In einem Kundenprojekt war kürzlich abzuwägen, ob für bestimmte Informationen das Schema des Active Directory erweitert werden sollte. Um diesen Vorgang den Verantwortlichen gegenüber ein wenig einzuordnen, recherchierte ich ein wenig und fand einen älteren, aber gut geschriebenen Artikel von AD-Urgestein Brian Desmond:

[Extending the Active Directory Schema | IT Pro]
https://www.itprotoday.com/active-directory/extending-active-directory-schema

Brian stellt einige technische Zusammenhänge dar und zeigt vor allem gut auf, an welchen Stellen es Planung und Vorbereitung braucht. Beherzt man dies, dann ist eine Schema-Erweiterung keine Magie. Was im Artikel leider etwas kurz kommt, ist die technische Umsetzung. Dazu recherchiere ich dann noch ein wenig weiter – oder ich schreibe bei Gelegenheit selbst was dazu.

Das Problem: Anwender sollen eine bestimmte Webseite öffnen können (hier: die einer internen Telefonanlage), indem sie nur deren Namen (hier: “starface”) in den Browser eintippen. Der Browser macht daraus allerdings eine Suchanfrage. Nur wenn man “https://” vor den Namen tippt, öffnet sich die Webseite.

Die Lösung: Tatsächlich bietet Firefox dafür eine Konfigurations-Option.

Firefox speichert solche Eingaben in der about:config. Dort sucht man nach „fixup.dom“ und bekommt eine Liste angezeigt mit Wörtern denen ein http voran gesetzt werden soll. (Siehe Bild). Dort kann man solche Einträge auch wieder löschen.

Nun wollte ich das irgendwie in die GPO übertragen. Das funktioniert so aber nicht. Die Lösung ist dort die Einstellung „browser.fixup.dns_first for single words“. Zu finden ist das unter Computerconfiguration -> Administrative Vorgaben -> Mozilla -> Firefox -> Einstellungen. Diese einfach aktivieren und die Gruppenrichtlinien auf dem Client aktualisieren. (ggf. Client noch neu starten)

Wie der Name schon sagt guckt Firefox bei der Eingabe eines einzelnen Wortes in der Adresszeile erstmal, ob es eine passende DNS-Auflösung dafür gibt. Falls ja, wird ein http:// vorangestellt. Falls nicht wird die eingestellte Standardsuchmaschine befragt.

Die Lösung funktioniert wie gesagt nur für den Firefox. Für andere Browser wird es vermutlich ähnliche Einstellungen geben.

Der entscheidende Input kam von:

[Did you mean to go to example : firefox]
https://www.reddit.com/r/firefox/comments/dyota7/did_you_mean_to_go_to_example/

Auch Domänencontroller segnen irgendwann das Zeitliche. Weiß man das vorher, dann kann (und sollte) man den DC geordnet aus dem Active Directory entfernen. Das geht recht einfach über eine ordentliche Deinstallation.

Nun kann ein DC aber auch einfach “versterben” – der Server ist kaputt und lässt sich nicht reparieren. Für den laufenden Betrieb ist das meist nur ein geringes Problem, weil man “einfach” einen neuen DC installieren kann und so die gewünschte Redundanz wieder herstellt. Nun hat man allerdings das verwaiste Objekt des ehemaligen Domänencontrollers noch im AD.

In den meisten Fällen ist auch dies unproblematisch. Schon seit vielen Jahren kann man das DC-Objekt einfach über das Dienstprogramm “Active-Directory-Benutzer und -Computer” löschen, das Tool kümmert sich dann um den Rest. Früher musste man umständlich mit ntdsutil arbeiten, das leider etwas krude in der Bedienung ist*.

Was aber, wenn sich Active Directory weigert mit dem Hinweis: Zugriff verweigert? In den meisten Fällen ist dafür das Häkchen “Objekt vor zufälligem Löschen schützen” zuständig. Ist es aktiv, dann kann man das Objekt nicht löschen. Man muss erst den Haken entfernen. Eine zusätzliche Hürde lauert dabei, denn das Häkchen kann an mindestens zwei stellen stehen.

