Then
aMenu = oDisp.GetEx("shellContextMenu")
For iCount = LBound(aMenu) to UBound(aMenu)
MsgBox "Existing Menu item: " & aMenu(iCount)
Next
iCount = iCount + 1
End If
sNewMenu = CStr(iCount) & ",&HR Info...,hrshell.vbs"
oDisp.PutEx 3,"shellContextMenu" , Array(sNewMenu)
oDisp.SetInfoMsgBox "Adding Shell Context Menu Program"
Set sOutFile = oFileSystem.CreateTextFile(sSystemFolder & "\hrshell.vbs",True)
sOutFile.WriteLine "Dim Args"
sOutFile.WriteLine "Dim oUser"
sOutFile.WriteLine "Set Args = Wscript.Arguments"
sOutFile.WriteLine "MsgBox " & Chr(34) & "LDAP Path: " & Chr(34) & " & Args(0)"
sOutFile.WriteLine "MsgBox " & Chr(34) & "Object Class: " & Chr(34) & " & Args(1)"
sOutFile.WriteLine "Set oUser = GetObject(Args(0))"
sOutFile.WriteLine "MsgBox " & Chr(34) & "HR Info" & Chr(34) & " &
vbCRLF & " & Chr(34) & "Salary: " & Chr(34) & " & oUser.SalaryLevel &
vbCRLF & " & Chr(34) & "Soc Sec No: " & Chr(34) & " &
oUser.SocialSecurityNumber"
sOutFile.WriteLine "Set oUser = Nothing"
sOutFile.WriteLine "WScript.Quit"
sOutFile.Close'Add Admin Context Menu
MsgBox "Adding Admin Context Menu item"
iCount = 0
If Not IsEmpty(oDisp.adminContextMenu) Then
aMenu = oDisp.GetEx("adminContextMenu")
For iCount = LBound(aMenu) to UBound(aMenu)
MsgBox "Existing Menu item: " & aMenu(iCount)
Next
iCount = iCount + 1
End If
sNewMenu = CStr(iCount) & ",&HR Admin...,hradmin.vbs"
oDisp.PutEx 3,"adminContextMenu" , Array(sNewMenu)
oDisp.SetInfoMsgBox "Adding Admin Context Menu Program"
Set sOutFile = oFileSystem.CreateTextFile(sSystemFolder & "\hradmin.vbs",True)
sOutFile.WriteLine "Dim Args"
sOutFile.WriteLine "Dim oUser"
sOutFile.WriteLine "Dim temp"
sOutFile.WriteLine "Set Args = Wscript.Arguments"
sOutFile.WriteLine "MsgBox " & Chr(34) & "LDAP Path: " & Chr(34) & " & Args(0)"
sOutFile.WriteLine "MsgBox " & Chr(34) & "Object Class: " & Chr(34) & " & Args(1)"
sOutFile.WriteLine "Set oUser = GetObject(Args(0))"
sOutFile.WriteLine "temp = InputBox(" & Chr(34) & "Old Salary: " &
Chr(34) & " & oUser.SalaryLevel & vbCRLF & " & Chr(34) & "New Salary" &
Chr(34) & ")"
sOutFile.WriteLine "if temp " & Chr(34) & Chr(34) & " then
oUser.Put " & Chr(34) & "SalaryLevel" & Chr(34) & ",temp"
sOutFile.WriteLine "temp = InputBox(" & Chr(34) & "Soc Sec Number: " &
Chr(34) & " & oUser.SocialSecurityNumber & vbCRLF & " & Chr(34) &
"New Number" & Chr(34) & ")"
sOutFile.WriteLine "if temp " & Chr(34) & Chr(34) & " then
oUser.Put " & Chr(34) & "SocialSecurityNumber" & Chr(34) & ",temp"
sOutFile.WriteLine "oUser.SetInfo"
sOutFile.WriteLine "Set oUser = Nothing"
sOutFile.WriteLine "WScript.Quit"
sOutFile.CloseMsgBox "Quit..."
Set oDisp = Nothing
Set oCont = Nothing
Set oRoot = Nothing
Set oFileSystem = Nothing
WScript.Quit |
3. | Speichern Sie die Datei als addmenu.vbs. |
4. | Geben Sie an der Eingabeaufforderung Folgendes ein: addmenu.vbs |
5. | Drücken Sie die EINGABETASTE. Mit dem Skript werden Attributanzeigenamen für die neu erstellten Attribute SalaryLevel und SocialSecurityNumber sowie Kontextmenüs für die Shell und die Verwaltungsprogramme hinzugefügt, und es werden zwei einfache VBScript-Programme, nämlich hrshell.vbs und hradmin.vbs, im Verzeichnis System von Windows erstellt. |
Anmerkung: Führen Sie diese Anwendung nur einmal aus. Wenn das Skript mehrfach ausgeführt wird, kann dies zu doppelt vorhandenen Attributanzeigenamen und Kontextmenüeinträgen führen.
