Nach längerer Zeit gibt es endlich mal wieder ein Update von José, unserem Dokumentationstool für Active Directory. Die neuen Version 3.12 umfasst:

• CSS-Dateien nach UTF-8 konvertiert, um Firefox-/Chrome-kompatibel zu sein
• Neuer Batch-Aufruf für reine Metadaten
• AD-Schema 88 (Windows Server 2019) und Exchange-Schema 2016 CU6-12, 2019
• bei GPO-Links: das GPO-Icon verlinkt auf einen GPMC-Report. Wenn dieser im Unterordner „GPMC-Reports“ liegt und den DisplayName als Dateinamen trägt, wird er geöffnet. Ergänzend gibt es ein PowerShell-Skript, das die Reports erzeugt.
• Standard-Reports und zugehörige Definitionen angepasst

Wie immer finden sich der Download und weitere Informationen auf der José-Seite:

https://www.faq-o-matic.net/jose/

In wenigen Wochen findet die vierte Cloud & Datacenter Conference Germany statt: Am 21. und 22. Mai bietet die Konferenz IT-Technik und IT-Strategie auf höchstem Niveau.

Jetzt hat das Organisationsteam die Agenda auf der Webseite veröffentlicht. Mehr als 50 Vorträge in sechs parallelen Tracks bieten Know-how von den besten Speakern der IT-Community.

[Cloud & Datacenter Conference Germany – Die Zukunft Ihrer IT gestalten]
https://www.cdc-germany.de/#agenda

Wir haben gerade das 1809 LTSC beim Testen und sind dabei auf ein sehr merkwürdiges Fehlverhalten gestoßen. Beim Anmelden eines Benutzers kommt die Meldung “Windows konnte keine Verbindung mit dem Dienst Benutzerprofildienst herstellen”.

Das ganze Problem wird von einem Doppelpunkt ausgelöst, der nicht vorhanden ist. Es geht dabei um das Home-Verzeichnis im AD:

Trage ich hier einen Doppelpunkt ein, so ist das Anmelden ohne Problem möglich.

Hier gab es den entscheidenden Hinweis:

https://social.technet.microsoft.com/Forums/en-US/855b1a3f-80dd-463d-8005-5935bf7da36e/some-domain-users-get-quotuser-profile-service-failedquot-when-trying-to-login-after-october?forum=win10itprogeneral

Vor genau 20 Jahren, am 9. April 1999, hat Microsoft seine eigene produktive Windows-Domäne mit gut 27.000 Benutzerkonten nach Active Directory migriert. Dies war die erste ernsthafte Installation des damals neuen Windows-Verzeichnisdienstes. Damit dürfen wir den 9. April 1999 wohl als den “Geburtstag” des Active Directorys ansehen – und wir gratulieren herzlich zum Jubiläum!

Auf dem Blog des hannoverschen IT-Beratungshauses michael wessel gibt es mehr zum AD-Geburtstag:

https://blog.michael-wessel.de/2019/04/09/active-directory-wird-20-herzlichen-glckwunsch/

Bei einem aktuellen Projekt benötigte ich die Möglichkeit, mehrere Werte aus einer XML-Datei mit einem ebenfalls darin definierten Logikoperator zu vergleichen. Das Szenario dazu: In dem Projekt ist eine leichtgewichtige Softwareverteilung auf Skriptbasis im Einsatz, die beim Systemstart verschiedene Applikationen aktualisiert. Hier war noch etwas mehr Logik erwünscht, um Aktivitäten nur dann auszuführen, wenn bestimmte Bedingungen erfüllt sind.

Da der Code möglichst dynamisch und gut erweiterbar sein sollte, stellte sich heraus, dass der Logikoperator durch einen Scriptblock dynamisch in den Code eingefügt werden musste. Um dies zu ermöglichen, habe ich die Funktion Apply-CustomLogic() entworfen, welche aktuell die Operatoren „like“, „is“, „isnot“, „startswith“, „notstartswith“, „endswith“ und „notendswith“ unterstützt.

Drei kurze Cmdlet Beispiele dazu, die mit einer Funktion auf dieser Basis arbeiten:

Apply-CustomLogic(„startswith“,“faq-o-matic.de“,“faq“)  <- Ergebnis: $true

Apply-CustomLogic(„endswith“,“faq-o-matic.de“,“.de“)  <- Ergebnis: $true

Apply-CustomLogic(„notendswith“,“faq-o-matic.de“,“.de“) <- Ergebnis: $false … weiterlesen

Carsten Rachfahl und sein Team laden auch in diesem Jahr wieder zur “Cloud & Datacenter Conference Germany” (kurz: CDC) nach Hanau. Erneut umfasst die Konferenz zwei Tage, und zwar den 21. und den 22. Mai 2019.

Die Konferenz bietet mehr als 50 Sessions ausgewiesener IT-Experten – darunter wieder die Crème de la Crème der IT-Community mit einer hohen Anzahl an Microsoft-MVPs und bekannten hochkarätigen Sprechern. Der Congress Park Hanau hat sich bereits im letzten Jahr als hervorragende Location für eine IT-Konferenz dieser Art empfohlen.

Nähere Details und Tickets gibt es hier:

[Cloud & Datacenter Conference Germany – Die Zukunft Ihrer IT gestalten]
https://www.cdc-germany.de/

Nimmt man Windows 10 in eine bestehende Domäne auf, kann es passieren, dass Gruppenrichtlinien darauf nicht wirken. Die Ursache ist oft das UNC-Hardening, das als Sicherheitsfunktion vor einiger Zeit eingeführt wurde. Anders als Windows 7 aktiviert Windows 10 diese Funktion standardmäßig.

Im Web findet man als “Problemlösung” dazu häufig die Empfehlung, das Feature abzuschalten. Das ist aber eine weniger gute Idee – wie bei jeder Sicherheitsfunktion ist es auch hier besser, sie zu konfigurieren. Hinweise dazu gibt es hier:

[Demystifying the UNC Hardening Dilemma &#8211; Lee Stevens: Technical Blogs]
https://blogs.technet.microsoft.com/leesteve/2017/08/09/demystifying-the-unc-hardening-dilemma/

[MS15-011 & MS15-014: Hardening Group Policy – Security Research & Defense]
https://blogs.technet.microsoft.com/srd/2015/02/10/ms15-011-ms15-014-hardening-group-policy/

Setzt man den Microsoft Identity Manager (kurz MIM, ehemals Forefront Identity Manager/FIM) ein und hat in seiner Umgebung sowohl Linked Mailboxes als auch normale Accounts, die Mailboxes besitzen, so steht man sehr schnell vor einem entscheidenden Problem.

Anforderung:

• Verteilergruppen müssen über MIM verwaltet werden, der Anwender darf nicht in die Pflicht gebracht werden, den richtigen Account (Linked Mailbox/normalen Account) auszuwählen, sondern darf jeden Benutzer exakt einmal sehen
• Sicherheitsgruppen müssen ebenfalls über MIM verwaltet werden, alle Sicherheitsgruppen liegen in der contoso.com und müssen ggf. Mitglieder aus der contoso.com und der faq-o-matic.de beinhalten, somit normale User und Foreign Security Principals

Kurz zum Demo-Szenario:

• Zwei Domänen in separaten Forests (contoso.com und faq-o-matic.de)
• Exchange 2016 Cluster in contoso.com
• Native Mailboxen für User aus der contoso.com, Linked Mailboxes für User der faq-o-matic.com
• In der contoso.com existiert eine MIM Installation samt MIM Service & Portal
  • Es sind bereits beide Forests und dessen Domänen gemäß Microsofts Vorgaben im MIM Portal angelegt und die Foreign Security Principal Sets so wie Sync Rules für die „richtigen“ User Accounts aus beiden Domänen angelegt
  • Die Linked Mailboxes wurden über den Inbound Sync Filter der User Sync Rules ausgeschlossen

Der Identity Manager ist bereits von Haus aus in der Lage, Foreign Security Principals in Richtung Active Directory zu synchronisieren, sofern die Konfiguration der Domänen und Trusts vollständig ist, somit ist die Anforderung für die Sicherheitsgruppen bereits mit wenig Aufwand gedeckt.

