Kategorie: Windows Server

Bereinigung des AD-Attributes SIDHistory

Posted on By Daniel Lensing Keine Kommentare zu Bereinigung des AD-Attributes SIDHistory

Nach dem in einem vorherigen Artikel der Export des Attributes SIDHistory dargestellt wurde, geht es heute um das Leeren des Feldes

Auch hier ist der Powershell-Code sehr ĂŒberschaubar:

$SAMID = $args[0]
import-module activedirectory
Get-ADGroup $SAMID -server "dc01.testingdomain.local" -Properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}

Empfehlung: Es sollten die ObjectSIDs genutzt werden. Bei diesen können Umlaute, Sonderzeichen und Leerzeichen ignoriert werden und funktionieren sehr zuverlÀssig

SelbstverstĂ€ndlich gibt es das ganze auch fĂŒr Benutzer:

$UserID = $args[0]
import-module activedirectory
Get-ADUser $UserID -server "dc01.testingdomain.local" -Properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Windows Server, Windows Server 2012

ZusÀtzliche Route in DHCP-Server setzen

Posted on By Daniel Lensing Keine Kommentare zu ZusÀtzliche Route in DHCP-Server setzen

Über die DHCP-Option im Windows-Server ist es möglich zusĂ€tzliche statische Routen zu definieren.

Es gibt allerdings 2 verschiedene Optionen, die nach Server-Version von einander abweichen:

  • Option 249 bei Windows Server 2003
  • Option 121 ab Windows Server 2008

Dort können wir manuell ĂŒber den Befehl NETSH Routen definiert werden. DafĂŒr werden folgende Daten benötigt:

  • Ziel-Range
  • Subnetmask der Zielrange
  • Gateway

Die Betriebssysteme ab Vista bzw. Windows Server 2008 können beide Optionen verarbeiten. Sollte man diese FunktionalitĂ€t fĂŒr Systeme vor den genannten Betriebssystemen (wie z.B. Windows XP) verwenden wollen, muss die Option 249 verwandt werden.

Windows Server, Windows Server 2012

Group Policy Preferences fĂŒr WinXP, Vista & 2003

Posted on By Daniel Lensing Keine Kommentare zu Group Policy Preferences fĂŒr WinXP, Vista & 2003

Da aufgrund des auslaufenden Supportes nicht nur Windows XP, sondern auch nach und nach Windows Server 2003 in den Infrastrukturumgebungen aufgelöst werden, ist es wahrscheinlich, dass auch die DomĂ€nenfunktionsebenen dem neu eingesetzten Betriebssystem angepasst werden. Entsprechend sind auch neue Funktionen zur VerfĂŒgung wie unter anderem der AD-Papierkorb.

Eine Option, welche direkt nach der Anhebung der DomĂ€nenfunktionsebene aktiv ist, sind die „Group Policy Preferences“ (GPP) mit denen Drucke, Laufwerke, Registrykeys, Benutzer und vieles weiter bearbeitet werden kann. Dieses kann auch fĂŒr Windows XP, Windows Vista und Windows Server 2003 genutzt werden, allerdings nicht ohne der Installation eines Addons durch ein Microsoft KB.

Mit diesem werden die Gruppenrichtlinieneinstellungs-Clienterweiterungen installiert und aktiviert. Entsprechend können auch die vorher genannten Betriebssysteme die Einstellungen verarbeiten

Weitere Informationen: Link

Windows Server, Windows Vista, Windows XP

SYSVOLREADY – Wenn der DC zu schnell startet

Posted on By Daniel Lensing Keine Kommentare zu SYSVOLREADY – Wenn der DC zu schnell startet

Bei einer DomĂ€nencontroller-Migration passierte fĂŒr mich etwas ungewöhnliches. Der DomĂ€nencontroller war hinzugefĂŒgt und die Betriebsmasterrolen ĂŒbertragen. FĂŒr einen Test trennte ich das Netzwerk vom abzulösenden Server und wollte mich an einem Client vergewissern, dass der Umzug erfolgreich war.

Leider griffen die Anmeldeskripte nicht mehr. Auch eine Freigabe NETLOGON auf dem  hinzugefĂŒgten DomĂ€nencontroller konnte nicht erreicht werden. Bei einem Blick auf den Server musste ich feststellen, dass die erforderliche Freigabeauf dem Server nicht verfĂŒgbar war.

Nach etwas Recherche fand ich einen Technet-Artikel, welcher mich zum Ziel fĂŒhrte:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Objekt: SysvolReady

Dieser Eintrag ist bereits vorhanden und wird auf dem Wert „1“ stehen. Dieser muss nun 2-mal gewechselt werden. Der Wert muss einmal auf „0“ und dann direkt wieder auf „1“ gesetzt werden.

Nach einem anschließenden Neustart steht die Freigabe NETLOGON wieder zur VerfĂŒgung.

Weitere Informationen: hier

Windows Server, Windows Server 2012

GPO: ZusÀtzliche Client-Dienste administrieren

Posted on By Daniel Lensing Keine Kommentare zu GPO: ZusÀtzliche Client-Dienste administrieren

Es gibt Software, die bei der Installation einen Dienst installieren. Es kann also auch zu einer Anforderung beim Bau von Gruppenrichtlinien kommen, wo man Dienste administrieren soll, die auf dem System, von wo aus diese erstellt werden soll, nicht vorhanden ist.

Der Dienst muss in Gruppenrichtlinien nicht ausgewÀhlt werden, sondern kann diesen auch per Tastatur definieren. Wichtig ist nur, dass man den Dienstnamen kennt und diesen entsprechend in der Gruppenrichtlinie verankern.

Dieses wird dann allerdings nicht unter den „Windows-Einstellungen / Sicherheitseinstellungen“ bei den „Systemdiensten“, sondern ĂŒber die Gruppenrichtlinien-Einstellungen (GPP) durchgefĂŒhrt.  Dort können Dienste auch hĂ€ndisch eingegeben werden.

Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012

SYSVOL – Deligierung der Berechtigung

Posted on By Daniel Lensing Keine Kommentare zu SYSVOL – Deligierung der Berechtigung

Um die Berechtigungen fĂŒr Anmeldeskripte zu vergeben muss der Bearbeiter das Recht des Schreibens im Ordner „Skripts“ unter dem „SYSVOL“ der DomĂ€ne.

Zwar wird das SYSVOL auf allen DomĂ€nencontrollern repliziert, was nicht fĂŒr Berechtigungen gilt. Diese muss auf allen DomĂ€nencontrollern manuell eingetragen werden. Ansonsten ist der Zugriff fĂŒr die berechtigten Administratoren nur auf dem angepassten DomĂ€nencontroller möglich.

Windows Server, Windows Server 2012

Admins setzen ihre AD-Passwörter selber

Posted on By Daniel Lensing Keine Kommentare zu Admins setzen ihre AD-Passwörter selber

Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen TĂ€tigkeit. Entsprechend kann es zu möglichen SicherheitslĂŒcken kommen, obwohl diese gar nicht eingeplant sind.

Wenn ein Benutzer zum Beispiel Mitglied der Gruppe  „Kontenoperator“ ist, ist es ihm möglich Passwörter zu zurĂŒckzusetzen. Das gilt allerdings dann auch fĂŒr sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.

In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe „Kontenoperatoren“ oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung „Self“ die folgenden Rechte verweigert bekommen:

  • Reset Passwort
  • Write Accountexpires
  • Write UserAccountControl

Über die Anpassung des Rechtes „Reset Passwort“ kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurĂŒcksetzen als Beispiel auf den alten Stand.

Durch die Anpassung des Rechtes „Write Accountexpires“ wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberstĂ€ndig zu editieren.

Mit der Anpassung der Berechtigung „Write UserAccountControl“ wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr ablĂ€uft.

Mit diesen Maßnahme ist eine deutliche Verbesserung der Sicherheit fĂŒr administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.

Windows Server, Windows Server 2012