Kategorie: Microsoft

Passwortrücksetzung unter Windows 11

Es muss nicht immer ein kostenpflichtiges Tool dafür gekauft werden.

In der Regel hat jeder die Möglichkeit mit Windowsboardmitteln dies zu bewerkstelligen.

Hier ist eine Anleitung zur Passwortzurücksetzung unter Windows 11 inklusive der Schritte, wie man das Windows 11 ISO herunterladen und auf einen USB-Stick oder eine DVD brennen kann:

Schritte zur Passwortzurücksetzung unter Windows 11

1. Windows 11 ISO-Datei herunterladen

Um ein bootfähiges Installationsmedium für Windows 11 zu erstellen, muss man zuerst die ISO-Datei von der offiziellen Microsoft-Website herunterladen.

  1. Zur offiziellen Microsoft-Website gehen:
  2. Windows 11 Installation Media Tool nutzen:
    • Dort gibt es den Abschnitt Windows 11 Installationsmedien erstellen.
    • Auf Tool jetzt herunterladen klicken und das Programm MediaCreationTool starten, sobald es heruntergeladen wurde.
  3. ISO-Datei auswählen:
    • Den Anweisungen im Tool folgen, die Sprache, Edition und Architektur (64-Bit) wählen.
    • Dann die Option ISO-Datei wählen, um die Installationsdatei auf dem PC zu speichern.

2. ISO-Datei auf USB-Stick oder DVD brennen

USB-Stick erstellen:

Um die ISO-Datei auf einen USB-Stick zu übertragen, braucht man einen USB-Stick mit mindestens 8 GB Speicherplatz. Am besten nutzt man dafür das Media Creation Tool oder ein Programm wie Rufus.

  1. Rufus nutzen (empfohlen):
    • Zuerst Rufus von rufus.ie herunterladen.
    • Den USB-Stick an den PC anschließen.
  2. ISO-Datei auf den USB-Stick übertragen:
    • Rufus öffnen und den USB-Stick auswählen.
    • Neben „Boot-Auswahl“ auf Auswahl klicken und die heruntergeladene ISO-Datei auswählen.
    • Danach auf Start klicken, um den bootfähigen USB-Stick zu erstellen.
DVD erstellen:

Wer lieber eine DVD brennen möchte, braucht einen DVD-Brenner und eine leere DVD.

  1. Windows-eigene Brennfunktion verwenden:
    • Eine leere DVD ins DVD-Laufwerk einlegen.
    • Mit der rechten Maustaste auf die heruntergeladene ISO-Datei klicken.
    • Dann Datenträgerabbild brennen wählen.
    • Das DVD-Laufwerk auswählen und auf Brennen klicken.

3. PC mit Installationsmedium starten

Nach dem Erstellen des USB-Sticks oder der DVD kann man den PC von diesem Medium starten:

  1. Den PC ausschalten und den USB-Stick oder die DVD einlegen.
  2. Den PC einschalten und ins Boot-Menü gehen (oft durch Drücken von F2, F12, ESC oder DEL beim Start).
  3. Im Boot-Menü den USB-Stick oder die DVD als Boot-Medium auswählen.

4. Windows-Installationsprozess starten

  • Jetzt den Windows-Installationsprozess starten und im ersten Schritt einfach auf Weiter klicken.
  • Dann NICHT auf „Installieren“ klicken, sondern unten links auf Computerreparatur.
  • Weiter zu Problembehandlung -> Eingabeaufforderung.

5. Laufwerk mit Windows finden

  • In der Eingabeaufforderung den Befehl diskpart eingeben und Enter drücken.
  • Mit dem Befehl list volume alle Partitionen anzeigen lassen und nachsehen, auf welchem Laufwerk Windows installiert ist (meistens das größte Volume, oft Laufwerk D:).
  • Diskpart mit dem Befehl exit verlassen.

6. Dateien verschieben und kopieren

  • Nun folgende Befehle ausführen, um den Dateinamen des Bildschirmtastaturprogramms (ultman.exe) durch die Eingabeaufforderung zu ersetzen:

    bash

    move d:\windows\system32\ultman.exe d:\
    copy d:\windows\system32\cmd.exe d:\windows\system32\ultman.exe

    (Achtung: Wenn Windows auf einem anderen Laufwerk liegt, muss „d:“ entsprechend angepasst werden.)

7. PC neu starten

  • Den Befehl wpeutil reboot eingeben, um den Computer neu zu starten.
  • Darauf achten, dass der PC jetzt normal von der Festplatte und nicht vom Installationsmedium startet.

8. Eingabeaufforderung am Anmeldeschirm öffnen

  • Am Anmeldebildschirm einfach auf das mittlere Icon unten rechts (sieht aus wie eine Uhr) klicken.
  • Statt der Bildschirmtastatur öffnet sich jetzt die Eingabeaufforderung.

9. Passwort zurücksetzen

  • Den folgenden Befehl eingeben, um das Administrator-Passwort zurückzusetzen:

    bash

    net user "Administrator" neuespasswort

    (Anstelle von „neuespasswort“ das gewünschte neue Passwort eingeben.)

  • Sollte ein anderer Benutzername angezeigt werden, kann auch dessen Passwort zurückgesetzt werden:

    bash

    net user "Benutzername" neuespasswort

    (Den richtigen Benutzernamen anstelle von „Benutzername“ einsetzen.)

  • Sobald die Meldung erscheint, dass der Befehl erfolgreich war, einfach exit eingeben, um die Eingabeaufforderung zu schließen.

10. Anmeldung

  • Jetzt mit dem neuen Passwort anmelden.

11. Änderungen rückgängig machen

Nach der erfolgreichen Passwortzurücksetzung sollte die ursprüngliche ultman.exe wieder an ihren Platz verschoben werden:

  1. Den PC wieder mit dem Installationsmedium starten und erneut die Eingabeaufforderung öffnen.
  2. Den folgenden Befehl eingeben, um die Originaldatei zurückzuholen:

    bash

    copy d:\ultman.exe d:\windows\system32\ultman.exe
  3. Den PC dann normal neu starten.

Hinweise:

  • Während der Erstellung des USB-Sticks oder der DVD wird der Inhalt gelöscht, also vorher Daten sichern.
  • Es ist wichtig, den richtigen Laufwerksbuchstaben zu verwenden. Während der Wiederherstellung ist Windows oft auf D:, kann aber je nach System anders sein.

 

Verbindungsversuch / Kontaktaufnahme Excel und Outlook O365

Das Problem

Beim Speichern von Dokumenten in Excel oder Outlook O365 kommt nahezu permanent die lästige Meldung, dass ein Verbindungsaufbau stattfindet, solange man sein Homeverzeichnis / Eigene Dateien in einem Netzwerk-Share umgeleitet hat.

Die Lösung

Seitens Microsoft gibt es derzeit (10/2022) noch keinen Fix. Allerdings gibt es zwei mögliche Workarounds, die wirksam sind.

  1. Aus meiner Sicht der Bessere
    Office 365 Downgraden / Rollbackup auf die Version vom Juli 2022
"C:\Program Files\Common Files\Microsoft Shared\ClickToRun\officec2rclient.exe" /update user updatetoversion=16.0.15225.20288

Um später auch wieder auf den Aktuellen Kanal zu kommen oder um manuell die Update durchzuführen (Autoupdate muss dann im Tenanat deaktiviert werden) hier der Link zu den Versionen vom O365

https://learn.microsoft.com/en-gb/officeupdates/update-history-microsoft365-apps-by-date

  1. Funktioniert auch, aber kann andere Nebeneffekte hervorrufen
    Deaktivieren des Dienstes „WebClient“

Als zentrale Lösung wohl sinnvoller über GPO zu steuern.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading... 156 views

Windows Wiederherstellungspartition löschen

Manchmal geht es nicht anders und die Wiederherstellungspartition muss gelöscht werden.

Ich hatte ein Problem mit einem virtuellen Windows, wo mir der Speicher ausgegangen ist. Am Hyper-V-Host ist die Festplatte schnell vergrößert / erweitert, aber unter Windows lies sich die Systempartition nicht erweitern, weil direkt hinter diese eine Wiederherstellungspartition (vermutlich durch Upgrade von Win10 auf Win11) lag.

Die Wiederherstellungspartition kann durchaus gelöscht werden. Bei Problemen mit Starten von Windows benötigt man dann eine Windows-Start-CD und gut ist.

  • Man Startet die Datenträgerverwaltung und schaut auf welcher Partition bzw. Datenträger die zu löschende Partition liegt. In der Regel handelt es sich um den „Datenträger 0“.
  • Über die Commandbox startet man den Befehl diskpart
select disk 0 (Wenn es auf Datenträger 0 liegt)
list partition (zeigt alle Partitionen vom ausgewählten Datenträger)
select partition 1 (muss der zu löschenden Partition entsprechen!!)
delete partition override (Kein Rückgängig machen möglich)

Danach konnte ich über die Datenträgerverwaltung die Systempartition vergrößern und alles lief ohne Probleme weiter.

nslookup

Mit nslookup lassen sich DNS-Einträge und Ziele von Namensauflösungen anzeigen.

Unter Windows öffnet man dazu die Commandbox (CMD.exe) gibt nur den Befehl nslooup gefolgt mit Taste ENTER.

Wenn jetzt eine Domain wie help.mod2509.de eingegeben wird, sieht man die IP-Adresse des eigentlichen Ziels.

Wer auf Nummer sicher gehen möchte, dass seine DNS-Änderungen im WWW angekommen sind, der setzt zum Abfragen einen public DNS-Server wie Google ein.

Hierfür lautet der Befehl: server 8.8.8.8

Fragt man nun erneut help.mod209.de ab, so kommt die Antwort direkt vom Google-DNS-Server und nicht dem eigenen lokalen.

Mit dem Befehl „set q=any“ erhöht man die Infos, welche bei Abfragen zurück gegeben werden soll.

S/MIME-Zertifikate zur sicheren E-Mail-Kommunikation

Damit man sicher E-Mail austauschen kann, sollten die Gesprächspartner über S/MIME-Zertifikate verfügen.

Hierüber können Mails mit einem Stempel/Signum versehen werden und bescheinigen einen vertrauenswürdigeren Eindruck, da der Stempel/ Signum bescheinigt, dass die E-Mail auch tatsächlich von der E-Mail-Adresse (Class1) oder der echten Person mit seiner E-Mail-Adresse (Class2) stammt. E-Mails mit Signum können an jede andere Person/ E-Mail-Adresse versendet werden.

Zudem kann man aber auch untereinander verschlüsselte E-Mails schicken. Hierbei wird der E-Mail-Text (Body) und deren Anlagen verschlüsselt und kann nur vom Gesprächspartner geöffnet/ gelesen werden. Zu beachten ist jedoch, dass der Betreff einer E-Mail NIE verschlüsselt wird.

Dies grob zur Verwendung von E-Mail-Zertifikaten. Nun kommt es zum spezifischen …

Egal ob mit eigener CA und über Drittanbieter (z.B. Certum), unter Office 365 lassen sich die .pfx-Zertifikate nicht gleichermassen nutzen.

In Microsoft Office Outlook als Desktop-App ist das Einrichten und Verwenden von S/Mime-Zertifikaten recht schnell und einfach umgesetzt.
Auch das Einrichten auf mobilen Geräten (z.B. iPad/ iPhone) gestaltet sich einfach, solange man dort nur die Apple-Mail-App verwendet.

Möchte ich jedoch die Microsoft Outlook App für iOS oder Android nutzen und soll dort ein S/Mime-Zertifikat zum Einsatz kommen, fangen die Probleme an!!

Wie sehen die Probleme aus?

