PRTG – Office 365 Lizenzen im Blick

Nachdem das letzte PRTG Skript zur Überwachung der Office 365 Dienste anscheinend doch ganz gut angekommen ist, habe ich eine Anfrage erhalten, ob ich nicht auch etwas schreiben könne, mit dem man die Lizenzen in Office 365 überwachen kann (später haben wir dann noch den DirSync Status mit dazugenommen). Na ja, das hat dann nicht so lange gedauert, bis es mich in den Fingern juckte … der Anfang war relativ leicht, allerdings hat PRTG dann für etwas Hirn-Akrobatik gesorgt, dazu aber später mehr …

weiterlesenPRTG – Office 365 Lizenzen im Blick

PowerShell: Set-ACL auf Freigaben

Vor kurzem habe ich im Rahmen eines Projektes ein PowerShell Skript erstellt, das anhand einer Excel Tabelle Ordner auf einem Fileserver erstellt, Active Directory Gruppen dazu anlegt und entsprechende Berechtigungen auf den Ordnern für diese neuen Gruppen vergibt. Dabei hatte ich das Problem, dass immer auf der obersten File-Ebene (also z.B. \Server\Share1) das Setzen der Berechtigungen dazu führte, dass alle vererbten Berechtigungen verloren gingen.

Ich vermutete zuerst, dass ich irgend einen Fehler beim Setzen der Berechtigungen gemacht habe, doch es tritt ausschließlich auf dem freigegebenen Ordner auf, auf Unterordnern funktioniert das einwandfrei. Mit dem folgenden Skript kann man das Verhalten ganz einfach provozieren:

Das Skript liest die ACL des Ordners aus und schreibt sie direkt ohne Änderung wieder zurück. Dadurch gehen die vererbten Berechtigungen verloren und der Zugriff auf den Ordner ist nicht mehr möglich. In den Einstellungen von Windows sieht es allerdings so aus, als sei die Vererbung noch aktiv:

PowerShell_Set-AclNach einiger Recherche zeigte sich, dass das schon dem ein oder anderen aufgefallen ist, es allerdings immer mit Workarounds umgangen wurde, wie etwa das Skript lokal auf dem betroffenen Server laufen zu lassen. Das war allerdings in meiner Situation nicht möglich, da Ordner auf diversen Fileservern gepflegt werden mussten.

weiterlesenPowerShell: Set-ACL auf Freigaben

Anpassen der AD FS-Anmeldeseiten

Die Active Directory Federation Services werden unter anderem für die Authentifizierung von Anwendern gegenüber dem eigenen Active Directory, anstatt gegenüber Microsoft genutzt. Demnach ist es dort besonders wichtig, die Anmeldeseite so zu gestalten, dass die Mitarbeiter darauf vertrauen können, dass es sich bei der Anmeldung auch um eine Unternehmenswebsite handelt. Dazu dient in erster Linie ein vertrauenswürdiges SSL Zertifikat, aber welcher Mitarbeiter macht sich schon die Mühe, den Aussteller des Zertifikats zu überprüfen, wenn keine Fehlermeldung kommt? Genau.

Deshalb sollte das Layout der Anmeldeseite der ADFS an das Design der Firma angepasst werden – dazu gibt es einige Möglichkeiten.

weiterlesenAnpassen der AD FS-Anmeldeseiten

Windows Server 2012: Group Managed Service Accounts

Bei meiner letzten Einrichtung von ADFS für ein Office 365 Projekt bin ich mal wieder über die „Group Managed Service Accounts“ gestolpert (kann man für die Einrichtung von ADFS benutzen). Ich kenne ich „Managed Service Accounts“ noch aus Windows Server 2008 und erinnere mich an meine verzweifelten Versuche, einen sinnvollen, funktionierenden Einsatz dafür zu finden … leider vergebens. Deshalb wollte ich mir die aktualisierte Version der Managed Service Accounts noch einmal genauer anschauen.

weiterlesenWindows Server 2012: Group Managed Service Accounts

WPAD: Automatische Proxy Konfiguration

Im Unternehmensumfeld wird der Internetzugang von Mitarbeitern meist nicht uneingeschränkt freigegeben. Meist wird der Zugriff auf externe Inhalte über einen Proxy Server im internen Netzwerk geleitet, so dass dort eine Prüfung auf Schadcode, unangemessene Inhalte, Verbreitung vertraulicher Daten usw. vorgenommen werden kann. Per Gruppenrichtlinie kann der Proxy Server leicht konfiguriert werden, interessant wird es allerdings bei Laptops, die außerhalb der Firma auch ohne Proxy surfen können sollten.

weiterlesenWPAD: Automatische Proxy Konfiguration

DFS-N auf FQDN umstellen

Microsoft DFS (Distributed File System) wird gerne genutzt, um Freigaben von Daten im Netzwerk unabhängig vom dahinter liegenden Fileserver zu publizieren. Dabei ist es egal, ob sich im Hintergrund ein oder mehrere Windows Server, NetApp, EMC oder andere Maschinen verbergen, die Windows File Shares anbieten.

Historisch bedingt ist DFS allerdings so konfiguriert, dass es immer die NetBIOS Namen der Server veröffentlicht, auf denen die Freigaben gehostet werden. Im „normalen“ kleinen Netzwerkumfeld wird diese Einstellung auch gar nicht auffallen, wenn wir allerdings von größeren Umgebungen oder Migrationsszenarien reden, kann man hier wunderbar in Probleme laufen. Hier spielen dann solche Konfigurationen, wie WINS Server, DNS Suffix Suchliste der Clients, Konfiguration von VPN Clients, uvm. eine Rolle. Viele davon kann man relativ leicht aus dem Weg räumen, wenn man DFS direkt so konfiguriert, dass es FQDN (Fully Qualified Domain Names) benutzt. Und wie das unter Windows geht, zeige ich jetzt …

weiterlesenDFS-N auf FQDN umstellen

PowerShell: Authorization Manager check failed

Gestern war ich mal wieder mit einem Kunden zusammen am Einrichten seines neuen Active Directory. Ich habe ein paar PowerShell Skripte erstellt und bin über ein alt bekanntes Problem gestolpert, das sich unter neuem Namen „tarnt“: Unter der Fehlermeldung Authorization Manager check failed verbirgt sich die Sicherheitswarnung beim Datei öffnen über Netzwerkpfade.

weiterlesenPowerShell: Authorization Manager check failed

%d Bloggern gefällt das: