Domain-Controller sauber abbauen

Möchte man einen Domain-Controller vollständig außer Betrieb nehmen, bspw., weil die Hardware oder das Betriebssystem zu alt ist, so sollte man diesen zu erst sauber aus der Domäne rauskonfigurieren, bevor man das Computerobjekt in der AD löscht und den Server herunterfährt. Ablauf: Prüfen, ob alle FSMO-Rollen auf einem anderen Domain-Controller übertragen wurden Herunterstufen des alten […]

Weiter lesen ...

AD-Security: Verwendung von LAPS

Jeder Windows Client und Server hat automatisch bei der Installation einen lokalen Administrator. Häufig werden für diese Accounts die Kennwörter nie geändert oder sogar vergessen. Das stellt natürlich ein Sicherheitsrisiko dar. Microsoft hat hierfür die sog. „LAPS – Local Administrator Password Solution“ entwickelt, welche in regelmäßigen Abständen das Kennwort des lokalen Administrators ändern und zentral […]

Weiter lesen ...

Verarbeitungsreihenfolge der GPOs

Wenn man neue GPOs anlegt und sich dann wundert, warum diese auf dem Zielsystem nicht greifen, kann das an der Verarbeitungsreihenfolge liegen bzw. dass die neue GPO von einer anderen GPO „ausgehebelt“ wird. Die Verarbeitung findet in folgender Reihenfolge statt: Local Group Policy Site Group Policy Domain Group Policy Organizational Unit Group Policy Parent OU […]

Weiter lesen ...

Domain Netzwerk wird auf Domain Controller nicht erkannt

Häufig passiert es gerade in virtuellen Testumgebungen, dass beim Starten des (einzigen) Domain Controllers das Firewall-Profil auf „Private“ anstelle „Domain“ steht. Hintergrund ist, dass der Dienst „NLA“ (= „Network Location Awareness“) gestartet ist, bevor Active Directory oder DNS gestartet ist. Manchmal hilft es, wenn das Startverhalten des Dienstes von „Automatic“ auf „Automatic (Delayed)“ gestellt wird. […]

Weiter lesen ...

Active Directory prüfen & aufräumen

Wie überall schadet es auch einem Active Directory nicht, wenn man es hin & wieder mal prüft und nicht mehr benötigte Dinge (bspw. alte Computer-Accounts oder Benutzeraccounts von ehem. Mitarbeitern) aufräumt. Man kann dies manuell tun, was unter Umständen recht aufwändig ist oder per einfacher PowerShell-Befehle. 1. Accounts, … Optional kann man die jeweiligen Ergebnisse […]

Weiter lesen ...

AD DS und AD LDS im Direktvergleich

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active Directory Domain Services (AD DS) und der Lightweight Variante AD LDS beschrieben.  Dabei wird auf die besonderen Anwendungsfälle sowie Vor- und Nachteile eingegangen. Anschließend werden die Erkenntnisse zu einem Fazit zusammengefasst. Verzeichnisdienste AD DS und AD LDS sind beides Verzeichnisdienste. Ein Verzeichnisdienst dient grundlegend als Datenbank, in der Informationen über […]

Weiter lesen ...

HowTo: AD-Join Delegation

Es gibt den Fall, da möchte man anderen Anwendern (IT-Helpdesk, Externe Dienstleister für PC-Rollout-Projekte,…) die Möglichkeit geben, dass neue Geräte in die Active Directory aufgenommen werden dürfen, auch bekannt als „AD join“. Nun möchte man diesen allerdings nicht gleich in die Gruppe „Domain Admins“ aufnehmen, immerhin gilt in der IT-Sicherheit „Principle of least priviledge“ (kurz: […]

Weiter lesen ...

PowerShell: Client/Server zur Domäne hinzufügen

Das Hinzufügen zur Domäne kann entweder klassisch über die Systemeigenschaft und Ändern des Computernamens gemacht werden oder modern über den PowerShell-Befehl: Add-Computer –domainname mydomain.local -Credential mydomain\ADadmin -restart –force Beides führt zu dem Ergebnis, dass man die Logindaten eines AD-Administrators eintippen und anschließend einen Neustart durchführen muss.

Weiter lesen ...

HowTo: Hinzufügen eines Windows Server Core DomainControllers zu einer AD

Während es im ersten Teil darum ging, eine neue ActiveDirectory aufzubauen, geht es in diesem Artikel darum, weitere DomainController zu einer AD hinzuzufügen, mit der Besonderheit, dass hier ebenfalls die Core-Variante von Windows Server 2019 ausgeführt wird und die Installation nicht über ein externes Tool (RSAT, WAC, PSRemote) durchgeführt wird, sondern direkt auf dem Core-Server. […]

Weiter lesen ...