Logo faq-o-matic.net
Logo faq-o-matic.net

ADModify herunterladen und ausführen

von veröffentlicht am23. April 2019, 06:02 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, AD: Erweiterte Abfragen, Tools   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Alte Hasen in der IT erinnern sich gern an ADModify.NET, mit dem man recht komfortabel Massenänderungen an Objekten in Active Directory ausführen kann. Bei uns gibt es auch einen Artikel dazu:

[Massenänderungen mit ADModify | faq-o-matic.net]
https://www.faq-o-matic.net/2005/10/01/massenaenderungen-mit-admodify/

Leider gibt es das Tool nicht mehr ohne Weiteres zum Download, weil Microsoft 2018 seine Open-Source-Plattform Codeplex eingestellt hat. Dort findet man nur noch einen Archiv-Download …

… aber der enthält eben doch die ausführbare Version. So geht’s:

  • Lade dir das Archiv herunter:
  • https://archive.codeplex.com/?p=admodify
  • Entpacke es in einen Ordner. Im Ordner „Releases“ enthält der Unterordner „1“ die letzte Version. Beide Dateien, die dort liegen, benennst du um, sodass sie „.zip“ als Extension tragen. Die Fassung in dem Zip, das mit 035… anfängt, scheint aktueller zu sein.
  • Also das Zip ebenfalls entpacken, dort kannst du dann die Admodify.exe starten. Auf einem neueren Windows musst du evtl. noch die .NET-3.x-Features aktivieren (enthält das angeforderte .NET 2.0).

Das Tool ist sehr leistungsfähig, du kannst dort ein Set an Objekten mit einem LDAP-Filter auswählen, die gewünschten Änderungen per GUI vornehmen und es dann loslaufen lassen. Jede Änderung landet in einer Undo-Datei, sodass man sie auch wieder rückgängig machen kann.

Einsatz natürlich auf eigenes Risiko!

Sollte Microsoft den Codeplex-Download vollständig entfernen, findet sich hier vorsichtshalber das Archiv von der Seite – da es Open Source ist bzw. war, dürfte das OK sein:

Download: ADModify.zip  ADModify.zip (2,8 MiB, 32-mal heruntergeladen, letzte Änderung am 23. April 2019)

Es sei bei der Gelegenheit aber noch auf ein anderes Tool hingewiesen, das Norbert Fehlauer noch besser findet:

http://www.wisesoft.co.uk/software/bulkadusers/default.aspx

AD-Dokumentation: José in Version 3.12

von veröffentlicht am18. April 2019, 06:12 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Downloads, Jose   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nach längerer Zeit gibt es endlich mal wieder ein Update von José, unserem Dokumentationstool für Active Directory. Die neuen Version 3.12 umfasst:

  • CSS-Dateien nach UTF-8 konvertiert, um Firefox-/Chrome-kompatibel zu sein
  • Neuer Batch-Aufruf für reine Metadaten
  • AD-Schema 88 (Windows Server 2019) und Exchange-Schema 2016 CU6-12, 2019
  • bei GPO-Links: das GPO-Icon verlinkt auf einen GPMC-Report. Wenn dieser im Unterordner „GPMC-Reports“ liegt und den DisplayName als Dateinamen trägt, wird er geöffnet. Ergänzend gibt es ein PowerShell-Skript, das die Reports erzeugt.
  • Standard-Reports und zugehörige Definitionen angepasst

Wie immer finden sich der Download und weitere Informationen auf der José-Seite:

https://www.faq-o-matic.net/jose/

CDC Germany 2019: Die Agenda ist online

von veröffentlicht am15. April 2019, 06:20 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageIn wenigen Wochen findet die vierte Cloud & Datacenter Conference Germany statt: Am 21. und 22. Mai bietet die Konferenz IT-Technik und IT-Strategie auf höchstem Niveau.

