Logo faq-o-matic.net
Logo faq-o-matic.net

Active Directory Computer Account Password Renewal

von veröffentlicht am13. September 2018, 06:30 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: AD: Erweiterte Abfragen, Gruppenrichtlinien, PowerShell   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Jeder, der sich schon mal (intensiver) mit der Pflege einer Active-Directory-Domäne auseinandergesetzt hat, kann nicht abstreiten, dass z.B. Computerkonten oft länger als der eigentliche Computer leben. Möchte man dies verhindern, so gibt es viele Wege – einmal sollte dies ein klar definierter Workflow bei der Dekommissionierung eines Computers sein, andererseits ergibt es durchaus Sinn die aktiven Computerkonten zu überwachen. Entscheidet man sich dazu, dies per Powershell zu tun, stellte sich relativ schnell heraus, dass man dies am besten anhand des Attributes „pwdLastSet“ realisiert.

Eine kurze Abfrage mittels PowerShell zeigt uns auf, welche Computer schon länger als 30 Tage ihr Kennwort nicht geändert haben und noch über aktive Konten verfügen:

Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) } 

Hierbei wird einem schnell auffallen, dass Computerkonten dabei sind, die an dieser Stelle eigentlich nicht auftauchen sollten. In der Standardeinstellung (ab Windows NT) ändert ein Computer das Passwort seines Machine Accounts alle 30 Tage, dies passiert allerdings nur, wenn auch Konnektivität zum Domain Controller besteht und dieser zu der Zeit auch in der Lage ist, Passwortänderungen durchzuführen.

Möchte man dieses Intervall ändern, kann man dies mit der GPO „Domain member: Maximum machine account password age“ unter „Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\“. Möglich wäre hier z.B. ein Wert von 14 Tagen. Circa 2 Wochen später sollte man über den oben aufgezeigten Befehl deutlich bessere Ergebnisse erzielen und kann diese zum Beispiel mit dem folgenden Befehl deaktivieren:

Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) } | Set-ADComputer -Enabled $false -Whatif

Der Parameter -Whatif versetzt das Cmdlet in eine Art Trockenlauf, um die Änderungen tatsächlich durchzuführen, muss dieser entfernt werden.

Wichtig dabei: Viele Unix Systeme, darunter u.a. Storage Systeme, werden diese Policy nicht verarbeiten (können). Ein häufig angetroffenes System ist zum Beispiel die Netapp Storage Virtual Machine auf ONTAP-Systemen. Hier kann man zwar den GPO Support einschalten, allerdings scheint die Verarbeitung dieser GPO in der aktuellen Version nicht implementiert zu sein (näheres dazu in diesem Dokument). Bei ONTAP kann dies wiederum manuell per CLI aktiviert werden, siehe diesen Artikel.

Support für Windows 7: Alles bleibt anders

von veröffentlicht am10. September 2018, 06:11 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Windows 10, Windows 7   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Bildergebnis für windows 7

Am 6. September 2018 hat Microsoft eine überraschende Ankündigung gemacht. In einem Blog-Artikel hat der Softwarehersteller Änderungen an seinem Supportmodell für Windows 10 verkündet und darin auch eine Neuerung für Kunden mit Windows 7 versteckt. Kurz zusammengefasst, bietet Microsoft eine erweiterte Supportoption für Windows 7 in Unternehmen an, die den Betrieb der Software bis Anfang 2023 erlaubt, also drei Jahre länger als bisher bekannt.

Der Originalartikel findet sich hier: https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/

Neue Supportaussage für Windows 7

Bislang galt die Supportaussage, dass jegliche Unterstützung und Updates für Windows 7 am 14. Januar 2020 enden werden. Dies entspricht exakt dem Zustand, in dem sich Windows XP vor einigen Jahren befand: Ab diesem Datum soll es keinerlei Updates mehr für das Betriebssystem geben, also auch keine Sicherheits-Reparaturen. Auch technische Unterstützung bei Problemen wird Microsoft ab diesem Datum nicht mehr leisten. Für alle Heimanwender bleibt es auch bei dieser Festlegung.

Der Blogbeitrag eröffnet Unternehmen allerdings eine Perspektive, ihre Windows-7-Systeme noch drei Jahre länger “bis Januar 2023” zu verwenden und dafür Sicherheits-Updates zu erhalten – gegen Geld. Ein Programm namens “Extended Security Updates (ESU)” bietet die kostenpflichtige Option, den längeren Supportzeitraum zu nutzen.

