De evolutie van de Active Directory

Wist je dat de Active Directory in het jaar 2019 20 jaar bestaat? De eerste contouren van Active Directory zijn in 1999 gepresenteerd tijdens de introductie van Windows 2000. In het jaartal 2019 kunnen we nog steeds niet zonder, sterker nog: we diepen de mogelijkheden steeds verder uit.

Wat is nu de Active Directory.

Eigenlijk is de Active Directory een samenvoeging van de functionaliteiten LDAP, Kerberos en DNS. Het protocol LDAP is ontwikkeld in 1975. De basis voor LDAP is X500, X500 zorgt ervoor dat we de hedendaagse Organizational Unit (OU) structuur kunnen gebruiken.

Onderhuids is Active Directory een database met een limitatie tot maximaal 16TB aan omvang en 2 miljoen objecten.

Windows 2003

In Windows Server 2003 is de Active Directory verder uitgediept en zijn er opnieuw functionaliteiten toegevoegd. Een belangrijke toevoeging was het vereenvoudigen van verschillende beheer werkzaamheden rondom Active Directory. Met de komst van Windows Server 2003 R2 is ook het beheer van Group Policies vereenvoudigd en sindsdien niet meer veranderd, los van diverse kleinere toevoegingen in functionaliteiten en mogelijkheden.

Windows Server 2008

In Windows server 2008 is Active Directory Federation Services toegevoegd. Hierdoor is het mogelijk geworden om een Single Sign-On ervaring aan te bieden. Een functionaliteit welke vandaag de dag bijna niet meer is weg te denken. Ook anno 2019 neemt het gebruik hiervan nog steeds toe.

Onderhuids werd ook de naam veranderd van Active Directory (AD) Active Directory Domain Services (ADDS), weliswaar een kleine nuance, wel een belangrijke - De kapstok waar Microsoft meerdere functionaliteiten kan aanhangen gerelateerd aan Active Directory

De inmiddels bekende Active Directory Prullenbak is toegevoegd aan Windows Server 2008 R2.

En verder

Na de naamswijziging (ADDS) is de Active Directory eigenlijk alleen nog maar belangrijker geworden.  Tegenwoordig hoef ik bijna niet meer uit te leggen wat de functie van de Active Directory is. De mogelijkheden zijn steeds uitgebreider. We verplaatsen dat maffe ding zelfs naar de Cloud.

Veiligheid

Bescherming van je Active Directory is van cruciaal belang. Het is de kern van je gehele bedrijfsnetwerk! Met een aantal eenvoudige en niet kostbare applicaties is het mogelijk om wachtwoorden te verkrijgen.
En dan zijn de gevolgen niet meer te overzien.

Tips:

  • Overweeg een Windows Server Core installatie van de domain controller.
    De stappen heb ik hier
  • Gebruik firewall regels, of externe firewalls om de domain controller te ontsluiten in je interne LAN.
  • Gebruik een managementserver (Ook wel bekend al, Steppingstone en/of Jumpserver) voor het beheer van de Active Directory.
  • Geef niet meer autorisaties uit dan nodig. Dat klinkt logisch maar ik zie nog bij te veel organisaties dat dit niet, of in ieder geval niet voldoende gebeurd.
    Bijvoorbeeld het niet scheiden van admin en “normale” medewerkers AD accounts.
    Zelfs bij grote organisaties kom ik dit nog teveel tegen.
  • Last but not least, gebruik een domain controller als een domain controller.
    Met andere woorden, voeg geen onnodige rollen toe of zelfs extra internet browsers.
    Dit maakt je omgeving alleen maar kwetsbaarder.

 

by Martijn Verheij

EXTRA Podcast: Infosecurity 2019

Uw razende CGIT-Reporters zijn weer op pad geweest, dit keer naar de Infosecurity beurs 2019!

De Infosecurity.nl, Data & Cloud Expo zoals de beurs officieel heet is één van de grootste vakbeurzen op ICT-gebied in Nederland waar de grote spelers samen komen om zich te presenteren met de focus op onder meer security.

De sfeer op de beurs is altijd uitgelaten en mede daardoor is het voor mij en Martijn elk jaar weer een klein feest terug te keren. Gewapend met de microfoon hebben we de nodige break-out sessies bijgewoond en sfeer geproefd op de beursvloer en aanwezige stands.

In deze aflevering komen aan het woord:

  • Bert Hubert – Founder PowerDNS en ‘Geeky Entrepeneur’
  • Michael van der Vaart - Chief Technology Officer ESET
  • Axel van Drongelen – General Manager Egress Software Technologies
  • Eddy Willems – Security Evangelist G DATA CyberDefense
  • Wim Hafkamp - Manager Advisory Services / Deputy Head NCSC

 

by Sander Bruijs

EXTRA sessie! Vijf (Cloud) platform alternatieven voor het aanbieden van je (virtuele) applicaties en desktops

Tijdens het aanstaande Come Get IT evenement op 28 november zal Bas van Kaam ons in hoog tempo bijpraten over de mogelijke, relatief onbekende (Cloud) alternatieven voor oplossingen als Citrix Virtual Apps en Desktops (voormalig XenApp en XenDesktop), VMware Horizon, etc. Lees snel verder…

Read more

by Bas van Kaam

Podcast aflevering 10 - Microsoft Teams

De 10e aflevering van onze podcast is alweer een feit.

Te gast is Maarten Eekels, Maarten is CTO van Portivia, een van de grootste implementatiepartners van SharePoint en Office365 in Nederland.

Maarten heeft zich verdiept in Office 365 en met name Microsoft Teams en praat ons bij over het inzetten van Microsoft Teams en de techniek erachter.

Deze aflevering hadden in we teams kunnen opnemen maar we hebben er toch voor gekozen om Maarten fysiek te bezoeken.

We hebben tijdens het maken van deze aflevering alweer een hoop bijgeleerd. Hopelijk jij ook na het beluisteren van deze aflevering.

 

by Martijn Verheij

LAPS maakt wachtwoordbeheer van lokale admin-accounts eenvoudig

In een ideale wereld hebben gebruikers en beheerders alleen de rechten en permissies die ze nodig hebben om hun werk uit te voeren. Helaas is dit niet het geval: er is ook een lokaal administrator-account, waar eigenlijk niet naar omgekeken wordt. Dit account heeft veel rechten/permissies, maar vaak geen uniek wachtwoord. Dat terwijl dit met LAPS van Microsoft snel op te lossen is.

Het lokale administrator-account is van groot belang. Wordt een server uit het domein gehaald, dan is het mogelijk om via dit account er weer in te komen. Het lokale administrator-account heeft mede om die reden ontzettend veel rechten en permissies.

Het is dan ook zorgwekkend dat het beheer van dit type account nog te wensen overlaat. Juist met het oog op server hardening, waar mijn collega Sander Bruijs onlangs over schreef, is het belangrijk dat anderen niet zomaar bij dit account kunnen komen.

Dat begint met een complex, uniek wachtwoord voor het account, dat regelmatig gewijzigd wordt. Maar als servers vanuit een template of via een geautomatiseerde methode worden uitgerold, is de kans groot dat ze allemaal hetzelfde wachtwoord gebruiken. Ontdekt een kwaadwillende dan het wachtwoord van één server, dan heeft hij ze voor allemaal, bijvoorbeeld ook die voor het systeem waar alle belangrijke bedrijfsdocumenten opstaan.


Bescherm jezelf met LAPS

De oplossing is dus eenvoudig: geef iedere server zijn eigen, complexe wachtwoord. Dit zorgt echter voor administratie waar de gemiddelde beheerder niet op zit te wachten. Laat staan het periodiek wijzigen van dit wachtwoord. Het is dan ook niet verrassend dat ik in passwordmanagers vaak een enkel wachtwoord voor de lokale administrator-accounts zie.

Microsoft zag dit probleem ook, en ontwikkelde een tool om het op te lossen. Met de zogenaamde Local Administrator Password Solution (LAPS) is het mogelijk om de wachtwoorden van de lokale administrators volledig geautomatiseerd en regulier te wijzigen.

LAPS maakt daarvoor gebruik van de Active Directory. Beheerders kunnen in een Active Directory Group Policy aangeven met welke frequentie een wachtwoord gewijzigd moet worden en andere eisen invoeren. LAPS wijzigt het wachtwoord vervolgens volgens die regels automatisch naar een unieke, gegenereerde variant. Het wachtwoord wordt daarna binnen Active Directory opgeslagen.

Om rekening mee te houden

LAPS vereist geen extra server(rol), omdat het een uitbreiding is op Active Directory. Daarentegen moeten alle servers wel een Group Policy Extension bevatten. Daarna is het mogelijk om de wachtwoorden centraal te beheren via een Group Policy Object (GPO).

Daarnaast kan het zo zijn dat er een back-up van een VM teruggezet moet worden, die waarschijnlijk een ouder wachtwoord heeft. Als dat wachtwoord niet ergens is weggeschreven, is het ook niet meer te achterhalen.

Het is mogelijk om LAPS-wachtwoorden automatisch op te laten slaan op een aparte plek voor dit scenario, maar daar moet dan wel een apart script voor worden geschreven.