Einmal könnte es in “Active-Directory-Benutzer und -Computer” stehen:

Auch in “Active-Directory-Standorte und –Dienste” kann es auftauchen:

Auf der Kommandozeile lässt sich das so prüfen. Falls das Häkchen gesetzt ist, wird ganz am Anfang der Liste mindestens ein Eintrag mit “Verweigern” (Deny) auftauchen:

dsacls "CN=DC-Name,OU=Domain Controllers,DC=domain,DC=tld"
dsacls "CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=tld"

An beiden Stellen muss das Häkchen leer sein, damit das Löschen funktioniert.

* Eine Anmerkung noch zu ntdsutil: Leider gibt es zu dem Tool eine ganze Reihe falscher Anleitungen. Auch die Anleitung auf einigen Microsoft-Seiten ist leider falsch. Die folgende Seite enthält eine korrekte Anleitung:

[Forced removal of a Domain Controller from Active Directory – Dimitris Tonias]
https://www.dtonias.com/forced-removal-domain-controller/

In einem Kundenprojekt war die Frage zu klären, wie eigentlich Gruppenrichtlinien verarbeitet werden, wenn Benutzer- und Computerkonten in unterschiedlichen AD-Forests zuhause sind. Ein älterer Artikel des ehemaligen MVPs Florian Frommherz (jetzt Microsoft Corp.) beschreibt dies sehr umfassend:

[Florian’s Blog – Cross-Forest Group Policy application]
http://www.frickelsoft.net/blog/?p=284

Cisco Meraki bietet die Möglichkeit, Administratoren mittels SAML-Authentifizierung (Security Assertion Markup Language) anzumelden. Hierzu besteht seitens Cisco in der Tenant-Konfiguration die Möglichkeit, entsprechende Administratoren-Rollen zu definieren. Die von Cisco bereitgestellten Dokumentationen für die Konfiguration mit ADFS (Active Directory Federation Services) bieten leider nur eine sehr rudimentäre Umsetzung, da im dortigen Beispiel nur eine einzige SAML Role definiert wird. Allerdings ist üblicherweise eine Trennung der einzelnen administrativen Bereiche (Scopes) gewünscht, so dass eine passendere Form der Rollenzuweisung notwendig wird. Die nachfolgende Anleitung zeigt den Ansatz, eine Anmeldung basierend auf Sicherheitsgruppen im Active Directory umzusetzen und somit seitens Cisco Meraki ebenfalls eine Trennung der administrativen Zuständigkeiten zu erhalten.

Vielen Dank an Nils für seine Beispiele, die ich hierzu nutzen konnte. … weiterlesen

Frage einer Kollegin: Was muss ich tun, um den Wert einer Zelle von 6 Stellen auf drei zu runden? Also beispielsweise 130.978,00 € auf 131 runden.

Rückfrage von mir: Hm … aus 130.978 soll 131 werden? Oder 131.000?

Und meine Antworten nach etwas Ausprobieren:

Falls aus 130.978 tatsächlich 131 werden soll – und falls die Ausgangszahl immer sechs- und die Zielzahl immer dreistellig werden soll, dann hilft die Formel (Quellzahl in A1):

=RUNDEN(A1/1000;0)

Falls aus 130.978 aber 131.000 werden soll, dann hilft dieselbe Formel, aber mit einem Trick bei den Rundungsstellen:

=RUNDEN(A1;-3)

Also -3 bei der Angabe, auf wie viele Dezimalstellen gerundet werden soll.

Immer wieder fragen Kunden, wie sie den Namen ihrer Active-Directory-Domäne ändern können. Die Gründe dafür können durchaus unterschiedlich sein, oft aber geht es darum, dass die Domäne einen ehemaligen Firmennamen trägt und nun an den neuen Namen angepasst werden soll.

Die kurze Antwort dazu lautet: In den allermeisten Fällen kann man eine AD-Domäne nicht umbenennen. Das geht auf keinen Fall, wenn Exchange genutzt wird. Auch wenn das nicht der Fall ist, scheidet der technisch vorhandene Weg über das Tool “rendom.exe” faktisch aus anderen Gründen meist aus.

Die längere Antwort: Eine Domäne in Active Directory neu zu benennen, bedeutet (wegen der kurzen Antwort) faktisch, eine völlig neue Domäne mit neuem Namen zu installieren und alle Ressourcen dorthin zu migrieren. Im Folgenden noch ein paar weitere Stichpunkte dazu. Diese ersetzen keine umfassende Beratung, geben aber eine Orientierung.

