Der MVP-Kollege Evgenij Smirnov hat einen Bug in Windows Server 2025 entdeckt, der sich in bestimmten Konstellationen kritisch auswirkt.

TL;DR: Lieber noch keine DCs mit WS2025 einrichten, wenn in der Domäne die automatische Sperrung von Konten mit Kennwort-Historie aktiv ist.

Problem: In Windows Server 2025 ist ein Bug, der das Sperren von AD-Konten bei falschen Kennwörtern betrifft. Es fehlt ein Dämpfungs-Mechanismus, der nach dem Ändern von Kennwörtern dafür sorgt, dass bestehende Anmeldungen (die noch das alte Kennwort verwenden) nicht sofort zur Sperrung des Kontos führen. Noch gibt es keinen Fix dafür.

Bedingungen: Das Problem tritt auf, wenn

• die automatische Sperrung von Konten nach x falschen Kennwörtern UND
• die Kennwort-Historie aktiv sind UND
• der DC mit der PDC-Emulator-Rolle unter Windows Server 2025 läuft

Details: hat Evgenij Smirnov hier liebevoll beschrieben: https://it-pro-berlin.de/2025/07/server-2025-domain-controllers-n-2-support-call-reducer-is-broken

Abhilfe: bis es einen Fix gibt, lieber noch keine DCs auf WS2025 aktualisieren. Falls das schon geschehen ist, aber der Domänen-Modus noch nicht hoch geschaltet wurde, evtl. die PDCe-Rolle (eine der FSMO-Rollen) auf einen DC mit WS2022 oder älter zurückschieben.

Wer sich schnell einen Überblick über die Objektstruktur einer Active-Directory-Umgebung verschaffen möchte, kommt oft sehr weit mit der Information, in welchen OUs wie viele Objekte liegen. Diese Daten lassen sich mit der PowerShell recht schnell zusammentragen.

Das folgende Skript liest die OU-Struktur der Domäne aus und bringt sie in eine sortierbare und übersichtliche Form. Für jede OU zählt es dann, wie viele User-, Computer- und Gruppenobjekte sich dort befinden. Öffnet man das Ergebnis dann in Excel (oder einem vergleichbaren Programm), dann lässt es sich gut auswerten:

• Die OU-Liste ist alphabetisch geordnet nach der Spalte “canonicalName”, was die Anordnung der OUs logisch korrekt abbildet
• Die Spalte “Depth” gibt die OU-Ebene an, also die Verschachtelungstiefe
• Die Spalte “Structure” stellt den Namen der OU eingerückt dar, indem es eine Reihe Leerzeichen je nach Verschachtelungstiefe voranstellt. Das ist simpel, aber ausreichend, um die Hierarchie auch optisch zu erkennen.
• Die letzten drei Spalten geben an, wie viele “Users”, “Groups” und “Computers” es in der jeweiligen OU gibt.

Hier das Skript. Es ist recht kurz, daher einfach in einen Editor kopieren und ausführen.

'distinguishedName;name;canonicalName;Depth;Structure;Users;Groups;Computers' | Out-File OU-Objects.txt
$OUs = Get-ADOrganizationalUnit -Filter * -Properties canonicalName | Sort-Object -Property canonicalName
foreach ($OU in $OUs) {
    $DN = $OU.distinguishedName
    $Name = $OU.name
    $Path = $OU.canonicalName
    $Depth = @([regex]::Matches($Path, "/")).count
    $Structure = ('   ' * ($Depth-1)) + $Name
    $Users = @(Get-ADUser -SearchBase "$DN" -SearchScope OneLevel -Filter *).count
    $Groups = @(Get-ADGroup -SearchBase "$DN" -SearchScope OneLevel -Filter *).count
    $Computers  = @(Get-ADComputer -SearchBase "$DN" -SearchScope OneLevel -Filter *).count
    "$DN;$Name;$Path;$Depth;$Structure;$Users;$Groups;$Computers" | Out-File OU-Objects.txt -Append
}

Hinweis: Das Skript erzeugt in großen Umgebungen u.U. eine hohe oder unerwartete Abfragelast: Es stellt pro OU drei recht umfassende Abfragen an Active Directory. Es kann daher sein, dass ein SIEM oder Monitoring-System verdächtige Aktivitäten meldet. Das Skript sollte in solchen Umgebungen nur in Abstimmung mit der Security-Administration ausgeführt werden. Gedacht ist es vor allem für überschaubare Domänen.