Server hardening kan makkelijk zijn

LAPS maakt duidelijk dat bepaalde delen van server hardening behoorlijk eenvoudig kunnen zijn.  Bovendien is er nu geen excuus meer om het beheer van het lokale administrator-wachtwoord niet goed te regelen.

 

by Jorgen de Gier

Homefolder Profielen naar OneDrive

De moderne (digitale) werkplek is hot, er wordt veel over gesproken, geschreven en gediscussieerd. Waar bestaat zo’n “werkplek” eigenlijk uit, welke toegevoegde en functionele waarde heeft het voor je gebruikers, hoe pak je een implementatie aan en meer.

OneDrive, bekend bij de meeste van jullie, maakt in veel gevallen een (belangrijk) onderdeel uit van deze nieuwe digitale werkplek. In dit artikel wil ik je helpen hoe je gebruiker profielen & homefolders kunt migreren naar OneDrive.

Online zijn een diverse artikelen te vinden over hoe je kunt migreren naar OneDrive, echter is deze informatie erg gefragmenteerd. Over het algemeen wordt er gebruik gemaakt van 3rd party tooling om migraties (naar OneDrive en andere  online opslagdiensten) te automatiseren door middel van scripting. De tool waar we vandaag gebruik van gaan maken heet “ShareGate”

Onderstaand neem ik de de migratiestappen puntsgewijs met je door. Voor het gemak ga ik er van uit dat je ShareGate als hebt geïnstalleerd en geconfigureerd.

  1. Inventariseren is belangrijk. Wil je folders uitsluiten? Vanuit welke bronnen migreer je, zijn het er meerdere – profielen en homefolders bijvoorbeeld. Maak een duidelijk overzicht zodat je goed in beeld hebt waar welke data te vinden is, om hoeveel data het gaat (in GB’s) en waar het heen gemigreerd moet worden.
  2. Voor je kunt migreren moeten er een licenties zijn toegewezen aan je gebruikers. Het is niet zoals met Office365 Exchange Online dat je al kunt beginnen met synchroniseren en dan later de licenties kunt toewijzen.
  3. Als je een licentie hebt toegewezen aan een gebruiker wordt de OneDrive niet automatisch aangemaakt zoals in Exchange Online. De gebruiker dient eerst in te loggen om de OneDrive aan te maken, het zogenaamde “provisionen”. Dit gebeurt geautomatiseerd op de achtergrond. Dit kun je uiteraard ook in bulk doen gebruikmakend van Powershell. Gebruik hiervoor het volgende Script:

Import-Module "Microsoft.Online.Sharepoint.PowerShell" -Force
$credential = Get-credential
Connect-SPOService -url https://tenantnaam-admin.sharepoint.com -Credential $credential
$InputFilePath = "C:\Temp\OneDrivePreProvision.csv"
$CsvFile = Import-Csv $InputFilePath
ForEach ($line in $CsvFile)
{
Request-SPOPersonalSite -UserEmails $line.User -NoWait
Write-Host Personal site provisioned for $line.User -ForegroundColor Yellow
}

*Format CSV:

User
user1@domain.com
user2@domain.com

*Dit script roept een zogenaamd pre-provisioning request aan. Het request wordt in een queue geplaatst. Het is dus niet zo dat het uitvoeren van dit script voldoende is. Nadat het script zijn werk heeft gedaan wordt het pre-provisioning request daadwerkelijk uitgevoerd. Afhankelijk van het aantal gebruikers kan hier dat enige tijd in beslag nemen.

  1. Je hebt schrijfrechten nodig op alle OneDrive folders binnen de tenant om de data te kunnen migreren. *Tip – Maak hier een generiek account voor aan zodat gebruikers geen argwaan krijgen als ze zien dat er “iemand” rechten heeft op hun OneDrive (zelf heb ik hier niemand over gehoord gedurende een migratie van 1000+ gebruikers maar je weet het nooit.)

Via een rapportagefunctie binnen ShareGate kun je alle OneDrive folders binnen je tenant opvragen en rechten toekennen. Het is wel belangrijk om eerst stap 2 en 3 af te ronden anders werkt dit niet.

