In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Für Praktikanten, neue Mitarbeiter und externe Consultants müssen wir laufend neue Nutzer im Active Directory anlegen. Abteilungen informieren uns jedoch nicht immer rechtzeitig, wenn ein Account wieder entfernt werden kann. Gibt es eine einfache Möglichkeit, inaktive Benutzer im Active Directory aufzulisten?
Das Problem von "vergessenen" AD-Konten beschäftigt viele Unternehmen. Inaktive Nutzer blockieren dabei nicht nur Lizenzen, sondern stellen auch ein Sicherheitsrisiko dar: Über einen VPN-Zugang beziehungsweise die Verknüpfung mit Azure AD und Microsoft 365 könnten ehemalige Mitarbeiter so jederzeit auf Firmendaten zugreifen. Ungenutzte Konten sollten Sie daher unbedingt entfernen. Leider machen die Bordmittel von Microsoft die Verwaltung von Benutzerkonten nicht immer einfach: Über die AD-Konsole selbst ist eine Auflistung inaktiver User leider nicht möglich. In diesem Fall lässt sich das Problem aber mit einem PowerShell-Skript lösen, das sämtliche Benutzer anzeigt, die sich seit mindestens X Tagen nicht mehr eingeloggt haben. Dazu eignet sich das Cmdlet "Search-ADAccount" in Verbindung mit dem Parameter "-AccountInactive". Über den Parameter "-TimeSpan" lässt sich dabei das genaue Zeitfenster seit dem letzten Login anpassen, beispielsweise 60 Tage. Das vollständige Skript könnte also beispielsweise so aussehen:
Bei der so produzierten Liste handelt es sich natürlich nur um einen ersten Anhaltspunkt für die weitere Überprüfung der betroffenen Konten. Falls Sie in der Folge Nutzer entfernen, müssen Sie anschließend natürlich auch Accounts in Drittanwendungen schließen, die nicht mit dem AD verknüpft sind. Ein passendes Tool für die Nutzerverwaltung hilft dabei, solche sogenannten Joiner-Mover-Leaver-Prozesse zu automatisieren.
Für Praktikanten, neue Mitarbeiter und externe Consultants müssen wir laufend neue Nutzer im Active Directory anlegen. Abteilungen informieren uns jedoch nicht immer rechtzeitig, wenn ein Account wieder entfernt werden kann. Gibt es eine einfache Möglichkeit, inaktive Benutzer im Active Directory aufzulisten?
Das Problem von "vergessenen" AD-Konten beschäftigt viele Unternehmen. Inaktive Nutzer blockieren dabei nicht nur Lizenzen, sondern stellen auch ein Sicherheitsrisiko dar: Über einen VPN-Zugang beziehungsweise die Verknüpfung mit Azure AD und Microsoft 365 könnten ehemalige Mitarbeiter so jederzeit auf Firmendaten zugreifen. Ungenutzte Konten sollten Sie daher unbedingt entfernen. Leider machen die Bordmittel von Microsoft die Verwaltung von Benutzerkonten nicht immer einfach: Über die AD-Konsole selbst ist eine Auflistung inaktiver User leider nicht möglich. In diesem Fall lässt sich das Problem aber mit einem PowerShell-Skript lösen, das sämtliche Benutzer anzeigt, die sich seit mindestens X Tagen nicht mehr eingeloggt haben. Dazu eignet sich das Cmdlet "Search-ADAccount" in Verbindung mit dem Parameter "-AccountInactive". Über den Parameter "-TimeSpan" lässt sich dabei das genaue Zeitfenster seit dem letzten Login anpassen, beispielsweise 60 Tage. Das vollständige Skript könnte also beispielsweise so aussehen:
Bei der so produzierten Liste handelt es sich natürlich nur um einen ersten Anhaltspunkt für die weitere Überprüfung der betroffenen Konten. Falls Sie in der Folge Nutzer entfernen, müssen Sie anschließend natürlich auch Accounts in Drittanwendungen schließen, die nicht mit dem AD verknüpft sind. Ein passendes Tool für die Nutzerverwaltung hilft dabei, solche sogenannten Joiner-Mover-Leaver-Prozesse zu automatisieren.
