Archives for

Externe Zeitquelle auf Domain Controller einrichten

Der Domain Controller, der die FSMO-Rolle des PDC-Emulators hält, wird innerhalb der Domäne als Zeitquelle publiziert. Dieser DC sollte wiederum mit einer externen Zeitquelle abgeglichen werden (im Beispiel mit den 3 Atomuhren der Physikalisch-Technischen Bundesanstalt). Diese Befehle müssen der Reihe nach auf der CMD ausgeführt werden:

     w32tm /config /syncfromflags:manual /manualpeerlist:”ptbtime1.ptb.de, ptbtime2.ptb.de, ptbtime3.ptb.de”

     w32tm /config /reliable:YES /update

     w32tm /resync

Anschließend sollten die Events 37 und 143 im Systemlog protokolliert werden. Schlägt die Synchronisation mit den externen Quellen fehl, sollte auf entsprechende Firewallregeln geprüft werden (NTP).

Read More

Adobe Reader Update per Gruppenrichtlinie deaktivieren

Zum Deaktivieren der Adobe Reader Updatefunktion, lässt sich ein entsprechender Registry-Key verteilen:

1) >Computerkonfiguration >Einstellungen >Windows Einstellungen >Registrierung
2) >Neu >Registrierungselement
3) Aktion: Aktualisieren
4) Struktur: HKEY_LOCAL_MACHINE
5) Schlüsselpfad: SOFTWARE\Adobe\Adobe ARM\1.0\ARM
6) Name: iCheckReader
7) Werttyp: REG_DWORD
8 ) Wertdaten: 00000000
9) Basis: Hexadezimal

Read More

Java Update per Gruppenrichtlinie verhindern

Java prüft nach der Installation standarmäßig nach verfügbaren Updates. Hierzu wird die jusched.exe im Autostart ausgeführt:

Jusched.exe triggert im 2. Schritt das Update-Programm jucheck.exe an. Das Ausführen der juckeck.exe erfordert administrative Berechtigungen. Reguläre Wdindows 7 Benutzer können ein entsprechendes Popup-Fenster lediglich beenden.

Um Benutzern dieses nervige Popup zu ersparen, kann per Gruppenrichtlinie das Ausführen der jusched.exe verhindert werden:

1) >Computerkonfiguration >Richtlinien >Windows Einstellungen >Sicherheitseinstellungen >Richtlinien für Softwareeinschränkung  >Neue Richtlinien für Softwareeinschränkung erstellen >Zusätzliche Regeln
2) Neue Pfadregel erstellen
3) Pfad: C:\Program Files\Common Files\Java\Java Update\jusched.exe
4) Sicherheitsstufe: Nicht erlaubt
5) mit OK bestätigen
6) die per Default erstellten Regeln (%HKEY_LOCAL_MACHINE…) löschen

Trotz Ausführungsverhinderung der jusched.exe lässt sich aus der JAVA-Verwaltungskonsole (Systemsteuerung > Java >Reiter “Update”) manuell nach Java-Updates suchen.

Soll die Suche nach Java-Updates komplett verhindert werden, sollte zusätzlich eine Pfadregel mit dem Pfad “C:\Program Files\Common Files\Java\Java Update\jucheck.exe” erstellt werden.

Read More

Active Directory – per PowerShell “Objekt vor zufälligem Löschen schützen”

Seit Windows Server 2008 lassen sich AD-Objekte vor versehentlichem Löschen schützen. Hierzu muss in den Objekteigenschaften > Reiter Objekt der Haken “Objekt vor zufälligem Löschen schützen” gesetzt werden (zuvor >Ansicht >Erweiterte Features aktivieren).

Zum Aktivieren des Features für mehrere Objekte sollte (seit 2008 R2) die PowerShell genutzt werden.

1) Das AD-Modul aktiveren:
Import-Module ActiveDirectory

2) Einzelnes Objekt auswählen und Löschschutz aktivieren (Beispiel: der Container “Computers”)

Get-ADobject -Identity “CN=Computers,DC=DOMAIN,DC=TLD” | Set-ADobject -ProtectedFromAccidentalDeletion $true

3) OU samt beinhaltender Objekte auswählen und Löschschutz aktiveren (Beispiel: OU “SCCM-Users”)

Get-ADobject -Filter * -SearchBase “OU=SCCM-Users,DC=DOMAIN,DC=TLD” | Set-adobject -ProtectedFromAccidentalDeletion $true

4) Objekte der gesamten Domäne auswählen und Löschschutz aktivieren

Get-ADobject -Filter * -SearchBase “DC=DOMAIN,DC=TLD” | Set-adobject -ProtectedFromAccidentalDeletion $true

Read More

Benutzer per Email über Ablauf des Windows-Kennworts benachrichtigen

In Windows 7 werden Benutzer nach der Anmeldung nur noch durch eine Sprechblase der Taskleiste darüber informiert, dass deren Windows-Kennwort in naher Zukunft abläuft. Da diese Sprechblase gerne von Usern übersehen wird, kann zusätzlich mithilfe eine PowerShell-Skripts eine Emailbenachrichtigung eingerichtet werden.

Damit das Skript ausgeführt werden kann, muss es entweder auf einem Domain Controller (Win 2008 R2 aufwärts) oder einem Member-Server mit installierter “Active Directory-Domänendiensten”-Rolle aufgerufen werden. Außerdem muss ggf. noch PowerShell’s Execution Policy auf “RemoteSigned” angepasst werden:

Set-ExecutionPolicy RemoteSigned

Hiermit kann geprüft werden wie die Execution Policy konfiguriert ist (Standardwert: Restricted):

Get-ExecutionPolicy

 

1.) PowerShell-Skript erstellen
Diesen Code in einen Texteditor kopieren, die hervorgehobenen Stellen anpassen und als PowerShell-Skript speichern (z.B. C:\Temp\password.ps1):

———————————————

Import-Module ActiveDirectory

Get-ADUser -filter * -properties PasswordLastSet,EmailAddress,GivenName,Surname -SearchBase “OU=Benutzer,DC=domain,DC=de” -SearchScope Subtree |foreach
{
$PasswordSetDate=$_.PasswordLastSet
$maxPasswordAgeTimeSpan = $null
$maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge

$today=get-date
$ExpiryDate=$passwordSetDate + $maxPasswordAgeTimeSpan

$daysleft=$ExpiryDate-$today

$display=$daysleft.days
$UserName=$_.GivenName
$SurName=$_.Surname

if ($display -lt 14 -and $display -gt 0)
{
$MyVariable = @”
Sehr geehrte/r $UserName $Surname,

Ihr Kennwort wird in $display Tagen ablaufen. Sollten Sie es nicht rechtzeitig aendern, wird das Internet abgeschaltet :)

Mit freundlichem Gruss,
EDV-Abteilung

*** Diese Nachricht wurde automatisch generiert – bitte nicht darauf antworten. ***

“@
send-mailmessage -to $_.EmailAddress -from kennwortwarnung@domain.de -Subject “IT Information: Ihr Kennwort wird in $display Tagen ablaufen” -body $MyVariable  -smtpserver smtp.domain.de
}
}

———————————————

Erläuterung:

OU=Benutzer,DC=domain,DC=de  > durch entsprechende OU-Struktur ersetzen (durch den Schalter “-SearchScope Subtree” werden Unter-OUs inkludiert)
$display -lt 14  > 14 = Zeitraum in Tagen bevor das Kennwort abläuft. Während des definierten Zeitraums wird der Benutzer bei Ausführung des Skripts gewarnt.
Sehr geehrte/r…  > Benachrichtigungsinhalt nach eigenem Geschmack gestalten.
kennwortwarnung@domain.de  > Austauschen gegen gewünschte Absenderadresse.
smtp.domain.de  > Email-Server

 

2.) Benachrichtigungsskript in die Windows-Aufgabenplanung einbinden
- In Aufgabenplanung “Neue einfache Aufgabe” erstellen
- Name & Zeitplan festlegen
- Aktion: Programm starten
- Programm starten:
> Programm / Skript: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
> Argumente hinzufügen (optional): -command C:\Temp\password.ps1
- Anschließend die Aufgabe bearbeiten und unter “Allgemein” die Haken “Unabhängig von der Benuzteranmeldung ausführen” und “Mit höchsten Privilegien ausführen” setzen

 

Quellen:
Technet-Forum
Technet
Mike Pfeiffer

Read More

PowerShell | Attribute eines AD-Objekts abfragen

Abfrage von AD-Attributen anhand eines Benutzer-Objekts (Max Muster):

1) Get-ADUser -Identity Max

2) Wem das zu wenig ist, erhält hiermit sämtliche Attribute des AD-Benutzers: Get-ADUser -Identity Max -Properties *


3) Folgender Befehl zeigt den Common Name [CN] und den SID (cn,objectsid) sämtlicher AD-Benutzer (-Filter *) in Form einer Liste (| fl) an: Get-ADUser -Filter * -Properties * | fl cn,objectsid

4) Soll die Suche auf Besucher einer bestimmten OU eingeschränkt werden, ist der Filter wie folgt zu setzen: Get-ADUser -Filter * -SearchScope OneLevel -SearchBase “DN der OU” -Properties * | fl cn,objectsid


Soll sowohl die genannte OU als auch deren Unter-OUs durchsucht werden, ist der Befehl anzupassen: “-SearchScope SubTree“.

 

Read More

SID eines Benutzers ermitteln

Viele Wege führen nach Rom; so auch bei der Ermittlung des eindeutigen SID (Security Identifier) eines AD-Benutzers.

1) PowerShell (2008 R2)
Im geladenen ActiveDirectory-Modul der Powershell auf dem DC einzugeben:

Get-ADUser -Identity <AD-Benutzer>
(AD-Benutzer kann sein: DN, GUID, SID oder sAMAccountName. Per SID Rückwärtsabfrage möglich!)

2) DSGET / DSQUERY
In CMD auf DC einzugeben:

dsget user “DN des Benutzers” -sid

Sollte der DN nicht bekannt sein:

dsquery user domainroot -name “NameDesBenutzers” | dsget user -sid
(bei NameDesBenutzers kann auch mit Wildcard gearbeitet werden)

3) Active Directory-Benutzer und -Computer
Unter “Ansicht” den Punkt “Erweiterte Features” aktivieren.

- Eigenschaften des Benutzers öffnen
- Reiter “Attribut-Editor”
- Attribut: objectSid

4) WHOAMI
CMD als entsprechender Benutzer öffnen (z.B. an Win7-Arbeitsstation)

whoami -user

Read More

Gelöschte AD-Objekte | tombstoneLifetime

Die Tombstone-Lifetime einer Gesamtstruktur definiert wie lange gelöschte AD-Objekte in der AD-Datenbank vorgehalten werden, bevor sie endgültig gelöscht werden. Während dieser Zeit wird ein Tombstone-Objekt des gelöschten Objekts im Container “Gelöschte Objekte” erstellt. Das Attribut “isDeleted” des AD-Objekt wurde zuvor auf “true” gesetzt.

Wurde ein AD-Objekt als isDeleted=true markiert, wurden vor Windows Server 2008 R2 alle Attribute des Objekts entfernt, bis auf folgende: GUID, SID, SIDHistory und der DN. Bei einem Restore des Objekts konnten daher nur diese 4 Attribute wiederhergestellt werden. In Windows Server 2008 R2 werden sämtliche Attribute in das Tombstone-Objekt übernommen. Das AD-Objekt kann demnach vollständig (auch inkl. Gruppenzugehörigkeiten) wiederhergestellt werden. Dies erfordert allerdings eine vorherige Aktivierung des AD-Papierkorbs!

Die Tombstone-Lifetime bestimmen und anpassen:

ADSIEdit
1) Per ADSIEdit mit der Konfigurations-Partition verbinden
2) Wechseln zu
CN=Configuration,DC=contoso,DC=com
CN=Services
CN=Windows NT
CN=Directory Service
Eigenschaften
3) Attribut = tombstoneLifetime
4) ggf. über “Bearbeiten” den gesetzten Wert anpassen

CMD / PowerShell (Active Directory-Modul)
CMD – TSL bestimmen: dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=contoso,dc=com” –scope base –attr tombstonelifetime

Zum Vergrößern anklicken.

PowerShell – TSL anpassen: Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“tombstoneLifetime” = 365}   (im Beispiel wird die Aufbewahrungszeit auf 365 Tage festgelegt)

Zum Vergrößern anklicken.

Die Standard-Aufbewahrungszeit für gelöschte AD-Objekte in einer 2008 R2-Gesamtstruktur liegt bei 180 Tagen.

Quellen
http://technet.microsoft.com/en-us/library/cc784932%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd392260%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd379542%28v=ws.10%29.aspx

Read More

Active Directory | Domänenbeitritt von Computern durch Benutzer verhindern

Standardmäßig dürfen nicht nur Administratoren sondern auch reguläre Domänenbenutzer Computer in die Domäne aufnehmen. Normale Benutzer dürfen zwar nur maximal 10 Computer zu einer Domäne hinzufügen, dies birgt dennoch das Risiko dass ungewollt private Notebooks in die Domäne aufgenommen werden.

