Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

Veröffentlicht am 8. Mai 2015 von Dietmar Haimann

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

Als Administrator an DC1 anmelden
Server Manager > Tools > Active Directory Users and Computers
Folgende Benutzerkonten anlegen:
1. CM_CP, ConfigMgr 2016 TP Client Push
2. CM_DJ, ConfigMgr 2016 TP Domain Join
3. CM_NA, ConfigMgr 2016 TP Network Access
Folgende Gruppen anlegen
1. Allow-gMSA-SQL
  1. Members: CM1
2. ConfigMgr Administrators
  1. Members: Administrators, USER1
3. ConfigMgr Servers
  1. Members: CM1
4. LocalAdmins
  1. Members: CM_CP
5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

PowerShell (Admin) starten

Mit folgendem Befehl das Dienstkonto erstellen

New-ADServiceAccount -Name gMSA-SQL `
    -DNSHostName cm1.intern.einfaches-netzwerk.at `
    -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
    -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433

CM1 neu starten und als Administrator anmelden
PowerShell (Admin) starten

Mit folgenden Befehlen das Dienstkonto installieren

Add-WindowsFeature -Name RSAT-AD-Tools
Install-ADServiceAccount -Identity gMSA-SQL

Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
Delegation of Control Wizard
1. Welcome… > Next
2. Users or Groups > Add… > CM_DJ > Next
  
  Weiterlesen →

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen was last modified: Mai 8th, 2015 by Dietmar Haimann

Teil 29: Festplatten mit 64k-Units formatieren

Veröffentlicht am 7. Mai 2015 von Dietmar Haimann

Antworten

Als Vorbereitung für Configuration Manager Technical Preview möchte ich die Testversion von SQL Server 2014 installieren. Dafür verwende ich den Server CM1 mit folgender Konfiguration:

Windows Server 2012 R2 mit allen aktuellen Updates
5 zusätzliche Festplatten
- Data
- Content
- TempDB (64k Units)
- SQLDB (64k Units)
- SQLLog (64k Units)
SQL Server 2014 Standard Edition
System Center Configuration Manager 2016 Technical Preview

Die Festplatten mit 64k-Units formatieren (Disk Partition Alignment Best Practices for SQL Server) gilt als Best Practice, um die beste Performance zu erreichen.

Festplatten mit 64k-Units formatieren

Als Administrator an CM1 anmelden
Command Prompt (Admin) starten
Mit folgendem Befehl diskpart starten
```
diskpart.exe
```
Mit folgendem Befehl die vorhandenen Disks auflisten
```
list disk
```
Die letzte Disk ist Disk 5, Disk 3 und 4 habe ich bereits auf diese Weise formatiert

Mit folgenden Befehlen die Festplatte mit 64k-Units formatieren

select disk 5
create partition primary align=1024
assign letter H
format fs=ntfs unit=64k label="SQLLog" nowait

Mit exit diskpart beenden
Mit folgendem Befehl die Bytes Per Cluster überprüfen
```
fsutil fsinfo ntfsinfo h:
```
Der hier wichtige Wert ist Bytes Per Cluster: 65536

Teil 29: Festplatten mit 64k-Units formatieren was last modified: Mai 8th, 2015 by Dietmar Haimann

Local Administrator Password Management installieren und konfigurieren

Veröffentlicht am 5. Mai 2015 von Dietmar Haimann

Antworten

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

ms-MCS-AdmPwd
ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

Als Administrator an DC1 anmelden
Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
1. LAPS.x86.msi
2. LAPS.x64.msi
3. LAPS_Datasheet.docx
4. LAPS_OperationsGuide.docx
5. LAPS_TechnicalSpecification.docx
LAPS.x64.msi doppelklicken
Local Administrator Password Solution Setup
1. Welcome… > Next
2. License Agreement > Accept > Next
3. Custom Setup
  1. PowerShell module
  2. GPO Editor templates > Next
4. Ready to install > Install
5. Complete > Finish
Zum Ordner C:\Windows\PolicyDefinitions wechseln
Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
1. AdmPwd.admx
2. en-US\AdmPwd.adml
Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

Server Manager > Tools > Active Directory Users and Computers (ADUC)
intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
Folgende Sicherheitsgruppe erstellen
1. PwdAdmins
USER1 zur Gruppe PwdAdmins hinzufügen
Fenster minimieren, nicht schließen
PowerShell (Admin) starten
Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
```
Import-Module AdmPwd.PS
```
Mit folgendem Befehl das Active Directory-Schema erweitern
```
Update-AdmPwdADSchema
```
PowerShell
Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
```
Find-AdmPwdExtendedRights -Identity Arbeitsstationen
```
Der Benutzer INTERN\osd_join hat erweiterte Rechte
Die ADUC-Konsole wiederherstellen
Die OU Arbeitsstationen rechts anklicken > Properties
Auf den Reiter Security wechseln > Advanced
OSD_Join markieren > Edit
Permission Entry for Arbeitsstationen
1. Applies to: This object and all descendant objects
2. All extended rights deaktivieren Weiterlesen →

Local Administrator Password Management installieren und konfigurieren was last modified: Januar 26th, 2017 by Dietmar Haimann

Ein einfaches Netzwerk

Dietmar's Blog (Noch so ein IT-Blog)

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

Benutzer und Gruppen anlegen

Group Managed Service Account erstellen

CM_DJ auf die OU Arbeitsstationen berechtigen

Teil 29: Festplatten mit 64k-Units formatieren

Festplatten mit 64k-Units formatieren

Local Administrator Password Management installieren und konfigurieren

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

Benutzer und Gruppen anlegen

Group Managed Service Account erstellen

CM_DJ auf die OU Arbeitsstationen berechtigen

Share the knowlegde!

Festplatten mit 64k-Units formatieren

Share the knowlegde!

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

Share the knowlegde!