Quick Tipp #3 (Windows): Fehlender privater Schlüssel im Zertifikat

In vielen Situationen werden öffentliche Zertifikate benötigt. Umso schlimmer, wenn bei der Erzeugung dann Fehler auftreten. Ich hatte schon das ein oder andere mal das Problem, dass nach dem Abschluss einer Zertifikatsanfrage der private Schlüssel des Zertifikat fehlte und es somit (z.B. in Exchange) nicht zugeordnet werden konnte. Ab und zu kann es sein, dass … weiterlesenQuick Tipp #3 (Windows): Fehlender privater Schlüssel im Zertifikat

Office 365: Änderung an Gruppennamen werden nicht synchronisiert

Weil ich gerade darüber gestolpert bin, hier ein schneller Blogpost zu dem Thema. Beim Einsatz von DirSync werden unter anderem auch Gruppen zwischen Active Directory und Azure AD (für Office365) synchronisiert. Nun hatten wir den Fall, dass wir lokal eine Gruppe umbenannt haben und darauf warteten, bis sich der geänderte Name auch online zeigte. Doch … weiterlesenOffice 365: Änderung an Gruppennamen werden nicht synchronisiert

PowerShell: Set-ACL auf Freigaben

Vor kurzem habe ich im Rahmen eines Projektes ein PowerShell Skript erstellt, das anhand einer Excel Tabelle Ordner auf einem Fileserver erstellt, Active Directory Gruppen dazu anlegt und entsprechende Berechtigungen auf den Ordnern für diese neuen Gruppen vergibt. Dabei hatte ich das Problem, dass immer auf der obersten File-Ebene (also z.B. \Server\Share1) das Setzen der Berechtigungen dazu führte, dass alle vererbten Berechtigungen verloren gingen.

Ich vermutete zuerst, dass ich irgend einen Fehler beim Setzen der Berechtigungen gemacht habe, doch es tritt ausschließlich auf dem freigegebenen Ordner auf, auf Unterordnern funktioniert das einwandfrei. Mit dem folgenden Skript kann man das Verhalten ganz einfach provozieren:

Das Skript liest die ACL des Ordners aus und schreibt sie direkt ohne Änderung wieder zurück. Dadurch gehen die vererbten Berechtigungen verloren und der Zugriff auf den Ordner ist nicht mehr möglich. In den Einstellungen von Windows sieht es allerdings so aus, als sei die Vererbung noch aktiv:

PowerShell_Set-AclNach einiger Recherche zeigte sich, dass das schon dem ein oder anderen aufgefallen ist, es allerdings immer mit Workarounds umgangen wurde, wie etwa das Skript lokal auf dem betroffenen Server laufen zu lassen. Das war allerdings in meiner Situation nicht möglich, da Ordner auf diversen Fileservern gepflegt werden mussten.

weiterlesenPowerShell: Set-ACL auf Freigaben

ADFS, Office 365 und Subdomains

Wer ADFS für die Authentifizierung mit Office 365 nutzt, ist eigentlich von den Automatismen und Assistenten, die die Einrichtung und Konfiguration der zu den Diensten gehörenden Parameter übernehmen, sehr verwöhnt. Um so schlimmer, wenn das dann mal genau nicht funktioniert – wie in einem meiner letzten Projekte geschehen, und zwar in Verbindung mit der Authentifizierung in einer Subdomain.

Ich habe einen Kunden, der für seine verschiedenen Ländergesellschaften Subdomains im Active Directory pflegt. Die übergeordnete Domäne heißt dann etwa contoso.com, die deutsche Subdomain de.contoso.com, die frankzösische fr.contoso.com und so weiter. Demnach lauten dann auch die UPN der Mitarbeiter etwa klaus.deutsch@de.contoso.com oder henry.blanc@fr.contoso.com. In Office 365 haben wir entsprechend die Root Domain, als auch die zugehörigen Subdomains eingerichtet, so dass wir die Mitarbeiter der verschiedenen Gesellschaften auch alle über einen Tenant verwalten können. Da es sich um eine gemeinsame Struktur handelt, haben wir auch eine gemeinsame ADFS-Infrastruktur.

Fehlermeldung beim O365 LoginBeim Einrichten der Federation kommt nun schon die erste Abweichung zum normalen vorgehen: Anstatt jede Domain einzeln auf Federation umzustellen (PowerShell: Convert-MsolDomainToFederated), konvertiert man nur die Root Domain – die restlichen Subdomains erben die Einstellung und werden automatisch mit umgestellt. Ansonsten funktioniert die Einrichtung von DirSync, ADFS und Co. weitestgehend ähnlich. Beim ersten Test der Anmeldung mit einem Benutzer einer Subdomain stellte sich allerdings das folgende Problem ein:

Leider können wir Sie nicht anmelden. Es wurde eine ungültige Anmeldung empfangen.

AADSTS50107: Requested federation realm object ‚http://de.contoso.com/adfs/services/trust/‘ does not exist.

weiterlesenADFS, Office 365 und Subdomains

Mehrere KDS root keys

Wer die neuen Group Managed Service Accounts in Windows Server 2012 R2 einsetzt, muss zuvor einen KDS Root Key erstellen, anhand dessen Windows die Passwörter der Service Accounts generiert. Nun kann es ja passieren, dass man den entsprechenden Befehl (siehe Group Managed Service Accounts) mehrfach ausführt. Und jetzt?

weiterlesenMehrere KDS root keys

Windows 10 GPO Fehler in PreviousVersions.admx

Jeder Admin wird früher oder später mit der Verwaltung von Windows 10 konfrontiert werden. Dazu eignen sich natürlich in erster Linie Gruppenrichtlinien. Da es aktuell noch keine passende Server Version zu Windows 10 gibt, muss man sich die entsprechenden Gruppenrichtlinien zuerst herunterladen (diese gibt es hier) und in seinen bestehenden Policy Store importieren. Allerdings kommt es bei der deutschen Sprachversion zu einer Fehlermeldung nach der Aktualisierung:

Resource ‚$(string.SUPPORTED_Vista_through_Win7)‘ referenced in attribute displayName could not be found.

weiterlesenWindows 10 GPO Fehler in PreviousVersions.admx

Dateisystemberechtigungen beim Kopieren und Verschieben

Wer des Öfteren Projekte im Windows Fileserver Umfeld macht, stolperte sicher schon das ein oder andere Mal über dieses Thema: Es werden die detailliertesten Berechtigungskonzepte ausgearbeitet und implementiert, die User sortieren ihre Daten in die neu erstellte Dateiablage und plötzlich erscheinen seltsame Berechtigungen in den Unterordnern – obwohl doch die Anwender überhaupt keine Berechtigung zum Ändern der ACLs haben …

weiterlesenDateisystemberechtigungen beim Kopieren und Verschieben

Windows Server 2012: Group Managed Service Accounts

Bei meiner letzten Einrichtung von ADFS für ein Office 365 Projekt bin ich mal wieder über die „Group Managed Service Accounts“ gestolpert (kann man für die Einrichtung von ADFS benutzen). Ich kenne ich „Managed Service Accounts“ noch aus Windows Server 2008 und erinnere mich an meine verzweifelten Versuche, einen sinnvollen, funktionierenden Einsatz dafür zu finden … leider vergebens. Deshalb wollte ich mir die aktualisierte Version der Managed Service Accounts noch einmal genauer anschauen.

weiterlesenWindows Server 2012: Group Managed Service Accounts

Windows Freigaben umziehen

Wenn einmal wieder der Umzug des oder der Fileserver im Unternehmen ansteht, gibt es viele verschiedene Mittel und Wege, die Daten von A nach B zu bekommen. Hat man allerdings (noch) kein DFS-N im Einsatz, wird der Zugriff auf die Ressourcen nach dem Umzug interessant. Auch der Umzug von großen Zahlen von Freigaben kann sehr aufwändig sein – es sei denn, man kennt ein paar Tricks, die einem das Leben vereinfachen.

weiterlesenWindows Freigaben umziehen

Variablen in Gruppenrichtlinieneinstellungen

Jeder, der öfters mit Gruppenrichtlinien (GPO) und Gruppenrichtlinieneinstellungen (GPP) zu tun hat, braucht früher oder später einmal die aus der Kommandozeile bekannten Variablen, um einmal Dateien in ein Programmverzeichnis abzulegen, oder Einträge in der Registry zu erstellen. Außer den bekannten gibt es in den Gruppenrichtlinieneinstellungen eine Menge neuer Variablen.

weiterlesenVariablen in Gruppenrichtlinieneinstellungen

%d Bloggern gefällt das: