Granikos Technology Blog

Folge 11

Heute wurde die elfte Folge von Thomas' Tech Talk veröffentlicht.

Das Thema des Talks ist:

• Exchange Server und das HealthChecker-Skript

Das PowerShell-Skript HealthChecker.ps1 hilft Ihnen bei der korrekten Konfiguration des Serversystems, auf dem Sie eine Exchange Server Installation betreiben. Nutzen Sie dieses Skript nach der Installation und Basiseinrichtung des Servers. 

Die Aufgabe des Skriptes ist es nicht, Exchange Server richtig zu konfigurieren, sondern Empfehlungen für die Konfiguration der Betriebssystemkomponenten wie Netzwerk-Adapter, Page File, C++ Bibliotheken, CPU oder den Arbeitsspeicher zu geben. Wenn Sie die vom Skript empfohlenen Einstellungen umsetzen, erhöhen Sie die Betriebssicherheit und Stabilität des Exchange Server Systems.

In diesem Tech Talk zeige ich Ihnen, wie hilfreich und einfach dieses Skript ist.

Links

• Thomas' Tech Talk YouTube-Kanal
• Präsentation (SlideShare)
• Präsentation (PDF)
• Tech Talk Übersicht

Ressourcen

• HealthChecker-Skript (https://aka.ms/ExchangeHealthChecker)

Viel Spaß.

Am 12. Februar fand das erste Treffen der neu gegründeten PowerShell User Group Berlin (PSUGB) in den Räumlichkeiten der commehr GmbH statt. Die neue User Group wurde von Evgenij Smirnov ins Leben gerufen. Damit hat auch die Hauptstadt endlich eine User Group, in der sich PowerShell Begeisterte regelmäßig treffen und austauschen können. Evgenij ist im Community-Leben Berlins nicht unbekannt, da er auch die Windows Server User Group (WSUG-B) und die Exchange User Group (EXUSG) führt. 

Die PSUGB trifft sich in der Regel alle zwei Monate. Bei den gibt es immer einen Themenvortrag rund um PowerShell und den festen Tagesordnungspunkt "Bring Your Own Script". Bei BYOS kann jederzeit ein persönliches Power-Skript vorgestellt werden, das man schon immer gerne einmal mit der Community teilen wollte oder zu dem man Tipps aus der Community benötigt. 

Auf der Webseite der PSUGB findest du weitere Infos, wie z.B. die Präsentationen, vergangenen Treffen.

Mach mit

Die Community und die PowerShell User Group Berlin lebt vom Mitmachen. Einfach bei Meetup zum nächsten User Group Treffen anmelden.

Die PSUGB ist natürlich auch bei Twitter aktiv: @psugbde. Es lohnt sich, dem Account zu folgen.

Links

• PowerShell User Group Berlin Webseite 
• PowerShell User Group Berlin Meetup

Viel Spaß in der PowerShell-Community!

Viele Administratoren verzichten auf die digitale Signierung von eigene PowerShell-Skripten. Um solche PowerShell-Skripte in der lokalen IT-Infrastruktur ausführen zu können wird daher die PowerShell-Ausführungsrichtlinie auf Unrestricted konfiguriert. Diese Konfiguration ist ein großes Sicherheitsrisiko für das gesamte Unternehmen.

Wenn das digitale Zertifikat zur Code-Signierung in Ihrem persönlichen Zertifikatsspeicher hinterlegt ist, ist die Signierung besonders einfach.

Wechseln Sie in einer PowerShell_Session in das Verzeichnis, das die zu signierende PowerShell-Datei enthält und signieren Sie die Datei mit den folgenden Befehlen. In diesem Beispiel wird die Datei MyPowerShellScript.ps1 signiert.

# Lesen des Signatur-Zertifikates aus dem persönlichen Zertifikatspeicher
# des Anwenders, der die Signierung durchführt
$cert=Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert

# Lesen eines exportierten Signatur-Zertifikates aus einer PFX-Datei
# Wenn der Export mit einem Kennwort geschützt ist, werden Sie nach
# dem Kennwort gefragt
$cert = Get-PfxCertificate -FilePath C:\SCRIPTS\CERTS\CodeSigningVarunagroup.pfx

# Digitale Signierung der Datei MyPowerShellScript.ps1
Set-AuthenticodeSignature -FilePath MyPowerShellScript.ps1 -Certificate $cert

Wissenswert ist, dass das Cmdlet Get-PfxCertificate, im Gegensatz zur Dokumentation bei Microsoft Docs, keinen Parameter -Password verfügt, um das Kennwort als SecureString zu übergeben.

Konfigurieren Sie nach der Signierung Ihrer PowerShell-Skripte die Ausführungsrichtlinie für Ihre Systeme mit Hilfe einer Gruppenrichtlinie. 

Links

• Set-AuthenticodeSignature
• Execution Policy and Group Policy
• Code Signing Zertifikate (Auswahl)
  • DigiCert
  • GlobalSign
  • Comodo

Viel Spaß mit PowerShell!

In der heutigen Zeit ist die skriptbasierte Verwaltung von Server-Softwarelösungen aus der Arbeitswelt von Administratoren nicht mehr wegzudenken. Immer mehr Produkte und cloudbasierte Dienste lassen sich nur per PowerShell und individuelle Skripte sinnvoll administrieren. Gerade Office 365 ist hier ein unrühmliches Beispiel, da jeder Dienst über eine individuelle PowerShell-Schnittstelle verfügt.

Dieser Umstand hat zur Folge, dass Sie als Administrator oft Skripte zur Verwaltung komplexer Umgebungen einsetzen müssen, die Sie nicht selbst geschrieben haben. Die Skripte werden entweder von externen Dienstleister programmiert oder einfach aus dem Internet heruntergeladen. Hierbei implementiert jedes Skript, im Idealfall, eine eigene Protokollierung der ausgeführten Aktionen. 

Das Problem

Die PowerShell-Skripte sind in den meisten Fällen für die individuelle Ausführung durch einen Administrator konzipiert und weniger für die regelmäßige und vollautomatische Ausführung. Als Administrator möchten Sie sich aber um wichtiger Dinge kümmern, als z.B. die Anlage von Benutzerkonten im Active Directory, die E-Mail-Aktivierung von Konten oder die Erstellung von SharePoint Team-Sites.

Sie stehen u.a. vor folgenden Problemen:

• Wie können Sie die Ausführung der PowerShell-Skripte automatisieren?
• Wie können Sie die Eingabe benötigter Skript-Parameter sinnvoll mit einer Automatisierung kombinieren?
• Wie können Sie die unterschiedlichen Skript-Anmeldeinformationen sicher verwalten?
• Wie können Sie die Ausführung der PowerShell-Skripte delegieren?
• Wie können Sie alle Ausführungen der Skripte einheitlich und auditfähig protokollieren?

Sie kommen mit der Nutzung der Windows Bordmitteln, wie dem Task Scheduler, schon recht weit. Aber Sie werden mir zustimmen, dass dieses Tool nicht gerade die bequemste Art ist, um PowerShell-Skripte sinnvoll und sicher zu automatisieren. 

Die Lösung

Ein Lösung für dieses Dilemma ist die Nutzung einer Softwarelösung, die uns ein Trennung zwischen dem ausführenden Skript-Kontext und dem Kontext des Anwenders, der ein Skript startet, bietet. Mit einem Rollen- und Berechtigungssystem kann ein Skript, in Abhängigkeit der Rollenzuweisung, unterschiedlich ausgeführt werden.

WIr benötigen also ein Lösung, die uns folgende Funktionen bietet:

• Einfache und sichere Konfiguration von Benutzerkonten zur Skriptausführung, je nach Zielsystem
  • Active Directory
  • SharePoint Server
  • Exchange Server
  • Office 365 mit seinen unterschiedlichen Workloads
  • usw.
• Einfache Automatisierung von PowerShell-Skriten
  • Zeitplänen 
  • individuelle externe Trigger, z.B. PRTG 
  • manueller Start
• Rollenbasierte Delegierung von Skript-Konfigurationen
  • Helpdesk- und Support-Mitarbeiter (intern/exterm)
  • Regionale Administrator-Teams
  • IT-affine MIttarbeiter, z.B. DV-Ansprechpartner
• Einheitliche und auditfähige Protokollierung aller Aktivitäten, der zugriffsberechtigten Personen und der Skripte
• Eingehende und Ausgehende Schnittstellen mit anderen Softwarelösungen
  • dynamischen Auswahl von Skript-Parametern
  • Start von PowerShell-Skripten in Abhängikeit von externen Parameter
• Webbasiertes Interface zur intuitiven Ausführung von delegierten Aufgaben
• Minimierung des Sicherheitsrisikos
  • keine Installtion von PowerShell-Module auf den Arbeitsplätzen-PCs

Mit ScriptRunner steht eine professionelle Softwarelösung zur Verfügung, die uns all diese Möglichkeiten bietet. ScriptRunner ist ein sehr umfangreiches und leistungsfähiges Produkt zur PowerShell-Automatisierung. Aus meiner Sicht ist das Sicherheitskonzept, das für die Delegierung der Skript-Ausführungen eingesetzt wird, einer der Hauptgründe für das Produkt.

Das folgende Schaubild vereutlicht die Isoliserung von ScriptRunner für die sichere Ausführung von PowerShell-Skripten.

Grafik © ScriptRunner

Die einzelnen Schritte sind:

1. Administratoren und DevOps entwickeln PowerShell-Skripte für die Nutzung mit ScriptRunner
2. ScriptRunner-Administratoren implementieren die Skripte und konfigurieren die Nutzergruppen
3. Anwender können PowerSkripte entsprechend ihrer Rollenzugehötigkeit ausführen
4. ScriptRunner führt die Scripte mit individuellen Anmeldeninformationen gegen lokale Systemen oder Cloud-Ressourcen aus
5. Die Skript-Ergebnisse werden von ScriptRunner erfasst und protokolliert

Die Vorteile

Die Automatisierung und die wiederkehrende Ausführung führt zu einer Reduzierung der Betriebsrisiken und minimiert kostenintensive manuelle Nacharbeiten. Dies gelingt durch die hohe Reproduzierbarkeit der immer gleichen Aufgaben (Stichwort: Erstellung von Benutzern mit unterschiedlichen Attributen, je nach Fachabteilung). Durch ein Zonenmodell und die strikte Trennung der Ausführungsberechtigungen (Anwender, Automatisiserungsdienst, Skript-Credentials) erreichen Sie ein Maximum an Betriebssicherheit. 

Mit solch einer Aufteilung können Sie die Ausführung von Skripten nicht nur an das Helpdesk-Team delegieren, sondern sogar an DV-Ansprechpartner in Fachabtielungen. Die Weboberfläche ist intuitiv bedienbar und führt den Anwender sucher durch alle konfigurierten Eingabe- und Auwahlschritte. 

Ab Q1 2019 werden Sie speziell für Exchange Server, Exchange Online und Office 365 entwickelte Skripte zur Nutzung mit ScriptRunner in diesem Blog finden.

Links

• Mehr über ScriptRunner erfahren
• ScriptRunner testen

Viel Spaß bei der Automatisierung!

The PowerShell script Set-UserPictures now supports uploading resized user pictures to Exchange On-Premises and Exchange Online.

Read more about the new functionality here: https://www.granikos.eu/en/justcantgetenough/PostId/307/add-resized-user-photos-automatically

Download the updated script here:

• Github: https://github.com/Apoc70/Set-UserPictures
• TechNet: https://gallery.technet.microsoft.com/Bulk-resize-and-adding-of-1e74d85e

Enjoy!