Auch unser Tool Angelo, das Meta-Reports zu einer Active-Directory-Umgebung erzeugt, hat (endlich) eine Überarbeitung erfahren. Die neue Version 1.6 steht ab sofort zum Download bereit.

Was Angelo tut

Angelo steuert einige Reporting-Tools und Skripte, um den Aufbau und den generellen Zustand einer AD-Umgebung zu dokumentieren. Es eignet sich damit sehr gut für einen “ersten Blick” auf eine Domäne (interessant für IT-Dienstleister) oder als “Zwischen-Doku” des aktuellen Zustands. Der Fokus des Werkzeugs liegt darauf, schnell einen Überblick über die Umgebung zu erhalten und typische Elemente an einer Stelle in den Blick zu bekommen. Darunter sind vor allem Aspekte, die mit dem Sicherheits- und “Gesundheits”-Zustand zu tun haben.

Angelo tritt nicht in Konkurrenz zu Schwachstellen-Scannern wie Ping Castle oder Purple Knight. Es kommt typischerweise “vorher” zum Einsatz, um den Aufbau und die administrative Struktur einer Domäne zu erfassen. Es eignet sich auch gut, um Scanner und Audit-Tools zu ergänzen, die ihrerseits oft “nur” nach Schwachstellen und Detail-Konfigurationen suchen, dabei aber keine Auskunft geben, wie die Domäne eigentlich gebaut ist.

Auch weiterhin ist Angelo kein fertiges Tool, sonern ein Bausatz, weil es einige der Tools, die es steuert, nicht enthält. Diese muss man erst separat herunterladen und in den Angelo-Ordnern ablegen. Das ist aber schnell getan, eine Anleitung findet sich hier:

[Angelo: Meta-Reporting für Active Directory | faq-o-matic.net]
https://www.faq-o-matic.net/2015/02/23/angelo-meta-reporting-fr-active-directory/

Jetzt ohne AdFind

Bislang war eines der wichtigsten Tools, die Angelo gesteuert hat, das (nach wie vor hervorragende) ADFind von Joe Richards. Leider wird dieses kleine Programm aber mittlerweile von fast allen Virenscannern zu Unrecht (!) als Malware eingestuft. Das liegt daran, dass “Hacker” es gern missbrauchen. Da AdFind zwar sehr gute Dienste für Angelo geleistet hat, es aber eigentlich auch ohne geht, habe ich nun endlich die gewünschten Reports mit der PowerShell nachgebaut. Damit lässt sich Angelo nun auch wieder ohne lästige Malware-Warnungen einsetzen.

Eine Warnung gilt aber trotzdem: Angelo wertet das Active Directory sehr intensiv aus. Wer also ein SIEM oder ein anderes Security-Monitoring einsetzt, erhält vielleicht Warnungen wegen der vielen systematischen AD-Abfragen. Die sind aber harmlos, wenn sie auch evtl. in sehr großen Umgebungen durchaus Last erzeugen. Auch weiterhin liest Angelo nur im AD, ändert aber nichts.

Zum Download

Hier geht es zum Download:

  Angelo: AD-Metareporting (20,4 KiB, 3.723-mal heruntergeladen, letzte Änderung am 5. Mai 2025)

Nach langer Zeit haben wir eine neue Version von José, unserem Dokumentationstool für Active Directory, publiziert. Es sind nur kleine Änderungen, aber damit ist das Werkzeug nun wieder Up-to-date. Die neue Version 3.13 gibt es auf Deutsch und auf Englisch.

