Am 12. Mai 2016 findet die erste Cloud & Datacenter Conference Germany statt. Organisator Carsten Rachfahl und sein Team haben geradezu ein IT-Festival zusammengestellt mit einer Sprecher-Auswahl, die ihresgleichen sucht.

In Zusammenarbeit mit der CDC verlosen wir in dieser Woche ein Ticket zur Teilnahme im Wert von 129 Euro (netto).

Alles Wichtige zur Verlosung findet ihr auf unserer Verlosungsseite:
http://www.faq-o-matic.net/cdc-verlosung/

In Lingen wird dieses Jahr das Dutzend voll: Die zwölfte Ausgabe der IT-Community-Konferenz cim (früher: ice) findet am 27. August 2016 statt. Diesen Termin sollte man sich reservieren!

Wer als Sprecher teilnehmen möchte, kann sich ab sofort bewerben:

[cim lingen | community in motion | Call for Participation – news]
http://www.cim-lingen.de/news/call-participation.html

Auch Sponsoren werden wieder gesucht:

[cim lingen | community in motion – sponsoren]
http://www.cim-lingen.de/sponsoren/call-sponsoring.html

VMware vSphere hat ein ausgefeiltes Berechtigungssystem, das mit seiner Rollen-Orientierung recht modern ist. Die Bedienung ist für Windows-Admins vielleicht etwas ungewohnt, aber nach etwas Einarbeitung kann man gut mit Active-Directory-Gruppen arbeiten, um detaillierte administrative Rechte innerhalb von vSphere zu vergeben.

Es kann allerdings vorkommen, dass Änderungen an Gruppenmitgliedschaften nicht wirksam werden. Ein Admin, dessen vSphere-bezogene Gruppen sich geändert haben, erhält so nicht die Berechtigungen, die er haben sollte. Stattdessen hat er die Berechtigungen, die er vorher hatte (die nun aber geändert sein sollte).

Dem erfahrenen Windows-Admin kommt das bekannt vor: Klar, wenn man neue Gruppen hat, muss man sich neu anmelden.

Manchmal hilft das aber nicht weiter: Auch nach der Neuanmeldung zeigt der vSphere-Client noch die alten Rechte. Prüft man die Gruppenmitgliedschaften, so sollten aber tatsächlich die “neuen” Rechte gelten. Was nun?

… weiterlesen

Der Softwarehersteller Altaro stellt ein kostenloses E-Book zu Monitoring und Optimierung der Performance von Hyper-V-Systemen bereit. Autor Paul Schnackenburg stellt dabei in kompakter Form einige Bordmittel, Tools und Hintergründe zum Thema vor. Das E-Book wendet sich vor allem an “gestresste” Admins, die keine langen Abhandlungen suchen, sondern einen schnellen Einstieg.

Hier geht’s lang:

[Supercharging Hyper-V Performance – Optimizing Hyper-V Host]
http://www.altaro.com/hyper-v-backup/ebook/supercharging-hyper-v-performance-ebook.php

Bisher war die Bewertung der Clientsysteme bezüglich ihrer Kompatibilität für eine erfolgreiche Windows-10-Migration nur durch manuelle Abfragen über den Configuration Manager möglich. Man konnte z.B. über selbst definierte Reports oder Queries die Kompatibilitätschwellenwerte abfragen.

Microsoft hat sich dieses Themas angenommen und hat am 24.03.16 ein neues Tool hierfür veröffentlicht.

Mit dem „ConfigMgr Upgrade Assessment Tool“ ist es nun möglich, diese Abfragen out of the box auf einem Configuration Manager Site Server zu installieren. Das Tool erstellt Reports, welche auf den aktuellen Anforderungen von Windows 10 basieren.

Hier geht’s zum Blogpost:

https://www.sepago.de/blog/2016/03/31/kompatibilitaetspruefung-fuer-die-migration-auf-windows-10-mit-dem-configmgr-upgrade

Microsoft, das Bundeskriminalamt (BKA) und das Bundesinnenministerium haben bestätigt, dass der neue “Bundestrojaner” auch als reguläres Windows-Update verbreitet werden wird. Hierüber hatte es Spekulationen gegeben, nachdem vor Kurzem bekannt geworden war, dass der “Bundestrojaner 2.0” kurz vor der Genehmigung steht.

Zu diesem überraschenden Schritt haben die Behörden und der Softwarehersteller ausdrücklich aufgrund der Auseinandersetzung von Apple und dem FBI in den USA entschlossen. “Apple hat völlig Recht, sich gegen die Anordnung zum Knacken seiner eigenen Verschlüsselung zu sperren”, betonte Claudia Porta, Sicherheitsexpertin bei Microsoft Deutschland. “Der ganze Rechtsstreit war ja nur nötig geworden, weil das FBI keinen legalen Weg hatte, an die Daten zu kommen. Dies umgehen wir, wenn der Bundestrojaner als regulärer Teil von Windows implementiert ist.” Das sei im Prinzip nichts anderes als das, was Apple sonst auch in den USA praktiziere: “Bislang hat Apple den Behörden entschlüsselte Kundendaten übergeben, ohne mit der Wimper zu zucken”, so Porta. In diesen Fällen habe ohnehin eine Schnittstelle für den Staat vorgelegen. Nur im letzten Fall, der nun solche Wogen schlage, sein das nicht so gewesen. “Das hätte man ja auch eleganter machen können. So wie wir jetzt”, kann sich die Microsoft-Mitarbeiterin einen Seitenhieb nicht verkneifen.

