Logo faq-o-matic.net
Logo faq-o-matic.net

LAPS – lokales Admin-Passwort endlich sicher

von veröffentlicht am1. Juli 2015, 06:36 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, AD-Schema, Client-Administration, Gruppenrichtlinien, Sicherheit   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Ich bin überzeugt, dass auch heute noch in vielen Active-Directory-Umgebungen das lokale Administratorpasswort über Group Policy Preferences (GPP) gesetzt wird. Dieses Verfahren ist leider aufgrund von Sicherheitsproblemen nicht mehr zu empfehlen (siehe http://matthiaswolf.blogspot.de/2014/05/ms14-025-das-ende-der-gespeicherten.html). Auch Microsoft hat dieses erkannt und das Hinterlegen von Passwörtern in Group Policy Prefrences mit dem Update MS14-025 ( https://technet.microsoft.com/en-us/library/security/ms14-025.aspx) unterbunden.

Bis zu diesem Zeitpunkt konnten Passwörter in den folgenden Group Policy Preferences genutzt werden:

  • Local user and group
  • Mapped drives
  • Services
  • Scheduled tasks (Uplevel)
  • Scheduled tasks (Downlevel)
  • Immediate tasks (Uplevel)
  • Immediate tasks (Downlevel)
  • Data sources

Bisher genutzte GPPs zur Verteilung von Passwörtern sind zwar weiterhin funktional, allerdings sind die dort verwendeten Passwörter nicht sicher und können mit wenig Aufwand ausgelesen werden. Um trotzdem Passwörter für lokale Konten zu verwalten, hat Microsoft nun das Tool Local Administrator Password Solution (LAPS) ins Programm aufgenommen (Download unter https://www.microsoft.com/en-us/download/details.aspx?id=46899).

… weiterlesen

Hyper-V: Dateien aus einer VM auf den Host kopieren

von veröffentlicht am29. Juni 2015, 06:16 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Dateisystem, PowerShell, Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Der Microsoft-Program-Manager für Hyper-V Ben Armstrong hat einen kleinen Blog-Artikel verfasst, in dem er beschreibt, wie man Dateien aus einer Hyper-V-VM auf den Host kopiert, wenn es keine Netzwerkverbindung zwischen Host und VM gibt. Für den umgekehrten Weg gibt es seit Windows Server 2012 das PowerShell-Commandlet “Copy-VMFile”, doch das beherrscht eben aktuell nur das Kopieren vom Host in eine VM.

Der Trick von Ben ist durchaus etwas aufwändig und eignet sich eher für spezielle Situationen, doch dann ist er sehr hilfreich.

[Get Files Out of a Running Virtual Machine – Ben Armstrong – Site Home – MSDN Blogs]
http://blogs.msdn.com/b/virtual_pc_guy/archive/2012/10/05/get-files-out-of-a-running-virtual-machine.aspx

Azure Active Directory: Tools zur Synchronisation

von veröffentlicht am24. Juni 2015, 06:15 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Cloud   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Einige der Cloud-Identitäten, die ich in dem Artikel Azure Active Directory: Identitätstypen erläutert habe, setzen eine Synchronisation der On-premises-Benutzerkonten voraus. Dabei stellt sich natürlich die Frage, welches Tool für die Synchronisation verwendet werden kann. Eine Antwort auf diese Frage möchte ich Euch bis zum Ende des Artikels liefern.

Microsoft stellt zum heutigen Zeitpunkt vier Tools für die Synchronisation in Richtung Azure Active Directory bereit. Bei den Programmen handelt es sich um:

1. Azure Active Directory Synchronization Tool (DirSync)

2. Azure Active Directory Sync (AAD Sync)

3. Azure Active Directory Connect (AAD Connect)

4. Forefront Identity Manager 2010 R2 (FIM; künftig: Microsot Identity Manager, MIM)

Die Wahl des Tools ist natürlich von den benötigten Features als auch von der vorhandenen Infrastruktur sowie organisatorischen Anforderungen abhängig. Aus dem Grund ist eine allgemein gültige Antwort schwer zu definieren. Daher bleiben wir bei dem in der IT allseits geliebten „it depends“ und schauen uns die Möglichkeiten genauer an.

