Logo faq-o-matic.net
Logo faq-o-matic.net

AD: Standardobjekte umbenennen

von veröffentlicht am26. September 2016, 06:21 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, AD: Daten bearbeiten, Scripting   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

In Umgebungen, die mehr als eine Sprache für die Betriebssysteme ihrer Server einsetzen, sind bisweilen die Standardobjekte des Active Directory in der falschen Sprache. Da es im AD grundsätzlich problemlos möglich ist, die Objektnamen von Usern und Gruppen zu ändern, kann man das auch in diesen Fällen tun. Die Tücke steckt hier im Detail, denn ein einfaches Umbenennen ist tatsächlich nicht für alle Objekte möglich.

Der Microsoft-Engineer Michael Fromm hat bereits vor einiger Zeit ein Skript veröffentlicht, mit dem man das Umbenennen strukturiert vornehmen kann. Es arbeitet in zwei Schritten: Der erste Durchlauf exportiert die betreffenden Objekte in eine Textdatei. Diese bearbeitet man und gibt dadurch die gewünschten Namen vor. Im zweiten Schritt verarbeitet das Skript die Datei und benennt die Objekte mit der jeweils geeigneten Methode um. Dabei prüft es auch vorhandene Gruppenrichtlinien, um bei Bedarf auch dort die neuen Namen einzutragen.

[Skript Rename standard security principals]
https://gallery.technet.microsoft.com/scriptcenter/81b1643f-7fc7-4df1-a289-8e3a4780a5f2

Microsoft-Konten: Künftig nicht mehr mit Firmen-Mailadresse

von veröffentlicht am21. September 2016, 06:08 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Cloud   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Microsoft hat den Prozess zum Erzeugen neuer Microsoft-Konten (früher als “Live-ID” bekannt) geändert. Künftig wird es nicht mehr möglich sein, einen persönlichen Account mit einer Firmen-Mailadresse zu erzeugen, sofern die Mail-Domain der Firma bereits in Azure eingerichtet ist.

Bestehende Konten sind hiervon nicht betroffen, die Änderung bezieht sich nur auf neue Konten. Der Hintergrund ist, dass gerade in großen Unternehmen, die mit Microsofts Cloud-Diensten arbeiten, immer wieder Namenskonflikte auftreten, die bei der Anmeldung hinderlich sind.

Näheres dazu:

[blog.atwork.at | No more ORG email addresses for MSA]
http://blog.atwork.at/post/2016/09/16/No-more-ORG-email-addresses-for-MSA

Solid State Disk bei Dell

von veröffentlicht am19. September 2016, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Ich habe bei Dell eine amüsante Übersetzung für SSD gefunden:

image

Vielleicht ist das noch keinem aufgefallen. Zwinkerndes Smiley

Access-based Enumeration (ABE): Hintergründe und Empfehlungen

von veröffentlicht am14. September 2016, 06:11 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Dateisystem   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Ein lesenswerter Artikel auf dem Active-Directory-Blog im TechNet beschreibt einige Hintergründe zur Access-based Enumeration (ABE). Diese Funktion ermöglicht es, dass ein User nur die Ordner und Dateien einer Windows-Freigabe angezeigt bekommt, für die er auch tatsächlich Berechtigungen hat.

ABE ist bei Dateiserver-Admins beliebt, weil sie komplexe Ordnerstrukturen für den Anwender besser handhabbar macht. Gleichzeitig gilt sie als Sicherheitsfunktion, weil Anwender erst gar nicht die Existenz bestimmter sensibler Objekte wahrnehmen. Die Nachteile der ABE sind hingegen weit weniger bekannt.

Der Artikel, Teil 1 einer zweiteiligen Reihe, findet sich hier:

[Access-Based Enumeration (ABE) Concepts (part 1 of 2) | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2016/09/01/access-based-enumeration-abe-concepts-part-1-of-2/

cim 2016: Die Videos sind online

von veröffentlicht am12. September 2016, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events, Videos   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Das Orga-Team der cim Lingen hat sich selbst übertroffen und die Video-Aufzeichnungen der diesjährigen Konferenz in Rekordzeit online gestellt.