Als E-Mail-App nutze ich auf meinem Smartphone K-9 Mail. Mit Version 5.8 gab es ja große Umbrüche im Benutzerinterface. Die Software zeigt nun etwa per Default die Nachrichten aus allen E-Mail-Konten in einem gemeinsamen Posteingang an. Dort tauchen jedoch neue E-Mails aus manchen Accounts bei mir nie auf. In den Einstellungen finde ich nur die Option zum Aktivieren oder Ausschalten des gemeinsamen Posteingangs, aber nicht, welche Inboxen er integrieren soll. Wo muss ich diese Auswahl suchen?
Die von Ihnen gewünschten Settings gibt es. Sie finden sie aber nicht bei den "Einstellungen", sondern im Menü "Ordner verwalten". Wichtig ist allerdings, dass sie das zu integrierende Konto im linken Menü auch wirklich ausgewählt haben, bevor Sie den entsprechenden Menüpunkt antippen. Nach "Ordner verwalten" entscheiden Sie sich dann für "Posteingang" und setzen in den Ordnereinstellungen ganz unten den Haken bei "In gem. Posteingang" integrieren. Nun sollten die E-Mails dieses Kontos erscheinen. Der gemeinsame Posteingang muss allerdings wie Sie schon schreiben generell aktiviert sein – wie Sie bereits herausgefunden haben, funktioniert dies über den entsprechenden Haken bei "Gemeinsamen Posteingang anzeigen" im Menü "Einstellungen / Allgemeine Einstellungen / Anzeige / Kontenliste".
(ln)
Monitoring
Seit einigen Monaten überwachen wir unsere IT-Infrastruktur mit Paessler PRTG Network Monitor. Sobald ein Gerät oder ein Dienst ausfällt, werde ich als Administrator per E-Mail benachrichtigt. Nun ist es aber so, dass wir mehr und mehr über Microsoft Teams kommunizieren und ich nur noch unregelmäßig meinen Posteingang auf neue Nachrichten prüfe. Gibt es eine Möglichkeit, dass PRTG Nachrichten direkt an Microsoft Teams sendet, sobald eine Komponente im Netzwerk ausfällt?
Paessler PRTG bietet die Möglichkeit, Benachrichtigungen an einen MicrosoftTeams-Kanal zu übermitteln. Die Integration müssen Sie einmalig konfigurieren. Im ersten Schritt erstellen Sie dazu einen neuen Kanal in Microsoft Teams. Im nächsten richten Sie einen eingehenden Webhook in Microsoft Teams ein. Die Webhook-URL findet später in der Benachrichtigungsvorlage von PRTG Verwendung. Der eingehende Webhook dient dazu, Daten von PRTG in Echtzeit in Ihre Microsoft-365-Gruppe zu senden.
Nach erfolgreicher Einrichtung kopieren Sie die URL des Webhook in die Zwischenablage. Nun wechseln Sie zu PRTG, um dort die Benachrichtigungsvorlage einzurichten. Navigieren Sie zu "Konfiguration / Kontoeinstellungen / Vorlagen für Benachrichtigungen / Vorlage für Benachrichtigungen hinzufügen". Geben Sie dort den Namen der Vorlage und gegebenenfalls weitere Parameter an. Anschließend aktivieren Sie noch die Option "Microsoft Teams-Nachricht senden". Dort hinterlegen Sie die vorhin in die Zwischenablage kopierte Webhook-URL.
Im letzten Schritt benötigt PRTG nun noch einen Trigger für Benachrichtigungen. Dieser definiert, wann eine Nachricht versandt wird. Den Trigger richten Sie genau dort im Gerätebaum ein, wo er gelten soll. Die Möglichkeiten reichen von Root über Probe, Gruppe, Gerät bis hin zu einem einzelnen Sensor. Nach erfolgter Einrichtung können Sie durch die Simulation eines Fehlers die Benachrichtigung direkt testen. Der Blog-Artikel [Link-Code https://blog.paessler.com/get-alerted-on-data-center-outages-with-microsoft-teams/] zeigt eine genaue bebilderte Schritt-für-Schritt-Anleitung, wie Sie Paessler PRTG mit Microsoft Teams verbinden.
