• Hyper-V 3.0: Der Sprung an die Spitze?
• Active Directory reloaded in Windows Server „8“
• File Services in Windows Server „8“: Fit fürs Rechenzentrum

Außerdem findet ihr noch ein paar Nachträge, die sich in der Diskussion mit den Teilnehmern ergeben hatten.

Die Folien

Hier der Download:

Nachträge

Tools

Ich habe in der AD-Session zwei Tools vorgestellt, mit denen man bereits heute unter Windows Server 2008 R2 wesentlich komfortabler als mit den Bordmitteln auf den “Active-Directory-Papierkorb” und auf die “Fine-Grained Password Policies” zugreifen kann.

[faq-o-matic.net » Lazarus erweckt gelöschte AD-Objekte bequem wieder zum Leben]
http://www.faq-o-matic.net/2010/01/21/lazarus-erweckt-gelschte-ad-objekte-bequem-wieder-zum-leben/

[faq-o-matic.net » Abgestufte Kennwortrichtlinien endlich komfortabel]
http://www.faq-o-matic.net/2010/01/26/abgestufte-kennwortrichtlinien-endlich-komfortabel/

Ergänzungen

Da meine Demo-Maschinen nicht immer so wollten wie ich, musste ich ein paar Details schuldig bleiben.

Die ms-DS-Generation-ID, die als AD-Attribut das Snapshot-Restore und das Cloning von Domänencontrollern in Hyper-V 3.0 unterstützt, findet sich beim Computer-Objekt des betreffenden Domänencontrollers. Der dort abgelegte Wert wird nicht zwischen den DCs repliziert.

Dass in meinem Beispiel kein Wert dort steht, ist völlig normal, denn mein DC lief nicht als VM unter Hyper-V, sondern in VMware Workstation, und die kennt das Verfahren (noch) nicht.

Die Password Setting Objects (PSO), mit denen man Fine-Grained Password Policies abbilden kann, lassen sich in Windows Server “8” über das Active Directory Administrative Center (ADAC) erzeugen und verwalten. Dazu navigiert man im ADAC in den Container “System/Password Settings Container” der Domäne und kann dort die Objekte erzeugen oder verwalten.

Die Einstellungen innerhalb eines solchen Objekts sehen im ADAC so aus:

Und schließlich noch ein kleiner, oberflächlicher Blick auf die neue Zugriffsverwaltung “Flexible Access”. Ohne weitere Vorbereitung der Umgebung kann man über das ADAC zentrale Zugriffsrichtlinien verwalten, in denen eine rudimentäre Steuerung der Kriterien zumindest sichtbar wird. Damit keine Missverständnisse aufkommen: Das Bild zeigt nur die Spitze des Eisbergs. Wir werden in den nächsten Monaten genauere Angaben zu Flexible Access veröffentlichen.

Damit Flexible Access funktioniert, müssen (unter anderem) zwei GPO-Einstellungen in der Domäne ausgerollt werden. Die beiden folgenden Bilder zeigen dies.

Verwandte Beiträge:

1. \\ice:2007: Windows Server 2008: Weniger ist mehr (Folien)
   Die Folien zu meiner Session "Windows Server 2008: Weniger ist...
2. WinOne: IT-Pro-Konferenz mit Windows 8
   Am 1. und 2. Februar 2012 wird erstmals in München...
3. Special Event Windows 7: Die Folien
   Mehr als 130 Besucherinnen und Besucher haben sich auf Einladung...

Alle Angaben beziehen sich auf die Developer Preview von Windows Server “8”, die derzeit den MSDN-Abonnenten zugänglich ist. Es handelt sich um eine Pre-Beta-Version, also kann sich noch alles ändern.

Im Wesentlichen konzentrieren die Neuerungen sich auf drei Bereiche:

1. Virtualisierung und Cloning
2. Management
3. Neue Berechtigungsstrukturen für Dateiserver

Virtualisierung

Schon in den aktuellen Windows-Versionen ist es problemlos möglich (und auch unterstützt), Domänencontroller virtuell zu betreiben. Bislang gibt es dabei aber ein paar wesentliche Einschränkungen in den Virtualisierungsfunktionen, die man auf virtuelle Domänencontroller anwenden darf. So sollte man tunlichst davon absehen, DCs per VM-Snapshot zu konservieren und insbesondere auf einen Snapshot zurückzuspringen. Die Folge wäre ein USN-Rollback, durch das der “zurückgesetzte” DC nicht mehr korrekt an der AD-Replikation teilnimmt. Aus demselben Grund ist es derzeit nicht möglich, einen DC zu kopieren (klonen), um einen neuen DC daraus zu erzeugen: Auch hier würde ein USN-Rollback für gravierende Probleme sorgen.

