24.3 C
Firenze
sabato, Agosto 2, 2025
Home Blog Page 3306

Integrazione di Password LAPS in Netwrix

Andrea C.
-
0

Se implementato in una struttura AD, Netwrix può collezionare la maggior parte dei dati relativi al nostro dominio.
Se per la gestione delle password locali utilizzeremo Microsoft Laps, quest’ultimo effettua una modifica allo schema AD perché la Password e l’Expiration Timestamp vengono memorizzati in attributi Active Directory dell’account computer (ms-Mcs-AdmPwd e ms-Mcs-AdmPwdExpirationTime). 

Netwrix “non legge” questi attributi in modo nativo ma è possibile modificare la configurazione in modo che ogni cambiamento delle password sia “registrato” in Netwrix .
Iin questo modo disporremo anche di uno storico dei cambi password.

In Netwrix è necessario modificare il file omitproplist.txt contenuto nella cartella : C:\Program Files (x86)\Netwrix Auditor\Active Directory Auditing.
Cancellare > Computer.ms-mcs-admpwd
Non deve esserci alcun riferimento, in questo file, relativo a : ms-Mcs-AdmPwd

Utilizzando la funzione “Report” su Computer Account Changes :

potremo visionare le nostre password :

Microsof Laps, Laps, Laps password in netwrix, Netwrix password Laps, Laps Netwrix

Migrazione di contatti da Windows Live Mail a Outlook

Andrea C.
-
0
Migrazione di contatti da Windows Live Mail a Outlook

Se dobbiamo migrare i contatti da Windows Live Mail a Outlook capiremo presto che è un’operazione impossibile. Esportare il .Csv non serve a molto perchè Outlook non riconosce il formato dei campi esportati. Esportare in Vcf può andare bene ma non esiste una modalità per l’importazione BULK in Outlook a meno che non acquistiamo un programma di terze parti.

Il problema si può risolvere con uno script VBA per Outlook.
Esportiamo da Windows Live Mail tutti i Vcf in una cartella : c:\vcards
Spostiamoci su Outlook e premiamo ALT + F11 per aprire il VBA editor.
Andiamo su Tools (Strumenti) > References e selezioniamo : Microsoft Scripting Runtime e Windows Script Host Object Model

Adesso inseriamo questo codice ed eseguiamolo:

Sub OpenSaveVCard()
    
Dim objWSHShell As IWshRuntimeLibrary.IWshShell
Dim objOL As Outlook.Application
Dim colInsp As Outlook.Inspectors
Dim strVCName As String
Dim fso As Scripting.FileSystemObject
Dim fsDir As Scripting.Folder
Dim fsFile As Scripting.File
Dim vCounter As Integer
   
Set fso = New Scripting.FileSystemObject
Set fsDir = fso.GetFolder("C:\vcards")

For Each fsFile In fsDir.Files

'original code
'strVCName = "C:\vcards\" & fsFile.Name

'Zeda's fix for spaces in filenames
strVCName = """C:\vcards\" & fsFile.Name & """"

    Set objOL = CreateObject("Outlook.Application")
    Set colInsp = objOL.Inspectors
        If colInsp.Count = 0 Then
        Set objWSHShell = CreateObject("WScript.Shell")
        objWSHShell.Run strVCName
        Set colInsp = objOL.Inspectors
    If Err = 0 Then
            Do Until colInsp.Count = 1
                DoEvents
            Loop
            colInsp.Item(1).CurrentItem.Save
            colInsp.Item(1).Close olDiscard
            Set colInsp = Nothing
            Set objOL = Nothing
            Set objWSHShell = Nothing
        End If
    End If

Next

End Sub

Contatti da Windows Live Mail a Outlook, Migrazione Contatti Windows Live Mail a Outlook, Migrazione Contatti da Windows Live Mail, Migrare Contatti da Windows Live Mail, Importare Vcf file in Outlook, Outlook Vcf import, Outlook importare vcf

Micorosoft LAPS per la gestione delle Password – Comandi e Diagnostica

Andrea C.
-
0

Diagnostica

Su un DC avviare Powershell (as Administrator : è importante o i comandi non restituiranno la password).
Richiamare il seguente modulo : Import-Module AdmPwd.PS

Per sapere a “quali computer” è stato popolato il campo : mc-Mcs-AdmPwd :
utilizzare il comando : Get-ADComputer -LDAPFilter ‘(ms-mcs-admpwd=*)’