Zum einem reicht das Installieren eines Zertifikates über die Profile von Apple nicht aus. So installierte Zertifikate werden in der Outlook iOS-App nicht gefunden.

Desweiteren unterscheidet Outlook iOS zwischen Business- und privaten Mail-Accounts. Wer sich bei Microsoft eine *@outlook.com-Adresse privat zulegt, der kommt innerhalb der Outlook iOS-App nie in das Vergnügen ein Zertifikat sich einrichten zu können. Die Installation selbst funktioniert, aber für das Aktivieren fehlt der Menüpunkt „Sicherheit“ unter den Mailkonten-Einstellungen.

Anders bei geschäftlichen Account. Dort steht der Menüpunkt „Sicherheit“ zur Verfügung und man kann beginnen sich das Zertifikat zu Installieren/ Einzurichten.

Zum Installieren in Outlook für iOS muss man sich am besten das .pfx-Zertifikat selbst per Mail an sich selbst senden. Erst jetzt kann man es durch Öffnen der Datei so installieren, dass es in Outlook für iOS zu sehen und einzurichten geht.

Über den Menüpunkt „Sicherheit“ aktiviert man die generelle Funktion S/MIME. Danach sieht man unter Zertifikate alle Zertifikate, welche zu seiner E-Mail-Adresse installiert worden sind. Hier findet demnach ein Abgleich statt, so dass man kein Zertifikat für eine andere ausgestellte E-Mail-Adresse aktivieren kann.

Leider kam nun die nächste böse Überraschung! Das aktivieren von Signieren und Verschlüsseln war nicht möglich, weil im Zertifikat bei Überprüfung „nicht vertrauenswürdig“ stand?

Laut Microsoft und Telekom-Support ist mal wohl gezwungen sich eine Office 365-Liznez zu erwerben, in der Intune mit enthalten ist 🙁
Aus meiner Sicht ist dies aber eine FEHLINFORMATION, weil es mit einem kleinen Zusatzschritt doch möglich wird.

Outlook für iOS prüft das S/Mime-Zertifikat mit seinem in O365 hinterlegten Stamm-Zertifikaten. Passen diese nicht zusammen, so wird IMMER innerhalb der App die Validierung des S/Mime-Zertifikates schiefgehen.

Was muss man also machen?

Man benötigt eine .SST-Datei, in der das Root- & die Zwischenzertifizierungsstellen eingebunden sind. Diese .SST muss dann nur noch nach O365 importiert werden. Den Usern schiebt man noch schnell das öffentliche Zertifikat im O365 unter und fügt bei AD-Connect-Nutzung auch das öffentliche Zertifikat (.cer) über den lokalen Domain-Controller das Zertifikat hinzu. Und dann wird am Client das Zertifikat als gültig angezeigt und kann für das Signieren und Verschlüsseln verwendet werden.

    1. Root- & Intermediante-Zertifikate als .SST-File nach O365 exportieren

Eigene Windows-CA

Hier exportiert man aus dem Zertmanager die erforderlichen Root- und Zwischenzertifikate als .SST

Fremde CA

Hat man Zertifikate von Drittdienstleistern wie Certum, dann schaut man in einem bereits erstellen S/Mime-Zertifikat und analysiert hier die Zischen- und das Root-Zertifikat.

Im Normalfall findet man diese bereits auf jedem Win10/11-PC im Zertifikatsspeicher unter Zwischenzertifikate oder Stammzertifikate. Die gesamte Kette der Zertifikate wird selektiert und als .SST exportiert.

Wenn die Zertifikate nicht im Zertspeicher sind, dann werden die darüber ausgestellten (S/Mime)-Zertifikate bei Nutzung oft nicht als vertrauenswürdig angesehen.

Es hilft hier diese Zertifikate manuell zu importieren/ installieren und dann als .SST zu exportieren.

