AD-Attribute verstecken Teil 2 – Leserechte für Confidential Attributes

Publiziert am 22. Dezember 2011 von Moritz Baer

In einem vorangegangen Artikel Attribute im AD verstecken und eigene Attribute erstellen habe ich bereits erklärt, wie Attribute im AD durch die Markierung confidential versteckt werden können. Dadurch haben nur noch Administratoren Leserechte auf das Attribut.
Nun gibt es manchmal die Situation, bei der man ausgewählten Benutzern bzw. Gruppen das Lesen erlauben möchte, ohne Sie gleich zu Administratoren zu machen. Weiterlesen

Veröffentlicht unter Active Directory, Allgemein | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Die Cloud: Marketing Schlagwort oder Fortschritt?

Publiziert am 13. Dezember 2011 von Sascha Bürk

Seit einiger Zeit wird versucht das Konzept “Cloud” in der IT-Welt zu platzieren. Dabei greift beispielsweise Microsoft auf sehr unverständliche Werbespots zurück. Sicher hat jeder schon einmal den Spot über das schlechte Foto gesehen, das in die Cloud geschickt wird und sich auf magische Weise in ein tolles Familienfoto verwandelt. Derartige Werbung geht nicht nur völlig an der Zielgruppe (IT-Administratoren) vorbei, sie vermittelt auch ein falsches Bild vom Nutzen und den Möglichkeiten der Cloud.

Aber was ist die Cloud nun? Wie kann ich sie zu meinem Vorteil nutzen? Weiterlesen

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Server 2008 R2: Dynamic Memory funktioniert nicht

Publiziert am 1. Dezember 2011 von Florian Raichle

Mit dem SP1 für Server 2008 R2 hat Microsoft die Technology Dynamic Memory für Hyper-V eingeführt. Dahinter verbirgt sich nichts geringeres als dass der Arbeitsspeicher je nach Last dynamisch zwischen verteilt werden kann. Nähere Informationen zu Dynamic Memory sind beispielsweise in der TechNet im Hyper-V Getting Started Guide zu finden.

Stellen Sie sich nun folgendes Szenario vor: Sie setzen einen Server 2008 R2 in Hyper-V auf und konfigurieren Dynamic Memory:

Nach der Installation des Betriebssystems kommt nun die Überraschung: Der Server läuft nur mit dem Startup-RAM, in diesem Fall 512MB:

Mit exakt diesem Problem sah ich mich neulich konfrontiert. Zunächst habe ich versucht die Integration Tools erneut zu installieren um sicherzustellen, dass die neueste Version vorhanden ist. Auch dieses Vorgehen hat jedoch keinen Erfolg gebracht. Nach einiger Recherche habe ich in der TechNet im Artikel Hyper-V Dynamic Memory Configuration Guide die Lösung gefunden. Wenn es sich, wie in meinem Fall um einen Server 2008 R2 Standard handelt, so muss auch auf dem Gast-System SP1 für Server 2008 R2 installiert sein. Für alle Server 2003 und Server 2008 Versionen sowie für Server 2008 R2 Enterprise oder Datacenter genügt ein Update der Integration Tools.

Nach der Installation von SP1 funktionierte dann auch Dynamic Memory wie gewünscht:

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , , , | Hinterlasse einen Kommentar

Exchange Server 2010 und Mailbox Storage Quotas

Publiziert am 15. November 2011 von Sascha Bürk

Viele User, und ich möchte mich selbst hiervon nicht ausnehmen, neigen dazu gelesene E-Mails wie einen kostbaren Schatz im Postfach zu horten. Schlimmer noch: nicht einmal in Ordner einsortiert stellen sie mehr einen Müllberg dar, als angesammelte Informationen. Derartig durcheinander ist die Wahrscheinlichkeit, dass eine E-Mail tatsächlich Monate oder Jahre später noch einmal gelesen wird, verschwindend gering. Doch welche Methoden hat ein Administrator gegen das fast schon zwanghafte Sammeln von Datenmüll vorzugehen und worauf ist hierbei zu achten?

