Erstellung / Wartung der AD Benutzer aus einer SQL Datenbank

In unserem Unternehmen haben wir vor kurzem ein neues ERP eingeführt, welches unter anderem auch die komplette Personalverwaltung beinhaltet. Die Software nutzt als Datenbank MS-SQL Server. Da unser Prozess in der EDV für einen neuen Benutzer sehr komplex ist, und oft Kleinigkeiten vergessen werden, habe ich versucht die Erstellung so gut wie möglich zu automatisieren. Das geht ja dank Powershell recht gut. Ich habe mir dazu einen View im SQL Studio gebaut, der alle Informationen aus der Personalverwaltung enthält: Da Mehr »

Quick & Dirty: Active Directory Gruppen von Benutzer zu Benutzer kopieren

Ich habe eine kleine GUI erstellt, welche Active Directory Gruppen von einem Benutzer zum anderen Benutzer kopiert. Mit dem Script lassen sich schnell alle Gruppen eines Benutzer auf ein anderes Benutzerkonto übertragen: Die GUI ist nur sehr rudimentär, es lässt sich ein Quellbenutzerkonto und ein Zielbenutzerkonto auswählen, ein Klick auf “Gruppen von Quelle zu Ziel KOPIEREN” überträgt alle Gruppen vom Quellbenutzer zum Zielbenutzer, lässt aber bereits vorhandene Gruppen vom Zielbenutzer unverändert. Mit einem Klick auf “Gruppen von Quelle zu Ziel Mehr »

Quick & Dirty: Ungültige und verwaiste Gruppenrichtlinien finden

Ich habe angefangen ein kleines PowerShell Script zu erstellen, welches dabei unterstützen soll ungültige oder verwaiste Gruppenrichtlinien aufzuspüren. Die erste Version des Scripts sucht nach Gruppenrichtlinien die nicht mit einer OU verbunden sind, keine Sicherheitsfilterung besitzen oder alle Einstellungen der GPO deaktiviert wurden. Das Script werde ich zukünftig noch um weitere Funktionen erweitern und als kleines Tool veröffentlichen. Hier aber erst einmal ein Vorgeschmack. Das Script gibt den Status “Disabled” aus, wenn alle Einstellungen der Richtlinie deaktiviert wurden, hier ein Mehr »

Quick & Dirty: Active Directory Gruppe auf Mitglieder überwachen

Der folgende Fall ist sicherlich nicht ganz alltäglich: Es ging darum eine Active Directory Gruppe auf bestimmte Mitglieder hin zu überwachen. Nur ganz bestimmte Benutzerkonten sollten in dieser Gruppe vorhanden sein, alle zusätzlichen oder entfernten Mitglieder sollten gemeldet werden. Auf die Schnelle habe ich dazu ein kleines PowerShell Script erstellt, in welchem die Benutzer angegeben werden, die in der Active Directory Gruppe sein sollen. Abweichungen von der konfigurierten Liste, werden per Mail gemeldet. Falls jemand ähnliches gebrauchen kann, hier ist Mehr »

Privileged Access Management Feature: Zeitbegrenzte Gruppenzugehörigkeit

Mit Windows Server 2016 wurde ein neues Privileged Access Management Feature eingeführt, welches es ermöglicht Benutzer nur für einen gewissen Zeitraum einer Gruppe hinzuzufügen und nach Ablauf der Zeit automatisch wieder zu entfernen. Nützlich ist dieses Feature, wenn einem Benutzer nur für einem gewissen Zeitraum administrative Rechte (Zum Beispiel Domain Admin) gegeben werden sollen. Ein anderer Anwendungsfall wäre die zeitbegrenzte Aufnahme in Exchange Verteilergruppen. Das Feature ist allerdings nur verfügbar wenn das Gesamtstrukturfunktionslevel bereits auf “Windows Server 2016” angehoben wurde. Mehr »

Active Directory: IPv6 / Fritzbox / Sophos UTM / Domain Controller

Vorwort IPv6 zählt bisher nicht zu meinen Stärken. Wie wahrscheinlich viele Andere auch, habe ich das Thema IPv6 bisher auf die lange Bank geschoben: “Ich gucke mir das mal an, wenn es sich durch gesetzt hat…” Nunja, es hat sich durchgesetzt und zwar schon länger. IPv4 wird durch IPv6 abgelöst, soviel ist sicher. Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen. Einen Teil meines Netzwerks habe ich nun umgestellt und der folgende Artikel beschreibt Mehr »

Active Directory: Wie soll das neue Active Directory heißen?

Meine letzten Beiträge zum Thema Active Directory haben eine wichtige Frage zu Tage gefördert: Wie soll das neue Active Directory heißen? In diesem Artikel habe ich folgende Aussage getätigt: Wer sich auf einer grünen Wiese befindet, kann den Namen für das Active Directory frei vergeben. Mittlerweile werden Namen wie firma.local in neuen Umgebungen nicht mehr verwendet. Besser wäre hier ein Name wie ad.firma.de. Trotzdem können auch weiterhin Namen wie firma.local oder firma.intern verwendet werden. Der Stammdomainname darf allerdings nicht einteilig Mehr »

Active Directory: Mail wenn Passwort abläuft

In diesem Artikel hatte ich bereits beschrieben, wie eine Webseite eingerichtet werden kann, auf der Benutzer ihr Passwort ändern können. Gerade Benutzer die mit einem Rechner arbeiten der nicht Mitglied des Active Directory ist, stellt die Passwortänderung oft ein Problem dar. Mittels der Webseite haben diese Benutzer nun die Möglichkeit ihr Passwort rechtzeitig zu ändern. Allerdings müssen die Benutzer auch informiert werden, wenn das Passwort in naher Zukunft abläuft. Die einfachste Möglichkeit ist wohl eine Mail zu dem Benutzer zu Mehr »

Active Directory: Passwortänderung mittels Webseite

Vorwort Der folgende Artikel beschreibt eine Möglichkeit mit der Active Directory Benutzer eine Passwortänderung auf einer Website durchführen können. Dafür wird das Windows Feature “Web Access für Remote Desktop” etwas zweckentfremdet. Eine komplette Installation und Konfiguration der Remote Desktop Dienste ist dafür nicht erforderlich. Hinweis: Der hier beschriebene Weg eignet sich nur dazu das bekannte Active Directory Passwort zu ändern. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit nicht möglich. Die Passwort Änderung mittels Website ist für Benutzer interessant, die an Rechnern arbeiten, Mehr »

Server 2016: Active Directory Installation (Teil 2)

Vorwort Im ersten Teil dieses Artikels wurde ein neues Active Directory installiert. Bisher gibt es allerdings nur einen Domain Controller. Um das Active Directory bei Ausfall einen Servers trotzdem verfügbar zu halten, sollten pro Domäne mindestens zwei Domain Controller installiert werden. In diesem Artikel wird der zweite Domain Controller installiert und konfiguriert. Vorbereitung Die Vorbereitungen sind, wie auch beim ersten Domain Controller, schnell erledigt. Es wird wieder ein sprechender Hostname vergeben, in diesem Fall FWDC2: Auch eine statische IP-Adresse wird Mehr »