Jetzt hat das Organisationsteam die Agenda auf der Webseite veröffentlicht. Mehr als 50 Vorträge in sechs parallelen Tracks bieten Know-how von den besten Speakern der IT-Community.

[Cloud & Datacenter Conference Germany – Die Zukunft Ihrer IT gestalten]
https://www.cdc-germany.de/#agenda

Windows 10 1809: Fehlender Doppelpunkt verhindert Anmeldung

von veröffentlicht am12. April 2019, 06:43 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Windows 10   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wir haben gerade das 1809 LTSC beim Testen und sind dabei auf ein sehr merkwürdiges Fehlverhalten gestoßen. Beim Anmelden eines Benutzers kommt die Meldung “Windows konnte keine Verbindung mit dem Dienst Benutzerprofildienst herstellen”.

Das ganze Problem wird von einem Doppelpunkt ausgelöst, der nicht vorhanden ist. Es geht dabei um das Home-Verzeichnis im AD:

clip_image001

Trage ich hier einen Doppelpunkt ein, so ist das Anmelden ohne Problem möglich.

clip_image002

Hier gab es den entscheidenden Hinweis:

https://social.technet.microsoft.com/Forums/en-US/855b1a3f-80dd-463d-8005-5935bf7da36e/some-domain-users-get-quotuser-profile-service-failedquot-when-trying-to-login-after-october?forum=win10itprogeneral

Active Directory wird 20: Herzlichen Glückwunsch!

von veröffentlicht am9. April 2019, 06:04 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Vor genau 20 Jahren, am 9. April 1999, hat Microsoft seine eigene produktive Windows-Domäne mit gut 27.000 Benutzerkonten nach Active Directory migriert. Dies war die erste ernsthafte Installation des damals neuen Windows-Verzeichnisdienstes. Damit dürfen wir den 9. April 1999 wohl als den “Geburtstag” des Active Directorys ansehen – und wir gratulieren herzlich zum Jubiläum!

Auf dem Blog des hannoverschen IT-Beratungshauses michael wessel gibt es mehr zum AD-Geburtstag:

https://blog.michael-wessel.de/2019/04/09/active-directory-wird-20-herzlichen-glckwunsch/

Powershell: Dynamische Logikabfragen

von veröffentlicht am2. April 2019, 07:35 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: PowerShell   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Bei einem aktuellen Projekt benötigte ich die Möglichkeit, mehrere Werte aus einer XML-Datei mit einem ebenfalls darin definierten Logikoperator zu vergleichen. Das Szenario dazu: In dem Projekt ist eine leichtgewichtige Softwareverteilung auf Skriptbasis im Einsatz, die beim Systemstart verschiedene Applikationen aktualisiert. Hier war noch etwas mehr Logik erwünscht, um Aktivitäten nur dann auszuführen, wenn bestimmte Bedingungen erfüllt sind.

Da der Code möglichst dynamisch und gut erweiterbar sein sollte, stellte sich heraus, dass der Logikoperator durch einen Scriptblock dynamisch in den Code eingefügt werden musste. Um dies zu ermöglichen, habe ich die Funktion Apply-CustomLogic() entworfen, welche aktuell die Operatoren „like“, „is“, „isnot“, „startswith“, „notstartswith“, „endswith“ und „notendswith“ unterstützt.

Drei kurze Cmdlet Beispiele dazu, die mit einer Funktion auf dieser Basis arbeiten:

Apply-CustomLogic(„startswith“,“faq-o-matic.de“,“faq“)  <- Ergebnis: $true

Apply-CustomLogic(„endswith“,“faq-o-matic.de“,“.de“)  <- Ergebnis: $true

Apply-CustomLogic(„notendswith“,“faq-o-matic.de“,“.de“) <- Ergebnis: $false … weiterlesen

Cloud & Datacenter Conference Germany am 21. und 22. Mai in Hanau

von veröffentlicht am25. März 2019, 06:04 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Cloud, Community, Events, Virtualisierung, Windows Server   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageCarsten Rachfahl und sein Team laden auch in diesem Jahr wieder zur “Cloud & Datacenter Conference Germany” (kurz: CDC) nach Hanau. Erneut umfasst die Konferenz zwei Tage, und zwar den 21. und den 22. Mai 2019.

