LUMAX
Active Directory User Maintenance
|
 Download Lumax Version 1.9.2 |
Lumax ist ein kostenloses Tool für Active Directory Umgebungen, mit dem man wichtige Eigenschaften von Benutzer- und Computer-Accounts übersichtlich und sehr einfach anzeigen lassen kann. |
Die Eigenschaften der Benutzer, Workstations und anderer Objekte werden mit Hilfe des LDAP Protokolls von den betreffenden AD Domänencontrollern ermittelt. Folgende Informationen können mit LUMAX angezeigt werden:
 |
Object Name |
|
Login Name Dieses ist der NetBIOS Anmeldename der Accounts, so wie er bei der Übergabe von Anmeldedaten in Form von "Domain\LoginName" verwendet wird. Es handelt sich dabei um das LDAP-Attribut "sAMAccountName". |
|
User Principal Name Dieses ist der moderne UPN-Anmeldename der Accounts in der Form "LoginName@domain.com". Es handelt sich dabei um das LDAP-Attribut "userPrincipalName". |
|
Disabled Ist ein Account deaktiviert, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Locked Ist ein Account gesperrt (durch die Intruder Detection), so erscheint hier ein "x" und die Angabe, wie lange die Sperrung noch dauert. Für diesen Zweck wird das LDAP-Attribute "lockoutTime" ausgewertet unter Berücksichtigung der domänenweiten Einstellungen und auch von evtl. vorhandenen Password Policies mit abweichenden Einstellungen, die für den Account gelten. |
|
Last Logon Dieses ist der Zeitpunkt der letzten Anmeldung in der Domäne. Dafür wird das LDAP Attribut "lastLogon" ausgewertet. Dieses Attribut wird nicht zwischen Domänencontrollern repliziert, Lumax liest deswegen alle Domänencontroller aus und ermittelt dann den jeweiligen echten letzten Anmeldezeitpunkt. Es kann jedoch sein, dass die Anmeldedaten nicht genau ermittelt werden können, z.B. wenn zur Zeit einer der Domänencontroller von LUMAX nicht erreicht werden kann. In diesem Fall wird für alle Accounts nur "???" angezeigt. |
|
Created Dieses ist der Zeitpunkt der Erstellung der Objekte. Für diesen Zweck wird das LDAP-Attribut "whenCreated" ausgewertet. |
|
Changed Dieses ist der Zeitpunkt der letzten Änderung an den Objekten. Für diesen Zweck wird das LDAP-Attribut "whenChanged" ausgewertet. |
|
Expiration Dieses ist das Ablaufdatum des betreffenden Kontos (falls vorhanden). Zu diesem Zweck wird das AD Attribut "accountExpires" ausgewertet.. |
|
Pwd Policy Hier wird der Name der Fine-Grained Password Policy aufgeführt, falls eine dieser Policies für den Benutzer gültig ist. Dafür werden die Policy-Objekte im System-Container des Verzeichnisses zusammen mit den Gruppenzugehörigkeiten des Benutzers auswertet. Fine-Grained Password Policies werden erst ab Windows Server 2008 unterstützt. |
|
Pwd Last Set Dieses ist der Zeitpunkt der letzten Änderung des Account-Passwords. Für diesen Zweck wird das LDAP-Attribut "pwdLastSet" ausgewertet. |
|
Pwd Expiration Date Dieses ist das Ablaufdatum des Account-Passwords. Für diesen Zweck wird das LDAP-Attribut "pwdLastSet" ausgewertet unter Berücksichtugung der domänenweiten Einstellungen und auch von evtl. vorhandenen Password Policies mit abweichenden Einstellungen, die für den Account gelten. |
|
Pwd Expired Ist das Kennwort eines Accounts bereits abgelaufen, so erscheint hier in "x". |
|
Pwd Can't Expire Ist für einen Account das Flag "Passwort läuft nie ab" gesetzt, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Pwd Not Needed Ist für einen Account das Flag "Passwort wird nicht benötigt" gesetzt, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Pwd Can't Change Ist für einen Account das Flag "Passwort kann nicht geändert werden" gesetzt, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
AdminSD Unterliegt ein Account der AdminSDHolder Security, so erscheint hier ein "x". Dafür wird das LDAP-Attribut "adminCount" ausgewertet. Dies deutet darauf hin, dass der Account sich in einer hoch privilegierten Gruppe befindet oder befand (Administrators, Domain Admins, Account Operators, Backup Operators...). |
|
Can't Delete Verhindert das System grundsätzlich das Löschen eines Objektes, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Can't Rename Verhindert das System grundsätzlich die Umbenennung eines Objektes, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Can't Move Verhindert das System grundsätzlich das Verschieben eines Objektes, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "userAccountControl" ausgewertet. |
|
Mail Enabled Verfügt ein Benutzer über ein Exchange Mail Postfach, so erscheint hier ein "x". Für diesen Zweck wird das LDAP-Attribut "mailNickname" ausgewertet. |
|
Mail DB Die Exchange Server Datenbank, in dem das Postfach des betreffenden Benutzers liegt (falls der Benutzer über ein Postfach verfügt). Für diesen Zweck wird das LDAP-Attribut "homeMDB" ausgewertet. |
|
Falls eine Eigenschaft eines Verzeichnisobjektes über LDAP nicht korrekt gelesen werden können, so wird nur "???" angezeigt.