In Windows Server “8” gibt es einen neuen Mechanismus, der beide Vorgänge für VM-DCs möglich macht. Man sollte sich allerdings der Grenzen bewusst sein, um nicht versehentlich doch in das USN-Problem zu laufen.

Die Snapshot-Unterstützung nutzt eine neue Funktion in Active Directory und in aktualisierten Virtualisierungs-Plattformen namens “VM-Gerenation ID”. In diesem Attribut hinterlegt der Hypervisor eine Kennung für die aktuelle Version der VM. Setzt man die VM auf einen früheren Snapshot zurück, so muss der Hypervisor diese ID ändern und über eine definierte Schnittstelle mitteilen.

Ein Domänencontroller unter Windows Server “8” speichert die VM-Generation ID in einem neuen AD-Attribut, das er lokal hält und nicht repliziert. Jeder virtuelle DC weiß so, auf welchem VM-Stand er sich befinden sollte. Vor jeder Änderung (Transaktion) in seiner Kopie der AD-Datenbank vergleicht der Domänencontroller nun seine gespeicherte ID mit derjenigen, die der Hypervisor an ihn berichtet. Stimmen sie überein, so geht der DC davon aus, dass er auf dem aktuellen Stand ist und führt die Transaktion aus. Sind die IDs hingegen unterschiedlich, so ist dies für den DC ein Signal, dass er auf einen älteren VM-Snapshot zurückgesetzt wurde. Er wird die Transaktion dann zurückstellen und zunächst eine Bereinigung ausführen. Hierzu erzeugt er eine neue Datenbank-Kennung (Invocation ID) und verwirft seinen RID-Pool (Relative Identifier), damit er keine Duplikate von Sicherheitsprinzipalen (Benutzer-, Gruppen- oder Computerkonten) erzeugt. Durch die neue Invocation ID erkennen alle anderen DCs einen neuen Replikationspartner und passen ihre Replikationsvorgänge auf diese Situation an. Im Wesentlichen entspricht der Vorgang demjenigen, der auch bei einem ordentlichen Recovery des Active Directory über ein Systemstate-Backup erfolgt. Erst nach Abschluss dieser Prozesse führt der DC die ausstehende Transaktion aus.

Wichtig dabei: Derzeit gibt es nur einen einzigen Hypervisor, der die neue Technik der VM-Generation ID beherrscht, und das ist Hyper-V 3.0 – also die neue Fassung von Windows Server “8”. Ältere Hyper-V-Versionen sowie alle anderen Anbieter können das (noch) nicht. Microsoft arbeitet aber nach eigener Aussage mit den anderen Herstellern zusammen, damit diese die Funktion ebenfalls implementieren. Ebenso wichtig: Auf Active-Directory-Seite unterstützt ebenfalls nur Windows Server “8” dieses Feature.

Dem Vernehmen nach rät Microsoft auch weiterhin davon ab, VM-Snapshots in Produktionsumgebungen für Domänencontroller zu nutzen. Stattdessen sind auch weiterhin die offiziellen Backup-Prozeduren zu verwenden. Die neue Funktion soll in erster Linie die fatalen Auswirkungen “versehentlicher” Snapshot-Rollbacks für DCs verringern.

Zudem ist zu berücksichtigen, dass die neuen Mechanismen ausschließlich mit virtuellen Domänencontrollern funktionieren. Image-Backups von DCs sind damit auch weiterhin keine nutzbare Alternative!

Die neue “VM-Generation ID” ist bislang nur sehr rudimentär öffentlich dokumentiert. Details zur Implementierung liegen noch weitgehend im Dunkeln. Dazu gehört auch die durchaus kritische Frage, wie ein virtueller DC vor Fehlern des Hypervisors geschützt wird. Denkbar ist etwa eine Situation, in der der Hypervisor keine neue ID erzeugt, obwohl er dies tun müsste. Auf der anderen Seite könnte es passieren, dass der Hypervisor durch eine Fehlfunktion oder einen Angriff ständig neue IDs erzeugt und damit einen DC handlungsunfähig macht, weil er laufend neue Invocation IDs erzeugen muss.

DC-Cloning

Der neue Mechanismus der VM-Generation ID bildet auch die Grundlage für das erstmals unterstützte Klonen von Domänencontrollern. Dadurch kann man neue DCs auf Basis einer Vorlage erzeugen und so deutlich schneller ausrollen als bisher. Man sollte dabei allerdings in Betracht ziehen, dass auch der traditionelle Weg, einen neuen DC zu erzeugen, in den meisten Umgebungen weniger als eine halbe Stunde Zeit erfordert. Das Cloning sollte daher nicht als neuer Königsweg gelten, sondern eher als zusätzliche Option.

Das Klonen von DCs erfordert in Windows Server “8” einige Vorbereitungen. Zunächst braucht es mindestens zwei DCs mit dem neuen Betriebssystem: Den PDC-Emulator (Inhaber der entsprechenden Betriebsmasterrolle) und einen weiteren DC, der als Vorlage für die Klone dient. Der PDC-Emulator selbst kann nicht als Vorlage herhalten – in neu aufgesetzten Domänen ist dies stets der allererste DC.

Um die Klon-Funktion zu nutzen, muss man zunächst den Vorlagen-DC als solchen autorisieren. Dies geschieht über eine neue AD-interne Berechtigung auf Domänenebene, die man dem DC-Computerkonto zuweist (“Allow a DC to create a clone of itself”). Durch diesen Vorgang soll die Berechtigung, DC-Klone zu erzeugen, in der Hoheit der AD-Administratoren liegen, damit die Betreiber der VM-Umgebung nicht wahllos Kopien dieser sensiblen Komponente erzeugen.

In einem zweiten Schritt muss man dann eine Reihe von XML-Dokumenten erzeugen, die den Namen und die Netzwerkkonfiguration des neuen Klon-DCs sowie Informationen zu weiteren lokal laufenden Applikationen und Komponenten enthalten. In der aktuellen Preview-Version des Server-Windows gibt es keine grafischen Editoren dafür, man muss sie also im Quelltext bearbeiten.

Für das eigentliche Cloning fährt man den Vorlagen-DC herunter und kopiert dann die virtuelle Festplatte oder über die VM-Verwaltung die ganze VM. Der Hypervisor muss dabei eine neue “VM-Generation ID” erzeugen – was (siehe oben) derzeit nur Hyper-V 3.0 beherrscht. Beim ersten Start des Klon-DCs stellt dieser dann anhand der ID und der XML-Dateien fest, dass er geklont wurde, und kontaktiert den PDC-Emulator, um sich ins AD einzubinden. Falls im Konfigurations-XML kein Name und keine Netzwerkkonfiguration vorgegeben ist, generiert der PDC-Emulator eine neue Identität und weist sie dem neuen Klon zu. Diese letztere Funktion unterstützt vor allem Massen-Rollouts und die Automatisierung in großen Cloud-Umgebungen.

Microsoft positioniert die neue Funktion vor allem für große Umgebungen mit hohen Automatisierungs-Anforderungen sowie zur Vereinfachung des Forest Recovery in großen Netzwerken. Wie oben angemerkt, dürfte sie für kleine und mittlere Netzwerke kaum eine sinnvolle Erleichterung darstellen.

Management

Für die Verwaltung von Active Directory hat Microsoft besonders das “Active Directory Administrative Center” mit dem schönen Kürzel “ADAC” erweitert, das erstmals mit Windows Server 2008 R2 vorgestellt wurde. Im Gegensatz zur aktuellen Fassung wird die neue Version deutlich erweitert sein und nicht nur einfache Basis-Operationen unterstützen.

Neben der besseren Verwaltung von AD-Berechtigungen bringt das neue ADAC vor allem eine grafische Oberfläche für den AD-Papierkorb (AD Recycle Bin) mit, der zwar mit Windows Server 2008 R2 schon zur Verfügung steht, aber dort noch ohne eigene Oberfläche daherkommt. Das Wiederherstellen versehentlich gelöschter Objekte ist so viel einfacher möglich.

Auch für die “Fine-Grained Password Policies” gibt es nun eine grafische Oberfläche im ADAC. Diese Funktion gibt es bereits seit Windows Server 2008, doch ist sie weitgehend unbekannt geblieben, weil eben kein GUI dafür bereitsteht. Durch diese Policies ist es möglich, mehr als eine Kennwortrichtlinie in derselben Domäne umzusetzen und etwa administrative Konten besser zu schützen als die “Allgemeinheit”.

Schon in der 2008-R2-Fassung beruht das ADAC auf der PowerShell. In der neuen Version bringt es nun eine “PowerShell History” mit, sodass man GUI-Vorgänge besser in PowerShell-Skripts übernehmen kann. Vielleicht führt dies durch Einübung zu einer weiteren Verbreitung der PowerShell in Admin-Kreisen.

Außerhalb des ADAC wurde vor allem die Installation von Domänencontrollern überarbeitet. Erstmals seit Windows 2000 gibt es nun kein “dcpromo” mehr. Das vormals separate Kommando zum Hoch- oder Runterstufen eines DCs ist nun vollständig in den neuen Server-Manager sowie in die PowerShell überführt worden. Der neue Installationsprozess automatisiert nun weit mehr Vorgänge als bisher, was vor allem beim nachträglichen Einfügen neuer DCs in bestehende Domänen hilfreich ist. Das früher ebenfalls separate “adprep.exe” ist nun nicht mehr notwendig, aber als Option weiter verfügbar (in der Developer Preview allerdings nur als x64-Version für Windows Server 2008 und R2!).

