Alexander Damm

Über Alexander Damm

Seit Windows Server 2000 beschäftige ich mich mit den Betriebssystemen von Microsoft. Dabei liegen meine Schwerpunkte auf Active Directory, Exchange Server, Lync bzw. Skype for Business, Cloud Services wie Office 365 oder Azure sowie Security Analysen, Lösungen und Konzepte. Beruflich agiere ich als System Consultant für die datom GmbH aus Dresden und freue mich auf ihre Anmerkungen oder Anfragen.

Office 365 – E-Mail Archivierung, Online-Archiv und GDPdU

Seit Anfang des Jahres haben sich die gesetzlichen Bestimmungen zum Thema Archivierung elektronischen Datenverkehrs noch einmal deutlich verschärft. Auch die Strafen bei Nichteinhaltung der Archivierungspflicht wurden deutlich erhöht und können im Einzelfall bis zu 50.000 Euro betragen. Das einige Unternehmen trotz intensiver Beratung dieses Thema immer noch ignorieren ist darum fragwürdig. Der Beitrag heute richtet sich darum nur um die Möglichkeiten der Archivierung nach den „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ kurz GDPdU in Office 365. Weiterlesen

Office 365 Pro Plus oder Business mit Hilfe der configuration.xml anpassen

Mit Office 365 bietet Microsoft eine Vielzahl von Diensten, Apps und Anwendungen an. An vielen Stellen geht Microsoft aber davon aus, dass der Endbenutzer sich die einzelnen Dienste auch selbst auf dem PC oder Smartphone installiert und konfiguriert. So zum Beispiel auch beim Office Paket. Im Unternehmen sehen das die Administratoren aber anders. An dieser Stelle sollten die Benutzer noch nicht einmal die Rechte haben eigenständig Software zu installieren. Administratoren müssen demnach auch weiterhin Software konfigurieren und verteilen. Weiterlesen

Office 365 – Automatische Lizenzierung von Benutzern

Gerade in etwas größeren Office 365 Umgebungen erfolgt die Synchronisierung von Benutzern meist automatisch über Azure AD Connect. Dabei ist das Thema Authentifizierung dann meist via Password-Sync oder ADFS-Verbund geregelt. Die Lizenzierung der Benutzer erfolgte dann aber meist händisch oder über ein PowerShell Skript und war somit zusätzlicher Aufwand oder bedeutet Zeitverzug. Weiterlesen

Active Directory – Automatisch inaktive Computerkonten deaktivieren und E-Mail senden

Systembetreuer von Windows Domänen kennen das Problem. Wenn sich in kleineren Umgebungen nicht im Minimum ein Admin für das AD verantwortlich fühlt entsteht schnell ein Wildwuchs von Benutzer, Computern und Objekten. Auch ich stehe bei der Übernahme von Infrastrukturen häufiger vor dem Problem. Welche Konten sind noch aktiv und werden auch wirklich genutzt. Ein passendes PowerShell Skript muss her. Hier am Beispiel von Computerkonten. Ein weiteres Skript für Benutzer folgt. Weiterlesen

SharePoint – Workflow für alle Einträge einer Liste mit der PowerShell starten

SharePoint Workflows sind ja grundlegend eine tolle Sache. Was sie wirklich schlecht können sind mit Zeiten und bestimmten Auslösern zu agieren. Einzig die Möglichkeit „Bis Datum anhalten“ oder „Für Dauer anhalten“ stehen zur Verfügung. Ändert man eine Listeneintrag in einer SharePoint Bibliothek an welchem bereits ein Workflow im Status „angehalten“ läuft so werden diese Änderungen nicht im Workflow verarbeitet. Nur ein Beenden und neu starten des Workflows hilft wobei mir hier kein Automatismus bekannt ist. Weiterlesen

Internet Explorer – Sicherheitszonen via Gruppenrichtlinie und Registry Keys

Selbst wenn Microsoft mittlerweile den EDGE Browser etablieren möchte so ist insbesondere im Unternehmensnetzwerk der Internet Explorer durch seine starke Integration in das Betriebssystem unabdinglich. Weiterhin setzt auch Microsoft bei seinen Anwendungen immer mehr auf webbasierte Oberflächen welche SSO (Single Sign-on) Funktionalitäten benötigen. Das beste Beispiel dazu ist zum Beispiel Office 365 oder aber auch Skype for Business oder SharePoint. Dabei wird das durchreichen von Anmeldeinformationen in eine Browsersitzung unter anderem durch die Sicherheitszonen im Internet Explorer geregelt. Auch die Ausführung von benötigten Skripten ist standardmäßig durch die Zonen reglementiert. Weiterlesen

Mal wieder… Vertrauensstellung zur Domäne verloren

Auch dieses Problem gehört zum Alltag eines Microsoft Admin. Der Benutzer ruft an und kann sich nicht anmelden. Das System meldet sich mit der Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“. Ursachen hierfür gibt es leider viele. Manchmal hat das System die Domäne zu lange nicht gesehen, Kerberos oder Zeitprobleme sind ebenfalls nicht selten. Aber auch eine defekte Netzwerkkarte hat in meiner Praxis schon einmal zu diesem Phänomen geführt. Weiterlesen

Windows Domäne – Neue Clients bei Domänenbeitritt automatisch in eine OU verschieben

Wer neue Clients und Server in die Windows Domäne aufnimmt kennt das Problem. Standardmäßig landen diese Systeme im Active Directory nicht in einer Organisationseinheit (OU) sondern im Standard-Container „Computers“. Anschließend verschiebt der Administrator den Client in die vorgesehene OU. Leider lassen sich aber Gruppenrichtlinien nicht mit Containern sondern ausschließlich auf OUs, Domänen oder AD-Standorten verknüpfen. Dabei vergisst der eine oder andere Admin gerne das System zu verschieben und erforderliche Gruppenrichtlinien greifen nicht.