Sie können mit dem Button "Reload"
oder auch über die <F5> Taste die Anzeige der Accountinformationen jederzeit aktualisieren. Sie können auch die gesamte Verzeichnishierarchie in der linken Fensterdarstellung neu einlesen lassen, wenn Sie dabei die <CTRL>-Taste gedrückt halten.
Wenn Sie LUMAX als Benutzer aufrufen, der bereits an der Domäne angemeldet ist, dann verbindet sich das Programm über LDAP automatisch mit Ihrer eigenen Domäne. Sie können jedoch auch eine explizite Anmeldung an beliebigen Active Directory Domänen durchführen. Einzige Voraussetzung: Sie müssen Netzwerkkontakt zu einen Domänencontroller über LDAP (TCP Port 389) oder LDAP/SSL (TCP Port 636) aufbauen können und benötigen gültige Anmeldedaten.
t
Eine neue Verbindung zu einer Active Directory Domäne starten Sie mit dem Button 
"Connect to another server" oder mit der Tastenkombination <CTRL-O>. Es stehen hier die gleichn Optionen zur Verfügung wie bei der Erstellung von LDAP Verbindungen im Tool "LEX - The LDAP Explorer". LUMAX kann auch bereits bestehende LEX-Verbindungsprofile mit verwenden.
Im linken Bereich des LUMAX Fensters wird die Container-Hierarchie des verbundenen Active Directory Namespaces angezeigt. Sie können über den "Show Object in all subcontainers" Button auswählen, ob nur die Objekte direkt unterhalb des gerade ausgewähten Containers angezeigt werden oder alle Objekte (auch aus Sub-Containern):
Im rechten Bereich des Programmfensters sieht man die Objekte und deren Eigenschaften in Spalten. Sie können jederzeit Spalten aus- und wieder einblenden, indem Sie mit der rechten Maustaste auf die Spaltenüberschrift des rechten Fensters klicken:
Sie können über den Button "Highlight Accounts" Objekte in der Liste farblich markieren, z.B. alle Benutzer, deren letzte Anmeldung mehr als 4 Wochen zurückliegt.
Es öffnet ich ein Pulldown-Menü, indem Sie auswählen können, wie und nach welchen Kriterien markiert wird:
LUMAX verfügt über einen zweistufigen Filter für die Anzeige von Objekten. Mit dem Button "Filter object classes" können Sie bestimen, ob LUMAX nur User Accounts, nur Workstations, beides zusammen - oder alle Objekte anzeigt. Die derzeitige Konfiguration kann man am Button selbst ablesen:
Sie können über den Button "Filter Objects" bestimmen, dass LUMAX nur ganz bestimmte Objekte zeigt, z.B. nur Benutzer, deren Passwort innerhalb der nächsten zwei Tage ablaufen wird.
Es öffnet ich ein Pulldown-Menü, indem Sie auswählen können, wie und nach welchen Kriterien gefiltert wird:
Sie können die aktuell angeeigte Liste der Verzeichnisobjekte mit ihren Eigenschaften in eine Textdatei oder in ein Microsoft Excel Sheet exportieren. Verwenden Sie dazu den Button "Export data to file" 
oder einfach die Tastenkombination <CTRL-S>. Es erscheint daraufhin ein Dialog, in dem Sie weitere Einstellungen für den Export vornehmen können.
Wenn Sie auf der gleichen Maschine eine Version von LEX - The LDAP Explorer installiert haben (mindestens LEX v 1.5.000), so können sie Objekte aus LIZA heraus direkt in LEX öffnen. Dies ermöglicht es Ihnen z.B. Berechtigungen in LEX zu ändern - LIZA ist schließlich "nur" ein ReadOnly Werkzeug, das die AD Berechtigungen anzeigen, jedoch nicht verändern kann.
Zu diesem Zweck verwenden Sie die Option Open in LEX aus dem Kontext-Menü der Objekte im Treeview oder in der Objektliste (sie können hier auch mehrere Objekte markieren und diese gemeinsam im LEX öffnen):
Einige wichtige technische Informationen zu LUMAX:
und vom "Show Object in all Subcontainers" Button 
ab. Wenn Sie die Ausgabe von Friendly Names aktiviert haben, dann wird einfach der relative Objektname angezeigt - wenn Sie stattdessen Objekte rekursiv in allen Untercontainern anzeigen lassen, dann zeigt LUMAX Ihnen die Container Hierarchie im Namen. Der volle