Die Session-Videos der diesjährigen cim in Lingen sind nun bei YouTube verfügbar: https://www.youtube.com/user/itemslandlingen/videos
Die aktuellen Videos erkennt man am grünen Rand in der Vorschau. 
Der IT-Dienstleister michael wessel in Hannover lädt für den 8. November 2018 zu einem News-Event ein. Im Mittelpunkt stehen Microsofts Flaggschiffprodukte Windows Server 2019 und Exchange Server 2019, die in Kürze auf den Markt kommen.
Details und Anmeldung:
[Neues von Microsoft: Windows Server 2019 & Exchange Server 2019 | michael wessel]
https://www.michael-wessel.de/artikel/veranstaltungen/tt_server2019/
Jeder, der sich schon mal (intensiver) mit der Pflege einer Active-Directory-Domäne auseinandergesetzt hat, kann nicht abstreiten, dass z.B. Computerkonten oft länger als der eigentliche Computer leben. Möchte man dies verhindern, so gibt es viele Wege – einmal sollte dies ein klar definierter Workflow bei der Dekommissionierung eines Computers sein, andererseits ergibt es durchaus Sinn die aktiven Computerkonten zu überwachen. Entscheidet man sich dazu, dies per Powershell zu tun, stellte sich relativ schnell heraus, dass man dies am besten anhand des Attributes „pwdLastSet“ realisiert.
Eine kurze Abfrage mittels PowerShell zeigt uns auf, welche Computer schon länger als 30 Tage ihr Kennwort nicht geändert haben und noch über aktive Konten verfügen:
Kategorie: 
Translate EN
Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) }
Hierbei wird einem schnell auffallen, dass Computerkonten dabei sind, die an dieser Stelle eigentlich nicht auftauchen sollten. In der Standardeinstellung (ab Windows NT) ändert ein Computer das Passwort seines Machine Accounts alle 30 Tage, dies passiert allerdings nur, wenn auch Konnektivität zum Domain Controller besteht und dieser zu der Zeit auch in der Lage ist, Passwortänderungen durchzuführen.
Möchte man dieses Intervall ändern, kann man dies mit der GPO „Domain member: Maximum machine account password age“ unter „Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\“. Möglich wäre hier z.B. ein Wert von 14 Tagen. Circa 2 Wochen später sollte man über den oben aufgezeigten Befehl deutlich bessere Ergebnisse erzielen und kann diese zum Beispiel mit dem folgenden Befehl deaktivieren:
Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) } | Set-ADComputer -Enabled $false -Whatif
Der Parameter -Whatif versetzt das Cmdlet in eine Art Trockenlauf, um die Änderungen tatsächlich durchzuführen, muss dieser entfernt werden.
Wichtig dabei: Viele Unix Systeme, darunter u.a. Storage Systeme, werden diese Policy nicht verarbeiten (können). Ein häufig angetroffenes System ist zum Beispiel die Netapp Storage Virtual Machine auf ONTAP-Systemen. Hier kann man zwar den GPO Support einschalten, allerdings scheint die Verarbeitung dieser GPO in der aktuellen Version nicht implementiert zu sein (näheres dazu in diesem Dokument). Bei ONTAP kann dies wiederum manuell per CLI aktiviert werden, siehe diesen Artikel.
Am 6. September 2018 hat Microsoft eine überraschende Ankündigung gemacht. In einem Blog-Artikel hat der Softwarehersteller Änderungen an seinem Supportmodell für Windows 10 verkündet und darin auch eine Neuerung für Kunden mit Windows 7 versteckt. Kurz zusammengefasst, bietet Microsoft eine erweiterte Supportoption für Windows 7 in Unternehmen an, die den Betrieb der Software bis Anfang 2023 erlaubt, also drei Jahre länger als bisher bekannt.
Der Originalartikel findet sich hier: https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/
Bislang galt die Supportaussage, dass jegliche Unterstützung und Updates für Windows 7 am 14. Januar 2020 enden werden. Dies entspricht exakt dem Zustand, in dem sich Windows XP vor einigen Jahren befand: Ab diesem Datum soll es keinerlei Updates mehr für das Betriebssystem geben, also auch keine Sicherheits-Reparaturen. Auch technische Unterstützung bei Problemen wird Microsoft ab diesem Datum nicht mehr leisten. Für alle Heimanwender bleibt es auch bei dieser Festlegung.
Der Blogbeitrag eröffnet Unternehmen allerdings eine Perspektive, ihre Windows-7-Systeme noch drei Jahre länger “bis Januar 2023” zu verwenden und dafür Sicherheits-Updates zu erhalten – gegen Geld. Ein Programm namens “Extended Security Updates (ESU)” bietet die kostenpflichtige Option, den längeren Supportzeitraum zu nutzen.
Näheres dazu findet sich in meinem Artikel auf folgendem Blog:
[Support für Windows 7: Alles bleibt anders – michael wessel Blog]
https://blog.michael-wessel.de/2018/09/07/support-fr-windows-7-alles-bleibt-anders/
Möchte man z.B. AD Objekte auf einem Client ohne RSAT (Remote Server Administration Tools) abfragen, so bleibt einem lediglich der Zugriff auf die seit PowerShell v1.0 integrierten bzw. aus dem .NET Framework kommenden „ADSI“- und „ADSISearcher“-Klassen. Da der Umgang mit diesen nicht annährend so komfortable wie die Verwendung der Cmdlets aus dem Active Directory Snapin ist, habe ich einige Funktionen geschrieben, um dies zu vereinfachen. Die Funktionen findet man hier und die Parameter und Rückgabewerte der einzelnen Funktionen hier.
Natürlich ist das nur ein Bruchteil der über die ADSI-Schnittstelle möglichen Transaktionen, allerdings kann man anhand dieser weitere Funktionen schreiben.
Ein spannendes Beispiel ist, dass man z.B. über die Funktion „Add-GroupMemberByNetBIOS“ im Security-Context des Users ein neues Mitglied einer Gruppe hinzufügen kann, sofern der ausführende Benutzer das Attribut „member“ Gruppe bearbeiten darf. Dies kann man z.B. durch den Haken „Erlaube dem Besitzer die Mitgliederliste der Gruppe zu verändern“ in der Active Directory Users and Computers (ADUC) Konsole ermöglichen. Hierbei kann die SID auch aus einer anderen, mit dem aktuellen Forest vertrauten Domäne kommen. Sofern noch kein ForeignSecurityPrincipal für das neue Mitglied existiert, wird dies dabei von selbst erstellt und anstelle des Users berechtigt.
Führt man den Gedanken etwas weiter, wäre es hiermit zum Beispiel möglich, ein Self-Service-Tool für vereinfachte Gruppenverwaltung in PowerShell zu schreiben, welches auf jedem Client-PC auch ohne die Installation der Remote Server Administration Tools funktioniert.
Microsoft hat jetzt den Plan veröffentlicht, nach dem Apps für Windows Phone 8 und 8.1 dem Untergang geweiht sind:
Näheres zum allgemeinen Supportablauf für Windows Phone 8.1 findet sich hier:
https://support.microsoft.com/en-us/help/4036480/windows-phone-8-1-end-of-support-faq
Die Organisatoren der Konferenz cim in Lingen (Community in Motion) haben jetzt die Agenda der diesjährigen Ausgabe veröffentlicht. Und es gibt auch noch Plätze – wie immer kostenlos für die Teilnehmer.
[cim lingen | community in motion – agenda 2018]
https://www.cim-lingen.de/agenda_1/agenda-2018/agenda_1.html
Am 1. September 2018 findet die diesjährige cim (Community in Motion) in Lingen an der Ems statt. Wie immer ist dieses schönste Familientreffen der IT-Community für das Publikum kostenlos. Es warten -zig hochkarätige Fachvorträge von der Crème de la crème der europäischen IT-Szene.
Auch in diesem Jahr wird die cim ihre Agenda erst sehr kurzfristig bekanntgeben – aber aus sicherer Quelle wissen wir, dass hervorragende Sessions von hervorragenden Speakern auf der Liste stehen.
Hier geht’s lang:
https://www.cim-lingen.de/anmeldung/anmeldung18.html
Anmeldedaten im Klartext zu übermitteln ist eine schlechte Idee. Das trifft sowohl für externe wie auch für interne Netzwerke zu. Niemand sollte heutzutage davon ausgehen, dass ein Lokales Netzwerk sicher ist, nur weil es lokal ist. Die meisten Emailprovider haben inzwischen die Übermittlung der Anmeldedaten über ungeschützte Protokolle wie POP3, IMAP4 und SMTP unterbunden und auf die jeweils gesicherte Protokollversion umgestellt. Interne Ressourcen wie Webserver verwenden oftmals auch schon https statt http und wer sich im Eventlog seiner Domänencontroller (Verzeichnisdienst-Protokoll) mit folgenden Event IDs konfrontiert sieht, sollte wissen, dass dies die Übermittlung von Anmeldedaten im Klartext bedeutet.
Diese können selbstverständlich mit Hilfe von Netzwerktraces mitgeschnitten und verwendet werden.
Seit einigen Versionen erzeugt Client Hyper-V (also die Hyper-V-Variante, die unter Windows 10 läuft) von neu erzeugten VMs automatische Checkpoints (umgangssprachlich auch als “Snapshots” bezeichnet). Das geschieht immer dann, wenn man eine solche VM startet und soll es in Test- und Entwicklungsszenarien ermöglichen, einfach und schnell die betreffende VM auf einen definierten Stand zurückzusetzen. Das ist in manchen Situationen sicher praktisch, aber oft stört es, denn u.a. führt es dazu, dass beim Beenden der VM der Checkpoint wieder aufgelöst wird, was einige Zeit dauern kann.
Die Funktion gibt es auch auf dem Server, dort ist sie aber standardmäßig deaktiviert. In Windows 10 hingegen ist sie immer aktiv, man kann sie nur pro VM abschalten. Eine zentrale Konfiguration zum Deaktivieren dieses Features gibt es nicht.
Da mir die Auto-Checkpoints eher im Weg stehen, habe ich einen Weg gesucht, die Voreinstellung zu ändern und bin auf einen Workaround gestoßen: Ich weise Windows an, beim Erzeugen einer neuen VM die betreffende Option sofort abzuschalten. Das reicht mir völlig aus.