… weiterlesen

PowerShell zukünftig mit nativen SSH Support!

von veröffentlicht am22. Juni 2015, 06:04 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Linux, PowerShell, Shell   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Kürzlich hat Microsofts PowerShell-Team in einem seiner Blog-Artikel bekannt gegeben, dass zukünftig eine native SSH-Unterstützung in PowerShell geplant ist. Dieses ist ein weiterer Schritt zur Interoperabilität mit der Unix-Welt! Es wird sich demnach auch nicht nur um einen reinen SSH-Client, sondern auch um einen SSH-Server handeln. Die Implementierung wird ebenfalls auf OpenSSH aufsetzen.

Es ist anscheinend nicht der erste Versuch, SSH in PowerShell zu integrieren. Jetzt im dritten Anlauf hat die neue Microsoft-Führung die damit einhergehenden Strategieänderungen ermöglicht. Ein gewisser Druck aus Community und Kundenkreisen war somit nicht umsonst.

Jetzt bleibt demnach noch die Frage: Wann kommt es denn …? Das PowerShell-Team befindet sich nach eigener Aussage noch in einer frühen Planungsphase, wird aber sicher in naher Zukunft weitere Informationen wie Verfügbarkeit veröffentlichen.

ADFS: Konfigurations-Report erzeugen

von veröffentlicht am17. Juni 2015, 06:08 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML, PowerShell   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Eine ADFS-Installation besteht aus vielen einzelnen Komponenten. Wer so etwas einrichtet, benötigt eine Dokumentation der Konfiguration. Das ist manuell ein ziemlich großer Aufwand.

Glücklicherweise bringt ADFS seit Version 2.0 eine PowerShell-Schnittstelle mit, die man zum Reporting einsetzen kann. Der MVP-Kollege Jorge de Almeido Pinta hat vor einiger Zeit ein Migrations-Skript für ADFS erzeugt, das zunächst mit einer Sammlung aller Konfigurationsdetails beginnt. Dieses erste Skript habe ich mir ausgeliehen und etwas angepasst. So dient es als Grundlage für einen automatisierten Report.

Das Skript benötigt ganz am Anfang des Codes eine kleine Anpassung: In Zeile 17 hinterlege man einen passenden Ordner (hier: C:\install). Den Rest der Zeile am besten so lassen, dann legt das Skript bei jedem Durchlauf eine neue Datei an, die es nach dem Computer und dem aktuellen Zeitstempel benennt.

Das ist alles. Das Skript erwartet keine Parameter, man kann es aus der PowerShell-Konsole (oder besser aus der PowerShell ISE) einfach starten. Bei Bedarf setze man vorher die Ausführungsrichtlinie mindestens auf „RemoteSigned".

Download: Get-ADFSReport  Get-ADFSReport (1,0 KiB, 116 hits)

Der Skriptcode gewinnt keinen Schönheitspreis, ist aber ausreichend funktional. Der Report liegt hinterher als Textdatei vor.

Hier die Originalquelle von Jorges Skript:
https://jorgequestforknowledge.wordpress.com/2014/03/12/additional-powershell-scripts-for-migrating-adfs-v2-x-to-adfs-v3-0/

NTFS-Berechtigung anhand von Ordnernamen setzen

von veröffentlicht am15. Juni 2015, 06:18 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Dateisystem, PowerShell   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Daniels Blog.

Aufgrund einer Änderung eines Speicherortes musste eine komplette Struktur von Benutzerordnern neugestaltet werden. Dazu musste die Struktur an einen anderen Speicherort verschoben werden und auch die personenbezogenen Berechtigungen komplett angepasst werden mussten.