Die Konferenz bietet mehr als 50 Sessions ausgewiesener IT-Experten – darunter wieder die Crème de la Crème der IT-Community mit einer hohen Anzahl an Microsoft-MVPs und bekannten hochkarätigen Sprechern. Der Congress Park Hanau hat sich bereits im letzten Jahr als hervorragende Location für eine IT-Konferenz dieser Art empfohlen.

Nähere Details und Tickets gibt es hier:

[Cloud & Datacenter Conference Germany – Die Zukunft Ihrer IT gestalten]
https://www.cdc-germany.de/

Windows 10, GPOs und das UNC-Hardening

von veröffentlicht am19. März 2019, 06:00 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Gruppenrichtlinien, Sicherheit, Windows 10   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nimmt man Windows 10 in eine bestehende Domäne auf, kann es passieren, dass Gruppenrichtlinien darauf nicht wirken. Die Ursache ist oft das UNC-Hardening, das als Sicherheitsfunktion vor einiger Zeit eingeführt wurde. Anders als Windows 7 aktiviert Windows 10 diese Funktion standardmäßig.

Im Web findet man als “Problemlösung” dazu häufig die Empfehlung, das Feature abzuschalten. Das ist aber eine weniger gute Idee – wie bei jeder Sicherheitsfunktion ist es auch hier besser, sie zu konfigurieren. Hinweise dazu gibt es hier:

[Demystifying the UNC Hardening Dilemma &#8211; Lee Stevens: Technical Blogs]
https://blogs.technet.microsoft.com/leesteve/2017/08/09/demystifying-the-unc-hardening-dilemma/

[MS15-011 & MS15-014: Hardening Group Policy – Security Research & Defense]
https://blogs.technet.microsoft.com/srd/2015/02/10/ms15-011-ms15-014-hardening-group-policy/

Microsoft Identity Manager Distribution Groups in gemischter Multi-Domain-Exchange-Umgebung

von veröffentlicht am12. März 2019, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Exchange, Identity Management   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Setzt man den Microsoft Identity Manager (kurz MIM, ehemals Forefront Identity Manager/FIM) ein und hat in seiner Umgebung sowohl Linked Mailboxes als auch normale Accounts, die Mailboxes besitzen, so steht man sehr schnell vor einem entscheidenden Problem.

Anforderung:

  • Verteilergruppen müssen über MIM verwaltet werden, der Anwender darf nicht in die Pflicht gebracht werden, den richtigen Account (Linked Mailbox/normalen Account) auszuwählen, sondern darf jeden Benutzer exakt einmal sehen
  • Sicherheitsgruppen müssen ebenfalls über MIM verwaltet werden, alle Sicherheitsgruppen liegen in der contoso.com und müssen ggf. Mitglieder aus der contoso.com und der faq-o-matic.de beinhalten, somit normale User und Foreign Security Principals

Kurz zum Demo-Szenario:

  • Zwei Domänen in separaten Forests (contoso.com und faq-o-matic.de)
  • Exchange 2016 Cluster in contoso.com
  • Native Mailboxen für User aus der contoso.com, Linked Mailboxes für User der faq-o-matic.com
  • In der contoso.com existiert eine MIM Installation samt MIM Service & Portal
    • Es sind bereits beide Forests und dessen Domänen gemäß Microsofts Vorgaben im MIM Portal angelegt und die Foreign Security Principal Sets so wie Sync Rules für die „richtigen“ User Accounts aus beiden Domänen angelegt
    • Die Linked Mailboxes wurden über den Inbound Sync Filter der User Sync Rules ausgeschlossen

Der Identity Manager ist bereits von Haus aus in der Lage, Foreign Security Principals in Richtung Active Directory zu synchronisieren, sofern die Konfiguration der Domänen und Trusts vollständig ist, somit ist die Anforderung für die Sicherheitsgruppen bereits mit wenig Aufwand gedeckt.