Unterschiedliche CA’s

Im Prinzip kann man jedes Austellerzertifikat als .SST exportieren. Hat man eine Mischung aus mehreren Anbietern, dann markiert man alle benötigten Stammzertifikate und exportiert diese als Bundle in eine .SST.

Certum

[Root]

Certum Trusted Network CA

S/N 0444c0

22.10.2008 – 31.12.2029

[Zwischenhändler]

Austeller: Certum Trusted Network CA

Certum Digital Identification CA SHA2

S/N 66daef03db8461916b25ba83fb174e13

21.04.2015 – 09.06.2027

[User]

Austeller: Certum Digital Identification CA SHA2

[UserMail-Adresse] (S/Mime-Class2)

S/N 5732e6eaaf1468660cc0d3bd04e29b05

01.02.2022 – 24.01.2025

Import .SST in O365

Mit Exchange verbinden (Powershell)

$sst = Get-Content -path „c:\temp\firmenca.sst“ -Encoding Byte

Set-SmimeConfig -SMIMECertificateIssuingCA $sst

 

    1. Im AD die öffentlichen Zertifikate hinterlegen

Da wir AD-Connect nutzen, sollte bei jedem User das öffentliche Zertifikat (.cer) hinterlegt werden.

Im Attribut-Editor sollte dann auch unter userCertificate ein Eintrag pro hinterlegten Zertifikat stehen.

    1. In O365 die öffentlichen Zertifikate dem User hinterlegen

Mit Exchange verbinden (Powershell)

$cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(„D:\_tmp\cert.cer“)

$certArray = New-Object System.Collections.ArrayList

$certArray.Insert(0,$cert.GetRawCertData())

Set-Mailbox -Identity <Mail-Adresse des Users> -UserCertificate $certArray -UserSMimeCertificate $certArray

 

Windows Defender öffnet sich nicht

Windows Defender reparieren:

Den Windows Defender sollte man reparieren, wenn man beim Öffnen der Viren- & Bedrohungsschutz APP von Windows eine der folgenden Meldung erhält:

  • Sie benötigen eine neue App zum Öffnen dieses windowsdefender-Links.“ (deutsche Windows Version)
  • You’ll need a new app to open this windowsdefender“ (englishe Windows Version)

Sie benötigen eine neue App zum Öffnen dieses windowsdefender-Links.

Beachtet dabei insbesondere folgendes:
Der Hinweis in der Meldung zur Suche im Windows App-Store macht überhaupt keinen Sinn, da im Windows App-Store überhaupt kein Windows Defender zu finden ist.
Auch ist der Windows Defender ein fester Bestandteil von Windows der immer mit installiert wird – man kann ihn daher nicht nachinstallieren.
Den Windows Defender kann man normalerweise auch nicht einfach so deaktivieren oder löschen. Nur bei einer Installation eines anderen Virenscanners (von einem anderen Hersteller) wird der Windows Defender deaktiviert (entsprechend ersetzt).
Sonst im normalen Standardbetrieb sollte der Windows Defender immer aktiv sein.

Man kann den Windows-Defender mit folgendem Befehl in der Windows PowerShell reparieren:
Add-AppxPackage -Register -DisableDevelopmentMode „C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml“

Fügen Sie diese Zeile wie hier gezeigt in einer Windows PowerShell aus:
Add-AppxPackage -Register -DisableDevelopmentMode "C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\AppXManifest.xml"

Ergänzende Hinweise:
Der Aufruf ohne Administratorrechte reichte bei mir aus. Je nach Umgebung können ggf. Administratorrechte notwendig sein.
Bei einem weiteren PC musste ich den Befehl 2-mal eingeben bis es wirkte (vielleicht hatte ich mich auch vertippt).
Daher der Tipp: Kopiert die Zeile oben am besten mit Copy & Paste um Tippfehler zu vermeiden.
Der PC muss nicht neu gestartet werden. Der Windows Defender ließ sich nach der Reparatur direkt wieder starten. Man sollte trotzdem kurz prüfen, ob der Windows Defender Virenscanner auch nach einem Neustart noch korrekt funktioniert.
Der Fehler trat bei mir auf, als ich gezwungen war das Benutzer-Profil auf dem PC (welches dennoch als servergespeichertes Profil galt) löschen musste. Bei mir hängte sich das Druckmenü im Edge auf.

ioBroker unter Windows Server 2019 as Docker

Docker in Windows Server 2019

Auf dem Windows Server 2019 habe ich bestimmte Features zu Linux etc. bereits installiert gehabt.

Nun installierte ich das Docker für Windows von Install Docker Desktop on Windows | Docker Documentation

Danach lief der Docker, aber bestimmte Sachen schienen nicht zu funktionieren. Auch das installieren eine Images von ioBrocker für Docker klappte nicht. Nach etwas Googlen bekam ich die Info, dass man den Deamon umswitchen muss. Das habe ich über CMD-Command erledigen können:

"C:\Program Files\Docker\Docker\DockerCli.exe" -SwitchDaemon

Das nächste Problem ließ nicht länger auf sich warten …

Hier half es in den Docker-Settings in der Docker Engine den Experimental-Mode zu aktivieren:

{
"experimental": true
}

Docker wurde neu gestartet und der Pull-Befehl konnte nun erfolgreich ablaufen:

 

Randnotizen (für mich)

https://docs.microsoft.com/de-de/virtualization/windowscontainers/quick-start/set-up-environment?tabs=Windows-Server

https://docs.microsoft.com/de-de/virtualization/windowscontainers/manage-containers/container-base-images

PowerShell-Command: docker pull mcr.microsoft.com/windows/iotcore:1809

ca. 310MB werden heruntergeladen und als Basisimage für den Container herangezogen

 

Domain-User und Domain-Gruppen exportieren/ importieren

Domainmigration

Ich hatte die ehrenvolle Aufgabe eine seit 20 Jahren existierende Domain, die in der Vergangenheit mehrfache Migrationen und Upgrades mitmachte, im Parallelbetrieb komplett neu aufzubauen. Es war beabsichtigt, alles neu zu machen, da nur so alte Einträge wie von einem damals betriebenen Exchange/ Sharepoint-Server nicht übernommen werden.

Zum Glück war alles an einem Standort und zum Glück war auch der File-Server virtualisiert, aber dazu später mehr …

Es erfolgen vorerst nur Stichpunkte meiner Herangehensweise, ich werde hier bei Gelegenheit das Ganze mit ausführlicheren Texten und visuellen Bilder aufhübschen 😉

Generell sei gesagt, dass man eine solche Umstellung nicht übers Knie Brechen sollte. Es ist selten möglich alles von einer Sekunde zur anderen umzustellen ohne das Probleme auf einen zukommen.

Meine gestecktes Ziel war es, dass die Umstellung mit sowenig Störungen wie Möglich umgesetzt wird. Hierbei muss man neben dem Alltagsgeschäft der Mitarbeiter auch die diversen Dienste/ Taskplaner einbeziehen, die über die Jahre angelegt wurden.

Es empfiehlt sich auch Zwischenschritte und Pausen einzubauen, damit man bei aufkommenden Problemen noch eine Vorstellung hat, woran es liegen könnte.

