– Jan's Cloud – online Gedankenstütze ;)

17. August 2017

Get-ADPrincipalGroupMembership Fehler bei Gruppen mit Slash

Fehler beim Auslesen von Gruppenmitgliedschaften mit Get-ADPrincipalGroupMembership bei Gruppen mit „/“ (Slash) im Namen

Bei der Erstellung eines PowerShell Scriptes welches basierend auf Gruppenmitgliedschaften verschiedene Exchange-Eigentschaften der User setzen sollte ergab sich ein Problem mit dem CMDLet Get-ADPrincipalGroupMembership:

Get-ADPrincipalGroupMembership Fehler

Get-ADPrincipalGroupMembership Fehler

 

 

 

 

 

Get-ADPrincipalGroupMembership: Der Client konnte die Anforderung aufgrund ein es internen Fehler nicht verarbeiten. Wenn Sie weitere Informationen zum Fehler erhalten möchten, aktivieren Sie entweder IncludeExceptionDetailInFaults (entweder über das ServiceBehaviorAttribute oder das <serviceDebug>-Konfigurationsverhalten) für den Client, um die Ausnahmeinformationen zurück an den Server zu senden, oder aktivieren Sie die Ablaufverfolgung gemäß der Microsoft .NET Framework 3.0 SDK-Dokumentation, und prüfen Sie die Serverablaufverfolgungsprotokolle.
Bei xxxxx Zeichen:41
+ if ( (Get-ADPrincipalGroupMembership <<<< $User.DistinguishedName) xxxxx ) {
+ CategoryInfo: NotSpecified: (CN=xxxxx\,…xxxxx,DC=xxxxx :ADPrincipal) [Get-ADPrincipalGroupMembership], ADException
+ FullyQualifiedErrorId: Der Client konnte die Anforderung aufgrund eines internen Fehler nicht verarbeiten. Wenn Sie weitere Informationen zum Fehler erhalten möchten, aktivieren Sie entweder IncludeExceptionDetailInFaults (entweder über das ServiceBehaviorAttribute oder das <serviceDebug>-Konfigurationsverhalten) für den Client, um die Ausnahmeinformationen zurück an den Server zu senden, oder aktivieren Sie die Ablaufverfolgung gemäß der Microsoft .NET Framework 3.0 SDK-Dokumentation, und prüfen Sie die Serverablaufverfolgungsprotokolle.,Microsoft.ActiveDirectory.Management.Commands.GetADPrincipalGroupMembership

Dieser Fehler tritt scheinbar auf, sobald der User Mitglied einer Gruppe mit einem „/“ ist. In diesem Fall hieß die Gruppe „02 Lohn / FiBu“. Nach der Umbenennung der Gruppe in „02 Lohn FiBu“ ließ sich das PowerShell Script mit CMDLet Get-ADPrincipalGroupMembership problemlos ausführen.

 

3. Juni 2015

Local Administrator Password Solution (LAPS) – Verwalten der Built-In Administrator Passwörter

Da es bekanntlich keine gute Idee ist, die lokalen (Built-In) Administratoren alle mit dem gleichen Passwort zu versehen sowie auf ein regelmäßiges Ändern der Passwörter zu verzichten, gibt es mittlerweile von Microsoft die Local Administrator Password Solution (LAPS).

Der LAPS Download befindet sich hier: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Das Tool bringt eine Client Side Extension mit, die auf den zu verwaltenden Clients installiert werden muss. Sprich auf den Domänen Computern der User / den Member Servern. Zur Installation der CSE empfiehlt es sich das MSI Paket per WSUS und WPP an die entsprechenden Computer / Server zu verteilen. Alternativ lässt sich die CSE auch per GPO oder Script im Silent-Modus (LAPS.x64.msi /quiet) auf die Clients bringen.

LAPS Client Side Extension

LAPS Client Side Extension

 

 

 

 

 

 

 

 

Auf dem Management-Host werden dann die entsprechenden LAPS Management Tools installiert.

LAPS Management Tools

LAPS Management Tools

 

 

 

 

 

 

 

 

Damit die Computer-Objekte im AD das neue lokale Administrator Passwort sowie das Ablaufdatum speichern können, muss das Active Directory Schema erweitert werden. Die Erweiterung des Schemas erfolgt über das eben installierte PowerShell Module (AdmPwd.PS).

AdmPwd PS PowerShell Modul

AdmPwd PS PowerShell Modul

 

 

 

 

 

Update-AdmPwdADSchema

Update-AdmPwdADSchema

 

 

 

# Modul importieren
Import-Module AdmPwd.PS

# Eine Übersicht der neuen Commands
Get-Command -Module AdmPwd.PS

# Update des Active Directory Schema starten
Update-AdmPwdADSchema

Da im Active Directory per Default „Jeder“ das Recht hat sich sehr viele Eigenschaften der AD-Objekte anzusehen, muss den nicht administrativen Gruppen ggfs. das Recht entzogen werden, sich das neu erstellte Feld ms-Mcs-AdmPwd anzusehen.