Die einfache Antwort lautet in diesem Fall Mailbox Storage Quotas. Weiterlesen

Veröffentlicht unter Exchange Server | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Der SharePoint 2010 und das erste Service Pack

Publiziert am 15. Oktober 2011 von Sascha Bürk

Seit Juni 2011 ist nun das erste Service Pack (SP1) für SharePoint 2010 verfügbar. Anders als bei den meisten Updates ist es hier aber nicht genug das Service Pack einfach nur zu installieren und einen Neustart des Servers durchzuführen. Im Folgenden möchte ich kurz das Vorgehen zur korrekten Installation beschreiben. Diese Schritte sind auch zur Installation der neuesten Sicherheitsupdates erforderlich. Weiterlesen

Veröffentlicht unter Sharepoint Server | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Mandatory Profiles oder “Ein Profil für alle”

Publiziert am 30. September 2011 von Moritz Baer

Ein eigenes Hintergrundbild mit über 5MB oder viele Dateien im Downloads-Ordner…
…und das alles bei 1000 Usern, die vielleicht sogar das Profil nie wieder benutzen. Da geht der Speicherplatz auf Client bzw. Serverseite schon mal zur Neige.

Deshalb zeige ich hier, wie man ein Profil für viele Benutzer erstellt, dass nicht verändert werden kann: Ein sogenanntes Mandatory Profile.

Was genau ist ein Mandatory Profile?

Ein Mandatory Profile ist ein Profil, dass vom Administrator beliebig stalltet werden kann und von den Benutzern auch wie ein ganz normales Profil verwendet wird.
Einziger Unterschied: Änderungen vom Benutzer werden nicht gespeichert. Jeder Benutzer hat bei jeder Anmeldung immer das gleiche Profil.

Die Vorbereitungen

Zu aller erst brauchen wir ein Profil, das wir editieren können. Hierzu legen wir einfach über Active Directory Users and Computers einen neuen Benutzer Mandatory an. Damit das Profil später von allen nötigen Clients erreicht werden kann, legen wir außerdem einen Share MandProfile an und geben diesen für alle User mit Vollzugriff frei. Als nächstes legen wir noch fest, dass das Profil vom zuvor erstellen Benutzer Mandatory im neuen Share MandProfile liegen soll. Hierzu gehen wir in Active Directory Users and Computers mit Rechtsklick auf den Benutzer Mandatory und ändern den Profilpfad unter Properties -> Profile auf den gerade erstellen Share:

Nun melden wir uns an einem Client mit dem gerade neu erstellen User an, verändern das Profil wie gewünscht und melden uns wieder ab. Nun kann man den User Mandatory getrost wieder löschen, da er nicht mehr gebraucht wird.

Die Berechtigungen

Zu aller erst müssen wir die Berechtigungen auf die Profilordner ändern. Alle Ordner und Unterordner müssen über die folgenden Berechtigungen verfügen:

  • Authenticated Users: Read & execute
  • System: Full Controll
  • Administrators: Full Controll (um später schnell Änderungen vornehmen zu können

Jetzt fehlen nur noch die Berechtigungen auf die NTUser.dat. Hierfür werden wir über den Registry-Editor einige Rechteanpassungen vornehmen:

  • Wir wählen HKEY_LOCAL_MACHINE und fügen über File -> Load Hive… die NTUser.dat des Mandatory Profiles hinzu. Der Namen den wir vergeben müssen, ist beliebig und hat keine Auswirkungen auf das spätere Ergebnis
  • Rechtsklick auf den gerade hinzugefügten Hive -> Permissions

  • Hier setzen wir die Rechte für Authenticated Users auf Full Control
  • Über File -> Unload Hive…entfernen wir den Hive wieder

Das Profil an die Benutzer verteilen

Jetzt muss das neue Mandatory Profile nur noch an die entsprechenden User verteilt werden. Es stehen zwei Möglichkeiten zur Verfügung:

  • Active Directory Users and Computers -> Eigenschaften des Users -> Profile

  • Computerconfiguration -> Policies -> Administrative Templates -> System -> User Profiles -> Set roaming profile path for all users logging onto this computer

Veröffentlicht unter Active Directory, Allgemein | Verschlagwortet mit , , , | 2 Kommentare

PDF-Volltextsuche mit der Windows Suche

Publiziert am 15. September 2011 von Florian Raichle

Mit der Einführung von Windows Vista hat Microsoft begonnen die indexbasierte Windows Search direkt mit dem Betriebssystem auszuliefern. Mit dieser Suche ist standardmäßig bereits eine Volltextsuche für viele Dateitypen wie Word- und Excel Dokumente oder Emails möglich. Eine Übersicht über die durchsuchbaren Dateitypen gibt Microsoft auf der Windows Search Produktseite.