Per vedere tutte le password in tutti i COMPUTER di AD :
Get-ADComputer -Filter {enabled -eq $True} -Properties Name, OperatingSystem, ms-Mcs-AdmPwd | Sort-Object -Property ms-Mcs-AdmPwd | FT Name, OperatingSystem, ms-Mcs-AdmPwd

Per farsi dare la password di un singolo :
Import-Module AdmPwd.PS
Get-AdmPwdPassword -ComputerName srvsonde1

Per forzare il cambio password di un singolo :
Import-Module AdmPwd.PS
Reset-AdmPwdPassword -ComputerName srvsonde1

Se a quacuno sta “sulle scatole” usare Powershell c’è un utility visiva chiamata Laps UI ( AdmPwd.UI.exe > C:\Program Files\LAPS)
ma anche questa deve essere eseguita come administrator.

Script che riporta tutte le password in un CSV:

$array = New-Object System.Collections.arraylist
$computers = Get-AdComputer -filter ‘enabled -eq $true’
foreach ($computer in $computers)

{
$results = Get-Admpwdpassword -computername $computer
 $array.add([PSCUSTOMOBJECT]@{
 “Computername” = $computer.name
“DN” = $results.distinguishedname
“Password” = $results.password
“Expiration” = $results.expiration}) | Out-null
}

$array | Export-csv -notypeinformation C:\Laps_Command\results.csv -delimiter “`t”

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps

Installazione e Configurazione LAPS per la gestione delle Password – Fase 2

Andrea C.
-
0

GUIDA INSTALLAZIONE – fase 2) IMPOSTAZIONI ACTIVE DIRECTORY :

A questo punto dobbiamo impostare (modificare) AD per la impostazioni di LAPS.
In powershell (sul DC) questi due comandi preparano la struttura AD, aggiungendo alcuni campi nelle proprietà degli oggetti COMPUTER :

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

La risposta deve essere “success”:

Abilitare i computer del dominio per fare in modo che possano gestire la propria password in autonomia.
Per farlo gli diamo una “GRANT” di permessi con questo comando :

Set-AdmPwdComputerSelfPermission -OrgUnit “OU Server Microsoft”
esempio con OU più “annidate”:
Set-AdmPwdComputerSelfPermission -OrgUnit “OU=mia,OU=LAPS Lab,DC=ADShotGyan,DC=com”

è necessaria anche la GRANT per il reset delle password

Set-AdmPwdResetPasswordPermission -OrgUnit “OU=LAPS Lab,DC=ADShotGyan,DC=com”

A questo punto possiamo decider la nostra policy.
ATTENZIONE : se viene specificato un nome nella voce “Name of Administrator account to manage” , Laps cercherà di modificare quello e non Administrator!
Ci vogliono 2 policy diverse in caso di amministratori con nomi diversi. Una policy (per nome) gestisce solo quell’amministratore

Vedere Anche : Comandi e Diagnostica

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps

Installazione e Configurazione LAPS per la gestione delle Password – Fase 1

Andrea C.
-
0

LAPS consente di gestire una password randomica per amministratore locale differente su ogni computer gestita localmente senza necessità di un generatore centralizzato di password.
Tramite LAPS è possibile gestire, tramite una GPO client-side extension (CSE),:

  • il nome del local administrator account
  • il periodo di rinnovo e la lunghezza e complessità della password
  • rende disponibile una serie di cmdlet PowerShell per una gestione automatizzata.

Note IMPORTANTI di funzionamento:

    • LAPS gestisce solo le password. Laps non blocca e non “sblocca” utenze (quindi non sblocca l’Administrator “inerte” di Windows 7 o Windows10)
    • LAPS deve essere installato sul Domain Controller.
      Se non viene fatto ci sarà un problema con un file Template delle policy che dovrà essere riportato nelle cartelle SYSVOL per la sincronizzazione e, se non fatto, la policy (da settare) non appare.
    • LAPS deve essere installato con un utente che abbia il ruolo di “Schema Admins” perché deve effettuare delle modifiche nello schema AD (UpdateAdmPwdADSchema)
    • I membri di “Domain Admins” sono abilitati di Default a visionare le password e non gli può essere tolto il privilegio senza togliere il ruolo. Se il ruolo deve essere dato anche ad altri è possibile definire un gruppo di persone o una OU che possa accedere all’attributo password
    • Le password sono IN CHIARO nelle proprietà AD
    •  