Meine Stichpunkte

  • Neue Domain auf neuem Server (unter selber Netzmaske/ IP-Bereich) installiert. Hier nun Windows Server 2019, aber noch OHNE DHCP-Server, da dies noch der alte Domain-Controller übernimmt.
  • zwei neue Hyper-V-Host ebenso unter Windows Server 2019 im Clusterverbund eingerichtet und der neuen Domain beigetreten
  • Vertrauensstellungen zwischen der alten und neuen Domain eingerichtet
  • alle virtuellen Maschinen (Windows Server 2012R2) zum neuem Hyper-V-Cluster migriert
  • Nach und nach diverse Server, die ohne Domain-User der alten Domain auskommen, neu unter Windows Server 2019 installiert und nach Abbild des entsprechenden abzulösenden Server eingerichtet und in die neue Domain eingetreten.
    z.B. WSUS-Server -> durch GPO-Anpassung in der alten Domain konnten alle Workstations ganz bequem auf den neuen WSUS-Server umgestellt werden. Den alten WSUS-Server außer Betrieb genommen und Funktionalität des neuen WSUS-Server beobachtet.
  • In die neue Domain Gruppen und User anlegen, wenn man diese 1:1 umsetzen möchte. Ich habe die Chance genutzt und gerade die Gruppen neu überdacht. Daher habe ich nur die vorhandenen Benutzer durch Export/Import in der neuen Domain neu anlegen lassen. Es gibt hierfür aber auch Migrationstool, aber ich wollte komplett neu und somit auch neue ID’s für die User.Das Zauberwort für Import/Export heißt „csvde“, damit kann man alles aber auch gezielte Exports von Benutzern und Gruppen machen.

csvde -r „(&(objectCategory=person)(sn=*))“ -f D:\Patches\User-Transfer\export_Users.csv

csvde -r „(&(objectCategory=Computer))“ -f D:\Patches\User-Transfer\export_Computers.csv

Problematisch ist das Handling von Excel mit dieser CSV und das Umspeichern in eine neue Import-Datei. Wichtig ist auch, dass nur neue Benutzer importiert werden. Es ist damit kein Update vorhandener Benutzer möglich und es wird kein Passwort mit übertragen.

– Excel Öffnen und Daten aus CSV einlesen, darauf achten, dass Semikolon als Trenner verwendet wird.
– Unnötige Spalten löschen, wobei ein paar Pflichtfelder wie DN, objectClass, sAMAccountName erforderlich sind
-Alle Felder wo ei „,“ in der Spalte vorkommt wurde durch Anwendung einer Formel dupliziert, weil die Einträge im Import in Hochkommas stehen müssen. (Excel: =““““&[alterSpaltenname]&““““)
– Suchen nach DC=[ALTEDOMAIN] und durch DC=[NEUEDOMAIN] ersetzen
– Als CSV-Trennzeichengetrennt exportiert und durch neu Öffnen von Excel wieder als CSV eingelesen. Nun konnte man die alten Spalten löschen, da in der neuen nun der Text in Hochkomma steht und nicht mehr die Excel-Formel. Das Ganze als weitere neue CSV abgespeichert und mittels Editor zwei Suche-Ersetzen-Befehle abgesetzt:
Suche „““ ersetze “
Suche ; ersetze ,
Fertig ist die Import-Datei 🙂
Bis es aber wirklich lief, habe ich einige CSV-Dateien hin- und her konvertiert.

Der Import selbst ist dann aber einfach:
csvde -i -k -f D:\Patches\User-Transfer\import_07.csv

Damit aber der Import passt, muss in der GPO der neuen Domain darauf geachtet werden, dass das Anlegen von Benutzern mit leeren-Kennwörtern erlaubt ist.

Passwörter kann man per Befehl oder händisch vergeben und danach die GPO-Regeln zur Passwort-Sicherheit wieder aktivieren.
Die angelegten Benutzer haben nun kein Passwort und sind deaktiviert, tragen auch den Befehl,  dass man sich bei der nächsten Anmeldung ein Passwort vergeben muss. Dies macht sinn, wenn bei Domainbeitritt in die neue Domain der User sich selbst ein neues Passwort geben soll.

  • FileServer

Office 365 Tenant löschen

Wer Microsoft Office 365 nicht mehr nutzen möchte oder von DE-Cloud zu einer EU oder COM-Cloud wechselte, will unter umständen den alten Tenant auch gelöscht haben. Hier eine kleine Anleitung wie das recht zügig von Statten geht.

Zu Beginn sollte man sich Gedanken machen, ob man alle Daten wie Mails, SharePoint, OneDrive etc. sichern muss und entsprechend davon ein Backup erstellen. Hier habe ich mit Veeam Backup Office 365 recht gute Erfahrungen sammeln können.

