Active Directory

    Exchange 2016 CU7: AD-Funktionsebene 2008 R2 erforderlich, kein Support für .NET 4.7

    Exchange LogoMicrosoft ver­öffent­lichte die viertel­jährlichen kumu­lativen Updates für Exchange 2013 (CU18) und 2016 (CU7). Beide bringen keine neuen Funk­tionen, sondern beheben nur bekannte Prob­leme. CU7 für Exchange 2016 stellt jedoch für die Instal­lation neue System­anfor­derungen.

    Anmelden an bestimmten PCs für Benutzer und Gruppen verweigern

    Lokale Anmeldung erlauben oder verweigernPer Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

    Verknüpfte GPOs und OUs finden mit PowerShell

    GPO-Verknüpfungen in der GruppenrichtlinienverwaltungBei einer großen Zahl an OUs und GPOs ist nicht leicht zu über­blicken, welche GPOs mit welchen OUs ver­knüpft sind. In Power­Shell lässt sich das mit relativ geringem Aufwand heraus­finden. Dabei kann man wahl­weise die OUs nach ver­linkten GPOs oder GPOs nach OUs filtern, mit denen sie ver­bunden sind.

    Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren

    Temporäre Mitgliedschaft in AD-GruppenDas optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeit­lich befristet in privi­legierte Grup­pen aufzu­nehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.

    Cluster-Heartbeat, VM-Drift, Kerberos: Systemzeit synchronisieren in virtualisierten Umgebungen

    Windows SystemzeitVirtua­lisierte Infra­strukturen stellen bei der Zeit­syn­chronisierung besondere Anforderungen, weil Hosts, Manage­ment-Umgebung und virtuelle Maschinen im Takt sein sollen. Mit dem einfachen Eintragen eines NTP-Servers ist es dabei nicht getan. Vielmehr bedarf es einer Strategie, um zu ver­meiden, dass verschiedene Zeitquellen sich in die Quere kommen.

    Just-In-Time Administration (JIT) in Windows Server 2016

    Just-In-Time Administration (JIT)Wenn ein admini­stratives Kon­to in die falschen Hände gerät, dann stehen bös­willigen Zeit­genossen Tür und Tor für destruktive Akti­vitäten offen. Privileged Account Manage­ment (PAM) redu­ziert diese Gefahr, indem es etwa Berech­tigungen nur tempo­rär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Admini­stration (JIT) eine eigene Lösung an.

    Benutzer im Active Directory mit PowerShell und CSV-Datei anlegen, Mailbox einrichten

    Benutzerkonten anlegenMuss man mehrere Benutzer im Active Direc­tory an­legen, dann ist Power­Shell unter den Bord­mitteln das Tool der Wahl. Zumeist impor­tiert man dabei die Daten aus einer CSV-Datei, bevor man sie an das Cmdlet New-ADUser über­gibt. Bei dieser Ge­legen­heit kann man auch die Mailbox für Exchange ein­richten.

    Praxisbeispiel für JEA: Management von Storage Spaces Direct (S2D) delegieren

    Just Enough Administration für Strage Spaces DirectJust Enough Admini­stration (JEA) ermög­licht eine fein­körnige Zuteilung admini­strativer Rechte an Benutzer und Gruppen. Der Aktions­radius von Mit­arbeitern lässt sich dabei durch die Beschrän­kung auf be­stimmte Cmdlets und Funk­tionen ein­grenzen. Ich demon­striere JEA hier am Beispiel eines S2D-Clusters.

    Benutzerprinzipalname (UPN) im Active Directory konfigurieren

    UPN-Suffix in Active Directory-Benutzer und -ComputerStatt mit Domäne\Benutzer­name kann man sich mit dem Benutzer­prinzipal­name (User Principal Name, UPN) am Active Direc­tory an­mel­den. Dafür ver­wendet man die Form benutzer­name@upnsuffix. Diese Anlei­tung zeigt, wie man den UPN an die Mail-Adresse anpasst.

    Replikation des Active Directory analysieren mit der Operations Management Suite

    Operations Management SuiteMit der Operations Manage­ment Suite (OMS) lassen sich Daten aus der Azure- und On-Premises-Infra­struktur erfassen und analy­sieren. Ihr Spek­trum reicht von der Per­for­mance-Ana­lyse über die Automa­ti­sierung von Aufgaben bis zum Backup. Dazu gehört auch eine Lösung für das AD-Trouble­shooting.

    Seiten