Schlagwort-Archive: Active Directory

Microsoft AD – Verzeichnisdienst

Powershell: Report aller Konten ohne Passwortaging

Für ein Audit oder eine anstehende Umstrukturierung einer Domäne kann es notwendig sein alle Konten zu erfassen, bei denen das Kennwort nie abläuft (ohne Passwort-Aging).

Die Lösung ist ein Powershell-Script, das man z.B. auf einem Windows 7 Client ausführen kann.
Zunächst importiert öffnet man ein PowerShell ISE Fenster und aktiviert das Active Directory Modul mit:
Import-Module ActiveDirectory

Die Abfrage an sich sieht so aus:
Search-ADAccount –PasswordNeverExpires

Allerdings ist das Ergebnis eine stumpfe Auflistung in der PowerShell Box, die man so erst einmal nicht gut gebrauchen kann.
Besser ist es alles in eine CSV-Datei zu kopieren, die man dann in Excel importieren kann.
Search-ADAccount -PasswordNeverExpires | Select-Object Name,ObjectClass,PasswordNeverExpires | Export-Csv -Encoding UTF8 „$env:homedrive$env:homepath\Documents\users_no_password_expiration.csv“ –NoTypeInformation

Was macht die Abfrage jetzt eigentlich?
Also zunächst die Abfrage, wie wir sie oben schon angegeben hatten. Von den Ergebnissen nehmen wir jetzt Namen, Objekt-Klasse und die gewünschte Password-Eigenschaft. Darauf folgt die Ausgabe der Ergebnisse in eine CSV Datei, wobei wir UTF8 als Kodierung mitgeben. Damit sollten Umlaute kein Problem sein. Jetzt noch die Ausgabe in den Dokumentenordner des Benutzers.
Somit landet die erzeugte CSV nicht irgendwo am Rechner, sondern im Benutzerprofil des ausführenden Benutzers. Mit dem Argument “-NoTypeInformation” wird man eine Zeile los, die ansonsten bei der Abfrage ganz oben im Dokument eingefügt wird.

SID zu User – User zu SID übersetzen.

Bei manchen Gelegenheiten benötigt man die Zuordnung von Benutzer zu SID.
Da Namen ja nur „Schall und Rauch“ sind, bezieht sich in Windows NT Systemen alles auf diese SID.

Also eine Variante:

Per whoami bekommt man ohne Parameter schlicht den Benutzernamen angezeigt:
C:\>whoami
domain\willi

Fügt man jetzt jetzt den Parameter „/USER“ hinzu, wird das Ganze schon informativer:
C:\>whoami /USER
USER INFORMATION
—————-
User Name     SID
============= ==============================================
domain\willi S-1-5-21-2071111111-172232323-1675865436-4567

Eine weitere Lösung ist es eine Abfrage über WMIC zu starten (WMIC – Take Command-line Control over WMI)

C:\>wmic useraccount where name=’willi‘ get sid
SID
S-1-5-21-2071111111-172232323-1675865436-4567

das Ganze geht auch anders herum:
C:\>wmic useraccount where sid=’S-1-5-21-2071111111-172232323-1675865436-4567′ get name
Name
willi

Damit hat man eine schöne Möglichkeit User nach SID und umgekehrt aufzulösen.

Und als letztes noch ein wenig Powershell:

User zu SID:
$objUser = New-Object System.Security.Principal.NTAccount(„DOMÄNENNAME“, „USERNAME“)
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value

SID zu User:
$objSID = New-Object System.Security.Principal.SecurityIdentifier `
(„SID-HIER-EINTRAGEN“)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$objUser.Value

Gelöst: Sudo for Windows läuft nicht

Problem:
Das Tool „Sudo for Windows“ läßt sich zwar installieren, aber der Dienst läuft nicht.Ggfs. läuft der Dienst, aber das Tool bringt eine Fehlermeldung, wenn man ein Programm per ’sudo‘ starten möchte.

Lösung:
Das Problem tritt auf, wenn man Sudo for Windows auf einem Betriebssystem laufen lässt, das nicht englischsprachig ist. Es werden nämlich Gruppen in den Konfigurationsdateien vorausgesetzt, die in deutschen Systemen nicht existieren.