Ändern der neuen Attribute
Sie können mithilfe des Active Directory-Benutzer und -Computer Snap-Ins die neuen Attribute der Benutzer ändern.
So ändern Sie die neuen Attribute
1. | Melden Sie sich als Administrator an. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie die Attribute der Benutzer weder anzeigen noch ändern. |
2. | Starten Sie das Active Directory-Benutzer und -Computer Snap-In. |
3. | Wählen Sie einen Benutzer aus, den Sie im Verzeichnis erstellt haben. |
4. | Klicken Sie mit der rechten Maustaste auf ein Benutzerobjekt, und wählen Sie dann HR Admin aus (s. Abbildung 9).  Abbildung 9: Auswählen von "HR Admin" zum ändern von Attributen |
5. | Nun wird eine kleine VBScript-Anwendung gestartet, die es Ihnen ermöglicht, die Attribute SalaryLevel und SocialSecurityNumber des Benutzers zu ändern (s. Abbildung 10).  Abbildung 10: Ändern des Attributs "SalaryLevel" |
Suchen nach Benutzern basierend auf den neuen Attributen
Sie können, wie nachstehend erläutert wird, Benutzer basierend auf Attributen suchen.
So suchen Sie nach einem Benutzer mit bestimmten Attributen
1. | Wählen Sie im Active Directory-Benutzer und -Computer Snap-In entweder einen Domänen- oder einen Organisationsknoten aus. |
2. | Markieren Sie einen Knoten, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Suchen aus. |
3. | Wählen Sie Benutzer, Kontakte und Gruppen als zu durchsuchende Objekte aus. Klicken Sie auf die Registerkarte Weitere. |
4. | Klicken Sie auf die Schaltfläche Feld, wählen Sie Benutzer aus, und wählen Sie dann Annual Salary aus. |
5. | Wählen Sie ein Suchkriterium aus, beispielsweise Annual Salary Größer als 10000, und klicken Sie dann auf Jetzt suchen (Find now). Die Suche gibt als Ergebnis nur die Benutzer aus, die dem Suchkriterium entsprechen (s. Abbildung 11).  Abbildung 11: Suchen nach bestimmten Benutzern mithilfe von Attributen |
Anzeigen der neuen Attribute eines Benutzers auf der Windows-Shell
Sie können die Attribute eines Benutzers auf der Windows-Shell anzeigen.
So zeigen Sie die Attribute eines Benutzers an
1. | Melden Sie sich als Administrator an. Wenn Sie sich mit einem Konto anmelden, das nicht über Administratorrechte verfügt, können Sie die Attribute des Benutzers nicht anzeigen. |
2. | öffnen Sie das Verzeichnis, indem Sie auf das Symbol Netzwerkumgebung, dann auf Gesamtes Netzwerk und schließlich auf das Symbol Verzeichnis doppelklicken. |
3. | Suchen Sie einen Benutzer, den Sie im Verzeichnis erstellt haben. Doppelklicken Sie auf das Symbol Antipodes, und doppelklicken Sie dann auf das Symbol Marketing. |
4. | Klicken Sie mit der rechten Maustaste auf einen von Ihnen erstellten Benutzer, und wählen Sie HR Info aus dem Kontextmenü aus (s. Abbildung 12).  Abbildung 12: Anzeigen der Attribute eines Benutzers |
5. | In einem kleinen VBScript-Meldungsfeld werden nun die HR-Informationen zu dem Benutzer angezeigt (s. Abbildung 13). Anmerkung: Aus Sicherheitsgründen sind die Standardberechtigungen für die HR-Informationen eines Benutzers so festgelegt, dass es den Benutzern nur möglich ist, die Informationen zur eigenen Person anzuzeigen. Einem Benutzer ist es also nicht gestattet, die HR-Informationen eines anderen Benutzers anzuzeigen. Nur Administratoren dürfen die HR-Informationen eines Benutzers aktualisieren. Die Standardberechtigungen können so geändert werden, dass andere Benutzer Lese- und Schreibzugriff auf diese Informationen haben; diese Prozeduren würden jedoch den Rahmen dieses Leitfadens sprengen.  Abbildung 13: Anzeigen der Informationen eines Benutzers |