Lesefutter

Nach längerer Pause melde ich mich wieder zurück. Da ich in letzter Zeit viel mit der Bahn fahre, ist die Liste der gelesenen Bücher ziemlich groß. Dieser Beitrag dreht sich aber nur um zwei Bücher. Diese Bücher finde ich so besonders, dass sie nicht in einem großen Beitrag untergehen sollen.

Das erste Buch ist Die Macht der Geographie von Tim Marshall. Der Untertitel Wie sich die Weltpolitik anhand von 10 Karten erklären lässt beschreibt sehr schön den Inhalt des Buches. Tim Marshall betrachtet die Politik einiger Länder anhand der geographischen Gegebenheiten und hilft so, manche politische Entscheidungen besser zu verstehen (auch wenn man sie trotzdem nicht gutheissen muss). Ein Beispiel ist Russland, dass deshalb Pufferstaaten zwischen sich und Europa stellen möchte, da die nordeuropäische Tiefebene für potentielle Angreifer kein geographisches Hindernis darstellt. Im Buch wird auch das Verhältnis von Indien und Pakistan betrachtet sowie geopolitische Gründe für die Besetzung Tibets durch China. Aber es beschreibt auch Gründe, warum manche Gebiete auf der Erde sich wirtschaftlich besser entwickelt haben als Andere. Hier wird z.B. Europa (Wasserverbindung von Norden nach Süden und keine großen trennenden Bergketten) mit Lateinamerika verglichen. Solche Gründe mögen nicht die Einzigen sein, aber es ist interessant darüber mal nachzudenken. Der Autor beschränkt sich weitgehend auf Fakten und das mag nicht jedem gefallen; aber so wird man in seiner Meinungsbildung nicht beeinflusst.

Wer in diesem Jahr nur ein Buch zum Thema Politik/Geschichte lesen will, dem lege ich dieses Buch ans Herz.

Das zweite Buch widmet sich einem Thema, bei dem viele Leute aufstöhnen werden: Mathematik. Leider ist schlechter Mathematik-Unterricht oft der Grund, warum Menschen keinen Bezug zur Mathematik finden. Die Mathematik ist aber nicht nur eine große geistige Leistung der Menschheit und bietet viele Möglichkeiten den eigenen Verstand zu trainieren, sondern ist auch extrem wichtig für das Verstehen der heutigen Welt. Man nehme hier nur das Thema Statistik, zu dem ich später auch noch einen Tipp haben werde. Aber bleiben wir erst mal bei meinem Buchtipp.

The Joy of x wurde von Steven Strogatz verfasst, einem Professor für angewandte Mathematik. Ausgehend von der (scheinbar) simplen Tätigkeit des Zählens nimmt Strogatz den Leser mit auf eine Reise durch die Mathematik. Dem Subtrahieren, Multiplizieren und Dividieren sind eigene Kapitel gewidmet, die selbst bei so einfachen Themen plötzlich neue Einsichten bringen. Ohne daß man sich versieht, steckt man plötzlich mitten in Variablen und wird in das Land der Funktionen geführt. Weitere Themen sind Geometrie, Differential- und Integralrechnung, Statistik und immer wieder das Thema der Unendlichkeit. Bei Letzterem darf Hilberts Hotel nicht fehlen.

Das klingt jetzt nach einem anstrengenden Buch; aber ich kann versprechen, dass man ohne größere Anstrengungen von Thema zu Thema wandert und sich ständig neue Erkenntnisse ergeben.

Ich habe selber Mathematik studiert und schon viele Bücher zu dem Thema gelesen; aber dieses Buch ist einzigartig. Ich empfehle, immer mal wieder ein Kapitel zu lesen (nur keine zu großen Abstände dazwischen) und in den Pausen das Gelesene sich setzen zu lassen.

Will man der Mathematik noch mal eine Chance geben oder sagt man sich, dass man nur noch ein Buch über Mathematik in seinem Leben lesen will, dann ist es dieses Buch.

Ich habe das Buch auf Englisch gelesen, aber mittlerweile gibt es auch eine deutsche Ausgabe (bisher aber wohl nur als Hardcover). Der deutsche Titel ist The Joy of x: die Schönheit der Mathematik.

Der Innenminister und das Bundesverfassungsgericht

Das Bundesverfassungsgericht hat dem Gesetzgeber beim BKA-Gesetz was auf die Finger gegeben, weil mal wieder schlampig gearbeitet wurde. Anstatt nun in aller Ruhe (und Demut) das Gesetz zu überarbeiten, kommt von unserem lieben Bundes-Innenminister folgernder Spruch (Quelle: SPON):

„Ich finde, dass ein nationaler Grundrechtsschutz, so wichtig er ist, auch im Angesicht der Internationalisierung von Gefahren betrachtet werden muss.“

Lieber Herr Innenminister, das Verfassungsgericht hat zu entscheiden, ob ein nationales Gesetz der deutschen Verfassung (also dem Grundgesetz) entspricht. Nicht mehr und nicht weniger. Mir ist auch nicht ganz klar, was nun an der „Internationalisierung von Gefahren“ nun neu sein soll. Auch früher schon haben Terroristen schon mal landesübergreifend gebombt (IRA) oder international zusammengearbeitet (RAF, PLO, Rote Brigaden); von Rechten ganz zu schweigen.

Sie haben lieber das Internationale im Blick? Da hätte ich einen Vorschlag: stellen Sie doch mal Haftbefehle für die Vorbereitung und Durchführung eines Angriffskrieges aus. Da würden mir einige Namen einfallen. Und ansonsten: Hände weg vom Bundesverfassungsgericht.

Wenn ich mir regelmäßig eine Klatsche von dort einfangen würde, würde ich mal über die Qualität der eigenen Arbeit nachdenken. Aber bei Selbstreflektion haben sie offensichtlich gefehlt.

