andreas222

Da wir mit OU Delegation arbeiten, ist die GPO Verwaltung bzw. die Verantwortung aufgeteilt. Also Administration mit unterschiedlichen Windows 10 VMs machbar.

Welches Problem hast Du genau?

Wenn es Optionen nicht mehr gibt, werden die halt entfernt. Falls eine alte Richtlinie die trotzdem noch einstellt, hast Du einen Registry-Eintrag mehr.

Hi zahni,

noch kein akutes Problem. Falls alte Einstellungen weiter benötigt werden, dann kann man diese Einstellungen nicht mehr vollständig verwalten. Richtig ?

Hallo zusammen,

früher haben wir einfach aktuelle ADMX Templates (ADML) Dateien im Central Store bereitgestellt und es war gut.

Microsoft fügt wohl mit den OS-Updates nicht nur neue Einstellungen hinzu, sondern entfernt zunehmend auch welche.

Schwierigkeiten können doch aber dann auftreten, wenn nicht bloß neue Optionen hinzukommen, sondern sich welche ändern oder ganz verschwinden ????

Wie geht ihr damit um ?
Wie testet ihr ?
Verzichtet ihr dann bei betroffenen Workstations ganz auf den Central Store bzw. verhindert diesen ?

VG & Merci

Andi

Hallo zusammen,

gibt es schon die Windows 10 RSAT Tools ?

Bisher finde ich nur die Windows 10 RSAT Tools  Technical Preview... diese sollte man wohl nicht mehr installieren ?

VG & Merci

Andi

Hallo zusammen,

welche managebare Enterprise Lösung für Windows 2012 R2 DC / RDSH und Clients könnt ihr empfehlen ?

Welche Support taugt ?

AVG ?

Avira ?

...

VG & Merci

Andi

Hallo Roscoe,

interessant. Wir haben möglicherweise eine ähnliche Anforderung.
Bei uns wird dieser Schritt aber aller Vorraussicht nach über ein IDM gemacht werden.

Entscheindend ist auch die benötigten Attribute vorher abzuklären, daß Ganze wird sich auf das Wesentliche reduzieren. :)

Wir haben auch Linux (Samba) Server in AD (Likewise Open / PowerBroker Open)

Tatsächlich kann Samba viel ist aber im Detail doch kein Windows und es hinkt halt doch.

Bspw. haben wier auch NetAPP Maschinen als Member in AD. Deren Umsetzung ist allerdings wackelig.

Würde für den Umzug natives Windows bevorzugen. Was man dann hinterher macht ist dann wieder Geschmacksache.

VG

Andi

Hallo zusammen, hallo Nils,

hier gibt es ja schon ähnliche Fragen zum Thema LDAP/AD.
Wie es aussieht ist es möglich mittels "ldapsearch" unter Linux und einem ungesicherten Login gegen AD, Informationen aus dem AD auszulesen.
Es muss nur eine gültige AD UserID/Passwort Kombination bekannt sein.

Im Testsystem habe ich auf den DCs zusätzlich Zertifikate hinterlegt. Eine gesicherte Verbindung über LDAPs TCP 636 funktioniert. (Getestet mit LDP).
Da wohl die gleichen Infos auch über eine ungesicherte Verbindung gehen stellen sich Fragen.

1.) Muss oder kann man die DCs bzw. AD hier absichern ohne den AD Betrieb generell zu gefährden ?

2.) Ist das nun ein Problem oder eher Design ?
3.) Habt ihr selbst LDAP Anfragen gegen AD ? Wie geht ihr damit um ?

Ein älterer Artikel zum Thema:

http://unixwiz.net/techtips/security-ldap-ad.html

So habe ich getestet, dabei werden die angeforderten Attribute geliefert.
Damit kann ein AD User, Informationen auslesen.

Gesicherte Abfrage:

ldapsearch -ZZ -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

Ungesicherte Abfrage:
ldapsearch -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

Hintergrund/Idee/Anforderung:

Das Active Diretcory läuft unter Windows 2012 R2r R2. Dort gibt es eineT Domäne namens: contoso.local
In dieser Domäne gibt es einen User "Hansi.Schmid" und eine Gruppe "Moderator". "Hansi.Schmid" ist Mitglied der
Gruppe "Moderator".

Diese Information möchten err gerne zu Authentifizierungszwecken in einer Anwendung verwenden.
In der "Web-Anwendung" möchte er zum einen mit der passenden Username / Passwort Kombination authentifzieren und zum anderen
möchten er die Information zur Gruppenzugehörigkeit ("Hansi.Schmid" ist Mitglied der Gruppe "Moderator") in der Anwendung mitbenutzen.

VG & Merci

Andi

Die Frage ist unklar... Linux arbeitet mit einer keytab, da muß der lokale Hostname nichts mit dem AD-Namen zu tun haben. Pbis open kenne ich allerdings nicht :(

Ok, im Prinzip hast Du die Antwort geliefert. Danke.

Der lokale Hostname des Linux Clients kann sich (unschön) vom Hostnamen innerhalb AD unterscheiden, richtig ?

Es hat keinerlei Auswirkung auf die Funktion.

Wenn ich richtig informiert bin wird das Passwort des Computerkonto nach 30 Tagen geändert.

Dann werden wir sehen ob es irgendwelche Probleme damit gibt.

VG & Merci

Andreas

Hi Nils,

ja klar.... hätte ich richtig lesen sollen ...es ging um ADAC nicht um ADUC.

Freut mich wenn ich trotzdem Input liefern konnte.

VG & Merci

Andreas

Hallo zusammen,

möglicherweise geht die Info am Ziel vorbei.

Wir hatten die Anforderung weitere Emailadressen im Test AD unterzubringen und das Feld in ADUC sichtbar zu machen.

In Powershell geht es meine ich...

Daten herauslesen mit get-ADObject, in eine Variable zwischenspeichern, 2 Werte addieren und abspeichern mit Set-ADObject...

Von Hand...

Wir haben das Attribt/Feld "proxyAddresses" für weitere Mail verwendet und weitere Spalte in ADUC sichtbar eingefügt.

Beispiel:

hier einpflegen (US/English-locale):

CN=default-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=Test,DC=contoso,DC=com

und hier (deutsches Locale):

CN=default-Display,CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=Test,DC=contoso,DC=com

Hier die Anleitung:

Add extra columns to Active Directory Users and Computers display

per GUI:

http://pberblog.com/post/2009/06/21/Add-extra-columns-to-Active-Directory-Users-and-Computers-display.aspx

1) Load ADSIEDIT

2) Connect to the Configuration naming context.

3) Navigate to CN=DisplaySpecifiers

4) Navigate to CN=409 (This setting changes as per your locale setting.

409 is for english)

5) Edit: CN=default-Display object's extraColumns attribute

or

Edit: CN=user-Display object's extraColumns attribute (normally empty)

per script:

http://support.microsoft.com/kb/884402

Evtl passt das.

VG

Andreas

Hallo

hat jemand UE- V im Einsatz ?

Wir sind am überlegen ob uns UE-V bei unserem geplanten RDSH Setup hilfreich sein kann ?

Einer der Ansätze geht Richtung Mandatory Profiles und Ordnerumleitung.

Ziel soll sein, den RDSH Usern ein funktionierendes Profil und den Admins gute Werkzeuge an die Hand zu geben.

Wie sind eure Erfahrungen ?

Wer hat Immidio Flex Profiles im Einsatz und was kann es leisten ?

VG & Merci

Andi

Hi daabm,

Ok evtl. hab ich mich auch etwas falsch ausgedrückt.

Zum einen geht es auch um Sicherheit im allgemeinen, da hab ich zu wenig Erfahrung mit dem SCM.

Wobei ich einem Wizard wenig vertraue, meist verbiegen die Wizards mehr als einem lieb ist.

Mandatory um Ladezeiten gering zu halten, gibt es etwas Besseres ?

Laufwerke und Bibiotheken Zeug ausblenden, um User mit zuviel Elemente im Explorer Fenster nicht zu verwirren.

User soll nur Homedir, Groupshare und USB Stick wenn vorhanden sehen.

Gut das letzte TS Setup bei uns basiert auf Windows 2003.

Denke mit Windows 2012 R2 hat sich viel getan.

Welche dieser Neuerungen nun auch wirklich in der Praxis Bestand haben ist mir noch nicht geläufig.

User Profile Disks sind bisher kein Thema.

Wenn Mandatory TS Profiles verwendet werden, ist dann Ordnerumleitung überhaupt noch sinnvoll bzw. kann man das kombinieren ?

Also im Prinzip ist eine Art best practices für RDS gesucht ?

Euer aktuelles Buch zum Thema GPO besitze ich ... prima geschrieben.

VG & Merci

Andi

Hallo zusammen,

Wir werden eine Serverfarm betreiben und Anwendungen veröffentlichen.

Nun stellt sich die Frage wie man die RDS Host relativ sauber und vor UserManipulation schützt ?

Wir dachten an:

1. Lokale Laufwerke ausblenden

2. Maschinen in eigene OU und Loopback.

Unklar:

Einsatz von Mandatory TS Profiles

Folder Redirection

Hat irgendjemand ähnliche Anforderungen umgesetzt ?

VG & Merci

Andi

Hallo Nils, hallo zusammen,

vielen Dank die LDAP Infos auf FAQmatic kenne ich und schätze diese sehr.

Du sprichst es an ... die GUi ist bei großen Objekt-Zahlen überfordert.

In ADUC ist zum Glück eine Anzahl von 20000 über die Advanced Setting ( Filter) einstellbar.

Danke für den MS Link.

Wenn ich mich nicht irre hatte ich den Link schon an unsere IDM Entwickler

weitergegeben.

Inwiefern sie mit den Informationen etwas anfangen können... wir werden sehen.

VG & Merci

Andi

Hallo zusammen,

richtig ihr habt vollkommen recht. Der Aufwand ist groß bzw. es gibt sicher vieles was irgendwann irgendwoher U-Boot mässig auftaucht.

@Nils
Jep, es geht immer noch um dieses IDM-Projekt. Das IDM System selbst hat noch keinen Status X erreicht.

Die Mühlen mahlen langsam.

VG & Merci

Andreas

Hallo zusammen,

hier einmal unsere Lösung falls es jemand mal braucht. Lösung war der Parameter "maxReceivedMessageSize" 
der AD Web Services configuration zu erhöhen.

In C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config den Wert "maxReceivedMessageSize" von 1048576 auf 2097152
verdoppeln.

<binding name="ActiveDirectoryWebServicesNetTcpBindingConfiguration" maxReceivedMessageSize="1048576" receiveTimeout="00:10:00" >

Neustart des  Active Directory Web Services (ADWS) Service, und siehe da 20000 User  lassen sich anlegen.

VG

Andi

Hallo zusammen,

hab es mal zum Test mit DSACLS gemacht.
Mal das Wesentliche in Kürze. Vielleicht ist es ja interessant für jemanden.

Könnt ihr mal drüber schauen, geht das noch einfacher ?

Ähm,  wie kann ich das Erstellen/Löschen von SUB-OUS erlauben, hab ich noch nicht gefunden ?
Das wäre noch ein Zückerle, wobei das Erstellen/Löschen auch auf Zuruf gemacht werden kann. :)

 

@ Nils Danke für den Tip mit find /I.....

VG & Merci

Andreas

# Anlegen der Rechte

Gruppe darf Computerkonten in Computer-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Computer | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Benutzer in Users-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;User | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Eigenschaften der User in Users-OU bearbeiten  
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;User | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Gruppen in Groups-OU erstellen                 
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:CCDC;Group | find /I "nicht erfolgreich" || echo erfolgreich

Gruppe darf Mitglieder einer Gruppe in Groups-OU bearbeiten
dsacls "OU=%FB%,%DISTN%" /i:T /G %DOMAIN%\%GROUP%:RPWP;;Group | find /I "nicht erfolgreich" || echo erfolgreich


REM CC = Create Child Object
REM DC = Delete Child Object
REM Parameter I = Inheritance
REM I:P = Nur das Objekt
REM I:S = Nur Unterobjekte
REM I:T = Objekt und Unterobjekt

 

# Enzug der Rechte

Gruppe darf Computerkonten in Computer-OU entziehen              
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%

Gruppe darf Benutzer in Users-OU erstellen/bearbeiten entziehen
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%

Gruppe darf Gruppen in Groups-OU erstellen/bearbeiten entziehen
dsacls "OU=%FB%,%DISTN%" /R %DOMAIN%\%GROUP%
 

Hallo zusammen,

merci für die Antworten.