(Paessler/ln)
Viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG finden Sie in der Paessler Knowledge Base unter https://kb.paessler.com.
Virtualisierung
Wir würden gern einmal TrueNAS Scale ausprobieren, eine auf Debian GNU/Linux basierende Open-Source-Virtualisierungsplattform mit Web-Interface, die unter anderem die Möglichkeit bietet, KVM-Container unter ZFS-Speicher zu erstellen. Könnten Sie hier kurz die Installation beschreiben?
Zunächst ein Hinweis: TrueNAS Scale befindet sich zum aktuellen Zeitpunkt noch in der Beta-Phase und wird von uns nicht für den produktiven Einsatz empfohlen. Nur Early Adopter mit einem Backupplan sollen die Verwendung in Erwägung ziehen. Die folgende Anleitung bezieht sich auf die Installation von TrueNAS Scale 21.08 Beta 1, die Sie unter [Link-Code https://www.truenas.com/download-truenas-scale/] herunterladen können.
Legen Sie das Installationsmedium ein, booten Sie es und entscheiden Sie sich dann für "Install/Upgrade". Wählen Sie das Installationsziel mit der Leertaste aus. Bei einem ZFS-Mirror sind zwei Disks zu markieren. Bestätigen Sie die Warnung durch Klicken auf "Yes". Nun vergeben Sie ein Passwort für den Root-Login. Bestätigen Sie es mit einem "OK". Klicken Sie im Anschluss auf "Create swap", falls Sie eine Swap-Partition erstellen wollen. Ansonsten ist "No swap" die richtige Auswahl. Die Installation beginnt nun. Klicken Sie nach deren Abschluss auf "OK". Wählen Sie "Reboot System", bestätigen Sie mit "OK" und entfernen Sie das Installationsmedium.
Die IP-Adresse für das Webinterface finden sie in der folgenden Shell unter "The web user interface is at". Geben Sie jetzt diese IP-Adresse im Browser ein. Dort melden Sie sich mit "root" und dem vorab vergebenen Passwort an, woraufhin das Dashboard von TrueNAS Scale erscheint.
Für das verteilte Arbeiten an Dokumenten, Präsentationen und Tabellen nutzen unsere internen Teams sowie externen Benutzer Amazon WorkDocs. Allerdings möchten wir nicht für jeden neuen User den Zugriff manuell anlegen. Wie lassen sich Aktivierung und Verwaltung der Benutzer vereinfachen?
Sämtliche Inhalte von Amazon WorkDocs sind zentral auf AWS speicher- und von überall und mit jedem Gerät verwendbar. Mithilfe der kostenfreien automatischen Aktivierungsfunktion erhalten alle Benutzer ein gültiges WorkDocs-Konto als verwalteter Nutzer mit 1 TByte persönlichem Speicherplatz – eine manuelle Aktivierung durch den IT-Administrator ist nicht erforderlich. Mit der automatischen Aktivierung lassen sich Benutzerrollen und der jeweilige Status über die Admin-Oberfläche verwalten. Folgende Hinweise sollten Sie beim Verwenden der automatischen Aktivierung allerdings stets berücksichtigen:
1. Einrichten und Starten Ihrer WorkDocs-Website: Eine einfache Anleitung für die Implementierung von WorkDocs finden Sie im entsprechenden Administrationshandbuch auf der AWS-Website. Beachten Sie dabei, dass "Auto activation" für alle neu erstellten WorkDocs-Sites mit Simple Active Directory, Managed Active Directory oder Connected Active Directory verfügbar ist. Sie müssen lediglich Ihr Verzeichnis bei der Bereitstellung der WorkDocs-Site während des Erstellungsprozesses anhängen. Die Aktivierung bestehender und neuer Benutzer erfolgt dann ganz automatisch.