Schritt1:
Anpassen der Sudowin.Server.exe.config im Verzeichnis %ProgramFiles%\Sudowin\Server.
Also zum Beispiel unter:
C:\Program Files (x86)\Sudowin\Server\Sudowin.Server.exe.config

Dort muss man folgende Zeile suchen:
<channel type=“System.Runtime.Remoting.Channels.Ipc.IpcServerChannel, System.Runtime.Remoting, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089″ portName=“sudowin“ secure=“True“ tokenImpersonationLevel=“Impersonation“ authorizedGroupName=“Users“>

und den Eintrag authorizedGroupName=“Users“ ändern in authorizedGroupName=“Benutzer

Schritt2:
Anpassen der „%ProgramFiles%\Sudowin\Server\sudoers.xml“
und folgende Änderung vornehmen:
privilegesGroup=“Administrators“ zu privilegesGroup=„Administratoren

Erklärung:
Was ist „Sudo for Windows“?
Sudo for Windows erlaubt angemeldeten Benutzern Prozesse mit erhöhten Privilegien auszuführen, indem sie ihr eigenes Passwort als Bestätigung eingeben.
Im Gegensatz zum ‚runas‘ Befehl von Microsoft beleiben das Benutzerprofil und die Besitzrechte auf Dateien erhalten.
Alternativ müsste man den Benutzer zum Administrator machen, das Programm ausführen und dann die Berechtigung wieder zurück nehmen.

Originaltext Sourceforge:
„Sudo for Windows (sudowin) allows authorized users to launch processes with elevated privileges using their own passphrase. Unlike the runas command, Sudo for Windows preserves the user’s profile and ownership of created objects.“

Firefox: Weitergabe der AD-Benutzeranmeldedaten wie IE

Wenn man statt mit dem IE lieber mit dem Firefox im Unternehmensnetz arbeitet, wird man schnell feststellen, dass die Authentifizierung mit den Active Directory Benutzerdaten nicht automatisch läuft.
Man kann zwar die Intranetseite aufrufen, aber man muss die Benutzerdaten immer händisch eintragen.
Auf Dauer etwas lästig … :-)Der IE unterstützt „per default“ die NTLM (Windows pass-through) Anmeldung an Intranetsites wie z.B. Sharepoint (Services) oder anderen Seiten die mit den AD-Benutzer-Informationen arbeiten.

Lösung:
Für den Firefox gab es mal ein Plugin dafür (Integrated Authentication for Firefox), welches jetzt nicht mehr zu funktionieren scheint und welches allerdings auch unnötig ist.

Einfach in die Adresszeile „about:config“ eingeben und die Warnung bestätigen.
Dann folgende Einträge suchen und per „Klick“ auf „true“ setzen:

network.automatic-ntlm-auth.allow-non-fqdn
network.negotiate-auth.allow-non-fqdn

Diese Einträge betreffen Server im Unternehmensnetz – also welche die ohne FQDN angesprochen werden.

 

 

ADUC sehr langsam – NetBIOS ausschalten!

Ein Problem, das anscheinend häufig auftritt und viele ärgert:

Hat man auf seinem Arbeitsplatz-PC die AD Verwaltungstools installiert, dauert es teilweise sehr lange, bis sich das Bearbeitungsfenster für „Active Directory-Benutzer und -Computer“ öffnet.
Auch der Wechsel innerhalb dieses AD Tools dauert teilweise 10 bis 20 Sekunden.

1. Versuch

Aufruf des ADUC-Tools mit fester Übergabe der Domaincontroller-IP

mmc %SystemRoot%\system32\dsa.msc /server=192.168.1.1

Brachte bei mir zwar vielleicht eine kleine Verbesserung, allerdings hatte ich weiterhin diese Pausen, wenn ich von einem Objekt auf das nächste wechselte.

2. Versuch und Erfolg!

Klingt erst einmal komisch:
Abschalten des NetBIOS über TCP/IP!
Also Netzwerk- und Freigabecenter öffnen, Adaptereinstellungen ändern, Rechtsklick auf die LAN- bzw. WLAN-Verbindung, Eigenschaften aufrufen.

„Internetprotokoll Version 4 (TCP/IPv4)“ auswählen aud Eigenschaften klicken

…. dort dann auf „Erweitert …“

… und dann NetBIOS über TCP/IP deaktivieren.

Das wars – ab jetzt sind keine Lags mehr im ADUC vorhanden.

Das Ganze hat mir übrigens auch mit der Arbeit bei der WSUS Verwaltung geholfen.
Auch dort laufen die Verzeichniswechsel flüssig!