Active Directroy – Kennwortrichtlinie – Unterschied zwischen „konfigurieren“ und „nicht definiert“

Es gibt wahrscheinlich tausende Einträge über Google bzgl. dieses Thema’s, aber ich hatte heute wieder einen Fall – daher dieser Niederschrieb 😉

In einem Active Directroy (AD) von Windows lassen sich ganz bequem Kennwortrichtlinien erfassen und einstellen.

Allerdings muss man hierbei zwingend unterscheiden zwischen „konfigurieren“ und „nicht definieren“.

In meinem Beispiel dreht es sich um einen Windows Server 2012 R2 als DC und einen Exchange 2013 (auf einem sep. Win2012R2).

Als die 2012er Domäne installiert wurde, hatte die Default-Domain-Policy die Grundeinstellung, das die AD-Passwörter nach 42 Tagen auslaufen und geändert werden müssen – das war mir zu kurz.

Leider habe ich dann darauf hin die beiden betroffenen Punkte auf „nicht definiert“ geändert und dachte, das dies korrekt sei – leider falsch.

Die Richtlinie sah nun wie folgt aus:

falsche Kennwortrichtlinie

Die hatte leider zur Folge, das die Standardeinstellungen des AD’s von 42 Tagen griffen, da die Richtlinien ja nicht definiert wurden ;-(

Nach ca. 35 Tagen wurde ich wieder erneut aufgefordert, mein Kennwort erneut zu ändern – hä?

Nunja, nach genauerer Überlegung kam mir dann, das ich die Richtlinie falsch konfiguriert hatte.

Nach meiner Änderung sah die Richtlinie wie folgt aus:

richtige Kennwortrichtlinie

Nun war die Einstellung korrekt, d.h. das Kennwort läuft nun nicht mehr ab.

 

Vielleicht hilft es ja dem ein oder anderen auch mal, wenn er über so etwas stolpert …

Viel Spass beim Testen …

 

wipefile in neuer Version erschienen

Damit eine Datei sicher gelöscht ist, reicht es nicht nur aus, die gelöschte Datei aus dem Papierkorb zu löschen.

Erst wenn eine Datei überschrieben ist, werden auch die dafür verwendeten Datenblöcke „gelöscht“. Nach BSI Angaben ist die urspüngliche Datei erst nach dem 3. Überschreiben nahezu nicht mehr wiederherstellbar.

Als nützlichen Helfer nutze ich dazu bereits seit Jahren das Tool „wipefile“.

Auszug aus der Homepage:

[important]Mit WipeFile können Sie Dateien und ganze Verzeichnisse schnell und sicher löschen. Dazu überschreibt WipeFile die Dateien vor dem Löschen, um eine Wiederherstellung zu verhindern.

WipeFile kann Dateien mit 14 verschiedenen Methoden überschreiben. Dazu zählen z.B. zwei US Navy-Standards, die Standards des US Department of Defence, der US Airforce und der NATO.[/important]

Praktisch dabei ist auch, das die Software ohne Installation auskommt und als sogenannte „Portable App“ auch z.B. auf einem USB Stick direkt nutzbar ist.

Die vor kurzem erschienene Version 2.3 könnt ihr hier herunterladen.

Viel Spass damit

PS: Solltest du mal eine ganze Festplatte löschen wollen, nutze dazu einfach das Tool „wipedisk“

 

Pause in Batchdatei einbauen – mit Boardmittel

Früher hatte ich immer über die „sleep.exe“ Pausen in Batchdateien eingebaut.

Das sleep-Programm ist vielen, wie auch mir, sehr bekannt aus der Linux / Unixwelt.

Unter Windows musste man dabei immer zusätzliche AddOns installieren (sleep.exe ist z.B. im Windows Resource Kit des Windows 2003 Servers enthalten).

 

Allerdings klappt es mittlerweile auch mit Boardmitteln, Pausen in Batchfiles einzubauen:

REM Pause von 5 Sekunden
timeout /t 5 /nobreak > NUL

 

Viel Spass beim „Batchen“ …

Leere Dummydatei unter Windows erstellen

Manchmal ist es, für Tests als Beispiel, hilfreich, Dateien mit spezieller Größer anzulegen.

Man kann damit zum Beispiel das Kopieren von großen Dateien im Netzwerk testen.

Unter Windows ist dies mittlerweile mit Boardmitteln möglich – das Tool „fsutil“ ist hierbei notwendig.

Beispiel:

  fsutil file createnew c:\test\testfile.txt 1048576
  erzeugt eine Testdatei mit einer Größe von 1MB.

Beispiel2:

  fsutil file createnew c:\test\testfile.txt 1073741824
  erzeugt eine Testdatei mit einer Größe von 1GB.

