Archiv der Kategorie: Active Directory

Active Directory, AD DS, Verzeichnisdienst, Windows Domäne

Local Administrator Password Management installieren und konfigurieren

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren 
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern 
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln 
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen

Teil 28c: Web Application Proxy installieren und konfigurieren

Veröffentlicht am von
Antworten

Damit die Arbeitsordner im Internet verwendet werden können, fehlt noch der Reverse Proxy. Ich verwende den in Windows verfügbaren Web Application Proxy. Installieren werde ich den Web Application Proxy am Server WAP1, der über zwei Netzwerkkarten (einmal im Intra- und einmal im Internet) verfügt und nicht zur Domäne hinzugefügt wurde.

Web Application Proxy installieren und konfigurieren – Schritte:

  • Server-Rolle Remote Access installieren
  • Web Application Proxy konfigurieren
  • Arbeitsordner veröffentlichen
  • AuthO aktivieren und update Deviceregistration
  • Mit der Hosts-Datei die internen IP-Adressen für AD FS und Arbeitsordner erzwingen
  • Die Arbeitsordner für die Authentifizierung mittels ADFS konfigurieren

Server-Rolle Remote Access installieren

  1. Als lokaler Administrator an WAP1 anmelden
  2. Die SSL-Zertifikate (adfs.pfx und arbeitsordner.pfx) von \\APP1\Sourcen\ADFS in den Personal Store des Computerkontos importieren
    WAP_001
  3. Server Manager > Manage > Add Roles and Features
  4. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: WAP1 > Next
    4. Server Roles: Remote Access > Next
      WAP_002
    5. Features > Next
    6. Remote Access > Next
      1. Role Services: Web Application Proxy > Next > Add Features > Next
        WAP_003
    7. Confirmation > Install
    8. Results > Finish

Web Application Proxy konfigurieren

  1. Server Manager > Notifications > Open the Web Application Proxy Wizard
    WAP_004
  2. Web Application Proxy Configuration Wizard
    1. Welcome > Next
    2. Federation Server
      1. Federation service name: adfs.einfaches-netzwerk.at
      2. User name: Administrator (lokaler Administrator auf ADFS1!)
      3. Password: Password1 > Next
        WAP_005
    3. AD FS Proxy Certificate: adfs1.intern.einfaches-netzwerk.at > Next
      WAP_006
    4. Confirmation > PublishWAP_013
    5. Results > Close
      WAP_014

Arbeitsordner veröffentlichen

  1. Server Manager > Tools > Remote Access Management
  2. Auf der linken Seite auf Configuration\Web Application Proxy klicken
  3. Auf der rechten Seite auf Publish klicken
    WAP_009
    Weiterlesen

Teil 28b: Active Directory Federation Services konfigurieren

Veröffentlicht am von
Antworten

In diesem Teil möchte ich die Active Directroy Federation Services konfigurieren. AD FS (Active Directory Verbunddienste) ist ein Feature des Windows Server-Betriebssystems, welches den Zugriff auf Webdienste und -anwendungen von außerhalb des Unternehmens (Firewall-Grenzen) mittels Single Sign-On erweitert.

Als Referenz verwende ich Deploy Work Folders with AD FS and Web Application Proxy.

Meine Server habe ich mittels MDT nach Teil 19c: Windows Server 2012 R2 mit MDT verteilen installiert:

  • DC1.intern.einfaches-netzwerk.at
    • IP-Adresse: 192.168.150.1
  • EDGE1.intern.einfaches-netzwerk.at
    • IP-Adresse intern: 192.168.150.254
    • IP-Adresse extern: 131.107.0.3
  •  ADFS1.intern.einfaches-netzwerk.at
    • IP-Adresse: 192.168.150.3
  • WAP1 (non-domain-joined, nach dem Aufsetzen aus der Domäne entfernt)
    • IP-Adresse intern: 192.168.150.4
    • IP-Adresse extern: 131.107.0.4
  • APP1.intern.einfaches-netzwerk.at (SyncServer, WorkFolders)
    • IP-Adresse: 192.168.150.2
  • CLIENT1.intern.einfaches-netzwerk.at (domain-joined)
    • IP-Adresse: DHCP
  • CLIENT2 (non-domain-joined, nach dem Aufsetzen aus der Domäne entfernt)
    • IP-Adresse: DHCP

Active Directory Federation Services konfigurieren – Schritte:

  • KDS-Rootkey erzeugen
  • Group Managed Service Account erstellen
  • ADServiceAccount auf ADFS1 installieren
  • SSL-Zertifikat für AD FS ausstellen
  • Die Server-Rolle AD FS installieren
  • Relying Party Trust für Arbeitsordner hinzufügen
  • Workplace Join aktivieren
  • Überprüfen, ob AD FS funktioniert

KDS-Rootkey erzeugen

Der KDS-RootKey (Microsoft Group Key Distribution Service) muss für die Verwendung von Group Managed Service Accounts nur einmal in Active Directory erzeugt werden. Nach Ausführen des Cmdlets muss man 10 Stunden warten, bis alle DCs repliziert sind. Also am Besten am Abend bevor man den ersten ADServiceAccount erstellen möchte. Es gibt zwar einen einfachen Workaround, der sollte aber nur in Testumgebungen verwendet werden:

Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
  1. Als Administrator an DC1 anmelden
  2. PowerShell als Administrator starten
  3. Mit folgendem Befehl den KDS-Rootkey erzeugen 
    Add-KDSRootKey -EffectiveImmediately
  4. PowerShell-Cmdlet
    ADFS-003
  5. Mit folgendem Befehl den KDS-RootKey abrufen… 
    Get-KDSRootKey
  6. PowerShell-Cmdlet
    ADFS-004
  7. …und testen 
    Test-KDSRootKey -KeyID <key-id>
  8. PowerShell-Cmdlet
    ADFS-005

Gespeichert wird der KDS-RootKey in der Konfigurationspartition von Active Directory:

  1. Server Manager > Tools > ADSI Edit
  2. ADSI Edit rechts anklicken > Connect to…
  3. Unter Connection Point den Naming Context auf Configuration ändern > OK
    ADFS-006
  4. CN=Configuration\CN=Services\CN=Group Key Distribution Service erweitern
  5. CN=Master Root Keys anklicken > im Detailbereich ist der KDS-RootKey zu finden
    ADFS-007
  6. Fenster schließen

Group Managed Service Account erstellen

Als Dienstkonto für AD FS möchte ich die mit Windows Server 2012 eingeführten Group Managed Service Accounts nutzen. Damit wurde das Problem der Passwörter für Dienstkonten gelöst (siehe Group Managed Service Accounts Overview). Zuerst erstelle ich eine Sicherheitsgruppe mit dem Computerkonto von ADFS1 und berechtige diese Gruppe ein verwaltetes Passwort zu erhalten. Danach erst erstelle ich das Dienstkonto.

  1. Auf DC1 > Server Manager > Tools > Active Directory Users and Computers
  2. intern.einfaches-netzwerk.at\Einfaches-Netzwerk erweitern
  3. In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppe erstellen
    1. Allow-gMSA-ADFS
      ADFS-001
      Weiterlesen