Schwieriger wird es, wenn man auch Verteilergruppen verwalten will, denn hier müssen wir MIM beibringen, nicht die distinguishedNames der jeweiligen Quell Accounts in das Member Attribut der Gruppen zu synchronisieren, wie es für Sicherheitsgruppen richtig ist, sondern je nach Typ entweder den distinguishedName der vollwertigen Mailbox oder im Falle eines Users aus der faq-o-matic.de den distinguishedName der zugehörigen Linked Mailbox. … weiterlesen

Bei der Delegation von FullAccess-Berechtigungen auf einer Mailbox oder einer Shared Mailbox ist dem einen oder anderen sicher bereits aufgefallen, dass sich das Automapping nicht konsistent verhält. Untersucht man dies genauer, so fällt auf, dass lediglich die beim Erstellen der Mailbox vergebenen Delegationen auch Automapping aktiviert haben, nachträglich hinzugefügte haben dies nicht, zumindest sofern sie per Exchange Control Panel erteilt wurden.

Für das Automapping ist das Attribut „msExchDelegateListLink“ auf dem Active-Directory-Konto der freizugebenen Mailbox verantwortlich. Dieses Attribut beinhaltet die DistinguishedNames aller Mailboxen, welche beim Start von Outlook dieses Postfach automatisch eingebunden kriegen sollen. Das Attribut an sich hat zuerst jedoch nichts mit der eigentlichen FullAccess-Berechtigung zu tun, es reicht also nicht, die zu autorisierenden DistinguishedNames dort einzutragen. Möchte man alle Mailboxen, die nachträglich mit FullAccess für ein Postfach über das Exchange Control Panel autorisiert wurden, auf Automapping umstellen, so schafft einem PowerShell wie gewohnt Abhilfe.

Hier könnte man meinen, dass der Befehl „Get-Mailbox -Identity „xyz“ | Get-MailboxPermission“ auch ein Attribut zurückliefert, welches die Automapping Einstellungen pro Freigabe anzeigt – tja, das wäre wohl auch zu einfach. Der einfachste Weg, sich per Powershell alle auf Automapping gestellten Freigaben eines Postfaches anzuzeigen, ist der folgende Befehl:

Get-ADUser -Identity (Get-Mailbox -Identity „xyz“ | Select-Object -ExpandProperty userPrincipalName) -Properties msExchDelegateListLink | Select-Object -ExpandProperty msExchDelegateListLink

Möchte man nun alle bereits erteilten FullAccess-Berechtigungen auf Automapping umstellen, so hilft dieses von mir geschriebene Script aus:

https://github.com/RobinBeismann/PowerShell-Scripts/blob/master/Scripts/MS-Exchange/Fix-Automapping.ps1

Eine kleine Schwierigkeit ist, dass Get-MailboxPermission lediglich die objectSID der berechtigten Mailboxes anzeigt. Über Get-ADUser kann man diese aber auf ihre Mailboxes auflösen und die DistinguishedNames für das msExchDelegateListLink Attribut sammeln. Wichtig zu wissen ist, dass es sich um die SID des tatsächlichen Postfaches handelt, im Falle einer Linked Mailbox ist dies also nicht die ObjectSID sondern die msExchMasterAccountSid, diese Besonderheit wird von dem oben verlinkten Script bereits berücksichtigt.

Noch eine Randnotiz: Erstellt man die Mailbox Berechtigungen direkt per Add-MailboxPermission, so kann man das Automapping über den Parameter „-AutoMapping <$true | $false>“ steuern.

Hat man in der heutigen Zeit mit einer Active-Directory-Migration zu tun, so ist meist die eigentliche Migration der Computer und User das kleinste Übel. Durch die Anbindung diverser Systeme muss aber jede Identität eines Users in jedem angebundenen System berücksichtigt werden. Ein sehr gutes Beispiel hierfür ist Office 365, respektive die Azure-Active-Directory-Identität eines Benutzers, an der in der durchschnittlichen Umgebung mindestens eine Mailbox, ein Sharepoint-Profil und ein Skype-for-Business-/Teams-Account hängt.

Ein praktisches Verfahren hierzu mit einer PowerShell-Funktion habe ich hier beschrieben:

[Azure AD Identity umziehen – michael wessel Blog]
https://blog.michael-wessel.de/2019/02/14/azure-ad-identity-umziehen/