  1. Gebruik een CSV om de homefolder/profile locatie en de OneDrive URL in het script te krijgen, mede om ervoor te zorgen dat alles op de juiste locatie terecht komt. Bijvoorbeeld:

DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/
Y:\USERNAME\HOMEFOLDER;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/

Een aantal tips om je CSV samen te stellen, gebruik deze PowerShell functie om eenvoudig je homefolders/profiles te inventariseren en in een CSV te krijgen:

Function Get-ChildItemToDepth {

                               Param(

                                               [String]$Path = $PWD,

                                              [String]$Filter = "*",

                                              [Byte]$ToDepth = 255,

                                              [Byte]$CurrentDepth = 0,

                                              [Switch]$DebugMode

                                               )

 

                               $CurrentDepth++

                                               If ($DebugMode) {

                              $DebugPreference = "Continue"

                                }

 

                               Get-ChildItem $Path | %{

                               $_ | ?{ $_.Name -Like $Filter }

 

                              If ($_.PsIsContainer) {

                              If ($CurrentDepth -le $ToDepth) {

 

                              # Callback to this function

Get-ChildItemToDepth -Path $_.FullName -Filter $Filter ` -ToDepth $ToDepth -CurrentDepth $CurrentDepth

                              }

                              Else {

                                              Write-Debug $("Skipping GCI for Folder: $($_.FullName) " + `

                                             "(Why: Current depth $CurrentDepth vs limit depth $ToDepth)")

                              }

                               }

               }

}

 

Export alle UPN’s naar een Excel bestand en voer vervolgens eerst het volgende uit:

Voorbeeld user: username@domein.nl

Vervang @domein.nl door _domein_nl/ zodat je het format username_domein_nl/ voor iedere gebruiker krijgt.

*Het voorbeeld gebruikt een .nl domein, dit kan natuurlijk ook .com of iets anders zijn.

Voeg daarna ‘https://tenant-my.sharepoint.com/personal/’ toe voor ‘username_domein_nl/    zodat je https://tenant-my.sharepoint.com/personal/username_domein_nl/ krijgt.

Voeg daarna de Excel files samen zodat je dit format hebt:

DIRECTORY;ONEDRIVEURL
Y:\USERNAME\PROFILE;https://tenant-my.sharepoint.com/personal/USERNAME_tenant_nl/

  1. Als laatste stap voer je het script uit zodat alles daadwerkelijk wordt geüpload naar OneDrive.
##### ############
#Import ShareGate module
Import-Module Sharegate
#Exclude source folders
$ExcludeFolders = "examplefolder","examplefolder"
#Set CopySettings Incremental
$copysettings = New-CopySettings -OnContentItemExists IncrementalUpdate
#Example CSV file with columns titled DIRECTORY and ONEDRIVEURL:
$csvFile = "C:\temp\example.csv"
#load the CSV file into a table
$table = Import-Csv $csvFile -Delimiter ";"
#Get credentials
$cred = Get-Credential
#Cycle through each row
foreach ($row in $table)
{
#connect to the destination OneDrive URL
$dstSite = Connect-Site -Url $row.ONEDRIVEURL -UserName $cred.UserName -Password $cred.Password
#select destination document library, named Documents by default in OneDrive, this is different for each language, double check this.
$dstList = Get-List -Name Documenten -Site $dstSite
#Get list for profile folder and exclude folders
foreach ($SourceFolder in $row.DIRECTORY)
    {
    $folders = Get-ChildItem -Path $SourceFolder -Exclude $ExcludeFolders
    }
#Import folders
 foreach ($folder in $folders)
 {
 $uriFolder = [System.Uri]$folder.FullName
 Import-Document -SourceFilePath $uriFolder -DestinationList $dstList -InsaneMode -CopySettings $copysettings
 Write-Host Uploaded Files for $row.Directory -ForegroundColor Yellow
 }
 }

by Niels Kok

Bye Bye Skype for Business Online, Hello Microsoft Teams!

De kogel is door de kerk; Microsoft neemt per 31 juli 2021 afscheid van Skype for Business Online (SfB). Daarmee is de stap om Microsoft Teams te positioneren als de belangrijkste communicatieapplicatie binnen het Office 365-landschap een feit. De samenvoeging van de Skype for Business Online-componenten in Microsoft Teams heeft ervoor gezorgd dat de mogelijkheden van de aparte Skype for Business Online-applicatie straks achterhaald zijn.

Het was sinds augustus 2018 al niet meer mogelijk om het “standalone” P1-abonnement van Skype for Business Online af te nemen.  Sinds 1 juli jongstleden is ook de P2-variant van het abonnement niet langer beschikbaar.  Vanaf 1 september 2019 kunnen gebruikers bovendien niet langer geactiveerd worden in Skype for Business Online, maar gebeurt dit standaard in Microsoft Teams. De optie om gebruikers aan SfB toe te voegen is voor nieuwe Office 365-omgevingen ook niet meer mogelijk. Bestaande Office 365-omgevingen waar Skype for Business Online gebruikt wordt, behouden de optie nog wel.