Um diese Anforderung umzusetzen habe ich folgendes Skript verwendet:

$Startordner= "X:"
$Domäne = "domain.local"
 
 
foreach($personalfolder in (get-childitem $Startordner| where {$_.psiscontainer -eq $true}))
{
 
$acl= Get-acl ($Startordner + $personalfolder)
 
$user = $Domäne + "\" + $personalfolder
$permission = $user,"FullControl","ContainerInherit, ObjectInherit","None","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
 
$acl | Set-Acl ($Startordner + $personalfolder)
 
}

Dabei werden die Ordnernamen ermittelt und diese verwandt, um ihn mit dem Domänennamen zu verknüpfen. Dieser Datenstamm wird dann auf dem Ordner angewendet, um “Full Access” inkl. der Vererbung für den Hauptordner und allen unterliegenden Objekten.

… weiterlesen

Hyper-V: Firewall virtuell betreiben?

von veröffentlicht am10. Juni 2015, 06:37 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Netzwerk, Sicherheit, Virtualisierung   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Kürzlich erschien ein Gastartikel im TechNet-Blog Deutschland, der sich mit einer „exklusiven" Netzwerkkarte für Firewalls in Hyper-V beschäftigt:

[QuickTip Hyper-V: Netzwerkkarte exklusiv nutzen – TechNet Blog Deutschland]
http://blogs.technet.com/b/germany/archive/2015/05/20/quicktip-hyper-v-netzwerkkarte-exklusiv-nutzen.aspx

So, wie es der Artikel darstellt, ist das Vorgehen zwar nicht richtig falsch, aber doch unvollständig und gefährlich.

… weiterlesen

MVP Fusion: Die virtuelle Online-Konferenz

von veröffentlicht am8. Juni 2015, 06:38 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Nach den beiden großen Microsoft-Konferenzen in den USA bieten die deutschsprachigen MVPs eine virtuelle Konferenz zur Nachlese: Die erste MVP Fusion findet am 30. Juni 2015 über Skype for Business statt. Die Teilnahme ist kostenlos.

[MVPFusion | virtuelle Konferenz der D/A/CH MVPs]
http://mvpfusion.azurewebsites.net/

Auf der Agenda stehen neben Windows Server 2016 und den Neuerungen Hyper-V auch die HoloLens-Datenbrille und die App-Entwicklung mit Windows 10. Jede Session ist live, die Teilnehmer können sich via Chat direkt einbringen.

Los geht es um 17:00 Uhr mit einer Keynote. Die inhaltlichen Sessions beginnen um 18:00 Uhr, und ab 21:00 Uhr gibt es einen offenen Chat-Talk.

Windows Phone 8.1 und Zertifikate

von veröffentlicht am3. Juni 2015, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows Phone   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Dieser Artikel erschien zuerst auf Dieters Blog.

Zertifikate benötigt man für verschiedene Zwecke. Zum Beispiel für Client- oder Benutzerauthentifizierung, für S/MIME oder natürlich für die Serverauthentifizierung. Dabei sind Zertifikate nicht nur auf Server und (Windows) Clients beschränkt, auch Smartphones benötigen je nach Szenario Zertifikate.

Selbstverständlich kann auch ein Windows Phone mit Zertifikaten umgehen, genauso auch wie iOS oder Android. Unter iOS kann man die installierten Zertifikate recht einfach unter Einstellungen –> Allgemein –> Profile anzeigen lassen. Dies könnte beispielsweise so aussehen:

iOS Zertifikatsverwaltung

Unter Windows Phone gab es bislang diese Möglichkeit leider nicht. Aber: das hat sich geändert.

… weiterlesen

Microsofts TechTruck in Hannover

von veröffentlicht am1. Juni 2015, 06:32 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Events   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageMicrosofts TechTruck ist ein mobiler Showroom der besonderen Art: Ein 40-Tonner vollgestopft mit aktuellster IT-Technik. Derzeit ist der Truck in Deutschland unterwegs zu verschiedenen Veranstaltungen und Partnern. Am 29. Juni 2015 macht der TechTruck Halt in Hannover zu einer Tech-Show über das Neueste in der IT-Welt. Im Mittelpunkt stehen Windows 10, Windows Server 2016 und Exchange Server 2016.

Mit dabei sind die Partner Nutanix und Citrix sowie der lokale Veranstalter michael wessel Informationstechnologie.

[TechTruck | michael wessel it performance]
http://www.michael-wessel.de/artikel/veranstaltungen/techtruck/

© 2005-2015 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!