ESCde Blog - Wissen rund um die IT
Kategorien
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4
Delegierung von Berechtigungen in Active Directory und Aktivierung der Remote Server Administration Tools
Selbst wenn Benutzer nicht über Administratorrechte verfügen, besteht die Möglichkeit, bestimmte Aufgaben im Active Directory zu delegieren. Im heutigen Blogbeitrag stellt unser Mitarbeiter Tim Schelling eine Anleitung bereit, um AD-Verwaltungsaufgaben an Nutzer zu delegieren.
Managed Service Accounts
Ständig braucht man Sie, meistens werden Sie falsch verwendet oder völlig vernachlässigt. Die Rede ist von Service Accounts. Bei nahezu jeder Installation werden Service Accounts verwendet. In vielen Fällen benutzen Administratoren dafür Domänenaccounts. Häufig mit Domänenadministratorrechten und richten alle Accounts mit dem gleichen Passwort ein. Oftmals werden diese Accounts darüber hinaus so konfiguriert, dass diese von der Passwortänderungspolicy ausgenommen sind. Dieses Vorgehen stellt offensichtlich ein enormes Sicherheitsrisiko dar.
Eigene AD-Attribute - Änderungen mit Windows Server 2012
In meinen Blogeinträgen habe ich die Möglichkeiten vorgestellt, wie man eigene Attribute im AD erstellen kann, sie versteckt bzw. nur für wenige User sichtbar macht. Diese Lösung funktionierte bis Server 2008R2 problemlos. Mit Server 2012 gab es ein paar kleinere Änderungen am Verhalten des ADs, wodurch die Lösung so nicht mehr ganz praktikabel erscheint. Im Folgenden werde ich kurz die wichtigsten Änderungen auflisten und erklären, wie man auf das neue Verhalten reagieren muss.
Benutzerverwaltung per Powershell - mit GUI
In meinem letzten Blogeintrag habe ich erklärt, wie die verschiedenen Befehle aussehen, die eine Benutzerverwaltung im AD und Exchange ermöglichen. Hier zeige ich nun, wie man sich nur mit PowerShell Befehlen eine kleine Oberfläche (GUI) baut, um das Handling weiter zu verbessern.
Benutzerverwaltung im AD über Powershell-Skripte
Wer kennt es nicht. Um einen neuen Mitarbeiter vollständig im AD anzulegen, muss der Benutzer angelegt, dann in sehr viel verschieden Gruppen eingefügt und einem Postfach im Exchange zugewiesen werden. Da der letzte Mitarbeiter aber schon vor über 3 Monaten eingestellt wurde, weiß niemand mehr genau, was alles gemacht werden muss. Die einfachste Möglichkeit ist hier, eine Doku zu schreiben, an die sich alle halten müssen. Ich stelle hier nun eine weitere Möglichkeit vor. Ein Skript, dass mit allen nötigen Daten gefüttert wird und dann alles selbständig ausführt.
AD-Attribute verstecken Teil 2 - Leserechte für Confidential Attributes
In einem vorangegangen Artikel Attribute im AD verstecken und eigene Attribute erstellen habe ich bereits erklärt, wie Attribute im AD durch die Markierung confidential versteckt werden können. Dadurch haben nur noch Administratoren Leserechte auf das Attribut.Nun gibt es manchmal die Situation, bei der man ausgewählten Benutzern bzw. Gruppen das Lesen erlauben möchte, ohne Sie gleich zu Administratoren zu machen.