2. Einführung von WorkDocs in den Unternehmensalltag: Nach der Einführung von WorkDocs können Sie den Benutzern Ihres Verzeichnisses mitteilen, dass sie nun über ein gültiges WorkDocs-Konto verfügen. Achten Sie darauf, dass diese Kommunikation mit den Nutzern außerhalb von WorkDocs erfolgt.
3. Admin-Oberfläche zur Verwaltung der Benutzeraktivierung: Die automatische Aktivierung ist standardmäßig für alle neuen WorkDoc-Sites aktiviert. Site-Administratoren können sie aber jederzeit über die Admin-Oberfläche deaktivieren. Nutzen Sie dazu unter "My Account" die Option "Open admin control panel". Wählen Sie im Anschluss unter dem Abschnitt "Security" die Option "Change".
(AWS/ln)
Tools
Eigentlich sollte sich ein USB-Laufwerk unter Windows einfach per "Hardware sicher entfernen"-Kommando auswerfen lassen, was die USB-Verbindung trennt und das externe Medium physisch entfernt. Doch hin und wieder klappt das nicht, etwa wenn noch eine Datei auf einem USB-Laufwerk geöffnet ist. In diesem Fall verhindert "Hardware sicher entfernen" sogar das Trennen des Geräts und der Admin muss warten, bis die geöffnete Datei beziehungsweise Ordner nicht mehr im Zugriff einer Anwendung oder des Systems sind. Kommt dies im Arbeitsalltag häufiger vor, spart die freie Software USB Disk Ejector viel Zeit ein, indem sie USB-Devices ganz einfach per Hotkey trennt.
USB Disk Ejector macht im Prinzip nichts weiter, als den Vorgang "Hardware sicher entfernen" auf einen einzigen Hotkey oder einen einzigen Mausklick zu verkürzen. Das Tool ist portabel, lässt sich auf einem Wechseldatenträger speichern und benötigt kein Installations- oder Administrationsrecht. Das Werkzeug ist ein einfaches Dienstprogramm, das alle laufenden Programme von USB schließt und das Laufwerk zur sicheren Entfernung auswirft. Zu beachten ist an dieser Stelle lediglich, dass USB Disk Ejector nur Anwendungen schließt, die von der Festplatte gestartet wurden, und keine, die eine Datei auf der Festplatte geöffnet haben.
Das Programm kommt als ZIP-Archiv daher und hat eine Größe von weniger als 1 MByte. Sobald es läuft, zeigt es die angeschlossenen USB-Laufwerke an und das Drücken der Eingabetaste oder ein Doppelklick trennt das Laufwerk vom PC. Alternativ lassen sich für diese Aufgabe Hotkeys konfigurieren, um ein Laufwerk nach Laufwerksbezeichnung, nach Laufwerkbuchstaben, nach Mount-Punkt oder nach Laufwerksname auszuwerfen.
Die meisten IT-Verantwortlichen dürften der Ansicht sein, dass Administratorenrechte in einer Windows-Umgebung alle Maßnahmen zum Installieren von Software, dem Modifizieren von Registry-Schlüsseln oder dem Löschen von Dateien erlauben. Doch es gibt zwei System-Accounts, die selbst dem Admin die Tür nicht öffnen – das System- und das Trusted-Installer-Konto. Dabei ist der System-Account zum Beispiel verantwortlich für interne Prozesse bei der Windows-Installation und die Rechte dieses Kontos regelt Windows selbsttätig. Sein Trusted-Installer-Pendant kommt mit dem Windows-Modules-Installer-Dienst zum Einsatz und verfügt über exklusive Rechte im Umfeld von Windows Updates. Muss der IT-Verantwortliche nun Anwendungen im Kontext dieser beiden speziellen Berechtigungen laufen lassen, ist das mit Bordmitteln risikobehaftet. Doch mit dem kostenlosen AdvancedRun von Nirsoft klappt der Zugriff.
Zwar kann sich ein Windows-Administrator Dateien oder Ordner, die den System- oder Trusted-Installer-Konten gehören, aneignen. Doch versetzt er sie nach seinen Tätigkeiten nicht korrekt in den Ursprungszustand, besteht die Gefahr, dass sich wichtige Systemdienste oder -prozesse verabschieden. Daher ist es sicherer, beispielsweise Registry-Änderungen direkt unter einem der beiden Accounts vorzunehmen, doch aus den genannten Gründen macht Microsoft dies dem IT-Verantwortlichen sehr schwer. Ist dann aber doch einmal ein solcher Eingriff ins System notwendig, leistet Nirsoft AdvancedRun gute Dienste, denn es macht es sehr einfach, Anwendungen mit den beiden besagten Rechten auszuführen – etwa den Registrierungseditor als Nutzer mit den Rechten des System-Kontos. In der neuesten Version hat der Admin zusätzlich die Option, Anwendungen mit NetworkService- oder LocalService-Rechten zu starten.
Die Software erlaubt, Programme als spezielle Benutzer in Windows 10 auszuführen und dies mit zahlreichen Optionen zu verknüpfen. So beispielsweise Programme mit Befehlszeilenargumenten zu starten, die Priorität des auszuführenden Programms festzulegen oder auch Anwendungen als ein bestimmter Domänen-Benutzer auszuführen. Ebenso ist es über AdvancedRun möglich, den Speicherort eines Programms über den Suchpfad zu finden, wenn der vollständige Pfad nicht angegeben ist.
Neben diesem ursprünglichen Anwendungsfall hat Nirsoft mittlerweile zahlreiche weitere Features in sein Werkzeug integriert. Etwa ein Programm mit dem Benutzer eines anderen laufenden Prozesses zu starten oder eine Anwendung im Namen eines anderen eingeloggten Users zu öffnen, ohne dessen Passwort eingeben zu müssen. Zudem erlaubt das Tool, einem Programm eine Reihe selbstdefinierter Startparameter mitzugeben.
Das Active Directory macht es dem IT-Verantwortlichen nicht immer leicht, alle Geräte und Netzwerkressourcen im Auge zu behalten – insbesondere bei mehreren Domänen in einer Gesamtstruktur. Das kostenlose SysAdmin Anywhere erlaubt, ein Inventar aller auf Netzwerkcomputern eingesetzter Soft- und Hardware zu erstellen und Berichte für Netzwerkressourcen zu erzeugen.
SysAdmin Anywhere ist dabei die Komponente, die ein Auge auf die Ressourcen wirft, während die SysAdmin-Anwendung die Schnittstelle für den IT-Verantwortlichen darstellt. Diese Anwendungen bedürfen sich gegenseitig und lassen sich nicht allein betreiben. Beide Apps gibt es ausschließlich im Windows Store, unser Link-Code führt dieses Mal daher nur zur Seite des Anbieters.
Das Werkzeug erlaubt die Verwaltung von Domänen, Servern, Clientcomputern, Benutzern und Gruppen im AD. Das Programm inventarisiert Computer inklusive Soft- und Hardware und gestattet, schnell nach einem Computer zu suchen, Computereigenschaften zu vernetzen, anzuzeigen und zu bearbeiten. Weiterhin können IT-Verantwortliche auf Ereignisse und Prozesse von Remotecomputern zugreifen, deren Leistung überwachen (CPU, verfügbarer Speicher und mehr), Remotebefehle ausführen, die Liste der Software und Hardware für einen Computer anzeigen und Benutzercontainer ändern. Schließlich lassen sich die gewonnenen Erkenntnisse in Berichte überführen.
Einmal installiert, erkennt SysAdmin Anywhere automatisch die verfügbaren Domänen in einer Gesamtstruktur und listet die Microsoft-Serverversion und den vollqualifizierten Domänennamen (FQDN) auf. Die Verwaltung-Registerkarte bietet Informationen über Computer, Benutzer, Gruppen, Kontakte und Drucker, die einer oder mehreren Domänen im Netzwerk zugeordnet sind.