Aus Sicht des BKA und des Innenministeriums umgeht das Trojaner-Update für Windows auch eine rechtliche Hürde: “Eigentlich kann man so gar nicht mehr von einem Trojaner sprechen”, so BKA-Sprecher Lothar Irpa. Ein herkömmlicher Trojaner müsse gegen den Willen des Anwenders eine Hintertür öffnen, was juristisch nicht immer ganz einfach sei. “In unserem Fall müssen wir dem Anwender nichts mehr unterjubeln, denn es ist ja schon längst da.” Normale Anwender müssten von der BKA-Software nichts befürchten: “Wir aktivieren sie nur gegenüber Kriminellen”, beruhigt die Staatssekretärin im Innenministerium Hella Mertniss. Damit sei dies auch kein Fall für die Datenschützer, denn es würden keine Daten unbescholtener Personen übertragen.

Sicherheitsspezialisten rechnen damit, dass das Windows-Update mit der Nummer 16040114, das den Bundestrojaner 2.0 enthält, schon am nächsten Patchday, also noch im April, ausgerollt wird. Alle aktuellen Windows-Versionen werden damit versorgt.

In einer Support-Situation stellte sich die Frage, welche Felder eigentlich übernommen werden, wenn man ein Benutzerobjekt kopiert.

Dazu muss man wissen, dass dieser Kopiervorgang nicht durch Active Directory selbst erfolgt, sondern durch das Verwaltungswerkzeug. Dieses sollte sich dabei an die Vorgaben des AD-Schemas halten, denn dort ist hinterlegt, welche Attribute “kopierbar” sind. Je nachdem, mit welchem Tool man arbeitet, kann es also durchaus Unterschiede geben.

Da dieser Mechanismus schon in der “Urfassung” des Active Directory enthalten war, ist er leider nicht besonders bequem implementiert worden. Das AD-Schema speichert diese Vorgabe in einem Bitmap-Feld, bei dessen Werten jedes Bit eine eigene Bedeutung hat. Hier geht es um das Attribut “searchFlags”, das Florian Frommherz vor einiger Zeit hier beschrieben hat:

[Florian’s Blog > The searchFlags attribute and its values]
http://www.frickelsoft.net/blog/?p=151

… weiterlesen

Credential Guard nutzt (genau wie das Windows-10-Feature Device Guard) eine neue Komponente des Betriebssystems, genannt „Virtualization-based Security“. Diese Komponente stellt im Betriebssystem über die Virtualisierungstechnik eine stark gesicherte Ebene bereit.

Auf dieser Ebene werden bei aktiviertem Credential Guard „Secrets“ (Passworthashes, Kerberos Tickets) abgelegt. Diese sind isoliert vom Rest des Betriebssystems und somit deutlich besser geschützt als in vergangenen Windows Versionen.

Näheres darüber findet sich in diesem Blogpost:

[Windows 10 Enterprise Serie: Schütze deine Credentials – Credential Guard – sepago.de]
https://www.sepago.de/blog/2016/03/17/windows-10-enterprise-serie-schuetze-deine-credentials-credential-guard

Neulich fiel mir auf einem Windows Server 2012 R2 folgende Warnung in der Ereignisanzeige des Anwendungsprotokolls auf:

„Fehler bei der Installation des Kaufnachweises aus der ACPI-Tabelle. Fehlercode: 0xC004F057“
Quelle: Security-SPP
Ereignis-ID: 1058

Der Server wurde mit Windows Server 2012 R2 als OEM ausgeliefert. Da ich generell vorinstallierte Server mit Betriebssystem nicht mag, weil man nie weiß was der Hersteller da noch so installiert, installierte ich den Server selber von Hand neu.

Natürlich dachte ich sofort an die Aktivierung, vermutlich war diese noch nicht geschehen. Der Server-Manager zeigte jedoch, dass die Installation aktiviert war.

Nach der erneuten Eingabe des OEM-Produktschlüssels war die Installation immer noch aktiviert, aber die Warung in der Ereignisanzeige war verschwunden.

Dieser Artikel erschien zuerst auf dem Blog Consulting-Lounge.de.

Ein PowerShell-Skript, das wir jetzt in der TechNet Gallery veröffentlicht haben, kann Active-Directory-Gruppen ausfindig machen, die Mitglied von sich selbst sind.

Die Beschreibung mag erstmal anmuten, als wäre das selten und unmöglich, aber auch Großunternehmen haben mit diesem Phänomen hin und wieder ihre Problemchen. Häufig können Anwendungen nicht damit umgehen, bleiben stehen, werfen Fehler oder stürzen sogar ab – abgesehen davon, dass es halt auch einfach Quatsch ist.

Die Benutzung ist denkbar einfach: Ausführen, Lesen, Prüfen und manuell Korrigieren.

Die Korrektur wäre natürlich auch automatisiert denkbar, würde aber schwerlich sicher das richtige Ergebnis liefern. Benötigt wird das AD-Modul und es kann losgehen, an Zugriffsrechten sind ausschließlich Leserechte vorausgesetzt, da das Script wie gesagt nicht schreibt.

Das Skript findet sich hier:

[TechNet Get Circular Nested AD Groups]
https://gallery.technet.microsoft.com/Get-Circular-Nested-AD-491145d1