Active Directory – Automatisch inaktive Computerkonten deaktivieren und E-Mail senden

Systembetreuer von Windows Domänen kennen das Problem. Wenn sich in kleineren Umgebungen nicht im Minimum ein Admin für das AD verantwortlich fühlt entsteht schnell ein Wildwuchs von Benutzer, Computern und Objekten. Auch ich stehe bei der Übernahme von Infrastrukturen häufiger vor dem Problem. Welche Konten sind noch aktiv und werden auch wirklich genutzt. Ein passendes PowerShell Skript muss her. Hier am Beispiel von Computerkonten. Ein weiteres Skript für Benutzer folgt. Weiterlesen

Windows Domäne – Neue Clients bei Domänenbeitritt automatisch in eine OU verschieben

Wer neue Clients und Server in die Windows Domäne aufnimmt kennt das Problem. Standardmäßig landen diese Systeme im Active Directory nicht in einer Organisationseinheit (OU) sondern im Standard-Container „Computers“. Anschließend verschiebt der Administrator den Client in die vorgesehene OU. Leider lassen sich aber Gruppenrichtlinien nicht mit Containern sondern ausschließlich auf OUs, Domänen oder AD-Standorten verknüpfen. Dabei vergisst der eine oder andere Admin gerne das System zu verschieben und erforderliche Gruppenrichtlinien greifen nicht.

Weiterlesen

FSMO Rollen mit der PowerShell übertragen

Wer im Systemhaus arbeitet kennt das Problem. Neuer neues Betriebssystem, update der internen Server und meist auch ein neuer Domänencontroller. Zum endgültigen abschalten des alten DC sollten dann noch die Betriebsmasterrollen, in der Microsoft-Welt auch FSMO Roles (Flexible Single Master Operations) genannt, übertragen werden. Dazu gibt es die für Windows Admins gerne genutzte GUI über die endsprechenden Managementkonsolen. Alternativ für Kommandozeilen Admins steht das NTDSUtil zur Verfügung. Beide Wege sind nicht unbedingt komfortabel und leider zeitraubend. Mit den PowerShell Modulen für Active Directory ergeben sich hier neue Möglichkeiten welche insbesondere den Admin der dieses regelmäßig macht wertvolle Lebenszeit spart. Weiterlesen

Mit der PowerShell 3 und wenigen Cmdlets zur Active Directory Gesamtstruktur

Die neue Windows PowerShell 3.0 in Windows Server 2012 bringt eine Vielzahl neuer Cmdlets auch zur Verwaltung oder Erstellung von Active Directory Gesamtstrukturen und Domänen. Wer sich Windows Administrator nennt kommt an dieser Stelle kaum noch um die PowerShell herum. Nachfolgendes kleines PowerShell Script erstellt einen neuen AD-Forest mit nur 5 Cmdlets. Bitte beachtet dass eine feste IP-Adresse und ein sinnvoller Computername im Vorfeld gewählt werden sollten. Weiterlesen

Bitlocker Schlüssel im Active Directory speichern

Auf der Suche nach einer Anleitung wie ich den Bitlocker Wiederherstellungsschlüssel in einer 2008/2008R2 Active Directory Umgebung im AD speichern kann bin ich auf folgenden Artikel von Daniel Nitz gestoßen:

http://www.ntsystems.it/post/TPM-BitLocker-Schlussel-in-AD-DS-speichern.aspx

Er hat dieses bereits sehr gut dokumentiert und so erspare ich mir hier weitere detaillierte Ausführungen.

Eine Anmerkung möchte ich hier noch hinzufügen. Der Schlüssel wird erst ab der Durchsetzung der GPOs im AD gespeichert. Alle schon verschlüsselten Systeme im Unternehmen werden Ihren Schlüssel nicht im AD speichern. Hier hilft der manuelle Aufruf von MANAGE-BDE:

Daten per PowerShell aus einer Oracle Datenbank als XML ausgeben und mit Active Directory abgleichen

In diesem Beitrag möchte ich zeigen, wie man Daten aus einer Oracle Datenbank liest und das Abfrageergebnis als XML Dokument speichert. Dieses XML Dokument soll dann dazu genutzt werden, einzelne Benutzerattribute im Active Directory zu aktualisieren und somit die richtige Datenbasis für den SharePoint Organisationsbrowser zu schaffen.

Ich habe dies per PowerShell realisiert Weiterlesen

SharePoint 2010 Organisationsbrowser anpassen oder aus dem AD synchronisieren

Der SharePoint Organisationsbrowser bietet eine schöne hierarchische Darstellung der Domänen-Benutzer bzw. der Unternehmensmitarbeiter über einen Webpart oder die persönliche Webseite im SharePoint. Bedingung dafür ist allerdings ein gepflegtes Active Directory mit gefüllten Attribut Manger für den Vorgesetzten, Telefon usw. Nach dem Einrichten des Benutzerprofil- und des Benutzerprofil-Synchronisierungs-Dienstes, steht der Organisationsbrowser schon mit Information zur Verfügung und kann eingebunden werden. Weiterlesen

SharePoint – Kerberos, NTLM und SPN

Eine Authentifizierung über Kerberos (auch Aushandeln genannt) hat schon seine Vorteile. Man hat es beispielsweise etwas schwerer mit Angriffen auf das System. Anders gesagt: Man hat weniger Erfolge. Nur ist es gewissermaßen etwas aufwändiger einzurichten und zu pflegen. Einigen wird dies sicher noch gar nicht bewusst sein, aber ich werde es im Folgenden etwas genauer – trotzdem aber kurz und knapp – erläutern.

Weiterlesen