Weiterlesen

Windows Client oder Server vom USB Stick installieren

Nur ein kleiner Beitrag zur Erstellung eines USB Sticks für ein Boot von USB zur Installation von Windows ab Version Windows Vista bis zum aktuellen Windows 10. Auch Server lassen sich, solange die Hardware das Starten von USB unterstützt mit einem USB Stick betanken. Da ich immer auf vielen verschiedenen Systemen unterwegs bin müssen Bordmittel herhalten. Die sind halt immer zur Hand :-). Wer eine UEFI Installation anstrebt sollte aber vorsichtig sein. Nicht alle Systeme unterstützen einen UEFI Boot von USB und somit ist auch keine UEFI Installation möglich. Weiterlesen

Windows 10 und Windows Server 2016 – Mal etwas rumgedockert

Mit Windows 10 ab Version 1607 und Windows Server 2016 wurden eine Menge neue Features in die Betriebssysteme gebracht. Zeit mal wieder etwas zu basteln und gleich mal drei dieser Funktionen zu testen. Hierbei handelt es sich um Nested Virtualization, PowerShell Direct und Container bzw. Docker. Weiterlesen

Windows Server 2016 – NANO Server als Member in der Domäne

Über die Installation eines NANO Servers habe ich bereits in einer TP4-Version von Windows Server 2016 berichtet. Dabei hat sich die Installation zur aktuellen Version nur unwesentlich geändert. Für die Praxis sehe ich auch weiterhin Einsatzszenarien für den NANO Server. Dabei stellen sich dem klassischen Windows Admin einige Hürden welche er bewältigen muss. Eine davon könnte zum Beispiel sein einen NANO Server zum Mitglied einer Domäne zu machen. Hierbei sei erwähnt, dass einem NANO Server keine Befehle wie NETDOM oder das Cmdlet Add-Computer zur Verfügung steht. Weiterlesen

Windows Server 2016 und Windows 10 – virtuelles NAT Switch

Mit Windows Server 2016 und Windows 10 in der Version 1511 wurde endlich eine Möglichkeit implementiert virtuelle Hyper-V Switche NAT fähig zu machen. Über Sinn und Unsinn in einer produktiven Umgebung kann man sich streiten. Für Test-Szenarien am Windows 10 Client aber auch für Testumgebungen im eignen Windows Rechenzentrum können sie dennoch ein Rolle spielen. Test man zum Beispiel das Restore einer VM oder prüft vorab diverse Update-Szenarien so bietet sich ein virtuelles NAT-Switch zum isolieren von der Produktivumgebung durchaus an. Weiterlesen

FSMO Rollen mit der PowerShell übertragen

Wer im Systemhaus arbeitet kennt das Problem. Neuer neues Betriebssystem, update der internen Server und meist auch ein neuer Domänencontroller. Zum endgültigen abschalten des alten DC sollten dann noch die Betriebsmasterrollen, in der Microsoft-Welt auch FSMO Roles (Flexible Single Master Operations) genannt, übertragen werden. Dazu gibt es die für Windows Admins gerne genutzte GUI über die endsprechenden Managementkonsolen. Alternativ für Kommandozeilen Admins steht das NTDSUtil zur Verfügung. Beide Wege sind nicht unbedingt komfortabel und leider zeitraubend. Mit den PowerShell Modulen für Active Directory ergeben sich hier neue Möglichkeiten welche insbesondere den Admin der dieses regelmäßig macht wertvolle Lebenszeit spart. Weiterlesen

Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Amazon Konto mit Zwei-Faktor-Authentifizierung absichern

Ich habe bereits einen Artikel zum Thema Zwei-Faktor-Authentifizierung geschrieben. Hierbei wird zusätzlich zum Passwort ein zweiter Faktor, in den meisten Fällen ein Code über eine Authenticator App oder eine SMS, benötigt um Zugriff auf sein Konto zu erhalten. Ich nutze die Zwei-Faktor-Authentifizierung bereits seit Jahren für Facebook, Microsoft, Google und TeamViewer. Mittlerweile ist es auch möglich sein Amazon Konto zu schützen aber leider noch nicht über die deutsche Webseite. Hier fehlt bisher die Einstellung. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen – PowerShell Script

Bereits im letzten Beitrag habe ich auf den Ansatz von Frankys Web Blog zum Schutz von Dateiservern vor Ransomware hingewiesen. Gerade für Administratoren welche diese Arbeit ggf. an vielen Systemen durchführen müssen habe ich ein PowerShell Skript erstellt welche die Aufgabe vollständig automatisiert. Das Skript funktioniert ab Windows Server 2012 R2. Weiterlesen

Windows Dateiserver vor Verschlüsselungstrojanern schützen

Über ein paar Kollegen bin ich auf diesen Ansatz zum Schutz von Windows Fileservern vor Ransomware und Cyrpto Lockern gestoßen. Dabei wird der Ressourcen-Manager für Dateiserver genutzt um entsprechende Dateiendungen oder Inhalte von Ordnern zu sperren und die User und Administratoren per Mail zu informieren. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen