Wir haben unser AD-Dokumentationswerkzeug José wieder einmal leicht aktualisiert. Folgende Änderungen enthält das Update auf Version 3.8:

• Der Dateien-Ordner ist jetzt ein Unterordner von „Reports“ – dadurch kann man endlich den ganzen Reports-Ordner kopieren und hat alles beisammen, was zu einem Report gehört
• Exchange-Schema-Versionen ergänzt (2013 CU7-9 und 2016 Preview)

Wie immer findet ihr die neue Version auf der José-Seite bei uns:

http://www.faq-o-matic.net/jose/

Die englische Fassung haben wir ebenfalls aktualisiert, sie liegt unter:

http://www.faq-o-matic.net/jose-en/

Und alles Wissenswerte zu José lest ihr hier:

http://www.faq-o-matic.net/kategorien/active-directory/jose/

Wer kennt das nicht? Einfach per Gruppenrichtlinien das Kennwort des lokalen Administrators ändern oder Tasks mit Nutzer anlegen usw. usf. Seit Windows Server 2008 konnte man mit der Software von Policymaker aus der DesktopStandard-Übernahme viele Aufgaben mittels GPO konfigurieren. Der Nachteil daran war, dass die verwendeten Kennworte zwar verschlüsselt im SYSVOL-Verzeichnis abgelegt waren, allerdings muss jeder Client diese natürlich wieder entschlüsseln können. Also kann immer nur symmetrisch verschlüsselt werden. Der Schlüssel ist bei Microsoft entsprechend dokumentiert http://msdn.microsoft.com/en-us/library/cc422924.aspx. Damit ist grundsätzlich jeder mit Zugriff auf das SYSVOL-Verzeichnis in der Lage die Kennworte auch auszulesen: http://www.gruppenrichtlinien.de/artikel/get-gpppasswordps1-kennworte-im-xml-in-plaintext-umwandeln/ und http://www.faq-o-matic.net/2014/07/02/ms14-025-das-ende-der-gespeicherten-gpo-passwoerter/

Aus diesem Grund hat Microsoft schon im Mai 2014 mit einem Patch die Funktion zur Eingabe von Passworten entfernt: https://support.microsoft.com/de-de/kb/2962486. Das hatte allerdings zur Folge, dass bereits vergebene Kennworte auch nicht mehr entfernt werden konnten und seitdem im SYSVOL-Nirvana schwebten und damit immer noch entschlüsselt werden können. Das von Microsoft im obigen Link empfohlene Vorgehen zum Entfernen ist relativ unhandlich durchzuführen und führt dazu, dass offenbar viele das Problem ignorieren oder nicht bis zum Ende durchführen (https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security).

… weiterlesen

Wer nicht zur Community-Konferenz cim in Lingen kommen kann, hat trotzdem die Möglichkeit, live an dem Event teilzuhaben. Wie schon im letzten Jahr wird das Orga-Team wieder alle Vorträge live ins Web streamen. Alle Details dazu finden sich in Kürze auf der cim-Seite:

http://www.cim-lingen.de/

Das Upgrade auf Windows 10 bringt einen möglichen Rückweg zur vorherigen Betriebssysteminstallation mit. In der App „Einstellungen“ unter „Update und Sicherheit“, „Wiederherstellung“ ist die Option zu finden. Neben der Einstellungen-App gibt es die Systemsteuerung, welche ebenfalls einen Punkt „Wiederherstellung“ enthält. Das kann irritieren, denn dort sind erweiterte Wiederherstellungstools untergebracht, jedoch nicht die Möglichkeit der Rückkehr zur vorherigen Betriebssysteminstallation. Immerhin gibt es dort eine Verknüpfung in Textform zu den Einstellungen.

Innerhalb eines Monats nach der Aktualisierung auf Windows 10 sollte man sich für die Rückkehr zum alten System (beispielsweise Windows 7, Windows 8 oder Windows 8.1) oder endgültig für das neue Betriebssystem entscheiden.

„Diese Option ist nach dem Upgrade auf Windows 10 nur einen Monat verfügbar.“, weist die Beschreibung auf den Ablauf dieser Möglichkeit hin.

Die zur Wiederherstellung des alten Betriebssystems erforderlichen Daten liegen im Dateiordner %SYSTEMDRIVE%\Windows.old und belegen dort einigen Speicherplatz, bei mir ca. 20 GB. Sicherlich ist es sinnvoll, diese Daten früher oder später loszuwerden.

… weiterlesen

Vor einigen Tagen haben wir in einem Blog-Artikel auf einige Sicherheitsprobleme im Zusammenhang mit “WiFi-Sense” (zu deutsch: WLAN-Optimierung) in Windows 10 hingewiesen. Nun hat Microsoft einen Artikel veröffentlicht, der beschreibt, wie man die Funktion in einem Unternehmensnetzwerk zentral abschalten kann:

[How to configure Wi-Fi Sense on Windows 10 in an enterprise]
https://support.microsoft.com/en-us/kb/3085719

Aus diesem Artikel wird deutlich, dass es derzeit keine wirklich sinnvolle Funktion dazu gibt: Entweder man schaltet WiFi-Sense direkt bei der unbeaufsichtigten Installation ab. Oder man verteilt einen Registry-Key an bereits laufende Installationen. Offenbar hat man in Redmond vergessen, dafür eine Gruppenrichtlinien-Einstellung vorzusehen …

Die Community-Konferenz cim in Lingen (Community in Motion) hat in diesem Jahr ein besonderes Goodie: Am Tag vor der eigentlichen Konferenz (also am 18. September) gibt es ein Preconf-Seminar zur PowerShell mit dem Scripting-Guru Dr. Holger Schwichtenberg.