Schwieriger wird es, wenn man auch Verteilergruppen verwalten will, denn hier müssen wir MIM beibringen, nicht die distinguishedNames der jeweiligen Quell Accounts in das Member Attribut der Gruppen zu synchronisieren, wie es für Sicherheitsgruppen richtig ist, sondern je nach Typ entweder den distinguishedName der vollwertigen Mailbox oder im Falle eines Users aus der faq-o-matic.de den distinguishedName der zugehörigen Linked Mailbox. … weiterlesen

Exchange Mailbox Delegation Automapping

von veröffentlicht am5. März 2019, 06:25 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Exchange, PowerShell   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Bei der Delegation von FullAccess-Berechtigungen auf einer Mailbox oder einer Shared Mailbox ist dem einen oder anderen sicher bereits aufgefallen, dass sich das Automapping nicht konsistent verhält. Untersucht man dies genauer, so fällt auf, dass lediglich die beim Erstellen der Mailbox vergebenen Delegationen auch Automapping aktiviert haben, nachträglich hinzugefügte haben dies nicht, zumindest sofern sie per Exchange Control Panel erteilt wurden.

Für das Automapping ist das Attribut „msExchDelegateListLink“ auf dem Active-Directory-Konto der freizugebenen Mailbox verantwortlich. Dieses Attribut beinhaltet die DistinguishedNames aller Mailboxen, welche beim Start von Outlook dieses Postfach automatisch eingebunden kriegen sollen. Das Attribut an sich hat zuerst jedoch nichts mit der eigentlichen FullAccess-Berechtigung zu tun, es reicht also nicht, die zu autorisierenden DistinguishedNames dort einzutragen. Möchte man alle Mailboxen, die nachträglich mit FullAccess für ein Postfach über das Exchange Control Panel autorisiert wurden, auf Automapping umstellen, so schafft einem PowerShell wie gewohnt Abhilfe.

Hier könnte man meinen, dass der Befehl „Get-Mailbox -Identity „xyz“ | Get-MailboxPermission“ auch ein Attribut zurückliefert, welches die Automapping Einstellungen pro Freigabe anzeigt – tja, das wäre wohl auch zu einfach. Der einfachste Weg, sich per Powershell alle auf Automapping gestellten Freigaben eines Postfaches anzuzeigen, ist der folgende Befehl:

Get-ADUser -Identity (Get-Mailbox -Identity „xyz“ | Select-Object -ExpandProperty userPrincipalName) -Properties msExchDelegateListLink | Select-Object -ExpandProperty msExchDelegateListLink

Möchte man nun alle bereits erteilten FullAccess-Berechtigungen auf Automapping umstellen, so hilft dieses von mir geschriebene Script aus:

https://github.com/RobinBeismann/PowerShell-Scripts/blob/master/Scripts/MS-Exchange/Fix-Automapping.ps1

Eine kleine Schwierigkeit ist, dass Get-MailboxPermission lediglich die objectSID der berechtigten Mailboxes anzeigt. Über Get-ADUser kann man diese aber auf ihre Mailboxes auflösen und die DistinguishedNames für das msExchDelegateListLink Attribut sammeln. Wichtig zu wissen ist, dass es sich um die SID des tatsächlichen Postfaches handelt, im Falle einer Linked Mailbox ist dies also nicht die ObjectSID sondern die msExchMasterAccountSid, diese Besonderheit wird von dem oben verlinkten Script bereits berücksichtigt.

Noch eine Randnotiz: Erstellt man die Mailbox Berechtigungen direkt per Add-MailboxPermission, so kann man das Automapping über den Parameter „-AutoMapping <$true | $false>“ steuern.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!