Möchte man die PrimaryGroupID (näheres siehe in diesem Beitrag) automatisch für alle AD-User prüfen und ggf. auch automatisch korrigieren, so kann man dies natürlich auch per PowerShell tun. Im Active Directory gibt es standardmäßig eine Ausnahme, welche nicht die primaryGroupID 513 („Domain-Users“) hat: Hierbei handelt es sich um den User „Guest“, dieser hat die primaryGroupID […]

Nutzt man keine Enterprise-Linux-Systeme wie SUSE Enterprise Linux oder Redhat Enterprise Linux, stellt sich die Integration in einen LDAP-Verzeichnisdienst wie das Active Directory manchmal als kleine Herausforderung dar. Ein Weg dies, auf Debian-Derivaten zu realisieren, ohne auf Samba zurückzugreifen, ist Powerbroker Identity Services Open (PBIS Open) von BeyondTrust, ehemals bekannt als Likewise Open.

Wir haben unsere beliebte Sammlung von AD-Testbenutzerkonten mit lustigen Namen erweitert. In der jüngsten Fassung sind über 330 Namen enthalten, das sind über 40 neue Benutzerkonten seit dem letzten Update. Alles Weitere zur Sammlung findet sich hier, auch eine geordnete Liste: [AD-Testuser mit Details und lustigen Namen (reloaded) | faq-o-matic.net]https://www.faq-o-matic.net/2014/02/17/ad-testuser-mit-details-und-lustigen-namen-reloaded/ Den Download könnt ihr auch […]

Hier sind die Folien zu meinem Vortrag “Woher kennt mich die Cloud? Authentifizierung in Web-Umgebungen” auf der Imagine Cloud Conference 2017 bei Microsoft in München. Inhalt der Session war ein Überblick über SAML, OAuth und ADFS.

Vor einigen Wochen hat Microsoft ein Toolset veröffentlicht, mit dem sich vollständige ADFS-Konfigurationen sichern und wiederherstellen lassen. Neben Wiederherstellungs-Szenarien will Microsoft damit auch einen Ersatz für Kunden bieten, die keine volle Hochverfügbarkeit für ihre ADFS-Umgebung einrichten wollen oder können. Das Werkzeug ist eine Erweiterung der PowerShell und wird auch über die PowerShell gesteuert. Im Backup-Modus […]

Zu dem Artikel “Die OU eines AD-Users in ein Attribut kopieren” gibt es ein alternatives Verfahren, das die Eigenheiten der PowerShell besser ausnutzt. Wenig bekannt ist, dass die Pipeline-Technik der PowerShell meist viel schneller ist. Die folgende Code-Variante dürfte daher in großen Umgebungen schneller fertig sein. [regex]$regex = „(?:,)(?’name'((CN|OU=).*))“ Get-ADUser -Filter * -SearchBase „OU=Benutzer,DC=ad2016,DC=faq-o-matic,DC=net“ | […]

Hat man in einer ADFS-Testumgebung Claim Rules entwickelt und erfolgreich getestet, so will man diese zum Abschluss ins Produktionssystem übertragen. Leider bietet das GUI keine einfache Möglichkeit dazu – dort ist der simpelste Weg, die Claim-Rule-Übersichten nebeneinander zu öffnen und jede Regel einzeln per Copy & Paste zu übertragen. Geht, aber nicht schön. Natürlich ist […]

ADFS enthält eine Regelsprache, mit der sich sehr leistungsfähige Bedingungen formulieren lassen, wann und wie ein Anwender auf eine Web-Applikation zugreifen kann. Einfache Regeln kann man direkt über einen Assistenten aufbauen, mit dem sich schon hilfreiche Dinge anstellen lassen. So kann man AD-Attribute mit anderem Namen weitergeben oder auch einfache Entscheidungen anlegen. Schwieriger wird es, […]

Wenn man ADFS einrichtet, um die Anmeldung an Cloud-Applikationen im Unternehmen zu steuern, dann ist vieles an dem System leider ein Blindflug. Insbesondere, wenn man innerhalb von ADFS die Anmeldelogik mit Hilfe von Claims umsetzt (also von Daten aus dem AD oder aus anderen Quellen, die über den Zugriff entscheiden sollen), dann können Fehler in […]

In einer AD-Migration bei einem Kunden sollten die Quell-OUs der Userkonten in einem freien Attribut gespeichert werden, um nach der Migration bei den Zielobjekten den ursprünglichen Ablageort feststellen zu können. Das folgende PowerShell-Skript erfüllte in der Quelldomäne die Aufgabe. $Users = Get-ADUser -Filter * -SearchBase ‚OU=Benutzer,DC=ad2016,DC=faq-o-matic,DC=net‘ foreach ($Account in $Users) { $Parent = (([adsi]“LDAP://$($Account.DistinguishedName)“).Parent).Substring(7) $Account.Name […]