Um den Domain Join durch normale Benutzer vollständig zu unterbinden gibt es 2 unterschiedliche Möglichkeiten:

1)    Anpassen der „Default Domain Controllers Policy“
-    Gruppenrichtlinienverwaltung auf einem Domänen Controller öffnen (Start | Ausführen | gpedit.msc | [ENTER] oder Start | Verwaltung | Gruppenrichtlinienverwaltung)
-    Unterhalb von Gesamtstruktur | Domänen | Domäne | Domain Controllers: Default Domain Controllers Policy > Rechtsklick > Bearbeiten…
-    Innerhalb des Gruppenrichtlinienverwaltungs-Editors: Computerkonfiguration | Richtlinien | Windows Einstellungen | Sicherheitseinstellungen| Lokale Richtlinien | Zuweisen von
Benutzerrechten
-    Unterpunkt „Hinzufügen von Arbeitsstationen zur Domäne“  | Rechtsklick > Eigenschaften
-    Standardmäßig sind hier „Authentifizierte Benutzer“ ausgewählt (darin enthalten sind sämtliche Domänenbenutzer)
-    Auswählen „Authentifizierte Benutzer“ | Entfernen
-    „Benutzer oder Gruppe hinzufügen…“ | Eingeben „Administratoren“ | OK | OK | Fertig

2)    Anpassen von „ms-DS-MachineAccountQuota“
-    ADSI-Editor auf einem Domänen Controller öffnen (Start | Auführen | adsiedit.msc | [ENTER]
oder Start | Verwaltung | ADSI-Editor)
Hinweis: ADSI-Editor muss u.U. unter Windows 2000 und 2003 nachinstalliert werden
-    Ggf. Verbindung zu „Standardmäßiger Namenskontext“ aufbauen (Rechtsklick ADSI-Editor > Verbindung herstellen… | unter „Bekannten Namenskontext auswählen“ auswählen:
„Standardmäßiger Namenskontext“ | OK)

-    „Standardmäßiger Namenskontext [server-FQDN) über + erweitern
-    Auf Domänenebene (z.B. DC=contoso,DC=com) Eigenschaften öffnen
-    Im Attribut-Editor runterscrollen bis „ms-DS-MachineAccountQuota“
-    „ms-DS-MachineAccountQuota“ auswählen | Bearbeiten | gewünschten Wert eintragen | OK | OK | Fertig
Hinweis: der angegebene Wert gibt die maximal zulässige Anzahl an Computerkonten an, die
ein normaler User zur Domäne hinzufügen darf;
0 = kein einziges Computerkonto
1= ein Computerkonto
10 = 10 Computerkonten
usw.

Zusätzlich sicher stellen dass ein User keine besonderen „Computer-Objekte erstellen“- Rechte auf dem Container / der OU besitzt, dem / der Computerkonten standardmäßig hinzugefügt werden.
-    Auf einem Domänen Controller „Active Directory-Benutzer und –Computer“ öffnen (Start | Ausführen | dsa.msc | [ENTER] oder Start | Verwaltung | Active Directory-Benutzer und
–Computer)
-    Ansicht | Erweiterte Features
-    Unterhalb der Domäne den Container / die OU auswählen dem / der standardmäßig neue Computerobjekte hinzugefügt werden (normalerweise der Container „Computers“)
-    Eigenschaften | Sicherheit
-    Ist unter „Gruppen- und Benutzernamen“ ein spezieller Benutzer bzw. eine Gruppe hinzugefügt worden: Benutzer / Gruppe auswählen | Erweitert | Benutzer / Gruppe auswählen
(Standardberechtigung an dieser Stelle: Lesen)| Bearbeiten | ggf. Haken bei „Computer-Objekte erstellen“ entfernen

Microsoft KB 243327

Read More

Active Directory | Standardcomputercontainer ändern

Tritt ein neuer Computer der Domäne bei, landet dieser standardmäßig in “Comuters”. Da es sich bei “Computers” um einen Container handelt, können auf diesen keine dedizierten Gruppenrichtlinien angewandt werden. Dies ist nur bei Organisationseinheiten (OU) möglich. Container wie beispielsweise “Computers” erben allerdings Gruppenrichtlinien die auf übergeordneten Schichten (z.B. Domäne oder übergeordnete OU) eingehängt sind.

Aus diesem Grund kann es sinnvoll sein, neue Computerkonten automatisch in eine OU verschieben zu lassen und somit sofort gewisse Gruppenrichtlinen anzuwenden (die wiederum nicht auf Domänen- oder Standortebene eingehängt sind).

Der Befehl, um den Standardcomputercontainer anzupassen, lautet:

 redircmp “DN der OU für neue Computerobjekte”

Beispiel:
- Unterhalb der Domäne befindet sich neben dem Container “Computers” eine OU namens
“Clients”:

redircmp “OU=Clients,DC=contoso,DC=com”

- Unterhalb der Clients-OU befindet sich eine weitere OU namens “Deployment”:

redircmp “OU=Deployment,OU=Clients,DC=contoso,DC=com”

Soll der Standardcomputercontainer doch wieder zurück geändert werden auf den Container “Computers” lautet der Befehl:

 redircmp “CN=Computers,DC=contoso,DC=com”

Microsoft KB 324949

Read More