 Die Volltextsuche wird durch sogenannte iFilter realisiert. Für die Volltextsuche in Microsoft-Dokumenten werden diese iFilter bereits mitgeliefert, für PDF-Dokumente muss ein solcher Filter erst installiert werden, eine native PDF-Unterstützung ist für die nächste Windows Version geplant. Wenn bereits ein PDF-Reader installiert ist, dann ist die Dateiendung *.pdf bereits registriert, jedoch ist die Volltextsuche aufgrund des fehlendes iFilters nicht möglich. Dies ist in den Indexing Options zu erkennen, diese werden am einfachsten durch das Drücken der Windows Taste und anschließende Eingabe von Indexing erreicht. Hier ist unter Advanced im Tab File Types folgendes zu sehen:

 

Glücklicherweise stellt Adobe einen passenden iFilter kostenlos zur Verfügung. Der Download ist auf der Adobe-Seite für 64-bit Systeme zu finden. Für 32-bit Systeme ist dieser Filter bereits in den Adobe Reader integriert und wird bei dessen Installation mit installiert.

In diesem Artikel möchte ich die Installation dieses iFilters mittels Gruppenrichtlinen beschreiben. Bei der von Adobe zum Download zur Verfügung gestellten Datei handelt es sich um eine *.msi Datei. Eine Installation sollte also mit Hilfe von Gruppenrichtlinien recht einfach zu erledigen sein. Die ausführliche Beschreibung hierzu ist in meinem früheren Artikel zum Java Deployment zu finden.

Die *.msi-Datei wird auf eine Share gelegt, am besten ist ein Zugang auf diesen Share per DFS. Nun erstellen wir auf einem Server eine neue Gruppenrichtlinie, diese kann auch direkt auf die gewünschte OU gelinkt werden. Über Rechtsklick->Edit wird der Gruppenrichtlinien-Editor geöffnet. Hier navigieren wir zu Computer Configuration -> Policies -> Software Settings -> Software Installation -> Rechtsklick -> New – > Package. Hier sollten Sie nun den UNC-Pfad, also \\Server\Ordner\ zu der *.msi-Installer Datei  angeben. Als Deployment Methode wählen wir Assigned, denn weitere Einstellungen sind hier nicht zu treffen.

Nun sollte das Deployment des iFilters funktionieren und dieser beim nächsten Neustart des Systems installiert werden. Erkennbar ist das auch an den Einstellungen zur Windows Suche:

Jedoch wird die PDF-Volltextsuche noch nicht funktionieren, da die PDF-Dateien noch nicht indiziert sind. Manuell lässt sich das in den Indexing Options über Advanced->Rebuild Index bewirken:

 

Jedoch ist dieses Vorgehen für ein Deployment auf vielen Rechnern nicht praktikabel. Leider bieten die zur Steuerung der Windows Search verfügbaren GPOs auch nicht die gewünschte Einstellung.

Zur Lösung dieses Problems habe ich mittels des Process Monitors aufgezeichnet, was passiert wenn man den Rebuild Button drückt. Nach einiger Analyse konnte ich feststellen, dass zu Beginn der Indizierung ein Registry-Key gesetzt wird, welche die Indizierung anstößt. Da sich dieser Registrykey bequem über GPO-Preferences verteilen lässt ist nun ein Weg gefunden um die Neuerstellung des Indexes auf allen Rechnern anzustoßen.

Hierzu können wir die bereits erstellte GPO verwenden, wir verteilen den Key über Computer Configuration -> Preferences -> Windows Settings -> Registry -> Rechtsklick New -> Registry Item:

Dieser Wert wird beim Start des Computers gesetzt, sobald der Windows Search Indexing Dienst gestartet ist erkennt dieser den Key, beginnt mit einer erneuten Indizierung und löscht den Key. Wichtig ist nun noch, dass im Tab Common das Häkchen bei Apply once and do not reapply gesetzt ist. Damit wird verhindert, dass der Index bei jedem Neustart erneut komplett neu erstellt wird, sondern das dies nur nach der Installation des iFilters erfolgt.

Nun sollte nach der Installation und nach dem Neuerstellen des Indexes, was je nach Anzahl der vorhandenen Dateien eine gewisse Zeit dauern kann, die Volltextsuche für PDFs funktionieren:

Veröffentlicht unter Allgemein | Verschlagwortet mit , | 1 Kommentar

Exchange 2010: Administration abgeben oder behalten?

Publiziert am 28. August 2011 von Moritz Baer

Dieser Artikel gilt für: Exchange 2010

Unter Exchange 2010 gibt es standardmäßig die Möglichkeit, dass ein Benutzer über die OWA einige Attribute des eigenen Accounts ändern kann. Hierzu zählen zum Beispiel: Adresse oder Telefonnummer. Außerdem kann er sich selbst in öffentliche Verteilergruppen hinzufügen oder die Mitgliedschaft wieder beenden.

