PowerShell: Set-ACL auf Freigaben

Vor kurzem habe ich im Rahmen eines Projektes ein PowerShell Skript erstellt, das anhand einer Excel Tabelle Ordner auf einem Fileserver erstellt, Active Directory Gruppen dazu anlegt und entsprechende Berechtigungen auf den Ordnern für diese neuen Gruppen vergibt. Dabei hatte ich das Problem, dass immer auf der obersten File-Ebene (also z.B. \Server\Share1) das Setzen der Berechtigungen dazu führte, dass alle vererbten Berechtigungen verloren gingen.

Ich vermutete zuerst, dass ich irgend einen Fehler beim Setzen der Berechtigungen gemacht habe, doch es tritt ausschließlich auf dem freigegebenen Ordner auf, auf Unterordnern funktioniert das einwandfrei. Mit dem folgenden Skript kann man das Verhalten ganz einfach provozieren:

Das Skript liest die ACL des Ordners aus und schreibt sie direkt ohne Änderung wieder zurück. Dadurch gehen die vererbten Berechtigungen verloren und der Zugriff auf den Ordner ist nicht mehr möglich. In den Einstellungen von Windows sieht es allerdings so aus, als sei die Vererbung noch aktiv:

PowerShell_Set-AclNach einiger Recherche zeigte sich, dass das schon dem ein oder anderen aufgefallen ist, es allerdings immer mit Workarounds umgangen wurde, wie etwa das Skript lokal auf dem betroffenen Server laufen zu lassen. Das war allerdings in meiner Situation nicht möglich, da Ordner auf diversen Fileservern gepflegt werden mussten.

weiterlesenPowerShell: Set-ACL auf Freigaben

ADFS, Office 365 und Subdomains

Wer ADFS für die Authentifizierung mit Office 365 nutzt, ist eigentlich von den Automatismen und Assistenten, die die Einrichtung und Konfiguration der zu den Diensten gehörenden Parameter übernehmen, sehr verwöhnt. Um so schlimmer, wenn das dann mal genau nicht funktioniert – wie in einem meiner letzten Projekte geschehen, und zwar in Verbindung mit der Authentifizierung in einer Subdomain.

Ich habe einen Kunden, der für seine verschiedenen Ländergesellschaften Subdomains im Active Directory pflegt. Die übergeordnete Domäne heißt dann etwa contoso.com, die deutsche Subdomain de.contoso.com, die frankzösische fr.contoso.com und so weiter. Demnach lauten dann auch die UPN der Mitarbeiter etwa klaus.deutsch@de.contoso.com oder henry.blanc@fr.contoso.com. In Office 365 haben wir entsprechend die Root Domain, als auch die zugehörigen Subdomains eingerichtet, so dass wir die Mitarbeiter der verschiedenen Gesellschaften auch alle über einen Tenant verwalten können. Da es sich um eine gemeinsame Struktur handelt, haben wir auch eine gemeinsame ADFS-Infrastruktur.

Fehlermeldung beim O365 LoginBeim Einrichten der Federation kommt nun schon die erste Abweichung zum normalen vorgehen: Anstatt jede Domain einzeln auf Federation umzustellen (PowerShell: Convert-MsolDomainToFederated), konvertiert man nur die Root Domain – die restlichen Subdomains erben die Einstellung und werden automatisch mit umgestellt. Ansonsten funktioniert die Einrichtung von DirSync, ADFS und Co. weitestgehend ähnlich. Beim ersten Test der Anmeldung mit einem Benutzer einer Subdomain stellte sich allerdings das folgende Problem ein:

Leider können wir Sie nicht anmelden. Es wurde eine ungültige Anmeldung empfangen.

AADSTS50107: Requested federation realm object ‚http://de.contoso.com/adfs/services/trust/‘ does not exist.

weiterlesenADFS, Office 365 und Subdomains

Mehrere KDS root keys

Wer die neuen Group Managed Service Accounts in Windows Server 2012 R2 einsetzt, muss zuvor einen KDS Root Key erstellen, anhand dessen Windows die Passwörter der Service Accounts generiert. Nun kann es ja passieren, dass man den entsprechenden Befehl (siehe Group Managed Service Accounts) mehrfach ausführt. Und jetzt?

weiterlesenMehrere KDS root keys

Anpassen der AD FS-Anmeldeseiten

Die Active Directory Federation Services werden unter anderem für die Authentifizierung von Anwendern gegenüber dem eigenen Active Directory, anstatt gegenüber Microsoft genutzt. Demnach ist es dort besonders wichtig, die Anmeldeseite so zu gestalten, dass die Mitarbeiter darauf vertrauen können, dass es sich bei der Anmeldung auch um eine Unternehmenswebsite handelt. Dazu dient in erster Linie ein vertrauenswürdiges SSL Zertifikat, aber welcher Mitarbeiter macht sich schon die Mühe, den Aussteller des Zertifikats zu überprüfen, wenn keine Fehlermeldung kommt? Genau.

Deshalb sollte das Layout der Anmeldeseite der ADFS an das Design der Firma angepasst werden – dazu gibt es einige Möglichkeiten.

weiterlesenAnpassen der AD FS-Anmeldeseiten

Windows 10 GPO Fehler in PreviousVersions.admx

Jeder Admin wird früher oder später mit der Verwaltung von Windows 10 konfrontiert werden. Dazu eignen sich natürlich in erster Linie Gruppenrichtlinien. Da es aktuell noch keine passende Server Version zu Windows 10 gibt, muss man sich die entsprechenden Gruppenrichtlinien zuerst herunterladen (diese gibt es hier) und in seinen bestehenden Policy Store importieren. Allerdings kommt es bei der deutschen Sprachversion zu einer Fehlermeldung nach der Aktualisierung:

Resource ‚$(string.SUPPORTED_Vista_through_Win7)‘ referenced in attribute displayName could not be found.

weiterlesenWindows 10 GPO Fehler in PreviousVersions.admx

Synchronisationsintervall für DirSync einstellen

Wer öfters mal mit Office 365 zu tun hat, muss sich wohl oder übel auch mit DirSync herumschlagen, um die Benutzer- und Gruppenobjekte zwischen dem lokalen Active Directory und dem Azure Active Directory zu synchronisieren. Zum Troubleshooting kann es aber durchaus hilfreich sein, den automatischen Synchronisationslauf schneller ausführen zu lassen, als alle 3 Stunden, was die Standardeinstellung ist.

weiterlesenSynchronisationsintervall für DirSync einstellen

Dateisystemberechtigungen beim Kopieren und Verschieben

Wer des Öfteren Projekte im Windows Fileserver Umfeld macht, stolperte sicher schon das ein oder andere Mal über dieses Thema: Es werden die detailliertesten Berechtigungskonzepte ausgearbeitet und implementiert, die User sortieren ihre Daten in die neu erstellte Dateiablage und plötzlich erscheinen seltsame Berechtigungen in den Unterordnern – obwohl doch die Anwender überhaupt keine Berechtigung zum Ändern der ACLs haben …

weiterlesenDateisystemberechtigungen beim Kopieren und Verschieben

Trend Micro InterScan Web Security Virtual Appliance (IWSVA) – Management Port zurücksetzen

Ich hatte letztens ein Problem nach dem Update einer Trend Micro InterScan Web Security Virtual Appliance (IWSVA). Es handelte sich um eine Appliance, bei der ich den Management Port vom Standard (1812) auf einen anderen umstellen musste. Leider war die Management Konsole nach dem Update nicht mehr erreichbar.

weiterlesenTrend Micro InterScan Web Security Virtual Appliance (IWSVA) – Management Port zurücksetzen

Windows Server 2012: Group Managed Service Accounts

Bei meiner letzten Einrichtung von ADFS für ein Office 365 Projekt bin ich mal wieder über die „Group Managed Service Accounts“ gestolpert (kann man für die Einrichtung von ADFS benutzen). Ich kenne ich „Managed Service Accounts“ noch aus Windows Server 2008 und erinnere mich an meine verzweifelten Versuche, einen sinnvollen, funktionierenden Einsatz dafür zu finden … leider vergebens. Deshalb wollte ich mir die aktualisierte Version der Managed Service Accounts noch einmal genauer anschauen.

weiterlesenWindows Server 2012: Group Managed Service Accounts

Sophos UTM 9.210 und SMTP Probleme

Ich hatte diese Woche eine Kunden mit einem Problem beim Versenden und Empfangen von E-Mails. Mein erster Blick galt seiner Sophos UTM Appliance, die für den zentralen Ein- und Ausgang für E-Mails verantwortlich ist. Sowohl in der Mail Queue, als auch im Mailmanager Log war nichts außergewöhnliches zu finden (außer dass deutlich weniger E-Mails ankamen, als sonst). Erst das SMTP Protokoll zeigte die ersten Auffälligkeiten:

weiterlesenSophos UTM 9.210 und SMTP Probleme

%d Bloggern gefällt das: