Für Admins einer Windows-Umgebung hat sich Microsoft mit der Version 1809 von Windows 10 mal wieder ganz was Besonderes ausgedacht: Es gibt einen neuen Weg, die Remoteserver-Verwaltungstools (RSAT) zu installieren. Damit fügen die Redmonder dem steten Wechsel der Admintools ein neues Kapitel hinzu.

War es früher zunächst nötig, die Tools separat per Download zu installieren, waren sie in der letzten Windows-10-Version von selbst enthalten. Nun nicht mehr: Weder sind die RSAT dabei, noch kann man sie per Paket nachinstallieren. Neuerdings sind sie Teil der “Features on Demand” (FoD), die man einzeln installieren kann. Oder besser: Muss. Denn mehrere Tools auf einmal kann man – zumindest über die grafische Oberfläche – nicht einrichten. Das muss für jedes einzeln erfolgen, jedes Mal natürlich mit UAC-Abfrage.

Allerdings kann es auch gut sein, dass die zuständige Windows-Funktion nichts findet. Versucht man es per PowerShell, dann gibt es eine nichtssagende Fehlermeldung.

Was Microsoft irgendwo, aber natürlich nicht an der passenden Stelle erwähnt: Zunächst muss man dem System mitteilen, dass es auf die FoD-Quellen überhaupt zugreifen darf. Ab der aktuellen Version 1809 stellt Microsoft die nämlich nur noch aus der Cloud zur Verfügung – und auf diesen Speicherort darf ein Unternehmens-Client i.d.R. gar nicht zugreifen.

… weiterlesen

Manchmal fragt man sich, was sich Microsoft bei manchen Übersetzungen so denkt.

Ist zwar korrekt, aber ob man das in der Form wirklich in Server 2019 übernehmen sollte?

Gerade macht die Nachricht die Runde, dass Microsoft nun wohl doch die Freigabe für Windows Server 2019 und Windows 10 1809 erteilt hat. Die Probleme, die zum Rückzug der bereits veröffentlichten Versionen geführt hatten, sollen wohl behoben sein.

[Update on Windows Server 2019 availability – Windows Server Blog]
https://cloudblogs.microsoft.com/windowsserver/2018/11/13/update-on-windows-server-2019-availability/

Wer die OU-Struktur einer Active-Directory-Domäne auswerten möchte, ohne ständig im “Active Directory-Benutzer und -Computer” herumzuklicken oder wer bei der Analyse Kommentare und Notizen hinterlegen möchte, kann sich mit einfachen Mitteln einen strukturierten Export der OU-Struktur in Excel erzeugen. So geht’s:

• Auf einem Mitgliedsrechner der Domäne, der die AD-Tools installiert hat, in einem CMD-Fenster folgendes Kommando ausführen. In der Regel sind keine Adminrechte nötig, die Daten kann auch ein normaler User auslesen.

csvde -f OUs.txt -u -r "(objectClass=organizationalUnit)" -l name,description,canonicalName

• Die so erzeugte Datei “OUs.txt” in Excel öffnen und beim Import das Komma als Trennzeichen angeben.
• csvde.exe gibt die Spalten immer in “irgendeiner” Reihenfolge aus. Daher am besten die Spalten in Excel einmal umordnen, bewährt hat sich: canonicalName, name, description, DN
• Zwischen “name” und “description” zwei neue Spalten einfügen. Die erste z.B. mit “Ebene” benennen und die zweite mit “Struktur”.
• In die Spalte “Ebene” in der ersten Zeile folgende Formel eintragen (die Spalte A ist hier die mit “canonicalName”):

=LÄNGE(A2)-LÄNGE(WECHSELN(A2;"/";))

• Diese Formel für alle Zellen nach unten kopieren.
• In die Spalte “Struktur” in der ersten Zeile folgende Formel eintragen (die Spalte B ist hier die mit “name”, die Spalte C ist “Ebene”; der lange Leerraum in der Formel sind z.B. fünf Leerzeichen):

=WIEDERHOLEN("     ";C2-1) & B2

• Auch diese Formel nach unten kopieren.
• Die Funktion “Sortieren und Filtern” für die Tabelle einschalten.
• Die Tabelle nach der Spalte “canonicalName” ordnen.
• Die Tabelle im Excel-Format speichern.
• Fertig.

Diese Datei lässt sich nun mit den Mitteln von Excel auswerten. So kann man etwa die Spalte “Ebene” nutzen, um nur die OUs der ersten und zweiten Ebene anzuzeigen, man kann weitere Spalten mit Kommentaren oder Notizen hinterlegen und vieles mehr.

Will man Dateiserver konsolidieren, aufräumen oder migrieren, stehen oft intensive Analysen der vorhandenen Datenstrukturen an. Verschiedene Tools können dabei hilfreich sein, die die Ordner-Daten in strukturierter Form ausgeben, damit man diese z.B. mit Excel auswerten kann. Ein kleiner Formeltrick kann eine ergänzende Information ausgeben, nämlich die Ordnertiefe.

Hat man in einer Spalte (z.B. Spalte B) die Ordnerpfade im Klartext, so kann folgende Formel die Ordnertiefe identifizieren, also die Frage beantworten, wie viele Unterordner im aktuellen Pfad aufgeführt sind:

=LÄNGE(B2)-LÄNGE(WECHSELN(B2;"\";))

Die Formel zählt mit einem Trick die Anzahl der Backslashes im angegebenen Pfad und gibt diese als Zahl aus. „H:\Daten” führt zur Angabe 1, “H:\Daten\ApplikationX” zur Angabe 2 usw. Diese Formel kopiert man in alle Zeilen und erhält so die gewünschte Angabe.

Die Session-Videos der diesjährigen cim in Lingen sind nun bei YouTube verfügbar: https://www.youtube.com/user/itemslandlingen/videos

Die aktuellen Videos erkennt man am grünen Rand in der Vorschau.

Der IT-Dienstleister michael wessel in Hannover lädt für den 8. November 2018 zu einem News-Event ein. Im Mittelpunkt stehen Microsofts Flaggschiffprodukte Windows Server 2019 und Exchange Server 2019, die in Kürze auf den Markt kommen.

Details und Anmeldung:

[Neues von Microsoft: Windows Server 2019 & Exchange Server 2019 | michael wessel]
https://www.michael-wessel.de/artikel/veranstaltungen/tt_server2019/

Jeder, der sich schon mal (intensiver) mit der Pflege einer Active-Directory-Domäne auseinandergesetzt hat, kann nicht abstreiten, dass z.B. Computerkonten oft länger als der eigentliche Computer leben. Möchte man dies verhindern, so gibt es viele Wege – einmal sollte dies ein klar definierter Workflow bei der Dekommissionierung eines Computers sein, andererseits ergibt es durchaus Sinn die aktiven Computerkonten zu überwachen. Entscheidet man sich dazu, dies per Powershell zu tun, stellte sich relativ schnell heraus, dass man dies am besten anhand des Attributes „pwdLastSet“ realisiert.

Eine kurze Abfrage mittels PowerShell zeigt uns auf, welche Computer schon länger als 30 Tage ihr Kennwort nicht geändert haben und noch über aktive Konten verfügen:

Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) } 

Hierbei wird einem schnell auffallen, dass Computerkonten dabei sind, die an dieser Stelle eigentlich nicht auftauchen sollten. In der Standardeinstellung (ab Windows NT) ändert ein Computer das Passwort seines Machine Accounts alle 30 Tage, dies passiert allerdings nur, wenn auch Konnektivität zum Domain Controller besteht und dieser zu der Zeit auch in der Lage ist, Passwortänderungen durchzuführen.

Möchte man dieses Intervall ändern, kann man dies mit der GPO „Domain member: Maximum machine account password age“ unter „Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\“. Möglich wäre hier z.B. ein Wert von 14 Tagen. Circa 2 Wochen später sollte man über den oben aufgezeigten Befehl deutlich bessere Ergebnisse erzielen und kann diese zum Beispiel mit dem folgenden Befehl deaktivieren:

Get-ADComputer -Filter { Enabled -eq $true } -Properties pwdLastSet | Where-Object { [datetime]::fromFileTimeUTC($_.pwdLastSet) -le (Get-Date).AddDays(-30) } | Set-ADComputer -Enabled $false -Whatif

Der Parameter -Whatif versetzt das Cmdlet in eine Art Trockenlauf, um die Änderungen tatsächlich durchzuführen, muss dieser entfernt werden.