Näheres dazu findet sich in meinem Artikel auf folgendem Blog:

[Support für Windows 7: Alles bleibt anders – michael wessel Blog]
https://blog.michael-wessel.de/2018/09/07/support-fr-windows-7-alles-bleibt-anders/

Powershell: Active-Directory-Cmdlets basierend auf ADSI

von veröffentlicht am4. September 2018, 09:36 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: AD: Erweiterte Abfragen, PowerShell   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Möchte man z.B. AD Objekte auf einem Client ohne RSAT (Remote Server Administration Tools) abfragen, so bleibt einem lediglich der Zugriff auf die seit PowerShell v1.0 integrierten bzw. aus dem .NET Framework kommenden „ADSI“- und „ADSISearcher“-Klassen. Da der Umgang mit diesen nicht annährend so komfortable wie die Verwendung der Cmdlets aus dem Active Directory Snapin ist, habe ich einige Funktionen geschrieben, um dies zu vereinfachen. Die Funktionen findet man hier und die Parameter und Rückgabewerte der einzelnen Funktionen hier.

Natürlich ist das nur ein Bruchteil der über die ADSI-Schnittstelle möglichen Transaktionen, allerdings kann man anhand dieser weitere Funktionen schreiben.

Ein spannendes Beispiel ist, dass man z.B. über die Funktion „Add-GroupMemberByNetBIOS“ im Security-Context des Users ein neues Mitglied einer Gruppe hinzufügen kann, sofern der ausführende Benutzer das Attribut „member“ Gruppe bearbeiten darf. Dies kann man z.B. durch den Haken „Erlaube dem Besitzer die Mitgliederliste der Gruppe zu verändern“ in der Active Directory Users and Computers (ADUC) Konsole ermöglichen. Hierbei kann die SID auch aus einer anderen, mit dem aktuellen Forest vertrauten Domäne kommen. Sofern noch kein ForeignSecurityPrincipal für das neue Mitglied existiert, wird dies dabei von selbst erstellt und anstelle des Users berechtigt.

Führt man den Gedanken etwas weiter, wäre es hiermit zum Beispiel möglich, ein Self-Service-Tool für vereinfachte Gruppenverwaltung in PowerShell zu schreiben, welches auf jedem Client-PC auch ohne die Installation der Remote Server Administration Tools funktioniert.

Sterbehilfe für Windows Phone 8.x

von veröffentlicht am22. August 2018, 06:06 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Mobiles Computing, Windows Phone   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Microsoft hat jetzt den Plan veröffentlicht, nach dem Apps für Windows Phone 8 und 8.1 dem Untergang geweiht sind:

  • 31. Oktober 2018: Ab diesem Datum wird der Microsoft Store keine neuen Apps mehr für Windows Phone 8/8.1 akzeptieren. Updates für bestehende Apps können weiter veröffentlicht werden.
  • 1. Juli 2019: Der Store gibt keine Updates mehr für Windows Phone 8 heraus, nur noch Windows-10-Geräte werden diese erhalten, wenn sie solche älteren Apps ausführen.
  • 1. Juli 2023: Der Store gibt auch keine Updates mehr für Windows Phone 8.1 heraus.

Näheres zum allgemeinen Supportablauf für Windows Phone 8.1 findet sich hier:

https://support.microsoft.com/en-us/help/4036480/windows-phone-8-1-end-of-support-faq

cim Lingen 2018: Jetzt mit Agenda

von veröffentlicht am2. August 2018, 08:42 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

imageDie Organisatoren der Konferenz cim in Lingen (Community in Motion) haben jetzt die Agenda der diesjährigen Ausgabe veröffentlicht. Und es gibt auch noch Plätze – wie immer kostenlos für die Teilnehmer.

[cim lingen | community in motion – agenda 2018]
https://www.cim-lingen.de/agenda_1/agenda-2018/agenda_1.html

cim Lingen 2018: schon angemeldet?

von veröffentlicht am23. Juli 2018, 06:32 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Community, Events   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

image Am 1. September 2018 findet die diesjährige cim (Community in Motion) in Lingen an der Ems statt. Wie immer ist dieses schönste Familientreffen der IT-Community für das Publikum kostenlos. Es warten -zig hochkarätige Fachvorträge von der Crème de la crème der europäischen IT-Szene.

Auch in diesem Jahr wird die cim ihre Agenda erst sehr kurzfristig bekanntgeben – aber aus sicherer Quelle wissen wir, dass hervorragende Sessions von hervorragenden Speakern auf der Liste stehen.