Hier finden sich die Videos – natürlich kostenlos wie die Konferenz selbst:

[itemsland – YouTube]
https://www.youtube.com/user/itemslandlingen

Hyper-V-Training: Noch Plätze frei

von veröffentlicht am9. September 2016, 06:52 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Events, Virtualisierung, Windows Server 2016   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Für das Hyper-V-Training, das ich am 28. September 2016 in Dortmund für die Zeitschrift “IT-Administrator” halte, sind noch Teilnehmerplätze erhältlich. Bei den beiden anderen Terminen in Hamburg und Dietzenbach (bei Frankfurt) wird es jetzt langsam eng.

Wer noch Interesse hat oder wer sich gleich anmelden möchte, findet alles Wichtige hier:

[IT-Administrator Workshops]
https://www.it-administrator.de/trainings/210433.html

AD-Gruppen leeren, in denen verwaiste Objekte Mitglied sind

von veröffentlicht am7. September 2016, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: AD: Daten bearbeiten, Migration   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Bei einem Kunden sollte eine Reihe von AD-Gruppen komplett geleert werden. OK, kein größeres Problem – dachten wir.

Ein Weg, das per PowerShell zu machen, geht so:

Get-ADGroupMember "test_group" | ForEach-Object {Remove-ADGroupMember "test_group" $_ -Confirm:$false}

Funktionierte hier aber nicht – die PowerShell gab “Unspecified Errors” zurück. Wie sich herausstellte, lag die Ursache an verwaisten Objekten, die als Mitglieder der Gruppen geführt wurden. Diese zeigte das AD-Verwaltungsprogramm auch nur als SID an.

So ein Phänomen kann im Normalbetrieb gar nicht auftreten, denn wenn man einen User löscht, dann wird er automatisch aus seinen Gruppen entfernt. Hier war die Situation aber eine andere: Die verwaisten Objekte gehörten zu einer anderen Domäne, zu der vorher einmal eine Vertrauensstellung bestanden hatte. Diese Vertrauensstellung gab es aber nicht mehr.

Als Workaround fanden wir folgendes Verfahren, das zwar nicht richtig elegant ist, aber immerhin schnell arbeitet:

  • Wir legten im AD eine neue, leere Dummy-Gruppe an.
  • Nun ersetzten wir die Mitgliedslisten der betroffenen Gruppen pauschal durch eine neue Liste, die nur die Dummy-Gruppe enthielt:
dsmod group "CN=test_group,OU=Gruppen,DC=beispiel,DC=tld" -chmbr "CN=Dummy160704-1,OU=Gruppen,DC=beispiel,DC=tld"
  • Am Ende löschten wir die Dummy-Gruppe.

USB in Hyper-V: Was geht und was nicht

von veröffentlicht am5. September 2016, 06:01 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Eric Siron hat in einem umfangreichen Artikel dargelegt, unter welchen Umständen man USB-Geräte mit Hyper-V verwenden kann. Viel mehr ist dazu in der Tat nicht zu sagen. Zwinkerndes Smiley

[Hyper-V USB Passthrough: 3 Alternatives to add USB support]
http://www.altaro.com/hyper-v/hyper-v-usb

Microsoft: Standardkennwörter sind das Hauptproblem

von veröffentlicht am31. August 2016, 06:20 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageMicrosoft Research hat vor einigen Wochen eine lesenswerte Studie zur Kennwortsicherheit veröffentlicht, die mit einigen (teils liebgewonnenen) Mythen zum Thema aufräumt. Die Forscher haben sich dabei auf Erkenntnisse aus Microsofts Online-Umgebungen konzentriert, vorrangig auf Microsoft-Konten. Die meisten Erkenntnisse lassen sich aber durchaus verallgemeinern.