Einen ganzen Tag lang führt Holger in das wichtige Instrument der PowerShell ein und erarbeitet mit den Teilnehmern viele Praxisszenarien. Natürlich direkt am Rechner mit “Hands-on”!

Als besonderes Bonbon erhält jeder Teilnehmer Holgers aktuelles Praxisbuch zur PowerShell. Das Ganze gibt es zum einmaligen Sonderpreis, der zur Hälfte an die Orga der cim-Konferenz geht.

Wer den Kurs bucht, erhält darüber hinaus auch ein Ticket für die Hauptkonferenz am 19. September, die eigentlich bereits ausgebucht ist.

Hier geht’s lang:

[cim lingen | community in motion – cim Special PowerShell Workshop]
http://www.cim-lingen.de/cim-special-powershell-workshop/cim-special-powershell-50-praxis-workshop-mit-powershell-gur.html

Dieser Artikel erschien zuerst auf Ralfs Blog.

Der SPN, oder ausgeschrieben “Service Principal Name”, ist essentiell für Kerberos Authentifizierungen unter Windows notwendig. Die Profis mögen mir eine stellenweise drastische Vereinfachung in der kommenden Beschreibung verzeihen, mir geht es um das Verständnis…

Meldet sich ein Benutzer an einer Domäne an, dann bekommt er (wenn er sich erfolgreich authentifizieren konnte) vom Domain Controller ein sogenanntes TGT, ein “Ticket Granting Ticket”. Im realen Leben wäre das etwa vergleichbar mit dem Personalausweis (nach Vorlage einer Geburtsurkunde). Will der Benutzer jetzt auf eine Freigabe auf dem Server “file1″ zugreifen, so wendet er sich erneut vertrauensvoll an den DC und erbittet (unter Vorlage seines TGT) ein Session Ticket für den Dienst “CIFS” auf Server “file1″. Der DC durchsucht seine – jetzt kommt’s – Liste der SPNs nach etwas wie “cifs/file1″ oder “host/file1″. Diese Liste entsteht zum Beispiel bei Aufnahme von Servern in die Domäne und wird von den DCs gepflegt. Zu diesen SPNs gehören dann Schlüssel und weitere Attribute, die der DC verwendet, um dem anfragenden Client eine Zutrittsgenehmigung, ein Session Ticket, ausstellen zu können.

… weiterlesen

Auf meinem Blog findet sich eine sechsteilige Serie mit Artikeln zur Anbindung von Linux-Systemen und -Applikationen an Active Directory.

[Interop 1: LDAP-Anfragen von Linux an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-1-ldap-anfragen-von-linux-an-ad/

[Interop 2: Benutzerinfos für Linux per LDAP aus AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-2-benutzerinfos-fur-linux-per-ldap-aus-ad/

[Interop 3: Linux Benutzer per LDAP an AD authentifizieren | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-3-linux-benutzer-per-ldap-an-ad-authentifizieren/

[Interop 4: Linux Benutzer per Kerberos am AD authentifizieren | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-4-linux-benutzer-per-kerberos-am-ad-authentifizieren/

[Interop 5: Samba mit Kerberos an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-5-samba-mit-kerberos-an-ad/

[Interop 6: Apache mit Kerberos an AD | do not forget]
https://ralfwigand.wordpress.com/2014/01/04/interop-6-apache-mit-kerberos-an-ad/

Eine ADFS-Installation kann man leider nur schwer testen. Meist fehlt es an dem „Gegenstück“, also an einer Web-Applikation, die eine SAML-Anmeldung entgegennimmt.

In seiner Blog-Serie zum Aufbau einer ADFS-Testumgebung hat Microsoft eine simple Beispiel-Applikation veröffentlicht, die hier gute Dienste leistet. Diese Applikation macht eigentlich gar nichts – sie lässt nur eine ADFS-Anmeldung zu und zeigt dann das SAML-Token an. Dadurch eignet sich diese Applikation besonders gut, wenn man „Claim Rules“ in ADFS definieren muss, um bestimmte Attribute und Werte zu übergeben. In diesem Fall kann man die Rules mit dieser Applikation entwickeln und testen und sieht sofort, ob die richtigen Daten übergeben werden.

… weiterlesen

Holger Voges von Netz-Weise hat ein kleines E-Book zur Einführung in die PowerShell veröffentlicht. Es richtet sich an Einsteiger und stellt systematisch die Grundlagen dar. Natürlich spart Holger nicht mit Praxisbeispielen, etwa zur Verwaltung von Active Directory.

Das E-Book kann man hier kostenlos herunterladen:

http://www.netz-weise-it.training/fileadmin/redaktion/Weisheiten/Dokus/Powershell_Grundlagen_und_AD.pdf