Die PowerShell-Commandlets für Active Directory sind künftig deutlich umfangreicher als zuvor. Vor allem bringen sie nun alles mit, was man zum Steuern und Überprüfen der AD-Replikation benötigt. Das lässt sich durchaus als Hinweis verstehen, dass die bisherigen Kommandozeilentools für diese Vorgänge bald evtl. nicht mehr unterstützt werden.

Neue Berechtigungsstrukturen für Dateiserver

Eher in die Kategorie “Revolution” fällt ein neues Berechtigungssystem für Dateiserver. Unter dem Namen “Flexible Access” wird Windows Server “8” erstmals ein neues Prinzip der Zugangsverwaltung mitbringen, das nicht mehr ausschließlich auf festen Berechtigungslisten (Access Control Lists, ACL) beruht. Mit Hilfe dieser Technik wird es möglich sein, den Zugriff auf Dateien über verschiedene Attribute zu steuern. Neben der Mitgliedschaft in Gruppen können dazu weitere Eigenschaften eines Users zählen, etwa der eingetragene Standort. Solche Daten kann ein “8”-Dateiserver mit Tags vergleichen, die Dateien oder Ordnern zugewiesen sind. So lassen sich Logiken aufbauen wie “Zugriff erhalten Anwender aus der Zentrale, die in der Personalabteilung arbeiten”.

Diese Funktion wird einiges an näherer Betrachtung erfordern, und es handelt sich nicht ausschließlich um ein Active-Directory-Feature. In zukünftigen Artikeln werden wir uns damit beschäftigen.

Verwandte Beiträge:

1. Hyper-V 3.0: Was (wahrscheinlich) kommt, Teil 4
   Hier als letzter Teil unserer kleinen Artikelserie zu Hyper-V 3.0...
2. Hyper-V 3.0: Was (wahrscheinlich) kommt, Teil 1
   Eine der Funktionen, die Microsoft im kommenden Windows Server “8”...
3. Hyper-V 3.0: Was (wahrscheinlich) kommt, Teil 2
   Diese zweite Folge unserer Artikelserie zu Hyper-V 3.0 konzentriert sich...

Abbildung 1

In Abbildung 1 ist die Bibliothek Dokumente gezeigt. Der erste Pfad ist benutzerbezogen und verweist auf %userprofile%\Documents. Der zweite Eintrag verweist auf den Ordner %public%\Documents und wird den meisten Admins Sorgen bereiten, wenn mehrere Benutzer an diesem Computer arbeiten und darüber Daten ausgetauscht werden – besonders problematisch bei Terminalservern. Auch in deutschsprachigen Windows-Versionen werden diese Pfadangaben verwendet, erkennbar in Abbildung 3, wenn man in die Adresszeile klickt.

Abbildung 2

Abbildung 3

Analog gelten auch immer zwei Pfade für die anderen Bibliotheken Bilder, Musik und Videos:

• Bilder
  • Eigene Bilder = %userprofile%\pictures
  • Öffentliche Bilder = %public%\pictures
• Dokumente (Abbildung 1, 2 und 3)
  • Eigene Dokumente = %userprofile%\documents
  • Öffentliche Dokumente = %public%\documents
• Musik
  • Eigene Musik = %userprofile%\music
  • Öffentliche Musik = %public%\music
• Video
  • Eigene Videos = %userprofile%\videos
  • Öffentliche Videos = %public%\videos

Leider hat Microsoft anscheinend vergessen, eine zentrale Konfigurationsmöglichkeit der Bibliotheken über Gruppenrichtlinien (GPO) zur Verfügung zu stellen. Man vermisst dies bei zentralisierten Netzwerken mit Windows-7-Clients ebenso wie bei der Einrichtung von Terminalservern unter Windows Server 2008R2. Dabei kann es durchaus sinnvoll sein, für verschiedene Benutzergruppen an einen zentralen Bilder- oder Video-Ordner im Netzwerk umzuleiten, dabei gibt es ein paar Stolpersteine zu beachten. Im einfachsten Falle möchte man einfach nur bei allen Benutzern den Eintrag zu Öffentliche Bilder, Öffentliche Dokumente, Öffentliche Musik und Öffentliche Videos entfernen.

Prinzipiell lassen sich die Bibliotheken ganz einfach über das Kontextmenü konfigurieren, siehe Abbildung 1. Dabei werden die Einstellungen in die Dateien

• Documents.library-ms
• Music.library-ms
• Pictures.library-ms
• Videos.library-ms

im Pfad

%userprofile%\AppData\Roaming\Microsoft\Windows\Libraries

abgespeichert und werden im Windows Explorer in Deutsch und ohne Dateiendung angezeigt. Die Dateien sind nur zu sehen, wenn man versteckte Dateien anzeigen lässt. Wer will, kann diese Dateien auch mit dem Notepad einmal öffnen. Ich finde es zu umständlich, mit Skripten die richtigen Pfade in den Dateien anzupassen. Daher hier ein anderer möglicher Weg zum Ziel …

Abbildung 4

Vorbereitungen

Man erstellt sich eine zentrale Freigabe im Netzwerk \\server\libraries und platziert dort die vier Dateien Documents.library-ms, Music.library-ms, Pictures.library-ms und Videos.library-ms von irgendeinem Benutzerprofil. Per Kontextmenü passt man sich diese Vorlagen nach den Wünschen an und speichert diese ab, z.B. ohne Öffentliche Dokumente (%public%\documents), Bilder, Musik und Videos. Dass entsprechende Leserechte für die Freigabe, den Ordner und die Dateien konfiguriert werden, setze ich jetzt voraus.