Roadmap

Er staan nog wel een aantal veranderingen in de roadmap om ervoor te zorgen dat Microsoft Teams alle functionaliteiten kan bieden die gebruikers nu gewend zijn van Skype for Business Online.

Gebruikers klagen tot nu toe namelijk veel dat er nog mogelijkheden in Microsoft Teams ontbreken, die wel in Skype for Business aanwezig zijn. Denk hierbij aan de mogelijkheden om te chatten met contacten die gebruik maken van de consumentenversie van Skype en de beschikbaarheidsindicator binnen de andere diensten en producten, zoals Outlook en SharePoint, die nu nog gevoed wordt vanuit Skype.

Aanpassingen

Bedrijven moeten op het gebied van telefonie wijzigingen doorvoeren op de eventuele lokale hardware - mocht hier gebruik van worden gemaakt - om mee te kunnen met de overstap naar Microsoft Teams.

Dit kan betekenen dat er wijzigingen nodig zijn in de “Session Border Controller” en eventueel in de firewall, als er gebruik gemaakt wordt van IP range-uitsluitingen. Zoals het er nu uitziet, wordt bij het overschakelen van Skype for Business Online naar Microsoft Teams op de backend van Microsoft alle parameters automatisch aangepast. Toch is een gedegen migratieplan en een OTAP-omgeving waar je de mogelijkheden in kunt testen, onmisbaar voor een verandering als deze.

De On-Premises Skype for Business server wordt vooralsnog nog niet afgeschreven maar je kunt er vanuit gaan dat ook hier (zeer) binnenkort het een en ander staat te gebeuren.

Uitdaging

Naast de technische veranderingen die dit met zich mee brengt, staat je organisatie wellicht ook voor een uitdaging op het gebied van adoptie om Microsoft Teams intern in te zetten. Hoe pak je dit het beste aan en welke middelen kun je hiervoor gebruiken? Microsoft Teams bevat namelijk veel meer mogelijkheden en dit kan zowel voor als tegen je werken.

Mocht je interesse hebben om meer te leren over Microsoft Teams, laat het weten via onze website en socials!

 

 

by Sander Bruijs

Podcast aflevering 8 - Gaming en IT

Welke cloud diensten zijn de bedrijven Google en Microsoft aan het bouwen die gaan meeliften op de grootste entertainment industrie vandaag de dag?

We hebben het hier niet over films maar over gaming. Sander en Xander hebben zich verdiept in de diensten Stadia en Project xCloud en op welke technologieën deze diensten zijn gebaseerd. Is dit nou helemaal nieuw of kennen we de concepten al een tijdje uit de zakelijke wereld?

Luister mee en ontdek de link tussen IT en Gaming.

 

 

by Sander Bruijs

EXTRA Podcast: Microsoft Experts Live 2019

Op donderdag 6 juni stond Microsoft Experts Live 2019 op het programma.
Dit interessante community evenement hebben Sander en Martijn bezocht en uiteraard was de podcast microfoon mee.

We hebben gezamenlijk een aantal zeer interessante sessies gezien en aansluitend hebben we de kans gekregen om deze mensen een aantal (kritische) vragen te stellen.

Experts Live is een internationaal Microsoft community platform waarbij kennis delen centraal staat.

Elk jaar organiseert Experts Live Netherlands een grootschalig eendaags event waar meer dan 1200+ IT Pro’s en Developers kennis op gaan doen van Microsoft technologie. Nationale en internationale community experts praten bezoekers in één dag volledig bij over laatste Microsoft technologieën.

Luister naar deze leerzame en 2e extra podcast!

by Martijn Verheij

EXTRA Podcast: Come Get IT Event 28 Maart

Op donderdag 4 juli vind het tweede Come Get IT Event plaats, ben je nog niet aangemeld dan kan dit nog via onze aanmeldingspagina.

Voorafgaand aan dit evenement kijken we terug naar ons eerste kennisevenement op 28 maart van dit jaar waarbij het CGIT-podcast team uiteraard ook present was.
Het leidende onderwerp van die avond was de "Cloud-gebaseerde werkplek" en in deze extra aflevering komen de sprekers van de avond aan bod, allen met een eigen visie op dit onderwerp.

Sprekers van die avond waren;

Ben je aanwezig geweest bij het evenement dan willen we je nogmaals bedanken voor je komst maar misschien kon je er die avond niet bij zijn en kunnen we op deze manier nog een indruk geven van de avond via deze extra Come Get IT Podcast aflevering.

Uiteraard zijn Sander en ik op 4 juli weer aanwezig met onze microfoons op het volgende Come Get IT kennisevenement!

by Martijn Verheij