Account Reset Tool

Active Directory Benutzerpasswörter zurücksetzen

Das zurücksetzen von Benutzerpasswörtern gehört zu einer eher ungeliebten Tätigkeiten im Tagesgeschäft eines Administrators. Diese Aufgabe delegiere ich gerne weiter, zum Azubi oder einem Key-User der über die entsprechende Berechtigung verfügt. Im Active Directory lässt sich das mit der Konfiguration entsprechender Rechte lösen.

Hier zeige ich die Umsetzung in einer Active Directory Domain (Server 2016) in Kombination mit dem Account Reset Tool von cjwdev. Der Vorteil in dem Tool liegt an der einfachen Handhabung.

Vorbereitungen:

Ich habe eine Sicherheitsgruppe ITSupport erstellt. Über diese Gruppe wird die Berechtigung delegiert. weiterlesen

ADMX Sammlung

Da ich seit Wochen meine Bookmarksammlung bereinige habe ich weitere Links hierhin ausgelagert. Hier stellt ich Links zu ADMX-Templates bereit die ich angesammelt habe.

Microsoft Windows

Microsoft Office

Toolsammlung

Weiterführende Links:

Interessante Webseite in dem Zusammenhang: getadmx.com und Group Policy Search. Wer weitere Seiten in dem Zusammenhang beisteuern kann gerne per Kommentar!

Central Store für Administrative Vorlagen

Die ADMX-Vorlagen werden im Central Store bereitgestellt.

 

PowerShell Cookbook

Habt ihr auch eine Textdatei mit diversen PowerShell befehlen die man mit der Zeit gesammelt hat? Hier kommt meine Sammlung 😛 Die Befehle sind lose zusammengestellt. Ich versuche Sie mit der Zeit etwas thematisch zu trennen.

 

 

Allgemein

Powershell Version anzeigen

Powershell Module anzeigen

PowerShell Module Importieren

Netzwerkprofil Anzeigen

Netzwerkprofil in Privat ändern

Netzwerkprofil in Privat ändern

 

weiterlesen

Move-ADDirectoryServerOperationMasterRole

FSMO-Rollen Übertragen per Ntdsutil oder PowerShell

Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

  • Windows Server incl. aller Updates installieren
  • Server in Domain aufnehmen
  • Server zum Domain Controller hochstufen
  • Replikation prüfen
  • FSMO-Rollen übertragen
  • Replikation prüfen
  • FSMO-Rollen abfragen
  • DNS am neuen DC korrigieren
  • alten DC herunterstufen
  • alten DC aus der Domain entfernen
  • Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

Repadmin /replsummary
Abfrage der Replikation

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

weiterlesen

AD Replication Status Tool

Active Directory-Replikation überprüfen

Microsoft stellt uns mit repadmin ein Tool zur Verfügung um die Replikation zwischen Domain Controllern einer Active Directory Umgebung zu prüfen. In diesem Artikel zeige ich wie man sich schnell einen Überblick über den aktuellen Replikationsstatus verschafft.

Replikation prüfen

In meiner Testumgebungen habe ich zwei Domaincontroller. ADS01 und ADS02.

Repadmin /replsummary (TechNet)

Repadmin /Queue (TechNet)

weiterlesen

Reverse Lookupzone einrichten

DNS Server konfigurieren unter Windows, ein kleiner Guide

In meinem Tagesgeschäft laufen mir immer wieder Fehler in der DNS-Server Konfiguration über den Weg. Damit ein Active Directory sauber arbeiten kann ist ein funktionierender DNS-Server Voraussetzung. Hier möchte ich zeigen wie ein DNS-Server unter Windows Server eingerichtet wird. Hier hat sich in den Jahren nichts grundlegendes geändert.

In diesem Beispiel habe ich für eine Testumgebung einen DNS-Server konfiguriert.

Ich habe den Artikel wie folgt unterteilt

Einrichtung primäre DNS-Zone

Meine Primäre Zone ist mit den „Standard Einstellungen“ installiert. Als AD gespeicherte Zone die nur sichere dynamische Updates zulässt. Danach sollte eine Abfrage mit nslookup wie im letzten Screenshot aussehen.

Reverse Lookupzone Konfigurieren

weiterlesen

Fake Name Generator

Realistische Namen für eine Active Directory Testumgebung

Für eine Realistische Testumgebung brauchen wir neben einer Firma auch entsprechende Benutzer, Organisationseinheiten und Gruppen. Ich habe für meine Testumgebungen mit Hilfe von fakenamegenerator Benutzer erstellt. Der Generator kann mehr als nur einfache Namen generieren. Es kann frei gewählt werden von Geburtstag bis Kreditkartennummer.

Fake Name Generator
Fake Name Generator

Ein praktisches PowerShell Script stellt Helge Klein bereit.

Wie Benutzer aus einem Active Directory exportiert oder importiert werden können werde ich ich einem eigenen Artikel aufarbeiten.