Jan 10

Dynamic Objects in Active Directory

Sometimes we need to create users/groups/computers in Active Directory that will be used temporary (by a contractor, for testing etc.). The typical workflow is: Create > Use for a while > Delete. The deletion is manual and often these objects are being forgotten which poses some security risks.

It is little known fact that we can create the so called Dynamic objects (DOs, a.k.a. temporary objects) that get deleted from AD automatically when the associated TTL expires. Microsoft added this capability in Windows Server 2003. In fact the “Dynamic object” is an auxiliary class (OID = 1.3.6.1.4.1.1466.101.119.2). When linked to an object it adds some new attributes like the entryTTL (Entry-TTL) and ms-DS-Entry-Time-To-Die attribute.

Continue reading

Jan 05

WinRM would not listen on port 5985

The WinRM was configured to allow remote administration via a GPO but it wouldn’t let us connect with Enter-PSSession. The firewall rule was there passing the traffic on TCP port 5985.

Checking WinRM config showed something strange:

Listener [Source=”GPO”]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = null

So WinRM was actually configured but wasn’t listening on any network interface. Why?

Continue reading

Dec 20

NTFRS: How to force SYSVOL replication

For those who still use NTFRS – as of KB823230 ntrfsutl can be used to force Sysvol replication:

The replication path will be SRC_DC_FQDN > DST_DC_NAME

In fact ntfrsutl connects to DST_DC_NAME and “tells” NTFRS to pull Sysvol changes from its inbound partner SRC_DC_FQDN.

Jan 09

Certificate Import Wizard: An internal error occurred. Either the user profile is not accessible or the private key that you are importing might require a cryptographic service provider that is not installed on your system

В KB919074 са описани три причини, които могат да бъдат причина за възникването на въпросната грешка.

Днес открих още една: ако профилът е нов (т.е. папката C:\Users\{username}\AppData\Roaming\Microsoft\Crypto\RSA е празна) и компютърът няма връзка към домейн контролер, ще получите същата грешка.

Явно при натискане на бутона Finish,Certificate Import Wizard конзолата търси домейн контролер.Следи за това има в DNS кеша:

Continue reading

Jan 08

Configuring Windows Components Logging

“Човек и добре да живее, все ще му се наложи да дебъгва”:

Directory Services Debug Logging Primer

Списъкът е огромен, но не очаквам да е изчерпателен.

Jan 15

“Could not retrieve default replication accounts” during RODC Promotion

The task was to promote the first RODC in a mixed OS domain with Windows 2003 Forest/Domain functional levels. Before DC promotion the AD Schema was successfully extended and there was one Writable Domain Controller (Windows Server 2013 R2) up and running.

I noticed some RODC related groups are missing even trough adprep finished without any errors:

  • Read-only Domain Controllers
  • Allowed RODC Password Replication Group
  • Denied RODC Password Replication Group

I thought they will appear after first RODC promotion. But that was not the case!

These groups, along with many others, are created AFTER you transfer the PDC role to a domain controller, running Windows Server 2008 or later!

After transferring the PDC role these groups were created:

Nice to know it 🙂

Thereafter the first RODC was promoted successfully!

References:

Dec 14

Set-ADUser : Insufficient access rights to perform the operation when setting the Title attribute in Active Directory

Представете си, че имате обикновен потребител в Active Directory домейн, примерно Updater@pkg.lab. Искате той да има право да променя полето Title на определен списък с потребители.

Атрибутът Title отразява длъжността (т.е. Job Title) на потребителя в организацията.

За тази цел сте делегирали права Read/Write за атрибута Title в определени организационни единици:

Continue reading

Mar 24

How-To: Конфигуриране на Skype чрез групова политика

  Невероятно, но факт! Аз лично четох три пъти статията, докато повярвам, че е истина 🙂 Най-сетне може да се опитоми поне малко ужасът за всички системни администратори – Skype. От версия 3.0 насам определени настройки на Skype подлежат на централизирано конфигуриране чрез групови политики.  Официално е публикуван .ADM файл, чиято версия в този момент е 1.7. Можете да го видите на този адрес: [ http://www.skype.com/security/Skype-v1.7.adm ].

С горния линк се отваря съдържанието на .ADM файла. Трябва да съхраните текста в обикновен текстов файл с разширение .ADM. Кодирането трябва задължително да бъде ASCII (т.е. без никакви Unicode и UTF8 истории).

За Ваше удобство съм направил всичко това и можете да свалите файла от тук: [download id=”2″]

Интересна подробност е и, че Skype може да се свали в .MSI вариант (наречен “бизнес” вариант) за по-лесна масова инсталация. Но едва ли бизнеса гори от желание служителите да използват такава програма по време на работа 🙂 🙂 🙂

Continue reading

Feb 07

EFS recovery policy contains invalid recovery certificate

Симптомите:
При опит за криптиране на произволен файл, използвайки EFS, получавате съобщение за грешка:

След преглед на System лога попадате на съобщението:

Event Type: Error
Event Source: EFS
Event Category: None
Event ID: 6028
Date:  05.02.2009
Time:  19:33:08
User:  N/A
Computer: XXXXXX
Description:
EFS recovery policy contains invalid recovery certificate.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

Continue reading

Nov 22

Как да забраним функцията Drag-And-Drop в конзолата Active Directory Users & Computers

   Drag-And-Drop функцията е доста полезна като цяло . Тя присъства и в конзолата Active Directory Users & Computers (ADUC) в сървърните версии на Windows, когато имате домейн. В този контекст маркирате даден потребителски/компютърен акаунт или организационна единица, провлачвате с мишката и обектът отива на новото място. Но при малко невнимание можете да сбъркате целевото OU и обектът да попадне на друго място. Това би създало много проблеми, особено ако не го забележите – в конкретното OU може да се отразяват различни групови политики, може да има делегиран контрол. Въобще – неприятна случка.

От SP1 за Server 2003 нагоре можете да забраните функцията Drag-And-Drop в ADUC. Атрибутът, който трябва да се модифицира се нарича flags и за всеобщо щастие се намира в самата Активна директория.

Continue reading