Dazu das Snap-In Active Directory-Benutzer- und -Computer (dsa.msc) starten und untern „Ansicht“ -> „Erweiterte Features“ aktivieren. Als nächstes muss auf der entsprechenden OU in den „Eigenschaften“ unter „Sicherheit“ -> „Erweitert“ den entsprechenden Gruppen (falls es welche mit dem Recht „Alle erweiterten Rechte“ gibt) die Berechtigung entziehen.

AD Berechtigungen anpassen

AD Berechtigungen anpassen

 

 

 

 

 

 

 

 

Im nächsten Schritt muss den Computern mittels PowerShell Script erlaubt werden, die Passwörter zu ändern.

Set-AdmPwdComputerSelfPermission

Set-AdmPwdComputerSelfPermission

 

 

 

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>"

Des Weiteren muss noch bestimmt werden, wer alles Zugriff auf die generierten Passwörter bekommen soll.

Set-AdmPwdReadPasswordPermission

Set-AdmPwdReadPasswordPermission

 

 

 

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>" -AllowedPrincipals "<Gruppe>"

Um zu guter letzt alles scharf zu schalten muss noch eine neue Gruppenrichtlinie erstellt / eine vorhandene Gruppenrichtlinie bearbeitet werden. Dazu von einem PC / Server mit der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) starten und unter „Computerkonfiguration“ -> „Richtlinien“ -> „Administrative Vorlagen“ -> „LAPS

LAPS GPO

LAPS GPO

 

 

 

Password Settings:

  • Password Complexity: Large letters + small letters + numbers + specials
  • Password Length: 14
  • Password Age (Days): 30

Name of Administrator Account to manage: Nicht konfiguriert

Do not allow Password expiration Time longer than required by policy: Aktiviert

Enable local Admin Password Management: Aktiviert

Um sich die automatisch generierten Passwörter anzusehen gibt es jetzt zwei Möglichkeiten. Zum Einen kann man im Active Directory im Attribut-Editor das Feld „ms-Mcs-AdmPwd“ suchen und dort das Passwort ablesen oder man benutzt den LAPS (Local Administrator Password Solution) Fat Client „LAPS UI“. Zum Anderen kann man sich natürlich auch der PowerShell bedienen und das entsprechende Feld mithilfe von „Get-ADComputer“ auslesen.

Passwort auslesen

Passwort auslesen

 

 

 

 

 

 

 

Get-ADComputer <Computer> -Properties ms-Mcs-AdmPwd | Select Name, ms-Mcs-AdmPwd

30. Mai 2015

Active Directory Domaincontroller best und worst Practice

Filed under: Active Directory,DNS,Windows Server — Schlagwörter: , , , , , , — Jan Mischo @ 11:29

Obwohl das Active Directory und Active Directory Domaincontroller von Natur aus schon recht robust designed ist und sehr schnell ein Server (oder auch ein weiterer) zum Domänencontroller hochgestuft ist, treffe ich bei vielen Kunden auf sehr ungünstige Konstellationen. Ob in diesen Fällen einfach die Grundlagen auf Seite gelegt wurden bzw. aufgrund der „Einfachheit“, der Installation eines DCs vorschnell die „Weiter-Weiter-Weiter“ Methode gewählt wurde oder nach dem Motto „Challenge Accepted, ich bin stärker als das AD“ vorgegangen wurde bleibt im Nachhinein meistens offen.

Da ich eben beim Surfen durchs Web auf ein mir alt bekanntes Video gestoßen bin, wollte ich es hier einmal als Post verewigen, damit ich es immer griffbereit habe: „Tu mir das nicht an“, sagte der Domänencontroller

 

Der (geniale) Blog des Video Authors: http://www.faq-o-matic.net/

Ein sehr guter Blog zum Thema Active Directory: http://blog.dikmenoglu.de/

1. September 2014

E-Mail-aktivierte universelle Verteilergruppe in E-Mail-aktivierte universelle Sicherheitsgruppe wandeln

Im Active-Directory Computer und Benutzer die E-Mail-aktivierte Verteilergruppe in eine Sicherheitsgruppe umwandeln:

Danach in die Exchange Management Shell wechseln und folgenden Befehl ausführen:

Exchange 2010:

Set-Distributiongroup –Identity &lt;GruppenName&gt; –MemberDepartRestriction Closed

Exchange 2007:

Set-Distributiongroup –Identity &lt;GruppenName&gt;

Jetzt kann in Outlook oder per Powershell diese Gruppe auf Ressourcen im Outlook berechtigt werden.

Older Posts »

Powered by WordPress