  • Das wichtigste Ergebnis: Das größte Sicherheitsproblem sehen die Forscher in Standardkennwörtern. Recht eindrucksvoll belegen sie, dass schon recht simple Negativlisten von beliebten Kennwörtern das Sicherheitsniveau drastisch erhöhen können.
  • Kaum ein gutes Wort lässt die Studie an den typischen Gepflogenheiten, Anwender zu sehr langen Kennwörtern oder solchen mit einer komplexen Vorgabe von Zeichen zu nötigen. Hier argumentieren sie mit den praktischen Auswirkungen, dass Anwender dadurch zu sehr leicht vorhersagbaren Ausweichmustern greifen.
  • Wenig überraschend: Die Studie empfiehlt dringend, von einfacher Kennwort-Authentifizierung zu anderen Verfahren zu wechseln, insbesondere zur Multifaktor-Authentifizierung.

Hier die Zusammenfassung der Studie (der Download-Button ist oben links):

[Password Guidance – Microsoft Research]
https://www.microsoft.com/en-us/research/publication/password-guidance/

Meine Anmerkung: Ich werde seit Jahren nicht müde, Administratoren den Einsatz langer Kennwörter zu empfehlen, vorzugsweise Kennwortsätze. Die Empfehlungen der Studie scheinen hier eher das Gegenteil zu empfehlen. Trotzdem sehe ich meine Forderung damit nicht als widerlegt oder widersprochen an: Die Studie bezieht sich auf die Konfiguration und den Einsatz für “massenweise” Benutzerkonten. Administratoren arbeiten allerdings regelmäßig mit wesentlich umfangreicheren Berechtigungen und Privilegien als normale Anwender. Zudem sind Admins in aller Regel gut ausgebildet und besonders IT-affin. Von Leuten, auf diese Kombination zutrifft, werde ich auch weiter fordern, dass sie selbst für ein hohes Sicherheitsniveau ihrer Kennwörter setzen, und das geht sehr effizient mit Kennwortsätzen.

Bemerkenswert finde ich an der Studie besonders den Umstand, dass einfache Negativlisten (Blacklists) unerwünschter Kennwörter als sehr effektiv bezeichnet werden. Leider enthält Windows keinen Mechanismus, solche Listen einzubinden. Jahrelang habe ich hingegen (besonders) von Microsoft-Mitarbeitern den Einwand gehört, solche Negativlisten würden nichts bringen, und daher würde Microsoft so etwas auch nicht implementieren. Dass Microsofts eigene Forscher dem nun widersprechen, dürfte allerdings leider nicht dazu führen, dass die Windows-internen Filterfunktionen überarbeitet werden.

Bitlocker: Einfluss auf die Platten-Leistung

von veröffentlicht am29. August 2016, 06:58 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Storage, Windows 10   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Timos Blog.

Um die Informationssicherheit zu gewährleisten, rate ich jedem dringend, insbesondere bei mobilen Geräte wie Notebooks/Laptops und Tablets (aber nicht begrenzt darauf), die Nutzung vollständiger Festplattenverschlüsselung zu erwägen. Das Verschlüsseln des permanenten Speichers (ganz gleich, ob Festplatte mit bewegelichen Teilen oder auf Flash-Speicher basierende SSD) stellt einen wichtigen Baustein für die Datensicherheit dar, hat aber auch seine Schattenseite: Die zur Verschlüsselung und Entschlüsselung benötigten Berechnungen erhöhen die Systemauslastung.

BitLocker ist in den beiden für professionelle Nutzung vorgesehenen Versionen von Windows 10 enthalten: Windows 10 Pro und Windows 10 Enterprise.

Nachdem ich neugierig war, welchen Einfluss die Verschlüsselung mittels BitLocker auf die Leistung der Festplatte hat, führte ich ein paar Tests durch. Das verwendete System ist ausgestattet mit einer i7-6700HQ CPU und 8 GiB RAM. Der Test berücksichtigt zwei verschiedene Speichermedien: eine „herkömmliche“ Festplatte mit rotierenden Scheiben sowie eine SSD.

Bitte beachtet, dass dieser Test absolut nicht wissenschaftlichen Kriterien genügt und die Ergebnisse abweichen können und werden.

… weiterlesen

© 2005-2016 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!