Office 365 Azure AD Sync

Im Beitrag Einrichten und erste Schritte mit Azure AD Connect habe ich darüber berichtet, wie ich den ersten Azure AD Sync eingerichtet habe. Inzwischen sind einige Tage und Nerven vergangen, und ich möchte in diesem Beitrag einige Erkenntnisse festhalten:

  • ein Benutzer sollte im AD gleich von Beginn an mit dem öffentlichen Benutzeranmeldename (benutzer@domain.ch) erfasst werden
  • dem Benutzer sollte im AD gleich zu Beginn das Attribut „proxyAddresses“ mit der externen/öffentlichen Mailadresse definiert werden (SMTP:benutzer@domain.ch)

Normalerweise ist der Benutzeranmeldename identisch mit der Proxy-Mailadresse.

Die Benutzer erhalten dann als Benutzername und Primäre Emailadresse die öffentliche Mailadresse, und als zusätzlicher EMail-Alias die @onmicrosoft.com-Adresse:

O365_Aliase

 

 

Advertisements

Office Picture Manager installieren

Bis Office 2010 war jeweils das recht beliebte Tool „Office Picture Manager“ mit dabei. Damit konnten Fotos bearbeitet, verkleinert, komprimiert, zugeschnitten, etc. werden.

Bei den neuen Office Versionen fehlt ein vergleichbares Tool.

Das Programm kann via Sharepoint Designer 2010 nach-installiert werden:

Download via:

http://www.microsoft.com/de-DE/download/details.aspx?id=24309 (64bit)

https://www.microsoft.com/de-DE/download/details.aspx?id=16573 (32bit)

Bei der Installation muss „Anpassen“ gewählt werden. Danach kann bei der Selektion der Komponenten nur der Picture Manager ausgewählt werden:

PictureManager01

Danke an Markus Ritzmann von it-logbuch.ch.

HP ThinClients: Symantec Antivirus installieren (Fehler 2503)

Auf HP ThinClients (in unserem Falle t520, aber vermutlich gilt dies für alle ähnlichen Geräte), konnten wir die Antivirenlösung Symantec Endpoint Protection nicht installieren. Wir erhielten immer den „Fehler 2503. RunScript wurde aufgerufen, obwohl kein Skript für die Ausführung markiert ist“:

SEP01

Wir haben heraus gefunden, dass das Problem darin besteht, dass die Terminals (Windows 10 Enterprise LTSB IoT) eine zu kleine Temp-Partition hatten. HP konfiguriert eine RAM-Disk Z: mit 253MB Grösse, und biegt dann die System-Variablen „TEMP“ und „TMP“ auf Z:\TEMP um.

SEP benötigt für die Installation aber mehr Platz, und schlägt darum fehl.

Wir haben dann die Umgebungsvariablen auf C:\TEMP umgeschrieben. Dies kann gemütlich mit GPP’s erledigt werden:

SEP02

Pfad:

Computerkonfiguration\Einstellungen\Windows-Einstellungen\Umgebung

 

Outlook 2016 blockiert 60 Sekunden nach abschicken einer Nachricht

Ich habe seit dieser Woche ein interessantes Phänomen an meinem eigenen PC: Immer wenn ich ein Mail versende (und das mache ich doch öfters…), blockiert mein gesamtes Outlook für geschätzte 3 Minuten:

OutlookStopsResponding

Nachdem ich mich einen Tag lang darüber aufgeregt habe, folgte nun heute die Fehlersuche:

  • Wie lange dauert die Blockade genau? Es sind erstaunlich genau 60 Sekunden!
  • Wurden Windows Updates installiert? Oh ja, und zwar eine ganze Menge, am 18. August 2017. Sehr viele auch für Office/Outlook, keine Chance da auf die Schnelle das fehlerhafte zu finden. Also nächster Punkt:
  • Sind irgendwelche Outlook-AddIns aktiv, die ich nicht benötige?
    • Conversation History Add-in für Microsoft Office 2016: brauche ich das? Keine Ahnung!
    • Microsoft Dynamics 365 und Microsoft Dynamics CRM: brauche ich (leider ;). Wenn das eine aktiviert wird, aktiviert sich das andere ebenfalls. Siamesische Zwillinge sozusagen. Lassen wir mal aktiviert.
    • Microsoft Exchange Add-in: Finger weg!
    • Symantec Endpoint Protection Outlook Add in: Brauche ich leider (Firmenrichtlinie)

Es sind also keine AddIns aktiv, welche ich nicht brauchen würde oder müsste. Was nun?

Sämtliche AddIns deaktivieren: Der Fehler tritt nicht mehr auf! Durch aktivieren der einzelnen einzelnen AddIns fand ich heraus, dass das Symantec-AddIn der Übeltäter ist. Ich habe nun eine Anfrage bei unserem Symantec-Spezi offen, ob’s da was bekanntes oder sogar ein Update gibt… Fortsetzung folgt.

Exchange meldet „RevocationCheckFailure“

Der Zugriff auf einen Exchangeserver brachte manchmal Fehlermeldungen, manchmal klappte es. OWA via Chrome klappte gar nicht mehr, der IE funktionierte einwandfrei.

Ich prüfte die Zertifikate auf dem Exchangeserver (insbesondere dasjenige, welches IIS zugewiesen war), und dort wurde gemeldet:

RevocationCheckFailure

Nunja, das kann ja nichts gutes heissen 🙂

Meine Vermutung bestätigte sich umgehend: Die Firewall war derart restriktiv eingestellt, dass der Exchange ausgehend keine HTTPS Verbindungen herstellen durfte. Nach deren Freigabe klappte das dann.

PowerShell: Erstelle Verzeichnisse pro Benutzer aus AD, und setze Berechtigungen

Obige Anforderung wurde an mich gestellt. Wie immer „quick and dirty“.

Das Script basiert auf den Modulen „NTFSSecurity“ (File System Security PowerShell Module), danke schonmal dafür.

Beschrieben ist das ganze gut auf der Technet-Gallery Seite, und hier.

Das Module habe ich unter C:\Program Files\WindowsPowerShell\Modules „installiert“ (simples Filecopy). Danach kann das Modul via

Import-Module NTFSSecurity

importiert werden.

Mein Script sieht wie folgt aus:

# Create Folders based on a AD OU
# Scripted by M. Wildi, IN4OUT it solutions ag, 5000 Aarau
# v 1.0 16.08.2017
# ###########################################################################
# Import Module
# Module from https://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef-90dbb2b84e85
Import-Module NTFSSecurity

# set Variables
$CustClass = "DT2017"
$CustRootDir = "\\FILESERVER\Share\share\root\"
$CustDir = $CustRootDir + $CustClass
# Create Base Dirs
md $CustDir
md $CustDir\_Public

# Set Permissions
Get-Item $CustDir | Disable-NTFSAccessInheritance
Get-NTFSAccess $CustDir | Where-Object {$_.Account -like "DOMAIN\GROUP"} | Remove-NTFSAccess
Get-Item $CustDir | Add-NTFSAccess -Account "DOMAIN\$CustClass" -AccessRights ReadAndExecute -AppliesTo ThisFolderSubfoldersAndFiles

Get-Item $CustDir\_Public| Disable-NTFSAccessInheritance
Get-NTFSAccess $CustDir\_Public| Where-Object {$_.Account -like "DOMAIN\GROUP"} | Remove-NTFSAccess
Get-Item $CustDir\_Public| Add-NTFSAccess -Account "DOMAIN\$CustClass" -AccessRights FullControl -AppliesTo ThisFolderSubfoldersAndFiles
Get-Item $CustDir\_Public| Add-NTFSAccess -Account "DOMAIN\GROUP2" -AccessRights FullControl -AppliesTo ThisFolderSubfoldersAndFiles

Get-ADUser -Filter * -SearchBase "OU=$CustCLass,OU=OU1,OU=Users,OU=CUSTOMER,DC=CUSTOMER,DC=intern" -Properties * | 
ForEach-Object {
md $CustDir\$($_.SamAccountName)
Get-Item $CustDir\$($_.SamAccountName) | Disable-NTFSAccessInheritance
Get-NTFSAccess $CustDir\$($_.SamAccountName) | Where-Object {$_.Account -like "DOMAIN\$CustClass"} | Remove-NTFSAccess
Get-Item $CustDir\$($_.SamAccountName) | Add-NTFSAccess -Account "DOMAIN\$($_.SamAccountName)" -AccessRights FullControl -AppliesTo ThisFolderSubfoldersAndFiles
Get-Item $CustDir\$($_.SamAccountName) | Add-NTFSAccess -Account "DOMAIN\GROUP2" -AccessRights FullControl -AppliesTo ThisFolderSubfoldersAndFiles
}

O365: Terminanfragen an Raumpostfach müssen moderiert werden

Verbinden mit O365

Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic –AllowRedirection
Import-PSSession $Session

Aktuelle Einstellungen abfragen:

Get-CalendarProcessing raum@domain.ch | fl

Setze Gruppe als „Delegierter“ dieses Kalenders:

Set-CalendarProcessing raum@domain.ch -ResourceDelegates delegierter@domain.ch

Optionen setzen, sodass Anfragen bewilligt werden müssen:

Set-CalendarProcessing raum@domain.ch -AllRequestInPolicy $true -AllBookInPolicy $false

Fertig.