Questi sono i CAMPI che verranno aggiunti all’account COMPUTER per la gestione delle password:

GUIDA INSTALLAZIONE – fase 1) DEPLOY:
Scaricare e installare il componente con installazione standard.
Download componente : https://www.microsoft.com/en-us/download/details.aspx?id=46899

Creare, sul server, una cartella condivisa (la chiameremo laps$).
Deve essere accessibile al gruppo “Domain Computer” sia come permessi di condivisione, sia come NTFS.
Mettere in questa cartella gli .Exe scaricati con cui abbiamo installato LAPS.
Questa condivisione deve essere raggiunta dalle macchine che dovranno installare (su se stesse) il componente LAPS che verrà prelevato da questa share.

Creare una policy (a dominio o su una specifica OU) per il DEPLOY del pacchetto.
Possiamo chiamare questa policy “Deploy-LAPS”.
Deve essere impostata sotto : Computer > Policy > Software Settings

New > Package

Indicare il file .exe nella forma seguente: \\condivisione\….
Deve essere un percorso che la vm di destinazione possa raggiungere.

Nel Deploy METHODS selezionare “Advanced”

Impostare le proprietà in questo modo:

Nella scheda “security” riportare nuovamente “Domain Computers”

La stessa procedura deve essere fatta anche per il pacchetto a 32bit ma quando viene creato il pacchetto assicurarsi di modificarlo per deselezionare l’opzione” Rendi questa applicazione X86 a 32 bit disponibile per i computer Win64”. (va rimossa).
Troverai questa opzione quando fai clic con il pulsante destro del mouse sul pacchetto x86> Proprietà> Distribuzione. Ciò garantirà che i computer a 64 bit ottengano la DLL a 64 bit e che i computer a 32 bit ottengano la DLL a 32 bit.

Se le impostazioni sono state fatte correttamente, dopo un po’ di tempo, nelle macchine TARGET apparirà LAPS come applicazione installata

Prosegui su : Installazione e Configurazione LAPS per la gestione delle Password – Fase 2

Laps, Microsoft Laps, gestione password Laps, Deploy Laps, Deploy Microsoft Laps, Install Microsoft Laps

Netwrix – File Storage Audit Service – Err. 6107

Andrea C.
-
0

Per l’errore su FIleserver :

The following audit policies are not properly configured for the ‘srvfileserverh’ server:
Category: Object Access. Subcategory: Audit File System. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit Handle Manipulation. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit File Share. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.
Category: Object Access. Subcategory: Audit Removable Storage. Currently, the value is ‘No Auditing’, but must be set to ‘Success’.

la policy locale deve essere attivata in questa sezione:

netwrix policy, File Storage Audit Service , netwrix 6107, netwrix No Auditing

Installazione Language Package on Windows 2016 (dietro WSUS)

Andrea C.
-
0

Se siamo dietro un SCCM o WSUS potrebbe non essere possibile installare il Language Package (italian) su Windows Server 2016.
Per verificare questo possiamo usare questo comando powershell:

$MUSM = New-Object -ComObject “Microsoft.Update.ServiceManager”
$MUSM.Services | select Name, IsDefaultAUService

la risposta potrebbe essere:

Windows Update Standalone Installer – False
Windows Server Update Service – True
Windows Update – False

in questo caso non potremo installare il Language Pack con le normali funzioni da impostazioni o pannello di controllo.
In questo caso dobbiamo procurarci il “mu_windows_server_2016_language_pack_x64_dvd_9327828.iso”, disponibile per il Download di MSDN che contiene 28 lingue.

Può essere scaricato su Microsoft Volume License Site o Microsoft Visual Studio Subscription

Una volta collegato al server il comando di installazione (as Administrator) sarà : 

dism.exe /online /add-package /packagepath:D:\langpacks\de-de\x64fre_Server_de-de_lp.cab

Reboot del Server dopo l’installaazione.
Per controllare le lingue installate.