  • Als gobaler Admin mit PowerShell am „richtigen (alten)“ Tenant anmelden
Install-Module -Name AzureAD 
Import-Module AzureAD
Connect-AzureAD

Install-Module -Name Connect-MsolService 
Import-Module -Name MSOnline
Connect-MsolService

Für DE-Cloud

Install-Module -Name AzureAD 
Import-Module -Name AzureAD
Connect-AzureAD -AzureEnvironment "AzureGermanyCloud"

Install-Module -Name MSOnline
Import-Module -Name MSOnline
Connect-MsolService -AzureEnvironment "AzureGermanyCloud"
  • Sollte AD-Connect/ ADSync konfiguriert worden sein, muss dies deaktiviert werden. Es kann bis zu 72h dauern, bis die User von LocalAD auf CloudOnly wechseln. Erkennbar am Symbol hinter dem User in der Spalte „Synchronisierung“. Die Wolke steht hierbei für CloudOnly und somit kann der User problemlos aus Office 365 heraus gelöscht werden. 
    # DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false


# Status abfragen
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
  • Benutzer bis auf sich selbst löschen. Beim Löschen wird eine Warnung angezeigt, dass man sich selbst nicht löschen kann. Alle anderen User werden aber gelöscht. Danach löscht man alle gelöschten User aus dem Papierkorb.
# Benutzer forciert loeschen
Get-MsolUser | Remove-MsolUser -Force

# Benutzer aus dem Papierkorb entfernen.
Get-MsolUser -ReturnDeletedUsers | Remove-MsolUser -RemoveFromRecycleBin -Force
  • Alle vorhandenen aktiven Lizenzen kündigen, so dass dies als Deaktiviert angezeigt werden.
  • Hat man Applikationen oder Subscriptions eingerichtet, dann müssen diese auch vom alten Tenant gelöscht werden.
$ObjIds = (Get-AzureADServicePrincipal).ObjectId
For ($i=0; $i -lt $ObjIds.Length; $i++){Remove-AzureADServicePrincipal -objectid $ObjIds[$i]}
#Listet alle eingerichtete Apps auf z.B. fürs Veeam-Backup
get-azureADApplication | fl

#Löscht eine App aus der Cloud
Remove-AzureADApplication -ObjectID "bc8406cd-14e4-4cef-b334-1ffa83ab6a94"
  • Nun muss man zum „Microsoft Azure“-Portal wechslen und dort unter „Azure Active Directory“ den Button „Mandanten löschen“ anklicken.Mit der Löschung der Daten wird der Tenant selbst noch nicht gelöscht. Der Name „<tenantname>.onmicrosoft.com“ wird erst dann freigegeben, wenn sich 180 Tage niemand mehr am Tenant anmeldet. Nach den oben beschrieben Schritten gibt es nur nochden einen „GlobalAdministrator“.

    Sobald sich dieser Administrator auch nur anmeldet, wird derCounter auf 0 zurückgestellt und die 180 Tage starten von Vorn.

    Dies wird ein Schutz sein, den Microsoft warum auch immer eingebaut hat.

 

Office 365 – Aktivieren von DKIM für Custom Domains

Aktivieren von DKIM

Wenn man unter Exchange Center -> Schutz -> DKIM für seine benutzerdefinierte Domain DKIM nicht aktivieren kann, weil der Button hierfür fehlt, dann hilft in der Regel ein kleiner Powershell-Befehl:
New-DkimSigningConfig -DomainName BeispielDomain -Enabled $true
Wenn bei der Ausführung dieses Befehls die beiden DKIM-DNS-Records schon korrekt existieren, ist DKIM für diese Domain anschließend aktiv. Ansonsten wird jetzt der zuvor fehlende “Aktivieren” Link angezeigt.

Dieser Link zeigt übrigens (wenn die DKIM-DNS-Records noch nicht korrekt existieren) nach Klick in einer warn-Meldung den erwarteten Inhalt der etwas komplexen Records an.