Export von AD-Gruppenmitgliedern mit Informationen

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. H├Ąufig werden weitere Daten ben├Âtigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen ben├Âtigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung f├╝r die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese m├╝ssen nach Installation der passenden MSI ├╝ber „Programme und Features“ aktiviert werden. Anschlie├čend sollte noch der Dom├Ąnencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster ge├Âffnet in dem der ben├Âtigte Gruppenname eingetragen wird. Anschlie├čend wird eine Liste im Dokumente-Ordner des ausf├╝hrenden Benutzers erstellt. Diese enth├Ąlt in dieser Ausf├╝hrung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Modusabfrage zur GPO-Loopback-Verarbeitung

In manchen Dom├Ąnen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalit├Ąt an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenf├╝hren (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

  • Wert: 1 = Modus „Zusammenf├╝hren (Merge) aktiviert
  • Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
  • Kein Wert = Loopback-Verarbeitung deaktiviert

Endungen von servergespeicherte Profile

Seit Windows 7 werden servergespeicherte Profile f├╝r jede Betriebssystemversion getrennt voneinander betrachtet:

  • Windows 7 / Windows Server 2008 R2 verwendet die Erweiterung .V2
  • Windows 8 / Windows Server 2012 verwendet die Erweiterung .V3
  • Windows 8.1 / Windows Server 2012 R2 verwendet die Erweiterung .V4
  • Windows 10 verwendet die Erweiterung .V5
  • Windows 10 Anniversary Edition / Windows Server 2016 verwendet die Erweiterung .V6

Somit k├Ânnen sich Fehler nicht von einem zum anderen Build verteilen.

Trend Micro Officescan 11 – Neuer Patch 6134

Seit dem 05.10.2016 steht ein „Critical Update“ f├╝r das Produkt Officescan 11 aus dem Hause Trend Micro zur Verf├╝gung. Mit dem Build 6134 wird eine L├╝cke geschlossen. F├╝r G├Ąste, welche entsprechend nicht die Berechtigung haben sollten ├änderungen an der Webconsole des Clients vorzunehmen, wird dieses nun auch entsprechendes durchgesetzt.

This critical patch adds RBA rules in „TrendAuthDef.xml“ and enables the CGI console common to get more information┬áfrom the XML file. This helps ensure that users that do not have the required permissions cannot make changes to the OfficeScan 11.0 Service Pack web console.

Die Einspielung ben├Âtigt keinen Neustart des Server-Systems. Allerdings werden die Master-Dienste f├╝r die Aktualisierung deaktiviert. Anschlie├čend kann die neue Clientversion auf den bereits bekannten Wegen verteilt werden.

Update 20.12.2016:
Patch steht nicht mehr zur Verf├╝gung
Nachfolge-Version: hier

Speicherung von Passw├Ârtern unter WDigest verhindern

Zur Absicherung vor der Speicherung von Klartext-Passw├Ârtern sollte ein zus├Ątzlicher Registry-Eintrag vorgenommen werden:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Objekt: UseLogonCredential
Typ: REG_DWORD
Wert: 0

F├╝r Windows 7 muss vor der Nutzung dieses Registry-Keys auch ein Microsoft Sicherheitsupdate installiert werden: KB2871997

Durch den zu setzenden Registry-Wert wird die Speicherung von WDigest-Anmeldeinformationen im Arbeitsspeicher unterbunden. Somit ist ein Zugriff durch sicherheitsriskierende Applikationen deutlich eingeschr├Ąnkt.

Weitere Informationen: hier

EMET 5.51 steht mit Fehlerbehebung zur Verf├╝gung

Eine neue Version von „Enhanced Mitigation Experience Toolkit“ aus dem Hause Microsoft wurde Anfang des Monats eine neue Version 5.51 zur Verf├╝gung gestellt.

Diese stellt 2 Verbesserungen zur Verf├╝gung:

  • EMET 5.5 GUI crashing on startup
  • Unexpected BitLocker warning in EMET 5.5 when changing system-wide DEP setting

Weitere Informationen: hier

MS16-101 verhindert Abw├Ąrtskompatibilit├Ąt beim Kennwortwechsel

Durch das im August 2016 seitens Microsoft zur Verf├╝gung gestellte Update MS16-101 ist es nun nicht mehr m├Âglich┬áKennwort├Ąnderungen per NTLM durchzuf├╝hren.

NTLM ist bis zum Zeitpunkt des jeweiligen KB f├╝r das entsprechende Betriebssystem in der Lage Kennw├Ârter auch ohne die M├Âglichkeit eines Kerberos-Zugriffs per folgender Firewallports zu ├Ąndern:

  • 88 UDP/TCP
  • 389 UDP
  • 464 UDP/TCP

Entsprechend erh├Ąlt man eine Warnmeldung:

Das System hat eine m├Âgliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen k├Ânnen.

Wenn der Port 464 UDP/TCP, welcher im Regelfall das Problem ausl├Âst,┬ánicht zur Verf├╝gung steht, tauschte sich der Prozess des Kennwortwechsels per NTLM ausschlie├člich ├╝ber Port┬á88 UDP/TCP und dynamischen Ports aus. Dieses wird mit dem Sicherheitsupdate verhindert, so dass die Sicherheitsstufe erh├Âht und die M├Âglichkeit einer Sicherheitsproblematik erschwert wird.

Weitere Informationen: hier