C:\Windows\system32>dism /online /Get-intl

per avviare la GUI di modifica della lingua : lpksetup.exe

Clients can’t add language packs because of WSUS, how install mu_windows_server_2016_language_pack_x64_dvd_9327828, Cambiare Lingua di sistema Windows Server 2016, A language pack isn’t available, Language Package on Windows 2016, Language Pack Italian on Windows 2016

Configurazione di Autenticazione Kerberos su IIS

Andrea C.
-
0

Ecco una guida dettagliata su come configurare l’autenticazione utente del dominio Kerberos SSO (Single Sign-On) trasparente sul sito Web IIS che esegue Windows Server 2012 R2.
Avviare Gestione IIS sul tuo server Web, selezionare il sito Web e andare alla sezione Autenticazione . Come si vedere, solo l’ autenticazione anonima è abilitata per impostazione predefinita. Disabilitarla e abilitare l’ autenticazione di Windows ( innanzitutto IIS cerca sempre di eseguire l’autenticazione anonima ).

Aprire l’elenco dei provider, disponibili per l’autenticazione di Windows ( provider ). Per impostazione predefinita, sono disponibili due provider: Negoziazione e NTLM . La negoziazione è un contenitore che utilizza Kerberos come primo metodo di autenticazione e, se l’autenticazione fallisce, viene utilizzato NTLM. È necessario che Negoziazione venga per prima nell’elenco dei provider.

Il passaggio successivo include la registrazione della voce principale del servizio (SPN) per il nome del sito Web, a cui gli utenti accederanno. 
Creare un account AD separato e associare voci SPN ad esso. Il pool di applicazioni di destinazione del nostro sito Web verrà avviato da questo account.

Creare un account di dominio iis_service con relativa password . Assicurarsi che le voci SPN non siano assegnate per questo oggetto (l’attributo servicePrincipalName è vuoto).

Supponiamo che il sito Web debba rispondere a http: //webportal e http: //webportal.test.loc . Dobbiamo specificare questi indirizzi nell’attributo SPN dell’account del servizio.

Setspn /s HTTP/webportal dominio\iis_service
Setspn /s HTTP/webportal.test.loc dominio\iis_service

è possibile verificare l’assegnazione con questo comando : setspn /l iis_service

A questo punto, tornando sul server WEB, dobbiamo modificare il Pool di Applicazioni

Aprire le Impostazioni avanzate e spostarsi su Identità.> Identità pool di applicazioni
Modificare da ApplicationPoolIdentity in dominio\ iis_service .

Tornare al sito Web in Gestione IIS (non zona Pool)  e selezionare Editor di configurazione .
Nel menu a discesa selezionare system.webServer> sicurezza> autenticazione> windowsAuthentication

Impostare in questo modo :

Concludere la configurazione e resettare con IISreset.
Testiamo l’autenticazione Kerberos. Per farlo, apri http: //webportal.test.loc nel browser del client.
Nota Nel mio caso, non sono riuscito ad autenticarmi immediatamente in IE11. Ho dovuto aggiungere l’indirizzo all’elenco dei siti Web attendibili e specificare Accesso automatico con nome utente e password correnti in Autenticazione utente -> Accesso nelle impostazioni di Siti di zone attendibili.

E’ possibile assicurarsi che l’autenticazione Kerberos sia utilizzata sul tuo sito Web mediante il monitoraggio del traffico HTTP tramite Fiddler. Avviare Fiddler e aprire il sito Web di destinazione nel browser. Nella parte sinistra della finestra, trovare la linea di accesso al sito Web. Andare alla scheda Inspectors nella parte destra della finestra. La linea ” Intestazione autorizzazione (negoziazione) sembra contenere un ticket Kerberos ” indica che Kerberos è stato utilizzato per l’autenticazione sul sito Web IIS.

Configurazione di Autenticazione Kerberos su IIS, Sso Autenticazione IIS, sso iis, implementare sso iis, enable sso iis, sso iis enable

 

Netwrix – Guida di impostazione per SQL Server

Andrea C.
-
0

A questo indirizzo è presnete la guida di base (how-to) per l’impostazione del database Sql Server di Netwrix

https://helpcenter.netwrix.com/Installation/Deployment_Planning/SQL_Server_Database/Deployment_Planning_SQLServer.html

nello specifico dimensionamento del database, installazione reporting server, etc

Fonte : Netwrix WebSite

Netwrix Guida di impostazione per SQL Server, Netwrix Database, Netwrix Sql Server, Guida Netwrix Sql Server, Sql Server per netwrix

1...3.3053.3063.307...3.414Page 3.306 of 3.414

Ultime dal Nostro BLog

Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.

Contact us: info@gensys.it

© Copyright 2022 - Serverbay.it - Eteon.it