Microsoft Exchange und Active Directory Blog
Der neue Windows Server 2025 bringt einige neue Features für das Active Directory mit und macht auch das Upgrade besonders einfach. Ein Inplace Upgrade auf Windows Server 2025 ist ab Windows Server 2012 R2 ohne Zwischenschritt möglich. Im Prinzip muss also nur das Server 2025 ISO gemountet werden und es kann direkt aktualisiert werden. In … Weiterlesen …
Wie auch die Updates für Exchange Server, enthält auch das März Update für Windows Server einen gravierenden Fehler. Das Update verursacht ein Speicherleck im LSASS Prozess, welches dann zum Neustart oder Absturz eines Domain Controller führen kann. Von diesem Problem sind nur Domain Controller betroffen, auf normalen Member Servern tritt das Problem nicht auf. Derzeit … Weiterlesen …
Manche Active Directory Features lassen sich nicht auf Organisationseinheiten sondern nur auf AD-Gruppen festlegen. Ein Beispiel dafür sind Fine Grained Password Policies. Will man solche Features trotzdem auf alle Benutzer einer Organisationseinheit anwenden, erstellt man einfach eine Gruppe mit allen Benutzern welche in der OU gespeichert werden. Diese Gruppe wird auch Schattengruppe (Shadow Group) genannt. … Weiterlesen …
Häufig werden Service Accounts für den Start von Windows Diensten oder geplanten Aufgaben mit dem Attribut „Passwort läuft nie ab“ konfiguriert und dann jahrelang genutzt. Oft werden solche Service Accounts auch zweck entfremdet und auf vielen Servern für verschiedenste Aufgaben eingesetzt. Service Accounts mit weit reichenden Berechtigungen und nie ablaufenden Passwörtern erleichtern es dann den … Weiterlesen …
Einige Leser dieses Blogs haben sich einen Beitrag über das Delegieren von Admin Berechtigungen gewünscht. Die meisten Anfragen drehen sich darum, dass bestimmte administrative Tätigkeiten, wie das Anlegen von Benutzerkonten oder das Zurücksetzen von Passwörtern, von Benutzern übernommen werden sollen. Diese Benutzer sollen selbstverständlich keine Domain Admin Berechtigungen besitzen, sondern nur die für ihre Tätigkeit … Weiterlesen …
Manchmal kann es erforderlich sein, dass nachträglich die IP und der Hostname eines Domain Controllers geändert werden müssen, etwa wenn ein neuer Domain Controller einen alten ersetzen und unter gleicher IP und Name erreichbar sein soll. Das Ändern der IP Adresse eines Domain Controllers ist normalerweise problemlos möglich, das Ändern des Hostnames einer Domain Controllers … Weiterlesen …
Ich bin erst kürzlich in diese Falle getappt, denn bei zeitkritischen VMs, wie beispielsweise Domain Controller, welche auf VMware vSphere betrieben werden, muss man eine kleine Besonderheit beachten. Da eine falsche Uhrzeit durchaus weitreichende Folgen haben kann, gibt es daher hier mal einen kleinen Artikel zu dem Thema. Folgendes Problem ist aufgetreten. Ein NTP Server … Weiterlesen …
Im dritten Teil der Artikelserie “Einfache Maßnahmen für mehr Sicherheit im AD” hatte ich LAPS für Server und Clients behandelt. Zugegeben: Der LAPS Artikel ist nun schon etwas länger her, das Thema ist aber nicht vergessen. Daher gibt es jetzt einen neuen Artikel bezüglich “Einfache Maßnahmen für mehr Sicherheit im AD”. In diesem vierten Teil … Weiterlesen …
Häufig werden Benutzer zur lokalen Gruppe “Administratoren” auf Servern oder PCs hinzugefügt, damit Benutzer Admin Rechte auf entsprechenden Rechnern erhalten. Zwar ist dies die einfachste Möglichkeit um einem Benutzerkonto Admin Rechte zu konfigurieren, aber leider verliert man hier schnell die Übersicht. Hier mal ein Beispiel der Mitglieder der lokalen Administrator Gruppe eines Servers: Die Benutzer … Weiterlesen …
In diesem dritten Teil der Artikelreihe “Einfache Maßnahmen für mehr Sicherheit im AD” geht es um die Passwörter der lokalen Administrator Konten. In vielen Umgebungen sind die lokalen Administrator Passwörter immer gleich, dies öffnet Malware mitunter aber Tür und Tor und macht das Lateral Movement erst möglich oder vereinfacht es zumindest. Unterschiedliche Passwörter für den … Weiterlesen …