Administrator Passwort einfach zurücksetzten

Da setzt man sich eine virtuelle Testumgebung auf, konfiguriert seine Systeme wie man sie benötigt – und dann das: man arbeitet längere Zeit nicht mehr damit (aufgrund anderer Prioritäten) oder kommt schlicht weg nicht mehr dazu (längerer Urlaub) und schon hat man das Passwort des Administrator’s nicht mehr parat.

Soll man jetzt die komplette Testumgebung neu installieren und konfigurieren?

Mir ist es leider heute genau so ergangen – allerdings habe ich im Internet eine (zugegeben erschrocken einfache – wenn nicht sogar die einfachste) Methode gefunden, das Passwort eines Users zurückzusetzten.

Ein physikalischer Zugriff (oder bei VMs ein Konsolenzugriff) ist erforderlich.

Geht wie folgt vor:

  • du brauchst eine original Windows Server DVD (getestet mit Server 2008 R2 und SBS 2011) und boote davon.
  • Sprache auswählen und weiter.
  • unten “Repair your Computer” anklicken
  • aktuelle Instanz auswählen und weiter
  • als Recovery Option den Punkt “Command Prompt” auswählen
  • am Command Prompt wechseln nach D:\Windows\system32

Hinweis: Die Recovery Option erkennt die Windowsinstallation meist unter Laufwerk D!

Jetzt kommt der eigentliche „Trick“:

  • Die Datei utilman.exe (das ist die Eingabehilfe) umbenennen

(move Utilman.exe Utilman.exe.bak)

  • eine Kopie der cmd.exe erstellen als utilman.exe

(copy cmd.exe Utilman.exe)

Das war der aufwendige Teil – aber das war’s fast schon. Jetzt nur noch DVD raus und Rebooten. Nach dem normalen Start bei der Login-Aufforderung reicht jetzt ein Klick auf das Symbol unten links, und schon öffnet sich statt der Eingabehilfe ein CMD-Fenster. Was jetzt kommt, dürfte klar sein:

[important]net user administrator neuespasswort[/important]

Und schon kann man sich als Administrator mit dem gerade gesetzten Passwort anmelden. Nicht vergessen, später die alte utilman.exe wieder zurückzukopieren, wir wollen doch nicht, dass jemand den Rechner hackt, oder?

Einfach irre, wie simpel es möglich ist …

 

per RDP Strg+Alt+Entf senden

Als EDV’ler arbeite ich auch häufig auf entfernten Windowsservern sowie -PCs, auf welche via RDP zugegriffen wird.

Es gibt jedoch dabei Situationen, bei welcher man die bekannte Kombination „Strg+Alt+Entf“ benötigt.

Drückt man diese, so wird der Befehl jedoch nur lokal ausgeführt und nicht, wie gewünscht, remote.

[important]

Lösung: einfach  „Strg + Alt + End“  drücken.

[/important]

Microsoft – jede Menge (legale!) kostenfreie E-Books im Netz

Ihr sucht eBooks?

Welche von Microsoft?

Am besten noch Gratis und direkt von MS-Press? Dann hab ich da was für euch 😉

 

Unter nachfolgendem Link gibt es eine ganze Reihe von Mirosoft Büchern.

Hier eine kleine Auswahl der verfügbaren Bücher:

  • Microsoft Visual Studio 2010
  • Microsoft Windows Phone 7
  • Microsoft Office 2010 – For IT Professionals
  • Microsoft Windows Server 2012
  • diverse SQL-Server Bücher (u.a. Microsoft SQL Server 2012)
  • diverse Sharepoint Bücher (u.a. Microsoft SQL Server 2012)
  • und, und, und, …

 

Link zu MSDN-Blog

 

Viel Spass beim Durchstöbern …

 

WSUS Daten am SBS 2008 (R2) verschieben …

Bei einer klassichen Small Business Server 2008 (R2) sind die WSUS Daten (Content) direkt auf C:\ eingerichtet.

Da auf dem SBS nicht nur die WSUS Daten sondern auch die Exchange-DB, die User-Profile, etc. liegen, kann das Laufwerk, je nach Größe, schnell voll laufen.

Um dies zu vermeiden, das die Systempartition (C) voll läuft, kann man (wie bei den meisten SBS-Aktionen) mithilfe eines Wizard die WSUS Daten auf eine weitere Partition verschieben.
Öffne die Windows SBS Console und wechsele auf den Reiter “Datensicherung und Serverspeicher
und dann unter die Registerkarte “Serverspeicher”.
Hier gibt es in der Actionbar den Punkt “Windows Update-Repository-Daten verschieben”.

Mit wenigen Klicks kann man die Verschiebung starten. Ihr müsst lediglich das gewünschte Ziellaufwerk auswählen, auf welchem der Ordner WSUS angelegt und dessen Inhalt vom Quelllaufwerk reinkopiert wird.

Der Kopiervorgang sollte ca. 10-15 Minuten in Anspruch nehmen.

Zusätzlicher Artikel von Microsoft: Microsoft Technet Artikel „Verschieben der Windows Update-Repository-Daten“