Liste verschiedener Gruppenrichtlinien Vorlagen

Active Directory Gruppenrichtlinien, auch Group Policy Object (GPO) genannt, sind eines meiner Kernthemen. Ich habe viel damit in verschieden Projekten und als Microsoft Trainer zu tun. Dadurch habe ich einige Vorlagen und Links angesammelt. Diese Link Sammlung soll Ihnen das suchen ein wenig vereinfachen. Hier sind nur Vorlagen der jeweiligen Hersteller oder Projekte gelistet. Ich habe bewusst auf Drittanbieter Richtlinien verzichtet.

„Liste verschiedener Gruppenrichtlinien Vorlagen“ weiterlesen

Neue Version von get-GPOBackup

Es hat mich mal wieder ein Feature-Wunsch erreicht, und hier ist die Umsetzung. Mit der Version 1.58 kann die Gruppenrichtlinien Vorlagen von einem Central Store gesichert werden. Das ist vor allem gut, wenn neue Vorlagen importiert werden, die eventuell Fehlerhaft sind. Das passiert ja selbst Microsoft mit den Deutschen Übersetzungen bei Windows 10 mal ganz gerne. Wer das Skript noch nicht kennt, dem empfehle ich ein Blick in den Artikel: “Gruppenrichtlinien richtig sichern und dokumentieren“.

„Neue Version von get-GPOBackup“ weiterlesen

CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste

CodeSigning Zertifikate gibt es für verschiedene Zwecke. Jeder dieser Zwecke hat bestimmte Anforderungen, wie zum Beispiel die Klasse des Zertifikat (Klasse 1,2 oder 3), oder die Überprüfbarkeit. Manche CodeSigning Zertifikate müssen von Bestimmten Zertifizierungsstellen, zum Beispiel öffentlichen, ausgestellt sein, zum Beispiel Kernelmode-Treiber.

„CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste“ weiterlesen

Benutzer einfachen anlegen mit PowerShell

Wie die meisten wissen, mache ich mir das Leben gerne einfach bei der Arbeit. Das bedeutet nicht das ich Arbeit scheue, ich automatisiere oder vereinfache sie nur gerne wo es geht. Ich nutze dafür gerne die PowerShell.

Ein weiterer Grund neben der Bequemlichkeit oder das Fehlen von Zeit warum man Aufgaben durch Skripte zu lösen sollte, ist eine gleichbleibende Qualität. Mal ehrlich wer kennt das nicht, selbst wenn es Checklisten gibt, wird schon mal ein Schritt vergessen, wenn man abgelenkt wird.

„Benutzer einfachen anlegen mit PowerShell“ weiterlesen

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019

Zertifizierungsstellen können sehr verschieden eingerichtet sein. Es gibt keine Anleitung, die für alles passt, aber ich sage Ihnen für welches Szenario sie geschrieben wurde. Entsprechend müssen Sie es nur noch für Ihre Situation anpassen.

Wichtiger Hinweis

Wichtig: Machen Sie vorher ein Backup und planen Sie ihre Schritte! Auch übernehme ich keine Gewährleistung oder Support falls etwas schief geht.

„Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019“ weiterlesen

Azure AD Hybrid mit Windows 10, Autopilot und Intune

Hinweis zur Vorschauphase

Die Funktion ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.

Worum geht es bei der Funktion?

Ziel vom Azure AD Hybrid Join ist es ein mit AutoPilot und Intune ausgerolltes Gerät nicht nur im Azure AD, sondern auch im On-Premise Active Directory integriert zu haben. Bisher war das immer sehr kompliziert und hat auch nicht immer Funktioniert.

„Azure AD Hybrid mit Windows 10, Autopilot und Intune“ weiterlesen

Namenskonzepte für IT Umgebungen

Heute mal etwas nicht ganz so Technisches. Da ich mittlerweile auch den einen oder anderen Azubi oder Quereinsteiger mit Informationen versorge, dachte ich, ich schreibe mal ein paar Grundlagen Artikel. Das Thema diesmal, Namenskonzepte.

Wozu brauch ich ein Namenskonzept?

Fangen wir mal mit dem Beispiel Servernamen an. So lange das IT-Team klein ist, ist das egal. Wenn externe Mitarbeiter hinzukommen oder das Team wächst, kann es helfen. Hier ein paar Beispiele von Namenskonzepten, die mir schon begegnet sind, dievielleicht nicht ganz so verständlich auch den ersten Blick waren:

„Namenskonzepte für IT Umgebungen“ weiterlesen

Gruppenrichtlinien richtig sichern und dokumentieren

Seit ich im August 2014 mich mal für die erste einfache Version des Skriptes befasst hatte, und darüber bei der CONET im Blog berichtet hatte ist etwas Zeit vergangen. Diese erste Fassung kam auf gerade mal 6 Zeilen Code ohne den Header. Seit dem ist einiges passiert und das Skript in der TechNet Gallery gewachsen. Zeit für ein neuen Artikel über das Skript und seine Funktion.

„Gruppenrichtlinien richtig sichern und dokumentieren“ weiterlesen

Local Administrator Password Solution (LAPS)

Früher wurden für die lokalen Administrator Passwörter meistens immer ein Unternehmensspezifischer Standard verwendet. Doch was macht man wenn ein Mitarbeiter der das Standardkennwort kennt, das Unternehmen verlässt?

Richtig, man sollte es ändern. Früher wurden dafür gerne mal Gruppenrichtlinien (GPO) verwendet, auch wenn das Kennwort im Klartext im SysVol lag. Dem hat Microsoft zum Glück einen Riegel vorgeschoben. Was gibt es noch für andere Lösungen? In der Praxis habe ich auch schon VBS oder PowerShell Skripte gesehen, die guten haben Random Passwörter, die schlechten nur ein Standard.

Aber gibt es da nicht eine Durchdachte Lösung von Microsoft? Doch, die gibt es, Local Administrator Password Solution (LAPS).

„Local Administrator Password Solution (LAPS)“ weiterlesen

Windows PKI: Root CA Zertifikat und Issuing CA Zertifikate erneuern

In meinem System Center Umfeld werde ich regelmäßig mit dem Thema PKI konfrontiert. In einem entsprechenden Projekt steht die Erneuerung von Root CA Zertifikat und der untergeordneten ausgebenden Zertifizierungsstellenzertifikate an.

Aus diesem Anlass hier eine kurze Anleitung welche Schritte dabei zu bearbeiten sind.

Situation:

In meinem Szenario beschreibe ich die Vorgehensweise für eine 2-Stufige PKI. Der Einfachheit halber mit einer Offline Root CA und einer Ausgebenden Unternehmenszertifizierungsstelle.

Beide CA sollen ins AD und auf einen Webserver publizieren.

Vorarbeit – Namenssuffix der CRL anpassen auf Root CA und Ausgebender CA

Für eine Übergangszeit werden zwei voneinander unabhängige Vertrauensketten Gültigkeit haben. Ergo benötigt man zwei getrennte CRL Files. Ohne Anpassung des CRL Suffixes funktioniert das leider nicht. Mit einem Certutil Befehl lässt sich das Ziel erreichen:
„Windows PKI: Root CA Zertifikat und Issuing CA Zertifikate erneuern“ weiterlesen