… weiterlesen

Nach längerer Zeit gibt es mal wieder ein Update unserer Liste zum AD-Schema. Die Sammlung von Klassen und Attributen ist diesmal nur geringfügig erweitert und enthält (endlich) auch die Schema-Neuerungen von Exchange Server 2019. Außerdem haben wir ein paar kleine Korrekturen in der Darstellung vorgenommen.

Neu ist aber, dass wir nun eine zweite, separate Liste pflegen. Sie soll Schema-Erweiterungen von Drittanbietern aufnehmen, also Herstellern außerhalb von Microsoft. Wer Kenntnis über solche Erweiterungen hat, kann sich gern über die Kontaktseite bei uns melden.

Die Liste findet sich unter folgendem dauerhaft gültigen Link:

https://faq-o-matic.net/ad-schema-list

Enthalten sind nun:

• Exchange 2000 bis 2019
• Windows 2000 bis 2019
• Identity Lifecycle Manager 2007
• LAPS Local Administrator Password Solution
• LimitLogin
• Live Communications Server 2003 bis Lync Server 2013
• Microsoft Password Change Notification Service
• Mobile Information Server 2001
• Services for Unix 3.0
• System Center Configuration Manager 2007
• Systems Management Server 2003

sowie die Drittanbieterprodukte

• MAPIlabs Rules for Exchange
• AuthLite

Seit vielen Jahren ist adfind.exe von Joe Richards das leistungsfähige Standardwerkezug, um Daten aus Active Directory zu finden, zu lesen und auszuwerten. In diesem Artikel stelle ich eine Möglichkeit vor, auch in großen AD-Umgebungen schnell einen Überblick über die Objektzahlen in der Struktur zu erhalten. Da viele Admins immer noch mit herkömmlichen Batch-Skripten besser klarkommen – und die PowerShell an dieser Stelle auch keine großen Vorteile brächte – kommt die Lösung “herkömmlich” daher. Wer möchte, kann dasselbe Prinzip aber natürlich mit der PowerShell nachbilden.

Die Idee

Es geht in der Lösung, die ich hier vorstelle, um eine ganz bestimmte Aufgabe. Sie beantwortet die Frage: In welchen OUs befinden sich wie viele Benutzer-, Computer- und Gruppen-Objekte? Mehr nicht. Da ich viele Analysen und IT-Migrationsprojekte begleite, brauche ich aber oft eine Antwort auf diese Frage.

Meine Lösung verbindet zwei vorhandene Tools, die beide sehr schnell arbeiten: csvde.exe (ist seit Windows 2000 Teil des Betriebssystems und wird mit den Admintools für Active Directory installiert) gibt die Liste aller OUs aus, die wir im zweiten Schritt brauchen. adfind.exe übernimmt dann die eigentliche Zählung. (Wer will, kann natürlich für beide Aufgaben adfind.exe einspannen, das unterscheidet sich vermutlich nur unwesentlich. Den OU-Export per csvde.exe tippe ich aber quasi blind in die Konsole und habe ihn daher einfach genommen.)

Die Lösung verzichtet auf Dynamik, sondern arbeitet mit einem Hilfsskript, das einfach für jede einzelne OU einmal die Zählung mit Hilfe einer Batchdatei ausführt und das Ergebnis in eine Datei schreibt. Das reicht für mich völlig aus, weil ich Zählungen dieser Art nur als Momentaufnahme brauche. Dafür habe ich keine Programmschleifen, die fehlschlagen oder Unerwartetes ausgeben könnten.

… weiterlesen

Microsoft bittet möglichst viele (professionelle) Kunden, eine Umfrage zu 32-Bit-Versionen ihrer Server-Betriebssysteme zu beantworten. Die Ergebnisse sollen in die Azure-Planung einfließen.

Link zur Umfrage:

https://forms.office.com/Pages/ResponsePage.aspx?id=v4j5cvGGr0GRqy180BHbR-J68GlIME9Ita6PPeBdLk9UQ1JRN09RUElONFpXVFYwSldHQlE4OEhORi4u