Hier geht’s lang:

https://www.cim-lingen.de/anmeldung/anmeldung18.html

LDAP Signing auf Domänencontrollern erzwingen

von veröffentlicht am16. Juli 2018, 05:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Anmeldedaten im Klartext zu übermitteln ist eine schlechte Idee. Das trifft sowohl für externe wie auch für interne Netzwerke zu. Niemand sollte heutzutage davon ausgehen, dass ein Lokales Netzwerk sicher ist, nur weil es lokal ist. Die meisten Emailprovider haben inzwischen die Übermittlung der Anmeldedaten über ungeschützte Protokolle wie POP3, IMAP4 und SMTP unterbunden und auf die jeweils gesicherte Protokollversion umgestellt. Interne Ressourcen wie Webserver verwenden oftmals auch schon https statt http und wer sich im Eventlog seiner Domänencontroller (Verzeichnisdienst-Protokoll) mit folgenden Event IDs konfrontiert sieht, sollte wissen, dass dies die Übermittlung von Anmeldedaten im Klartext bedeutet.

clip_image002

clip_image004

Diese können selbstverständlich mit Hilfe von Netzwerktraces mitgeschnitten und verwendet werden.

… weiterlesen

Client Hyper-V: Automatische Checkpoints abschalten

von veröffentlicht am25. Juni 2018, 06:06 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: PowerShell, Virtualisierung, Windows 10   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Seit einigen Versionen erzeugt Client Hyper-V (also die Hyper-V-Variante, die unter Windows 10 läuft) von neu erzeugten VMs automatische Checkpoints (umgangssprachlich auch als “Snapshots” bezeichnet). Das geschieht immer dann, wenn man eine solche VM startet und soll es in Test- und Entwicklungsszenarien ermöglichen, einfach und schnell die betreffende VM auf einen definierten Stand zurückzusetzen. Das ist in manchen Situationen sicher praktisch, aber oft stört es, denn u.a. führt es dazu, dass beim Beenden der VM der Checkpoint wieder aufgelöst wird, was einige Zeit dauern kann.

Die Funktion gibt es auch auf dem Server, dort ist sie aber standardmäßig deaktiviert. In Windows 10 hingegen ist sie immer aktiv, man kann sie nur pro VM abschalten. Eine zentrale Konfiguration zum Deaktivieren dieses Features gibt es nicht.

Da mir die Auto-Checkpoints eher im Weg stehen, habe ich einen Weg gesucht, die Voreinstellung zu ändern und bin auf einen Workaround gestoßen: Ich weise Windows an, beim Erzeugen einer neuen VM die betreffende Option sofort abzuschalten. Das reicht mir völlig aus.

… weiterlesen

Semikolon und sein jährlicher Channel

von veröffentlicht am18. Juni 2018, 06:29 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Freie Wildbahn   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Gerade stolperte ich hier über diese hübsche Stilblüte der maschinellen Übersetzung:

image

Gemeint war “Semi-Annual Channel”. Nicht dass “Semi” tatsächlich “Semikolon” hieße, aber der Algorithmus scheint das zu glauben.

Windows 10: Einige Optionen werden von Ihrer Organisation verwaltet

von veröffentlicht am11. Juni 2018, 06:51 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Windows 10   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Windows 10 verhaspelt sich bisweilen bei der Festlegung, welche Einstellungen durch den Anwender verwaltbar sind und welche nur durch das Unternehmen, dem der Rechner gehört. So kommt es vor, dass auch bei einer Standalone-Installation Windows steif und fest behauptet, einige Einstellungen seien nur der Organisation zugänglich.

So lässt sich dies lösen – vorausgesetzt, der Rechner wird tatsächlich nicht durch ein Unternehmen verwaltet:

  1. Den Gruppenrichtlinien-Editor mit Administratorrechten öffnen: gpedit.msc
  2. Navigieren zu: Computerkonfiguration – Adminstrative Vorlagen – Windows-Komponenten – Datensammlung und Vorabversionen
  3. Die Einstellung “Telemetrie zulassen” öffnen
  4. Auf “Aktiviert” schalten und unten die Option “3 – Vollständig” auswählen. Mit OK bestätigen.
    image
  5. Dieselbe Einstellung noch mal öffnen. Auf “Nicht konfiguriert” stellen – dies setzt die Einstellung effektiv wieder zurück.
  6. Fertig. Nun sollte in der App “Einstellungen” die Meldung nicht mehr auftauchen (vielleicht einmal schließen und wieder öffnen) und die betreffende Stelle sich konfigurieren lassen.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!