Die Umsetzung

Wir erstellen uns eine Gruppenrichtlinie, die die vier Standard-Dateien im Benutzerprofil mit den Vorlagen aus der zentralen Freigabe vom Server ersetzt. Die Einstellungen in der Gruppenrichtlinie finden wir über Benutzerkonfiguration, Einstellungen, Windows-Einstellungen, Dateien:

Abbildung 5

Hier erstellt man ein neues Dateiobjekt mit der Aktion Ersetzen. Für das Beispiel der Bibliothek Dokumente verwendet man als Quelle

\\server\libraries\documents.library-ms

Für Zieldatei verwendet man den Eintrag

%Userprofile%\AppData\Roaming\Microsoft\Windows\Libraries\documents.library-ms

Man beachte, dass man NICHT über die Durchsuchen-Schaltfläche an die Dateien *.library-ms gelangt. Hier ist Eintippen oder Kopieren/Einfügen angesagt. Unter Gemeinsame Optionen ist eingestellt: „Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)“. Damit ist die Konfiguration abgeschlossen. Viel Erfolg!

Verwandte Beiträge:

1. Virtueller Launch von Windows 7 und Windows Server 2008 R2
   Microsoft hat neben seiner “Joint Launch”-Tour und einigen internationalen Veranstaltungen...
2. Wo ist das Startmenü in Windows 7 und Server 2008 R2?
   Da ich es selbst immer wieder nachschlagen muss … sind...
3. Bilder drucken in Windows 7
   Gerade hatte ich eine Reihe von Bildern zu drucken. Es...

Dann hat man entweder regelrechte Sprechstunden für vergessliche Nutzer (an die sich diese natürlich nicht halten), eine Passwort-Hotline oder man beschafft eine entsprechende Password Self Service Software.

Password Self Service kennt man üblicherweise entweder von diversen Webmailanbietern wie Hotmail oder auch von Webforen. Bei letzteren bekommt man im Allgemeinen sein neues Kennwort an die Emailadresse gesandt, mit der man sich registriert hat. Das ist bei einer Lösung mit Exchangepostfächern natürlich wenig hilfreich, da man das Passwort für das Active Directory Konto auch für den Zugriff auf das Postfach benötigt. Genau darauf hat man aber keinen Zugriff, da man sein Kennwort vergessen hat. Eine andere Lösung sind sogenannte Frage und Antwort Modi, bei denen sich der Benutzer aus diversen Fragen eine oder mehrere aussucht und dazu entsprechende Antworten vergibt, die nur er kennt. Bspw: “Wie ist der Name Ihres ersten Haustieres?” oder “Wie lautet der Mädchenname Ihrer Mutter?”

Nach der Eingabe der korrekten Antworten kann man sich ein neues Kennwort vergeben und damit wieder anmelden.

Eine Lösung für Password Self Service bietet Sysop Tools mit Password Reset Pro für Active Directory.

Wie genau funktioniert das also?

Damit ein nicht authentifizierter Nutzer (er hat ja schliesslich sein Kennwort vergessen), ein neues Kennwort vergeben kann, benötigt er eine Möglichkeit sich gegenüber dem System zu legitimieren. Dies kann in Password Reset Pro über zwei Modi erfolgen.

1. Profile Enrollment Mode
2. Active Directory Data Mode

Zusätzlich gibt es einen dritten Modus „Domain Authentication only“, mit dem Benutzer ihr Kennwort ändern können. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit allerdings nicht möglich, weswegen dieser Modus im Artikel nicht weiter berücksichtigt wird.

Profile Enrollment Mode

Im Profile Enrollment Mode muß sich der Anwender einmalig eine Kombination aus vorgebenem Bild und frei definierbaren Sicherheits-Wort wählen. Über beide Informationen wird dann ein Hash gebildet und verschlüsselt im Active Directory gespeichert. Mit Hilfe dieser Kombination ist es ihm möglich, das vergessene Passwort zurückzusetzen. Natürlich kann der Administrator auch Worte und User ausschließen. Bspw. sind Worte die das gewählte Bild bezeichnen dann doch zu einfach. Administrative Accounts können ebenfalls ausgeklammert werden.

Abbildung 1: Einstellungen des Sicherheits-Wortes

Sobald der Nutzer die Webseite von Password Reset aufruft, kann er sich „einschreiben“. Hierzu muß er sich mit seinem Nutzernamen und seinem (nicht vergessenem Kennwort) identifizieren. Er wählt aus den angezeigten Bildern eines aus, und gelangt so zum zweiten Schritt.

Abbildung 2: Gewähltes Bild anklicken

Hier wählt er ein Wort, welches nur den Bedingungen aus Abbildung 1 entsprechen muss. Danach ist der Einschreibevorgang abgeschlossen.

Kommentare, dass sich die Nutzer die Kombination von Bild und frei wählbarem Wort ebenfalls nicht merken können sind verständlich. Aber anscheinend fällt es vielen Nutzern doch einfacher, als sich ein ein komplexes Kennwort allein zu merken.

Abbildung 3: Sicherheits-Wort eingeben

Abbildung 4: AD Passwort zurücksetzen

Info: Alle Daten werden innerhalb des Active Directory gespeichert. Es sind keine zusätzlichen Datenbanken wie SQL o.ä. notwendig. Beim „Enrollment“ generiert der Masterservice mit den beiden Komponenten (Bild und Sicherheits-Wort) einen AES-256 verschlüsselten „logischen Zeiger“. Dieser Zeiger wird im Attribut „altSecurityIdentities“ des Benutzerobjekts im Active Directory gespeichert. Dieses Attribut existiert in jedem Active Directory und ist für solche Zwecke vorgesehen:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms675221(v=vs.85).aspx

Abbildung 5: Eingeschriebener AD-Benutzeraccount

Wie erwähnt, ist hierzu ein einmaliges Einschreiben aller Nutzer notwendig, damit obige Methode funktioniert. Password Reset Pro stellt dem Administrator hierzu eine Konsole zur Verfügung, in welcher erkennbar ist, wie viele seiner Nutzer bereits eingeschrieben sind. Säumige Nutzer können per Emailvorlage über die Notwendigkeit zum Einschreiben informiert werden.

Über den Stand des Enrollments wird der Administrator mit täglichen Reports oder durch einen Blick in die Report-Konsole unterrichtet.

Active Directory Data Mode

Im Active Directory Data Mode ist das Einschreiben (Pre-Enrollment) nicht notwendig. Der Administrator legt entsprechende Attribute im Administrationstool fest, auf deren Basis die Frage(n) gestellt werden soll(en). Beispielsweise kann in einem AD-Attribut die Information über Telefonnummer oder Büro gespeichert werden. Dem Nutzer werden im Webportal die Fragen „Wie lautet Ihre dienstliche Telefonnummer? und „In welchem Bürogebäude sitzen Sie?“ präsentiert und er muss alle korrekt beantworten. Die Antworten werden dann mit den Werten im entsprechenden AD-Attribut verglichen und als korrekt oder fehlerhaft gewertet. Es sind alle verfügbaren AD-Attribute möglich. Das Active Directory hält jedoch viele Attribute für Domänenbenutzer lesbar bereit. Deswegen sollte man sich im Klaren darüber sein, sein, dass zwar keine Vorbereitung durch den Nutzer erforderlich ist, aber dass es durchaus Nutzer mit genügend „Elan“ gibt, die Kennworte anderer Nutzer auf Basis „freiverfügbarer“ Informationen zurücksetzen.

Technische Informationen zu Password Reset Pro

Password Reset Pro besteht aus den zwei Komponenten Webportal und Masterservice. Beide können entweder auf einem Server installiert werden ("single tier"), oder getrennt als sogenannte "two tier" Installation. Das Webportal bietet die Schnittstelle, welche der vergessliche Benutzer zu Gesicht bekommt. Der Masterservice ist die Komponente, welche die eigentliche Änderung im Active Directory vornimmt. Dieser Dienst benötigt entsprechend delegierte Rechte im AD, um die Kennworte der Nutzer zurücksetzen zu können. Die Verwendung von Domänenadminrechten ist nicht empfohlen.

Getestet wurde die Version 3.1.67, welche sowohl als 32- als auch 64-bit Applikation installiert werden kann. Allerdings sind Installationen derzeit nur auf englischsprachigem Betriebssystem möglich. Der Hersteller SysOp Tools hat aber Internationalisierung angekündigt (s. geplante Features).

Die Installation ist einfach zu erledigen, und wird vom Hersteller mit einer ausführlichen englischsprachigen Anleitung unterstützt.

http://www.sysoptools.com/support.aspx?tbc=0

Geplante Features

Natürlich gibt es auch Funktionen, die sich derzeit noch nicht im Produkt befinden, aber vom Hersteller bereits angekündigt wurden. Hierzu gehören u.a.

• Mobile Device Zugriff – Passwortänderungen und –entsperrungen vom iPhone, Windows Mobile, iPad, BlackBerry aus.
• Windows Vista, Windows 7 and Server 2008 Self Service Integration im Anmeldefenster
• Sharepoint-Plugin zum Anzeigen der Restlaufzeit des Passwortes
• Mehrsprachige Weboberfläche des Portals

Fazit

Das Programm erweist sich als erstaunlich einfach und praktisch im Alltag, und wird jedem Administrator, der die oben beschriebene Ausgangssituation kennt, eine Menge an Telefonanrufen ersparen. Mein bisheriger Kontakt mit dem Produktsupport über Email erfolgte schnell und unkompliziert (notwendig geworden wegen der Installation auf einem deutschsprachigen System). Wie der Punkt „geplante Features“ zeigt, ist trotzdem noch jede Menge Potenzial, welches in zukünftigen Veröffentlichungen realisiert werden sollen.

Die Lizenzkosten bewegen sich in einem Rahmen vergleichbarer Lösungen anderer Hersteller. Über die Webseite des Herstellers kann ein Angebot angefordert werden.

Verwandte Beiträge:

1. Kennwortänderungsaufforderung per Email mittels Password Reminder Pro
   Das Problem Stellen Sie sich vor, Sie sind der Administrator...
2. Abgestufte Kennwortrichtlinien endlich komfortabel
   Windows Server 2008 hat als neue Funktion die so genannten...
3. Liza: Berechtigungen in Active Directory analysieren
   Philipp Föckeler hat ein Programm namens “Liza” veröffentlicht, mit dem...

[RFC 2589 - Lightweight Directory Access Protocol (v3): Extension (RFC2589)]
http://www.faqs.org/rfcs/rfc2589.html

Dynamische Objekte decken spezielle Anforderungen ab, in denen Einträge in einem LDAP-Verzeichnisdienst nur für kurze, nicht immer vorhersagbare Zeiträume existieren dürfen. Ein dynamisches Objekt erhält bei seiner Erzeugung einen TTL-Eintrag (Time to Live), nach dessen Ablauf es automatisch verschwindet. Im Gegensatz zu normalen Löschvorgängen geschieht dies nicht ausdrücklich, sondern von selbst – und das entfernte Objekt wird im Fall von Active Directory nicht in einen “Tombstone” verwandelt, es hinterlässt also keine Spuren im Verzeichnis. Stattdessen ist jeder Domänencontroller selbst dafür zuständig, das abgelaufene Objekt einfach sang- und klanglos zu löschen.

Die TTL eines dynamischen Objekts kann während seiner Lebenszeit verlängert werden. Dies können Applikationen nutzen, um die Gültigkeit eines Eintrags bei Bedarf zu verlängern. Tatsächlich ist der eigentliche Einsatzzweck von Dynamic Objects auch ihre Nutzung durch Applikationen. Es steckt allerdings einiges dahinter, was einige Quellen näher beleuchten.

Auf Florian Frommherz’ Blog gibt es einen Artikel, der das Konzept von Dynamic Objects auf Benutzerobjekte anwendet. Zwar ist es eigentlich nicht dafür entworfen worden, aber es  funktioniert tatsächlich.

[Florian’s Blog » Creating dynamic objects with Active Directory]
http://www.frickelsoft.net/blog/?p=282

Ein anderer Blog-Eintrag eines Microsoft-Mitarbeiters beschreibt, warum die ursprüngliche Implementierung in Windows Server 2003 fehlerhaft war und warum sie mit dem Service Pack 1 geändert wurde. Diese Änderung hat in der Folge dazu geführt, dass einzelne Drittanbieter-Applikationen nicht mehr funktionierten, doch aus der Argumentation wird deutlich, warum sich dies nicht vermeiden ließ.

[When is it "by design" -- a tale of a dynamicObject ( yet another post SP1 change ) - Spat's WebLog (Steve Patrick)]
http://blogs.msdn.com/b/spatdsg/archive/2006/06/14/630435.aspx

In einigen Vorträgen der Security-MVP Paula Januszkiewicz aus Warschau ist zu sehen, wie gefährlich die fehlerhafte ursprüngliche Implementierung von Dynamic Objects war. Sie ließ sich für Angriffe verwenden, die kaum rechtzeitig zu erkennen und noch schwieriger abzuwenden waren.

[entryTTL Demo from TechEd North America 2011 - Paula's Security Blog]
http://blogs.technet.com/b/plwit/archive/2011/05/23/entryttl-demo-from-teched-north-america-2011.aspx

[10 Deadly Sins of Administrators about Windows Security (engl.) | TechDay@ice:2011]
http://technet.microsoft.com/de-de/edge/10-deadly-sins-of-administrators-about-windows-security-engl-techday-ice-2011

Verwandte Beiträge:

1. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
   Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich...
2. ADRestore.NET: Gelöschte AD-Objekte wiederbeleben
   Ein gelöschtes Objekt verschwindet nicht sofort aus Active Directory. Aufgrund...
3. Active Directory: Objekte differenziert auflisten
   Dieser Beitrag erschien zuerst in Ralfs Blog. In einem Standard-AD...

[TechNet Edge-Kategorien: TechDay@ice:2011]
http://technet.microsoft.com/de-de/edge/ff832960.aspx?category=TechDay@ice:2011

Zu den Videos gehört auch meine Session “Tu mir das nicht an”, sagte der Domänencontroller. Ja, ich gebe es zu: Beim Reden laufe ich ziemlich viel herum. Das hat den Kameramann bei der ice:2011 in Lingen durchaus beschäftigt.

[Active Directory - "Tu mir das nicht an", sagte der Domänencontroller | Techday@ice:2011]
http://technet.microsoft.com/de-de/edge/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontroller

Verwandte Beiträge:

1. Launch 2008: Die Session-Videos sind online
   Microsoft hat die Video-Aufzeichnungen aller Vorträge des großen Server-Launch vom...
2. ice:2011: “Tu mir das nicht an”- die Folien
   Active Directory bildet das Rückgrat der Netzwerkverwaltung. Administratoren kennen den...
3. Dynamische Objekte in AD: Unbekannt und gefährlich
   Es ist weithin unbekannt, dass Active Directory bereits seit Windows...

Wie kann ich Benutzer- oder Computerkonten in Active Directory identifizieren, die nicht mehr benötigt werden?

Auf diese naheliegende Frage gibt es eine einfache Antwort: OldCmp.

OldCmp identifiziert:

• veraltete Computerobjekte
• veraltete Userobjekte (obwohl der Name anderes verheißt)

anhand wählbarer Kriterien, z.B. dem letzten Anmeldedatum, der letzten Kennwortänderung, nur in einem bestimmten Ordner oder ähnlich. Mit den gefundenen Daten kann OldCmp:

• Berichte erzeugen in HTML (mit nützlichen Zusatzdaten)
• Listen erzeugen als CSV
• Objekte deaktivieren
• Objekte in einen Ordner verschieben
• Objekte löschen

Das Tool eignet sich also sowohl zur Analyse als auch für das Reporting ganz hervorragend.

[OldCmp]
http://www.joeware.net/freetools/tools/oldcmp/index.htm

Verwandte Beiträge:

1. Active-Directory-Massenoperationen mit AdMod und AdFind
   Windows Server 2003 enthält die so genannten "ds*-Tools": Eine Sammlung...
2. LUMAX: Schnelle Auswertung des Active Directory
   Ich habe schon häufig nach einem Tool gesucht, mit dem...
3. Wie deaktiviere ich Drag & Drop in "Active Directory-Benutzer und -Computer"?
   Seit dem Erscheinen von Windows Server 2003 ist es möglich,...

[Florian’s Blog » DC stickiness]
http://www.frickelsoft.net/blog/?p=278

Verwandte Beiträge:

1. Einstellungen für Gruppenrichtlinien finden
   Und wieder ein Hinweis auf interessanten Lesestoff: Auf dem Blog...
2. Wohin gehen FSMO-Rollen, wenn ein DC in „AD-Benutzer und -Computer“ gelöscht wird?
   Seit Windows Server 2008 beherrscht die mitgelieferte‚Active Directory Benutzer und...
3. Dynamische Objekte in AD: Unbekannt und gefährlich
   Es ist weithin unbekannt, dass Active Directory bereits seit Windows...

Hier sind die Folien meiner Session auf der ice:2011 in Lingen im PDF-Format. Im September wird der Vortrag als Video auf TechNet Edge zu sehen sein.

Verwandte Beiträge:

1. IIR IT Admin Tech Talk 2011: Die Folien
   Hier sind die Folien meiner beiden Vorträge beim IIR IT...
2. ice:2010 AD-Delegation – die Folien und Skripts
   Hier ist der Download der Folien (PDF-Format) und der Demo-Skripts...
3. \\ice:2007: Windows Server 2008: Weniger ist mehr (Folien)
   Die Folien zu meiner Session "Windows Server 2008: Weniger ist...

[Florian’s Blog » Finding a specific Group Policy Setting]
http://www.frickelsoft.net/blog/?p=277

Verwandte Beiträge:

1. Auswahlprozess für den Domänencontroller zur Anmeldung
   Florian Frommherz (ehemaliger MVP für Gruppenrichtlinien, derzeit Microsoft-Mitarbeiter) hat in...
2. Gruppenrichtlinien für Office 2010
   Bereits seit zwei Wochen sind die ADM- und ADMX-Dateien verfügbar,...
3. BGInfo per Gruppenrichtlinien ausrollen
   BGInfo ist ein sehr nützliches kleines Werkzeug von Sysinternals, das...