Wenn man automatisiert Benutzerkonten in einer AD-Umgebung erzeugt, kann es – je nach Methode – vorkommen, dass diese Konten keine Kennwörter haben. Das passiert etwa, wenn man solche Konten mit dem uralten Kommando csvde.exe erzeugt. Die Konten sind dann auch deaktiviert, es entsteht also keine direkte Gefahr. Es lauert aber eine – mit der man […]
Aus der LDAPS-ohne-PKI-Diskussion sind noch ein paar weitere Punkte hervorgegangen. Der AD-Spezialist Evgenij Smirnov hat nun einige technische und logische Aspekte in einem sehr lesenswerten Artikel zusammengefasst, auf den wir ohne weitere Umschweife hier verweisen: [LDAP auf Port 389 deaktivieren – ein Reality Check – Evgenij Smirnov] https://it-pro-berlin.de/2024/06/ldap-deaktivieren-ein-reality-check/
Eine meiner Thesen in meiner Session “Broken by Design: Warum wir PKIs nicht trauen können (aber keine andere Wahl haben)” auf der Experts Live Germany 2024 lautete: Betreibe keine PKI, wenn du sie nicht wirklich brauchst. Das führte zu einiger Diskussion. Ein Teilnehmer fragte mich, ob ich damit etwa davon abraten würde, LDAPS in einer […]
Heute mal wieder ein (hihi) Quickie: Die Gruppe “BUILTIN\Prä-Windows 2000 kompatibler Zugriff” in Active Directory ist ein eingebautes Sicherheitsloch. Warum das so ist, könnt ihr an vielen Stellen im Web nachlesen. Kurz zusammengefasst: Diese Gruppe enthält standardmäßig die Pseudo-Systemgruppe “Authentifizierte Benutzer”, und damit kann jeder Benutzer (und auch jeder Computer) nahezu alles lesen, was im […]
Mein Metareporting-Tool Angelo für Active Directory hat nun nach vielen Jahren ein Update bekommen. Es ergänzt die Reports und behebt ein paar ärgerliche Fehler. Angelo eignet sich gut, um einen ersten umfassenden Überblick über eine AD-Umgebung zu erhalten, ohne stundenlang in den GUI-Tools herumzuklicken. Es eignet sich auch als Basis, um den “Gesundheitszustand” und die […]
Zu meiner Session “Design for Change: Active Directory für das Cloud-Zeitalter” auf der diesjährigen Experts Live in Erfurt gibt es ein umfangreiches Handout zum Nachlesen: [Experts Live Germany: Die Relevanz von Active Directory (AD) im Cloud-Zeitalter] https://www.it-p.de/news/experts-live-germany-die-relevanz-von-active-directory-ad-im-cloud-zeitalter/ Da mich einige Leute danach gefragt haben: eine Aufzeichnung von meiner Session gibt es nicht. Allerdings ist ein […]
Vor genau 20 Jahren, am 13. Januar 2003, hat Mark Heitbrink seine Seite www.gruppenrichtlinien.de online gestellt. Sie hat sich damals in sehr kurzer Zeit zu der Adresse für Informationen, Tipps und Tricks zu Windows-Gruppenrichtlinien entwickelt. Das ist sie auch heute noch. Herzlichen Glückwunsch, Mark, zu diesem Erfolg und zu deiner Expertise in diesem Thema! Der […]
Wir haben beruflich immer wieder mit Multi-Domain-Umgebungen zu tun, in denen User, Computer und Target Accounts (aka „zu verwaltende Konten“) in verschiedenen Domänen sind. Das bedeutet, dass wir relativ viel AD-Kommunikation brauchen. Und naturgemäß liegen dazwischen Firewalls. Daraus entstand das Bedürfnis, Ports schneller und einfacher zu prüfen also „pro Host, pro Ziel-DC und pro Port […]
In diesen Tagen ist José, mein kleines Tool zur automatisierten Dokumentation von Active Directory, 20 Jahre alt geworden. In dieser Zeit wurde es fast 200.000-mal heruntergeladen – rechnet man die englischsprachige Fassung dazu, dann sind es schon an die 210.000 Downloads. Gemeinsam mit dem eigentlichen Active Directory, das auch schon seit langer Zeit nicht mehr […]
En Supportartikel des US-Dienstleisters cloudHQ fasst sehr hübsch ein paar Argumente zusammen, warum der userPrincipalName (UPN) in einer AD-Domäne identisch zur Mailadresse sein sollte, sobald die Cloud (insbesondere Office 365/Microsoft 365) im Spiel ist: [IT Admin: Office 365 – Why Your User Principal Name (UPN) Should Match Your Email Address] https://support.cloudhq.net/it-admin-office-365-why-your-user-principal-name-upn-should-match-your-email-address/