Dies ist nicht immer wünschenswert, darum zeige ich hier, wie solche Rechte vergeben bzw. einschränken werden können.

Zuerst sollten die grundlegenden Begriffe geklärt werden:

Management Role

Eine Management Role ist ein Recht, dass ein Benutzer hat, um zum Beispiel seine eigene Adresse zu ändern. Diese Berechtigungen werden über die MyAddressInformation Role verwaltet. Alle verfügbaren Management Roles sind unter [1] aufgelistet.

Role Assignment Policy

Eine Role Assignment Policy ist eine Art Sammlung von Management Roles. Diese Sammlung von Berechtigungen wird einer Mailbox zugeordnet. Einer Mailbox kann ausschließlich eine Role Assignment Policy zugeordnet werden. Das Zuordnen von einzelnen Roles oder mehreren Policies ist nicht möglich. 

Um eine Policy test zu erstellen, die dem Benutzer das Ändern der Adressdaten erlaubt,  wird in der ExchangeManagementShell folgender Befehl ausgeführt:

New-RoleAssignmentPolicy –Name test –Role MyAddressinformation

Um diese Policy einer Mailbox zuzuordnen, wird der folgende Befehl benutzt:

Set-Mailbox –Identity USERNAME –RoleAssignmentPolicy test

Jeder Exchange Server besitzt eine Default Role Assignment Policy. Diese wird jedem neu erstellten Benutzer automatisch zugeordnet. Um Änderungen an einer bestehenden Policy vorzunehmen sind folgende Informationen erforderlich:

  • Name der Policy
  • Name der zu Ändernden Role

Das Ziel

Um nun wie anfangs gefordert der Default Role Assignment Policy das Recht auf Adressänderung zu nehmen, benutzt man folgenden Befehl:

Set-ManagementRoleAssignment –Identity „MyContactInformation-Default Role Assignment Policy“ –Enabled $false

[1] Built-in Management Roles:
http://technet.microsoft.com/en-us/library/dd638077.aspx

Veröffentlicht unter Exchange Server | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Timeout des Logon-Screens bei RDP-Verbindungen erhöhen

Publiziert am 17. August 2011 von Nicolas Dürr

Diese Woche hat uns eine Anfrage erreicht, deren Lösung sicherlich für den ein oder anderen Admin von Interesse sein könnte. Das Problem lautete wie folgt:

Ich setze einen Windows Server 2008 als Terminal Server (i.e. Remote Desktop Server)  ein und verwende ThinClients mit Windows Betriebsystem, auf denen die automatische Verbindung zum Terminal Server (TS) konfiguriert ist. Nun ist es so, dass sich die Clients verbinden und für ca. 30 Sekunden den Login-Bildschirm anzeigen, anschließend wird die Verbindung zum TS getrennt und ein Reconnect erfolgt, wobei das Spiel nach den erwähnten 30 Sekunden von Neuem beginnt. Gibt es eine Möglichkeit, den Timeout zu erhöhen, so dass der Anmelde-Bildschirm länger zu sehen ist?

Tatsächlich gibt es hierzu eine Lösung, die das Setzen eines Registry-Keys auf dem Remote Desktop Session Host verlangt. Im Folgenden erläutere ich, welcher Key dies ist und wie dieser erstellt wird:

  1.  Betätigen Sie Win + R
  2. Geben Sie hier nun regedit ein und bestätigen Sie mit der Enter-Taste
  3. Begeben Sie sich linker Hand im Fenster zu folgendem Pfad
    HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  4. Mittels Rechtsklick im rechten Teil des Fensters und der Auswahl von Neu->DWORD-Wert erstellen Sie nun einen neuen Schlüssel und geben diesem den Namen LogonTimeout
  5. Mittels Doppelklick auf den neu erzeugten Eintrag können Sie dessen Wert verändern. Unter Auswahl von “dezimal” gibt der gesetzte Wert den Timeout in Sekunden an.

Die erwähnte Lösung wurde mit WinXP/Vista/Win7 auf Client-Seite und mit Windows Server 2008 R2 auf Server-Seite getestet, sollte aber auch mit Server 2008 und Server 2003 funktionieren.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Das ESCde im Augustiner-Keller

Publiziert am 20. Mai 2011 von Moritz Baer

Nach getaner Arbeit bei Microsoft in München folgt der Freizeitteil.

20110520-091302.jpg

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar