Wie kann ich feststellen, ob in einer Active Directory Kerberos oder NTLM konfiguriert ist?

Question

Wie kann ich feststellen, ob in einer Active Directory Kerberos oder NTLM konfiguriert ist?

Antwort

Verwandte Fragen

Wie kann man ein MDM mit Active Directory verbinden?

Bietet Microsoft in 5 Jahren noch On-Premise-Server mit Active Directory an?

Wie funktionieren Roaming Profiles in einer Active Directory Domain?

Accepted Answer

Um festzustellen, ob in einer Active-Directory-Umgebung Kerberos oderLM verwendet wird, kannst du folgende Schritte unternehmen: 1. **Überprüfen der Gruppenrichtlinien**: - Öffne die Gruppenrichtlinienverwaltung (gpmc.msc). - Navigiere zu den Richtlinien, die auf die betreffenden Computer angewendet werden. - Überprüfe die Einstellungen unter `Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen`. - Suche nach den Richtlinien `Netzwerksicherheit: LAN Manager-Authentifizierungsebene` und `Netzwerksicherheit: NTLM SSP-basierte (Sicherheitsunterstützungsanbieter) Clients`. 2. **Überprüfen der Ereignisprotokolle**: - Öffne die Ereignisanzeige (eventvwr.msc). - Gehe zu `Windows-Protokolle -> Sicherheit`. - Suche nach Ereignissen mit der ID 4768 (Kerberos-Ticket-Anforderung) oder 4771 (Kerberos-Vorautorisierungsfehler) für Kerberos. - Suche nach Ereignissen mit der ID 4624 (Anmeldung erfolgreich) und überprüfe das Feld `Anmeldeprozess`, das `NtLmSsp` für NTLM und `Kerberos` für Kerberos anzeigen kann. 3. **Netzwerkverkehr analysieren**: - Verwende ein Netzwerküberwachungstool wie Wireshark. - Führe eine Netzwerkaufzeichnung durch und filtere nach Kerberos (Port 88) oder NTLM (Port 445 oder 139) Verkehr. 4. **Überprüfen der Authentifizierungsmethoden auf dem Client**: - Melde dich an einem Client an und öffne eine Eingabeaufforderung. - Führe den Befehl `klist` aus, um die Kerberos-Tickets anzuzeigen, die der Client erhalten hat. - Wenn keine Kerberos-Tickets vorhanden sind, wird möglicherweise NTLM verwendet. Diese Methoden helfen dir, festzustellen, welche Authentifizierungsprotokolle in deiner Active-Directory-Umgebung verwendet werden.

Accepted Answer

Um ein Mobile Device Management (MDM) mit Active Directory (AD) zu verbinden, gehst du in der Regel wie folgt vor: 1. **MDM-Anbieter wählen:** Zunächst benötigst du eine MDM-Lösun... [mehr]

Accepted Answer

Um ein Mobile Device Management (MDM) mit Active Directory (AD) zu verbinden, gehst du in der Regel wie folgt vor: 1. **MDM-Anbieter wählen:** Zunächst benötigst du eine MDM-Lösung, die die Integration mit AD unterstützt, z.B. Microsoft Intune, VMware Workspace ONE, MobileIron oder andere. 2. **Verbindung zum AD herstellen:** - Bei lokalen AD-Installationen wird meist ein sogenannter „Connector“ oder ein „Directory Sync Tool“ auf einem Server installiert, der mit dem AD kommuniziert. - Bei cloudbasierten MDMs (z.B. Intune) wird oft Azure AD verwendet. Hier kann das lokale AD über Azure AD Connect mit Azure AD synchronisiert werden. 3. **Benutzer- und Gruppen-Synchronisation:** - Die MDM-Lösung synchronisiert Benutzer und Gruppen aus dem AD, sodass diese für die Geräteverwaltung und Richtlinienzuweisung genutzt werden können. - In den Einstellungen des MDMs wird die AD-Integration aktiviert und die Zugangsdaten bzw. Verbindungsparameter angegeben. 4. **Authentifizierung und Single Sign-On (SSO):** - Nach der Integration können sich Benutzer mit ihren AD-Zugangsdaten am MDM-Portal anmelden. - Viele MDMs unterstützen SSO, sodass die Anmeldung an Geräten und Apps mit den AD-Daten erfolgt. 5. **Geräteregistrierung und Richtlinienzuweisung:** - Geräte können nun Benutzern aus dem AD zugeordnet werden. - Richtlinien und Profile lassen sich auf AD-Gruppen anwenden. **Beispiel für Microsoft Intune:** - Synchronisiere dein lokales AD mit Azure AD über [Azure AD Connect](https://learn.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-install-custom). - In Intune werden die synchronisierten Benutzer und Gruppen sichtbar und können für die Verwaltung genutzt werden. **Beispiel für VMware Workspace ONE:** - Installiere den [Workspace ONE Directory Sync Service](https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-DirectoryServiceIntegration.html) auf einem Server im Netzwerk. - Konfiguriere die Verbindung zum AD und synchronisiere die gewünschten Benutzer und Gruppen. **Wichtige Hinweise:** - Die genaue Vorgehensweise hängt vom jeweiligen MDM-Anbieter ab. - Achte auf die Sicherheit der Verbindung (z.B. LDAPS statt LDAP). - Prüfe, ob du lokale AD, Azure AD oder eine hybride Umgebung nutzt. Weitere Informationen findest du in der Dokumentation deines MDM-Anbieters oder auf den jeweiligen Supportseiten.

Accepted Answer

Es ist sehr wahrscheinlich, dass Microsoft auch in fünf Jahren weiterhin On-Premise-Server mit Active Directory (AD) anbieten wird. Viele Unternehmen, insbesondere im Enterprise- und Public-Sekto... [mehr]

Accepted Answer

Es ist sehr wahrscheinlich, dass Microsoft auch in fünf Jahren weiterhin On-Premise-Server mit Active Directory (AD) anbieten wird. Viele Unternehmen, insbesondere im Enterprise- und Public-Sektor, setzen aus Compliance-, Datenschutz- oder technischen Gründen weiterhin auf lokale Server und AD-Umgebungen. Microsoft hat bisher keine konkreten Pläne angekündigt, die klassische Active Directory Domain Services (AD DS) oder Windows Server komplett einzustellen. Allerdings liegt der Fokus von Microsoft zunehmend auf Cloud-Lösungen wie Azure Active Directory und hybriden Szenarien. Es ist zu erwarten, dass neue Funktionen und Innovationen primär in der Cloud entwickelt werden, während On-Premise-Lösungen weiterhin unterstützt, aber weniger stark weiterentwickelt werden. Zusammengefasst: On-Premise-AD wird mit hoher Wahrscheinlichkeit auch in fünf Jahren noch verfügbar und unterstützt sein, aber die strategische Ausrichtung von Microsoft geht klar in Richtung Cloud und Hybridlösungen.

Accepted Answer

Roaming Profiles in einer Active Directory-Domain ermöglichen es Benutzern, ihre persönlichen Einstellungen und Dateien auf verschiedenen Computern innerhalb des Netzwerks zu verwenden. Hier... [mehr]

Accepted Answer

Roaming Profiles in einer Active Directory-Domain ermöglichen es Benutzern, ihre persönlichen Einstellungen und Dateien auf verschiedenen Computern innerhalb des Netzwerks zu verwenden. Hier sind die grundlegenden Funktionsweisen: 1. **Zentralisierte Speicherung**: Roaming Profiles werden auf einem Server gespeichert, sodass die Benutzerprofile von jedem Computer in der Domain abgerufen werden können. Dies geschieht in der Regel auf einem Dateiserver. 2. **Benutzeranmeldung**: Wenn sich ein Benutzer an einem Computer anmeldet, wird das Roaming Profile vom Server heruntergeladen. Dies umfasst Desktop-Einstellungen, Dokumente, Favoriten und andere benutzerspezifische Daten. 3. **Änderungen speichern**: Während der Sitzung kann der Benutzer Änderungen an seinem Profil vornehmen. Diese Änderungen werden beim Abmelden des Benutzers wieder auf den Server hochgeladen, sodass sie beim nächsten Anmelden an einem anderen Computer verfügbar sind. 4. **Profilpfad**: Der Pfad zum Roaming Profile wird in den Benutzerkontoeinstellungen in Active Directory konfiguriert. Administratoren können den Speicherort des Profils auf dem Server festlegen. 5. **Synchronisation**: Die Synchronisation zwischen dem lokalen Profil und dem Serverprofil erfolgt beim Anmelden und Abmelden. Dies kann je nach Größe des Profils und Netzwerkgeschwindigkeit einige Zeit in Anspruch nehmen. 6. **Verwaltung**: Administratoren können Roaming Profiles verwalten, indem sie Richtlinien in der Gruppenrichtlinienverwaltung (Group Policy Management) festlegen, um beispielsweise die Größe der Profile zu begrenzen oder bestimmte Ordner auszuschließen. Roaming Profiles bieten Flexibilität und Benutzerfreundlichkeit, können jedoch auch Herausforderungen in Bezug auf Netzwerkbandbreite und Profilgröße mit sich bringen.