Setzt man sich mit der Planung und Implementierung einer (möglicherweise Multi-Tier-) Enterprise-CA unter Windows auseinander, so wird man feststellen, dass hierfür sowohl ein CRL-Webserver (Certificate Revocation List) als auch ein OCSP Responder (Online Certificate Status Protocol) sinnvoll sind. In größeren Umgebungen befinden sich sowohl der CRL-Webserver als auch der OCSP Responder meistens in einer DMZ […]

Möchte man die PrimaryGroupID (näheres siehe in diesem Beitrag) automatisch für alle AD-User prüfen und ggf. auch automatisch korrigieren, so kann man dies natürlich auch per PowerShell tun. Im Active Directory gibt es standardmäßig eine Ausnahme, welche nicht die primaryGroupID 513 („Domain-Users“) hat: Hierbei handelt es sich um den User „Guest“, dieser hat die primaryGroupID […]

Wir haben unsere beliebte Sammlung von AD-Testbenutzerkonten mit lustigen Namen erweitert. In der jüngsten Fassung sind über 330 Namen enthalten, das sind über 40 neue Benutzerkonten seit dem letzten Update. Alles Weitere zur Sammlung findet sich hier, auch eine geordnete Liste: [AD-Testuser mit Details und lustigen Namen (reloaded) | faq-o-matic.net]https://www.faq-o-matic.net/2014/02/17/ad-testuser-mit-details-und-lustigen-namen-reloaded/ Den Download könnt ihr auch […]

Zu dem Artikel “Die OU eines AD-Users in ein Attribut kopieren” gibt es ein alternatives Verfahren, das die Eigenheiten der PowerShell besser ausnutzt. Wenig bekannt ist, dass die Pipeline-Technik der PowerShell meist viel schneller ist. Die folgende Code-Variante dürfte daher in großen Umgebungen schneller fertig sein. [regex]$regex = „(?:,)(?’name'((CN|OU=).*))“ Get-ADUser -Filter * -SearchBase „OU=Benutzer,DC=ad2016,DC=faq-o-matic,DC=net“ | […]

In einer AD-Migration bei einem Kunden sollten die Quell-OUs der Userkonten in einem freien Attribut gespeichert werden, um nach der Migration bei den Zielobjekten den ursprünglichen Ablageort feststellen zu können. Das folgende PowerShell-Skript erfüllte in der Quelldomäne die Aufgabe. $Users = Get-ADUser -Filter * -SearchBase ‚OU=Benutzer,DC=ad2016,DC=faq-o-matic,DC=net‘ foreach ($Account in $Users) { $Parent = (([adsi]“LDAP://$($Account.DistinguishedName)“).Parent).Substring(7) $Account.Name […]

Namen sind ja so eine Sache in Active Directory. Es gibt so viele davon, dass man kaum auswählen kann, welcher denn nun welcher ist. Das trifft lustigerweise auch auf den Namen der Domäne selbst zu: Nicht nur hat jede Domäne zwei (den alten NetBIOS-Namen und den DNS-Namen), sondern es gibt auch noch eine LDAP-Notation dazu. […]

Der PowerShell Saturday am 26.08.2017 ist ein ganzer Tag, der nur Themen rund um unsere Lieblingsshell gewidmet ist. An diesem Tag soll die PowerShell einem größeren Publikum bekannt gemacht werden. Dazu ist jeder herzlich eingeladen, der die PowerShell kennt oder sie einfach mal kennenlernen möchte. Mit dabei sind z.B. der Powershell-MVP Dr. Tobias Weltner, Peter […]

In einer Kundenumgebung stieß ich gerade auf ein Problem beim PowerShell-Remoting: Es kam zwischen Client und Server keine Verbindung zustande. Nachdem ich die Lösung gefunden hatte, stellte ich fest, dass das Problem ein alter Bekannter war. Aber der Reihe nach. Ein Skript versuchte, eine PS-Remoting-Session aufzubauen. Dies schlug fehl mit folgenden Fehlermeldungen: New-PSSession : [SRV01] […]

Für unseren Kennwortgenerator “Schwester-Pelzhut-Ledersofa-Auch” brauchen wir eine Liste eindeutiger Wörter. Der Einfachheit halber habe ich dafür einen vorhandenen Text genommen, der ohne Lizenzkosten zur Verfügung steht. Meine Wahl fiel auf Franz Kafkas “Verwandlung”. Da Kafka vor mehr als 70 Jahren gestorben ist, sind die Einschränkungen des Urheberrechts erloschen, man darf den Text also “einfach so” […]

Auf der Cloud & Datacenter Conference Germany 2017 hatte ich die Ehre, vor großem Publikum die neue Sicherheitstechnik “Just Enough Administration” am Beispiel von Hyper-V vorzustellen. Hier ist ein wenig Material dazu. Just Enough Administraion (oder JEA) ist ein neuartiges Berechtigungskonzept für zahlreiche Dienste und Applikationen. Anders als herkömmliche Verfahren setzt es nicht auf Objektberechtigungen […]