Sicherheitsgruppen in AD als Mailverteiler in Office 365 nutzen

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [1 Bewertung, Durchschnitt: 5,00]

Nachdem man (bei vernünftiger Strukturierung) alle User innerhalb des Active Directory in einer (oder mehrerer) Sicherheitsgruppen hat, ist der Wunsch naheliegend, diese Gruppen als Mailverteiler zu nutzen.
Diese Gruppen nennen sich dann in Office 365 “E-Mail-aktivierte Sicherheit‎-Gruppe”.

Der Vorteil:
Die Erweiterung dieser Mailverteiler erfolgt ausschließlich “On Premises”, weitere Konfigurationen in der Cloud sind nicht nötig, dh, ein User, der der Sicherheitsgruppe im AD hinzugefügt wird, ist automatisch nach der nächsten Synchronisation Empfänger der Mail-Verteilerliste.

ACHTUNG:
Es werden zur Mails an USER zugestellt, die direkt Mitglied dieser E-Mail-aktivierten Sicherheitsgruppe sind!!!

Mitglieder ein (E-Mail-aktivierten) Sicherheitsgruppe, die ihrerseits Mitglied einer E-Mail-aktivierten Sicherheitsgruppe ist, bekommen kein Mail!!!

Beispiel:
Es gibt 3 EASG (E-Mail-aktivierten Sicherheitsgruppe):

buchhaltung@corona.at
[Members: Hanna, Marie (User)]

consulting@corona.at
[Members: Franz, Werner (User)]

AlleMitarbeiterInnen@corona.at
[Members:
buchhaltung (group)
consulting (group)
Chef (User)
Prokurist (User) ]

—>>>

Ein Mail an “AlleMitarbeiterInnen@corona.at” erreicht NUR folgende User:
Chef, Prokurist

Die Mitglieder der anderen Gruppen erhalten KEIN MAIL – es wird auch keine Fehlermeldung ausgegeben seitens EXCHANGE!!!!

 

Die Vorgangsweise:
Es gibt in der GUI keine Möglichkeit, einer Sicherheitsgruppe eine Mailadresse zuzuweisen, daher muss man hier einen Umweg beschreiten.
Ich versuche, dies hier möglichst klar und dennoch kurz auf den Punkt zu bringen.

1.) Erweiterte Features aktivieren:

erweiterteFeatures

 

 

 

 

 

2.) Attribute anzeigen lassen:

Attribute

 

 

 

 

 

 

 

 

3.) folgende Attribute ändern:
Anmerkung:
Hier werden nur jene Attribute angeführt, die für die Mailverteilerliste relevant sind! Alle anderen (wie zb distinguishedName, GroupType, member, etc) werden hier NICHT besprochen, da sie durch Anlegen der Gruppe bereits vorhanden sind!!!

NAME WERT (immer einzeilig!) BESCHREIBUNG Pflichtfeld
oder
Optional
 authOrig
[siehe Anmerkungen unten]
 CN=Rudi.Ruessel,OU=CHEF,
OU=Benutzer,
DC=Corona,DC=local
 User (einer oder mehrere), die berechtigt sind, an den Mailverteiler Nachrichten zu senden
Anm: alle anderen können dann nichts mehr versenden
optional
 description Schefs Beschreibung der Gruppe optional
 DisplayName Schefs Anzeigename otional
 mail  Vorgesetzte@Corona.at  Adresse des Verteilers Pflicht
 mailnickname Schefs Kurzname für das Adressbuch optional
 managedBy  CN=Rudi.Ruessel,OU=CHEF,
OU=Benutzer,
DC=Corona,DC=local
 Besitzer der
Gruppe
optional
 msExchHideFromAddressLists  True / False / Nicht gesetzt  Ob die Verteilerliste im Addressbuch angezeigt wird optional
 proxyAddresses  SMTP:Vorgesetzte@Corona.at
smtp:vorgesetzte@Virus.com
smtp:vorgesetzte@StayAtHome
smpt:chef@corona.atWICHTIG:
es muss unbedingt auchsmtp:schueler@
Corona.onmicrosoft.com

enthalten sein

 Liste der zusätzlichen Mailadressen für diese Liste;[Anm.: in meinen Tests musste hier in jedem Fall etwas eingetragen sein - dh, zumindest die Mailadresse mit großem
SMTP:
davor
]
Pflicht

Nachdem diese Werte befüllt wurden (zumindest die Pflichtfelder), wechselt die Gruppe in Office365 nach der nächsten Synchronisation automatisch in den Zustand ”E-Mail-aktivierte Sicherheit‎-Gruppe”.

Meine Tests ergaben, dass es mitunter mehrere Stunden dauern kann, bis sich auf alle Ebenen in der Cloud durchgesprochen hat, wenn man Members diesen Gruppen hinzufügt oder entfernt.
Dies geschieht dann aber in allen Apps, dh, auch Teams, die darauf aufbauen, bekommen die Meldung
“x.y wurde der Gruppe hinzugefügt bzw. entfernt”.

Anmerkung zu AuthOrig:

Beim Versuch, dieses Feld zu befüllen, erscheint folgende Meldung:

AuthOrig

 

 

 

 

 

 

 

 

“ADSIEdit: Es wurde kein Editor zum Verarbeiten dieses Attributtyps registriert”

Lösung:
per Script dieses Feld befüllen, danach lässt es sich nach Belieben – so wie alle anderen Felder – unter den Attributen ändern.

Folgendes Script kann als Vorlage verwendet werden – Änderungen müssen davor allerdings gemacht werden (wie angegeben als Kommentar)

'On Error Resume Next
Const ADS_SCOPE_SUBTREE = 2
Const ADS_PROPERTY_APPEND = 3

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE 

'###########################################################################
'folgendes an die eigene Infrastruktur anpassen!
'ACHTUNG: es wird das Attribut AuthORIG in ALLEN Gruppen dieser OU befüllt - 
'Änderungen können danach manuell im AD erfolgen....
'ACHTUNG: das MUSS in einer Zeile stehen!
'###########################################################################
objCommand.CommandText = "SELECT userPrincipalName, name, distinguishedName FROM 'LDAP://OU=Testgruppe,OU=Benutzer,DC=Corona,DC=local' WHERE objectCategory='group'"

'###########################################################################
'Ende der nötigen Änderungen
'###########################################################################

Set objRecordSet = objCommand.Execute

objRecordSet.MoveFirst

Do Until objRecordSet.EOF

    Wscript.Echo objRecordSet.Fields("distinguishedName").Value

            Set objUser = GetObject("LDAP://" & objRecordSet.Fields("distinguishedName").Value)

'###########################################################################
' hier den künftigen Besitzer eintragen - oder "irgendwas" und danach im AD ändern
'###########################################################################

neuerBesitzer = "CN=chef,OU=Vorgesetzte,DC=Corona,DC=local"

'###########################################################################
' Ende der nötigen Änderungen
'###########################################################################
objUser.Put "authorig", NeuerBesitzer

 objUser.SetInfo 

    objRecordSet.MoveNext

Loop
Posted in Active Directory, Azure, Office 365, Scripts | Leave a comment

Zuweisung von Lizenzen in Office 365 per PowerShell mit Einschränkung auf Gruppen

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Um nur den Mitgliedern einer Sicherheitsgruppe im Active Directory eine bestimmte Lizenz in Office 365 zuzuweisen kann folgende Vorgangsweise mit PowerShell benutzt werden:

1.) Verbindung mit Office:

PS C:\Windows\system32> Connect-MsolService

2.) Vorhandene Lizenzen abfragen:

 

PS C:\Windows\system32> Get-MsolAccountSku

AccountSkuId
------------
MeineFirma:STANDARDWOFFPACK_STUDENT
MeineFirma:STANDARDWOFFPACK_IW_STUDENT
MeineFirma:FLOW_FREE
MeineFirma:POWER_BI_STANDARD
MeineFirma:STANDARDWOFFPACK_FACULTY

3.) GUID der gesuchten Sicherheitsgruppe “CheckerGruppe” abfragen:

PS C:\Windows\system32> get-msolGroup -SearchString "CheckerGruppe"
ObjectId DisplayName GroupType
-------- ----------- ---------
11xxx111-a99a-50c2-xy8f-423kl3jkldkk CheckerGruppe Security

4.) die Mitglieder dieser Gruppe abfragen:

4a) Alle Mitglieder:

PS C:\Windows\system32> Get-MsolGroupMember -GroupObjectId 11xxx111-a99a-50c2-xy8f-423kl3jkldkk

ODER 4b.) Filter nach bestimmten Zeichen in der Mailadresse innerhalb dieser Gruppe anwenden [bei Bedarf!]:

PS C:\Windows\system32> Get-MsolGroupMember -GroupObjectId 11xxx111-a99a-50c2-xy8f-423kl3jkldkk | where {$_.EmailAddress -match "Abteilung"}

ODER 4c.)  Filter nach bestimmten Zeichen im Displayname innerhalb dieser Gruppe anwenden [bei Bedarf!]:

PS C:\Windows\system32> Get-MsolGroupMember -GroupObjectId 11xxx111-a99a-50c2-xy8f-423kl3jkldkk | where {$_.DisplayName -match "edi"}

5.) Lizenz zuweisen:
5a) allen Mitgliedern dieser Sicherheitsgruppe:

PS C:\Windows\system32> Get-MsolGroupMember -GroupObjectId 11xxx111-a99a-50c2-xy8f-423kl3jkldkk | Set-MsolUserLicense -AddLicense MeineFirma:STANDARDWOFFPACK_FACULTY

5b) nur bestimmten Mitgliedern unter Verwendung obiger Filter:

PS C:\Windows\system32> Get-MsolGroupMember -GroupObjectId 11xxx111-a99a-50c2-xy8f-423kl3jkldkk | where {$_.DisplayName -match "edi"} | Set-MsolUserLicense - addLicense MeineFirma:STANDARDWOFFPACK_FACULTY
Posted in Azure, Office 365, Powershell | Leave a comment

DELL Precision 3430 / 3431 / etc – WDS-Rollout fail

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [2 Bewertung, Durchschnitt: 4,00]

Problem:
Bei besagen Clients von DELL (Precision 3430 / 3431 / andere Modelle), die mit INTEL-Netzwerkkarten ausgerüstet sind, kann es zu folgender Fehlermeldung kommen, wenn man versucht, per WDS ein Image auszurollen:

“WdsClient: Fehler beim Abrufen einer IP-Adresse vom DHCP-Server. Stellen Sie sicher, dass in diesem Netzwerksegment ein funktionierender DHCP-Server in betrieb ist”

Der Versuch, die zugehörigen Treiber in WDS nachzuladen (“Treiberpaket hinzufügen”) scheitert mit der Meldung:
“Einige Pakete konnten nicht hinzugefügt werden….” bzw. x64-basierte müssen eine Signatur besitzen”)

Lösung:
Am WDS-Server NICHT die Treiber integrieren, sondern ein neues Startabbild hinzufügen, das man einem
Windows 10 1903 64bit .iso entnimmt (“boot.wim” im Ordner “sources” )
Darin sind offensichtlich die passenden Treiber für die NIC bereits enthalten

Posted in Rollout, Windows 10, Windows Deployment Services | Leave a comment

Microsoft Teams ist für Schüler nicht verfügbar

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [1 Bewertung, Durchschnitt: 5,00]

Problem:
Wenn Schüler versuchen, sich in Microsoft Teams anzumelden, erhalten Sie die Fehlermeldung:

“”Bleiben Sie nicht zurück! Bitten Sie Ihren Administrator, Microsoft Teams für XXXXXXXXXX zu aktivieren”

In der Benutzübersicht in Office365 hat der Benutzer jedoch die Lizenz für Teams zugeteilt…


UPDATE (30.4.2020):
Lösung: (Das Admincenter wurde etwas umgebaut)

Admin Center -> Einstellungen -> Microsoft Teams -> Teams für Benutzer mit folgenden Lizenzen aktivieren: Bildung – Fakultät und Mitarbeiter Bildung – Kursteilnehmer

Teams-Lizenzen


Lösung (altes Admincenter):
Es muss gesondert in Teams nochmal der Zugang aktiviert werden für die gesamte Organisation.
Warum das so ist, ist mir rätselhaft…

Vorgangsweise:
Admin Center -> Einstellungen -> Dienste und Add-Ins -> Microsoft Teams ->
Einstellungen nach Benutzer-/Lizenztyp
Ausbildungseinrichtungen – Schüler —> EIN

ACHTUNG:
Die tatsächliche Aktivierung, sodass sich die SchülerInnen dann auch anmelden, kann mehrere Stunden später erfolgen…

Dienste und Add-InsAusbildungseinrichtungen-SchülerTeams_Aktivieren

Posted in Azure, Microsoft Teams, Office 365 | Leave a comment

ADMINOMAT checkt Windows Defender Updates

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [1 Bewertung, Durchschnitt: 5,00]

Seit Version 2.08 hat die Software ADMINOMAT ein Tool an Board, das ohne jegliche Installation auf den Clients Informationen über den Status des Windows Defender auf den Endgeräten ausliest.

Es sind dies das Datum des letzten Scans, die Art des Scans (Quick vs Vollständig) sowie das Signature Datum der so genannten “Bedrohungsdefinition”.

 

Vorgangsweise:

  1. ADMINOMAT starten und gewünschte OU im Active Directory auswählen
  2. Menüband -> ANSICHT -> Detailfelder…
  3. “Microsoft Windows Defender” anklicken
  4. –> es werden die Clients, die online sind, per WMI kontaktiert und die gewünschten Daten eingelesen
    (Hinweis: Dieser Vorgang kann etwas Zeit in Anspruch nehmen)

 

Defender_Check

Hinweis:
Durch Auswahl eines Clients in der Anzeige erscheint ein weiteres Fenster, in dem unter anderem (nebst sehr vielen anderen Funktionen) auch ein Scan bzw. ein Download der aktuellsten Signatur-Updates remote gestartet werden kann!

Start_Scan

Posted in Adminomat, Windows 10, Windows 7, Windows 8 | Leave a comment

Rollout JAVA 8 Update 191 mit ADMINOMAT

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [2 Bewertung, Durchschnitt: 5,00]

Wie bereits bei den Vorgängerversionen lässt sich auch JAVA 8 Update 191 mit ADMINOMAT rasch und bequem ausrollen.

Anleitungen finden sich

hier

und

noch ausführlicher hier.

 

Die Befehlszeile in ADMINOMAT für JAVA 8 Update 191 lautet:

/V /C "\\server\share\jre-8u191-windows-i586.exe" /s
Posted in Adminomat, JAVA, Rollout | Leave a comment

Rollout GuardTool neue Prüfungsumgebung mit ADMINOMAT

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke

Um die für die neue Prüfungsumgebung vom Team rund um den Kollegen Beron auszurollen, muss auf den Clients die Software “GuardTool” installiert werden.

Das Rollout dieses Tools kann (neben anderen Methoden) auch über ADMINOMAT erfolgen:

Kurzanleitung:
  1. ADMINOMAT und PSEXEC downloaden und in 1 Verzeichnis entpacken
  2. ADMINOMAT starten (wird nicht installiert!) und Clients auswählen
  3. GuardToolSetup.msi auf einem Servershare hinterlegen
  4. PSEXEC im ADMINOMAT starten
  5. msiexec.exe /i \\server\share\GuardToolSetup.msi

Die Software wird dadurch auf dem(n) Client(s) mit Systemrechten installiert.
Dies kann auch erfolgen, wenn User am Client arbeiten – die Installation erfolgt unterdrückt im Hintergrund.

Rolout_GuardTool

Posted in Adminomat | Leave a comment

mehrere KMS-Server -> Konfiguration einer Gewichtung im DNS

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [1 Bewertung, Durchschnitt: 5,00]

Damit ich es selbst nicht vergesse bzw. wieder finde:

Bei der Verwendung mehrerer KMS-Server innerhalb einer Infrastruktur empfiehlt es sich, ein Loadbalancing bzw. eine Priorisierung per DNS-Eintrag vorzunehmen.

Diese Erfolgt wie gewohnt Forward-Zone -> FQDN -> _tcp ->

Hier finden sich dann mehrere Einträge _VLMCS und um diese zu gewichten empfiehlt es sich, die Priorität in den Eigenschaften der jeweiligen Server anzugeben.

Es gilt: die niedrigere Zahl zeigt die höhere Priorität an.
Die Gewichtung sollte in % die Anzahl der durch den Server zu bedienenden Clients wiedergeben.

Zugehörig muss auf den Servern das “DNS-Promoting” mit dem Befehl
slmgr.vbs /cdns
gestoppt werden, sonst werden diese Einträge beim nächsten Promoting überschrieben.

ALTERNATIVE:

Man erstellt auf den KMS-Servern im Registrypfad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform
einen mehrteiligen Key (REG_MULTI_SZ) mit folgendem Eintrag (durch Beistrich getrennt):

Muster:                                    FQDN, Priority, Weight
Beispiel:                                  contoso.com, 10, 10

Danach muss in einer Commandshell das Promoting manuell angeworfen werden (oder man wartet) mit:

C:\Users\administrator>slmgr.vbs /sdns

und anschließendem Neustart des Services mit:

C:\Users\administrator>net stop sppsvc && net start sppsvc

Eine Abfrage am Client, ob er diese Angaben auch aus dem DNS ausliest, erfolgt mit:

nslookup -type=srv _vlmcs._tcp >kms.txt

Das Ergebnis sollte dann in etwa so aussehen (also der Inhalt der kms.txt):

Server: ulme.contoso.com
Address: 172.16.0.51

_vlmcs._tcp.contoso.com SRV service location:
priority = 10
weight = 95
port = 1688
svr hostname = kms2016.contoso.com
_vlmcs._tcp.hak-neusiedl.local SRV service location:
priority = 20
weight = 5
port = 1688
svr hostname = kms2008.contoso.com
kms2016.contoso.com internet address = 172.16.0.26
kms2008.contoso.com internet address = 172.16.0.2
Weil es mir hier erwähnenswert erscheint:

