Active Directory
Mit Windows 10 oder Server 2016 offline einer Domäne beitreten
Microsoft führte mit Windows 7 und Server 2008 R2 die Möglichkeit ein, mit PCs einer Domäne beizutreten, ohne dass diese eine Verbindung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kommandozeilen-Tool djoin.exe, ein GUI- oder PowerShell-Äquivalent dazu gibt es nicht.
Exchange 2016 CU7: AD-Funktionsebene 2008 R2 erforderlich, kein Support für .NET 4.7
Microsoft veröffentlichte die vierteljährlichen kumulativen Updates für Exchange 2013 (CU18) und 2016 (CU7). Beide bringen keine neuen Funktionen, sondern beheben nur bekannte Probleme. CU7 für Exchange 2016 stellt jedoch für die Installation neue Systemanforderungen.
Anmelden an bestimmten PCs für Benutzer und Gruppen verweigern
Per Voreinstellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umgebungen unerwünscht sein, weil sich durch die Beschränkung der Anmeldung Risiken vermeiden lassen. Entsprechende Restriktionen können Admins über Gruppenrichtlinien durchsetzen.
Verknüpfte GPOs und OUs finden mit PowerShell
Bei einer großen Zahl an OUs und GPOs ist nicht leicht zu überblicken, welche GPOs mit welchen OUs verknüpft sind. In PowerShell lässt sich das mit relativ geringem Aufwand herausfinden. Dabei kann man wahlweise die OUs nach verlinkten GPOs oder GPOs nach OUs filtern, mit denen sie verbunden sind.
Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren
Das optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeitlich befristet in privilegierte Gruppen aufzunehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.
Cluster-Heartbeat, VM-Drift, Kerberos: Systemzeit synchronisieren in virtualisierten Umgebungen
Virtualisierte Infrastrukturen stellen bei der Zeitsynchronisierung besondere Anforderungen, weil Hosts, Management-Umgebung und virtuelle Maschinen im Takt sein sollen. Mit dem einfachen Eintragen eines NTP-Servers ist es dabei nicht getan. Vielmehr bedarf es einer Strategie, um zu vermeiden, dass verschiedene Zeitquellen sich in die Quere kommen.
Just-In-Time Administration (JIT) in Windows Server 2016
Wenn ein administratives Konto in die falschen Hände gerät, dann stehen böswilligen Zeitgenossen Tür und Tor für destruktive Aktivitäten offen. Privileged Account Management (PAM) reduziert diese Gefahr, indem es etwa Berechtigungen nur temporär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Administration (JIT) eine eigene Lösung an.
Benutzer im Active Directory mit PowerShell und CSV-Datei anlegen, Mailbox einrichten
Muss man mehrere Benutzer im Active Directory anlegen, dann ist PowerShell unter den Bordmitteln das Tool der Wahl. Zumeist importiert man dabei die Daten aus einer CSV-Datei, bevor man sie an das Cmdlet New-ADUser übergibt. Bei dieser Gelegenheit kann man auch die Mailbox für Exchange einrichten.
Praxisbeispiel für JEA: Management von Storage Spaces Direct (S2D) delegieren
Just Enough Administration (JEA) ermöglicht eine feinkörnige Zuteilung administrativer Rechte an Benutzer und Gruppen. Der Aktionsradius von Mitarbeitern lässt sich dabei durch die Beschränkung auf bestimmte Cmdlets und Funktionen eingrenzen. Ich demonstriere JEA hier am Beispiel eines S2D-Clusters.
Benutzerprinzipalname (UPN) im Active Directory konfigurieren
Statt mit Domäne\Benutzername kann man sich mit dem Benutzerprinzipalname (User Principal Name, UPN) am Active Directory anmelden. Dafür verwendet man die Form benutzername@upnsuffix. Diese Anleitung zeigt, wie man den UPN an die Mail-Adresse anpasst.