Wichtig dabei: Viele Unix Systeme, darunter u.a. Storage Systeme, werden diese Policy nicht verarbeiten (können). Ein häufig angetroffenes System ist zum Beispiel die Netapp Storage Virtual Machine auf ONTAP-Systemen. Hier kann man zwar den GPO Support einschalten, allerdings scheint die Verarbeitung dieser GPO in der aktuellen Version nicht implementiert zu sein (näheres dazu in diesem Dokument). Bei ONTAP kann dies wiederum manuell per CLI aktiviert werden, siehe diesen Artikel.

Am 6. September 2018 hat Microsoft eine überraschende Ankündigung gemacht. In einem Blog-Artikel hat der Softwarehersteller Änderungen an seinem Supportmodell für Windows 10 verkündet und darin auch eine Neuerung für Kunden mit Windows 7 versteckt. Kurz zusammengefasst, bietet Microsoft eine erweiterte Supportoption für Windows 7 in Unternehmen an, die den Betrieb der Software bis Anfang 2023 erlaubt, also drei Jahre länger als bisher bekannt.

Der Originalartikel findet sich hier: https://www.microsoft.com/en-us/microsoft-365/blog/2018/09/06/helping-customers-shift-to-a-modern-desktop/

Neue Supportaussage für Windows 7

Bislang galt die Supportaussage, dass jegliche Unterstützung und Updates für Windows 7 am 14. Januar 2020 enden werden. Dies entspricht exakt dem Zustand, in dem sich Windows XP vor einigen Jahren befand: Ab diesem Datum soll es keinerlei Updates mehr für das Betriebssystem geben, also auch keine Sicherheits-Reparaturen. Auch technische Unterstützung bei Problemen wird Microsoft ab diesem Datum nicht mehr leisten. Für alle Heimanwender bleibt es auch bei dieser Festlegung.

Der Blogbeitrag eröffnet Unternehmen allerdings eine Perspektive, ihre Windows-7-Systeme noch drei Jahre länger “bis Januar 2023” zu verwenden und dafür Sicherheits-Updates zu erhalten – gegen Geld. Ein Programm namens “Extended Security Updates (ESU)” bietet die kostenpflichtige Option, den längeren Supportzeitraum zu nutzen.

Näheres dazu findet sich in meinem Artikel auf folgendem Blog:

[Support für Windows 7: Alles bleibt anders – michael wessel Blog]
https://blog.michael-wessel.de/2018/09/07/support-fr-windows-7-alles-bleibt-anders/

Möchte man z.B. AD Objekte auf einem Client ohne RSAT (Remote Server Administration Tools) abfragen, so bleibt einem lediglich der Zugriff auf die seit PowerShell v1.0 integrierten bzw. aus dem .NET Framework kommenden „ADSI“- und „ADSISearcher“-Klassen. Da der Umgang mit diesen nicht annährend so komfortable wie die Verwendung der Cmdlets aus dem Active Directory Snapin ist, habe ich einige Funktionen geschrieben, um dies zu vereinfachen. Die Funktionen findet man hier und die Parameter und Rückgabewerte der einzelnen Funktionen hier.

Natürlich ist das nur ein Bruchteil der über die ADSI-Schnittstelle möglichen Transaktionen, allerdings kann man anhand dieser weitere Funktionen schreiben.

Ein spannendes Beispiel ist, dass man z.B. über die Funktion „Add-GroupMemberByNetBIOS“ im Security-Context des Users ein neues Mitglied einer Gruppe hinzufügen kann, sofern der ausführende Benutzer das Attribut „member“ Gruppe bearbeiten darf. Dies kann man z.B. durch den Haken „Erlaube dem Besitzer die Mitgliederliste der Gruppe zu verändern“ in der Active Directory Users and Computers (ADUC) Konsole ermöglichen. Hierbei kann die SID auch aus einer anderen, mit dem aktuellen Forest vertrauten Domäne kommen. Sofern noch kein ForeignSecurityPrincipal für das neue Mitglied existiert, wird dies dabei von selbst erstellt und anstelle des Users berechtigt.

Führt man den Gedanken etwas weiter, wäre es hiermit zum Beispiel möglich, ein Self-Service-Tool für vereinfachte Gruppenverwaltung in PowerShell zu schreiben, welches auf jedem Client-PC auch ohne die Installation der Remote Server Administration Tools funktioniert.