Clients kontaktieren den KMS manuell (und erhöhen dadurch den Zähler bis zur erforderlichen Anzahl von 25 Clients):

slmgr /skms kms2016.contoso.com (legt den KMS-Server am Client fest)
cscript slmgr.vbs /ato (aktiviert den Client mit dem angegebenen Server)

Am KMS-Server kann der _VLMCS Eintrag ins DNS auch manuell gestartet werden mit:
slmgr.vbs /sdns
und anschließendem
net stop sppsvc && net start sppsvc

Weiterführende Infos:
hier  bzw. alle Flags von slmgr hier

Posted in Key Management Service (KMS) | Leave a comment

Script, um für alle User einer OU den Haken “Kennwort läuft nie ab” zu setzen

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [1 Bewertung, Durchschnitt: 5,00]

Auch wenn es ein Sicherheitsrisiko darstellt, ist es doch in manchen Umgebungen auf Grund der dort vorhandenen User nötig, Useraccounts so zu konfigurieren, dass das Passwort nie abläuft.

Neben der Möglichkeit, dies über Gruppenrichtlinien abzuarbeiten kann dies natürlich auch per Script geschehen…

Anbei ein VBScript, das die gewünschten Änderungen vornimmt.

Vorgangsweise:
Script als “PasswordNeverExpires.vbs” auf einem beliebigen Client speichern, Zeile 12 an die gewünschte OU an passen und laufen lassen.
Hinweis: es wird ein Logfile erstellt, das Auskunft über die Änderungen gibt.

'###########################################################################
'# Usage:
'#  als    PasswordNeverExpires.vbs      an beliebiger Stelle auf einem Client speichern
'#
'# Variablen, die geändert werden MÜSSEN
'# ACHTUNG: strOU ist in 'verkehrter' Reihenfolge, dh:
'# strOU = "OU=1A,OU=Schueler,OU=benutzer," steht für alle User,
'# die in der OU=1A sind, die wiederum in der OU=Schueler sind, und diese dann in der OU Benutzer liegt
'# also:
'#
'# Benutzer
'# |__ Schueler
'#    |___ 1A
'#
'# Hier findest Du zusätzliche Infos zu LDAP-Attributen:
'# http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm
  
strOU = "OU=1A,OU=Schueler,OU=Benutzer,"   'ACHTUNG auf den Beistrich!!
 
  
'# Ab hier nur mehr für Auskenner veränderbar...
'############################################################################
on error resume next
Dim rootDSE, domainObject
Set rootDSE = GetObject("LDAP://RootDSE")
domainContainer = rootDSE.Get("defaultNamingContext")
Set domainObject = GetObject("LDAP://" & strOU & domainContainer)
  
Set fs = CreateObject ("Scripting.FileSystemObject")
Set outFile = fs.CreateTextFile (".\logfile_ADKonten.txt")
  
exportUsers(domainObject)
  
Set oDomain = Nothing
  
Sub ExportUsers(oObject)
on error resume next
   Dim oUser
   For Each oUser in oObject
      Select Case oUser.Class
         Case "user"
  
            call changeIT(oUser.distinguishedName)
  
         Case "organizationalUnit" , "container"
  
            ExportUsers(oUser)
      End select
   Next
End Sub
  
  

 
sub changeIT(myUser)
'On Error Resume Next
Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
Set objUser = GetObject("LDAP://" & myuser)

intUserAccountControl = objUser.Get("userAccountControl")
 

        ' Check if "Password Never Expires" already set.
        If Not objUser.userAccountControl AND ADS_UF_DONT_EXPIRE_PASSWD Then
            ' Set bit for "Password Never Expires".
			objUser.Put "userAccountControl", _
			objUser.userAccountControl XOR ADS_UF_DONT_EXPIRE_PASSWD
			
            objUser.SetInfo    
            outfile.WriteLine  myUser & " wurde erfolgreich geaendert!"
        End If
 
end Sub
WScript.Quit
Posted in Active Directory, VBScript | 2 Comments

ADMINOMAT 2.06 kann jetzt Clients zeitversetzt booten / herunterfahren

sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [2 Bewertung, Durchschnitt: 5,00]

Das Tool ADMINOMAT (in der aktuellen Version 2.06) kann ab sofort mehrere Clients zeitversetzt per Aufgabenplanung starten bzw. herunterfahren.

Damit können u. a. in der Nacht Updates bzw. Software (per Gruppenrichtlinie) installiert werden.

Download

ADMINOMAT_geplanter_Task

Posted in Adminomat | Leave a comment