Klar delegiert wird nur an Gruppen.

Die Anforderungen sind nun auch klar. Es geht darum das Recht User, Gruppen, Computer sowie vorhandene GPOs zu verknüpfen.

Wird alles zuerst im Testsetup durchgespielt. :)
 

Die Delegierung/Berechtigungen direkt über die Advanced Settings zu machen ist auch ein Weg. Nachteil man hat dann keine Doku.

Möglicherweise kommen früher oder später mehr Aufgaben dazu, deshalb die Frage nach einem Werkzeug.

Für den Anfang sollte dcacls und evtl. auch Powershell auch gut sein. :)

VG & Merci

Andreas

Hallo zusammen,

es gibt einige Links zum Thema AD Delegtion mit den Windows 2012 R2 Bord-Mitteln.

Der ADUC Delegations Wizard oder dann eben manuell direkt über die Sicherheit, Advanced Konfiguration.

Das Erstellen einer Delegation ist noch relativ gut zu machen.

Allerdings die Rechte im Nachhinein zu entziehen oder zu bearbeiten ist schon ziemlich unhandlich.

Hat jemand ein Delegations Werkzeug im Einsatz, Tools4ever, firstware oder Quest ?

Ist es damit möglich Rollen zu delegieren ?

Bspw. möchte ich gerne eine OU delegieren, die OU Admin Gruppe soll User, Computer, Gruppen, OUs ( bei Bedarf) anlegen und auch ändern/löschen können.

Später evtl. noch GPOs ... ist noch nicht geklärt.

Merci für Infos

Andreas

Hi zusammen,

ein anderer Ansatz wäre kleinere Gruppen bspw. Student-1, Student-2.... diese werden dann Mitglied in Gruppe Student-Alle.

Allerdings erklärt das den Sachverhalt mit der max. Anzahl User in einer Gruppe so wie die zu verwendende Schnittstelle LDAP, RPC, Adsi nicht ?

VG &

Merci

Andi

Hi,

meines Wissens nach kann jeder Domain User bis zu 10 Rechner in AD per Default hinzufügen.

Wenn man das nicht will muss man das explizit unterbinden.

Mit der AD Delegation lässt sich einiges steuern.

VG

Andi

Hi zusammen, hi Doso,

70000 User in einer Gruppe ?

Über welche Schnittstelle habt ihr das gemacht ?

Mit welchen kryptischen Befehlen ?

Ich vermute mal NICHT über LDAP ?

VG & Merci

Andi

Hi zusammen, hi Zahni,

Forest Level ist (noch) Windows 2008 R2.

Das PS Skript hat nur User in die OU angelegt. Hinzufügen zur Gruppe habe ich ganz naiv über => GUI Alle markieren hinzufügen gemacht.

Aber richtig das Identity System spricht über LDAP/ LDAPs mit der AD.

Sollte man evtl. eine andere Schnittstelle verwenden, wenn ja welche ?

Dieser Artikel habe ich noch bezueglich LDAP etc. Die AD LDAP Poilcy Werte MaxValRange und MaxPagesize beziehen sich auf Lese Anfragen an AD.

Doch aber nicht auf Schreibvorgänge... zumindest verstehe ich das so.

Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response

http://support.microsoft.com/kb/2009267

VG & Merci

Andi

Hi zahni,

Ich hab mir mit Powershell in einer Test OU 20000 dummy Konten erstellt und wollte die in einer dummy Gruppe unterbringen.

Bei 8200 ist Schluss ... zwar mehr als 5000 aber doch keine 20000.

Hast Du schon so eine große Anzahl in einer Gruppe untergebracht ?

Merci

Andi