• Schema-Versionen und Betriebsmodi ergänzt (Windows Server 2025, Exchange 2026 bis CU23, Exchange 2019 bis CU 15)
• PS-Skript für GPO-Reports korrigiert und Aufruf-Skript ergänzt
• Metadaten-Report angepasst
• Korrektur und Ergänzung an der PSO-Reportfunktion

Wie immer findet sich der Download auf der José-Seite.

https://www.faq-o-matic.net/jose/

Nach fast fünf Jahren haben wir eine neue Version unserer Liste zum Schema des Active Directory veröffentlicht. Die Liste umfasst die Namen aller Objekte und Attribute, die zum AD-Schema gehören, und benennt die Produkte und Versionen, die diese Definitionen dem Schema hinzugefügt haben. Dies erlaubt Analysen einer AD-Umgebung, um etwa für Migrationen oder Integrationen zu wissen, in welchem Zustand sich das Schema befindet.

Mit im Paket sind zwei PowerShell-Skripte, die das Schema einer vorhandenen AD-Umgebung mit der Liste vergleichen und “unbekannte” Schema-Erweiterungen sichtbar machen bzw. identifizieren, welche Produkte sich im Schema bereits verewigt haben.

Hier geht’s zum Download – der Link ist dauerhaft: https://faq-o-matic.net/ad-schema-list

… weiterlesen

Seit geraumer Zeit bietet Microsoft Teams zwei Optionen für geschlossene Benutzergruppen innerhalb einer größeren Organisation. Sowohl private Teams als auch private Kanäle bieten Vertraulichkeit für den Austausch sensibler oder interner Themen.

Aber welche dieser Optionen nehme ich wofür? Argumente, die dabei zu berücksichtigen sind, hat Gregory Zelfond schoin vor einiger Zeit zusammengetragen. Aus meiner Sicht treffen die Anmerkungen immer noch zu:

[A new Team or a Private Channel? | SharePoint Maven]
https://sharepointmaven.com/a-new-team-or-a-private-channel/

Einen grundlegenden Überblick über private Kanäle und Teams gibt es hier:

[Standard, private, or shared channels in Microsoft Teams – Microsoft Support]
https://support.microsoft.com/en-us/office/standard-private-or-shared-channels-in-microsoft-teams-de3e20b0-7494-439c-b7e5-75899ebe6a0e

[Create a team from scratch in Microsoft Teams – Microsoft Support]
https://support.microsoft.com/en-us/office/create-a-team-from-scratch-in-microsoft-teams-174adf5f-846b-4780-b765-de1a0a737e2b

Jetzt geht’s ab: Videos generieren mit dem Visual Creator des M365 Copilot.

Der Visual Creator im Copilot (Business) Chat bietet jetzt an, Videos zu erstellen.

Wer jetzt allerdings erwartet, Sora-like neues Videomaterial aus seinen Textanweisungen erzeugt zu bekommen, der wird vielleicht ernüchtert. Der Visual Creator nutzt eine Menge Stock-Videos, um diese zusammenzuschneiden. Die Leistung steckt im Skript für die Vertonung und deren Erzeugung sowie in der Identifikation passender Videoschnipsel. Das Ergebnis ist gar nicht so verkehrt – und optisch eben besser als neu gerenderte KI-Videos, da echtes Material verwendet wird. … weiterlesen

Kürzlich wurde mir auf LinkedIn die Frage gestellt, ob oder wann denn wohl die Spracheingabe für Copilot käme. In der Tat hatten wir die ja schonmal – ebenso wie die Möglichkeit, Bilder zu verarbeiten. Beides ging verloren im Zusammenhang mit der Umstellung des Copilot Chat von CDP (Commercial Data Protection) auf EDP (Enterprise Data Protection). Zumindest für die Bildverarbeitung ist das der Zusammenhang, bei der Spracheingabe bin ich nicht sicher.

Die Rückkehr der Bildverarbeitung ist angekündigt für die M365 Copilot Lizenz. Noch im Februar soll der Rollout einer Funktion starten, mit der wir bis zu 5 Bilder in OneDrive auswählen können, um sie beschreiben oder Text daraus extrahieren zu lassen [https://www.microsoft.com/en-us/microsoft-365/roadmap?id=469499]. Prompts zu diktieren steht ebenfalls kurz vor dem Rollout (ab März 2025) [https://www.microsoft.com/en-us/microsoft-365/roadmap?id=475968].

Allerdings kann man eigentlich schon immer auch mit anderen Mitteln Prompts einsprechen. Etwa in Word:

https://youtu.be/ist3xX05W1M

Eigentlich in so ziemlich allen Office Apps kann man diktieren. Hier OneNote Web:

Da das nur für die Inline-Prompts funktioniert, bleibt für die Sidebar noch die systemweite Spracherkennung als Option. Die kann ich in den Einstellungen zur Barrierefreiheit aktivieren:

Damit kann ich in beliebige Textfelder rein sprechen. Die Verarbeitung findet dabei lokal auf meinem Gerät statt, es wird nichts in die Cloud weitergeleitet. Für die Qualität der Erkennung wäre das aber vielleicht besser – man kann die lokale Maschine aber trainieren für die eigene Stimme.

Genau heute vor 25 Jahren erschien Windows 2000 auf dem Markt. Als Nachfolger von Windows NT machte es Ernst mit einigen Entwicklungen, die Microsoft schon länger in Arbeit hatte. Darunter war Active Directory als Verzeichnisdienst, der Microsoft endgültig in den Rechenzentren etablierte. Windows 2000 kam in drei Fassungen auf den Markt: Windows 2000 Professional, Server und Advanced Server. (Damals übrigens stand die Jahreszahl noch direkt hinter dem “Windows”.)

Wem auch immer man nun symbolisch gratulieren darf – alles Gute jedenfalls.

(Das nächste relevante Server-Jubiläum in der Microsoft-Welt ist der 29. November und betrifft Exchange Server.)

Man darf sich erinnert fühlen an die plötzliche „Aktivierung“ der DSGVO vor 7 Jahren: mit 2 Jahren Vorlauf werden Regeln plötzlich verbindlich. Im Februar 2025 sind das einige Bestimmungen des EU AI Act (mit nur einem halben Jahr Vorlauf). Diese gelten für „Anbieter und Betreiber von KI-Systemen“. Viele Unternehmen werden sich da vielleicht nicht direkt angesprochen fühlen, aber nach allgemeiner Lesart auch von IHKen und Arbeitnehmervereinen betreffen die Bestimmungen etwa zur AI Literacy alle Organisationen, in denen KI zum Einsatz kommt.

Was bedeutet das in der Praxis? Wenn KI-Systeme wie ChatGPT, Copilot (egal welcher) und andere im Arbeitskontext verfügbar sind, ist das Unternehmen verpflichtet, Nutzenden mindestens eine Grundlagenschulung einschließlich technischer, rechtlicher und ethischer Aspekte angedeihen zu lassen. Zwar gibt es noch keine Struktur, die die Einhaltung kontrolliert und ggf. sanktioniert. Abgesehen von der rechtlichen Vorgabe sind die vorgesehenen Maßnahmen aber in jedem Fall sowieso sinnvoll.

Da Microsoft ja nun den M365 Copilot Chat in alle Teams Clients spült, steht ohne weitere Regelungen potenziell allen Mitarbeitenden in Unternehmen mit M365 E3/E5 Lizenz ein KI-System „offiziell“ zur Verfügung. Was also ist zu tun?

Aus meiner Sicht mal mindestens eine Grundbesohlung in Form einer verpflichtenden Schulung vergleichbar einer Arbeitsschutz- oder Informationssicherheitsunterweisung; fester Bestandteil des Onboardings und für bestehende Mitarbeitende eine Pflichtveranstaltung, deren Teilnahme bestätigt werden muss. Inhalte sollten unter anderem sein:

• Grundlagen zu KI allgemein

• Grundlagen Generativer KI

• Grundlagen und Funktionsweisen von Sprachmodellen

• Grundlagen wissensbasierter KI

• Grundzüge des EU AI Act

• Aktueller Stand bzgl. Urheberrecht und Nutzungsrechten

• Hinweis auf DSGVO und die Verarbeitung personenbezogener Daten im KI-Prozess