 

 

Zahlentricksereien oder warum ein guter Mathematikunterricht wichtig ist

Vor ein paar Tagen lief in der ARD die Sendung „Die Story im Ersten: Im Land der Lügen“. Mal davon abgesehen dass die Sendung mal wieder zu einer unmöglichen Zeit kam (22:45 Uhr) handelt es sich hier um einen Beitrag, den jeder mal gesehen haben sollte und der sich auch gut für den Politik- oder Mathematikunterricht eignet. Anhand einiger Beispiele wurde gezeigt, wie man mit dem Verknüpfen von Aussagen (und dem Weglassen entscheidender Informationen) zu ganz seltsamen Ergebnissen kommen kann („kleine Menschen gehen häufiger zum Arzt“). Auch wurde gezeigt, wie man Grafiken oder Statistiken „passend“ machen kann, je nachdem welches Ergebnis man erzielen will. Es wurde aber auch gezeigt, wer die treibende Kraft hinter manchen Aussagen ist. Mir war z.B. nicht bekannt, dass der Arzt, der den Zusammenhang zwischen Cholesterin und Fett im Essen (z.B. in der Butter) als Erster propagiert hat, für das Margarine-Institut gearbeitet hat während er diesen Artikel schrieb. An anderer Stelle wurde aus einem Einkommenszuwachs über 10 Jahre plötzlich ein Zuwachs innerhalb eines Jahres. So was kann vor lauter Begeisterung über TTIP ja schon mal passieren; das sollte man dem INSM (Institut für neue soziale Marktwirtschaft) nicht übel nehmen;-)

Eine wichtige Aussage eines Forschers war, dass man sich besser informieren soll, wie Statistiken zu lesen sind. Ich folge dem Aufruf ja schon länger und habe schon einige gute Bücher gefunden. Und ja, die kann man auch lesen, wenn Mathe in der Schule nicht das Lieblingsfach war…

Aktuell kann ich dazu empfehlen:

Walter Krämer: So lügt man mit Statistik

ISBN: 978-3-593-50459-9

Preis: 19.99€

Der Preis mag einem für 200 Seiten erst ein wenig teuer vorkommen; aber es lohnt sich. Man muss seinen politischen Ansichten nicht unbedingt zustimmen, aber die Ausführungen zum Missbrauch von Statistiken, der falschen Anwendung von Wahrscheinlichkeitstheorie sowie dem Manipulieren von Grafiken sind sehr erhellend.

Ein nettes Beispiel: in Mexiko wollte man die Kapazität der Autobahnen dadurch erhöhen, dass man eine dritte Spur einführt. Da man vorher zwei Spuren hatte, entsprach das einer Kapazitätserweiterung von 50%. Man hat aber keine dritte Spur angebaut, sondern einfach aus zwei Spuren drei gemacht. Das führte dann aber zu deutlich mehr Unfällen. Also strich man die dritte Spur wieder und verringerte so die Kapazität um 33%. Laut ECONOMIST meldete die mexikanische Regierung im Abschlussbericht dann eine Netto-Kapazitätserweiterung von 17%…

Die Fernsehsendung findet man übrigens noch bis zum 11.04.2017 in der ARD Mediathek[1]. Klare Guckempfehlung!

PS: genau für solche Sendungen bezahle ich gerne meine Rundfunkgebühren.

[1] http://www.ardmediathek.de/tv/Reportage-Dokumentation/Die-Story-im-Ersten-Im-Land-der-L%C3%BCgen/Das-Erste/Video?bcastId=799280&documentId=34622130

 

AD-Attribut Mailadressen auslesen

Ich bin ein großer Fan von PowerShell. Die Befehle gerade für das Active Directory bzw. Exchange erleichtern die Arbeit doch sehr. Allerdings findet man sich manchmal in Situationen wieder, in denen man etwas durchführen möchte ohne dass einem die PowerShell zur Verfügung steht. Dazu gehört das Auslesen von AD-Attributen in älteren Umgebungen ohne PowerShell.

Konkret hatte ich das Problem in einer Exchange 2003 Umgebung mit nur einem Domänenkontroller und der lief unter Windows 2000(!). Fragt lieber nicht…

Ziel war ein Umzug der Postfächer in ein neues Active Directory mit Exchange 2016. Aufgrund des Windows 2000 DCs (und dem Nichtvorhandensein von 3rd Party Tools) musste ein Teil der Arbeiten manuell gemacht werden. Zumindest für die Anlage der Benutzer konnte ich aber das PowerShell-Skript „Prepare-MoveRequest“ benutzen.

Nun wollte ich aber gerne überprüfen, ob alle SMTP-Adressen der Benutzer vollständig und korrekt übertragen wurden. Auf dem Zielsystem war das dank PowerShell ja kein Problem; nur die Option gab es in der Quellumgebung nicht. Hierzu griff ich dort zuerst auf CSVDE zurück. Das führte aber zu einem kleinen Problem…

Hierzu muss man wissen, dass Benutzer mehrere Mailadressen haben können. Fragt man nur das Attribut „mail“ ab, bekommt man höchstens die Adresse, die für ausgehende Mail eingetragen wird.

csvde -r "(mail=*)" -d "dc=contoso,dc=com" -l mail -f "C:\Temp\gal.csv"

Was man eigentlich abfragen will ist das Attribut „proxyAddresses“. Dummerweise enthielt dieses Attribut aber, neben den SMTP-Adressen, in meinem Fall auch noch X400- und X500-Adressen. Ich habe dann innerhalb von Excel versucht, diese Adressen irgendwie beim Import der CSV-Datei abzuspalten; aber dazu ist mein Excel Kung Fu wohl zu schwach.

Eine Suche im Internet brachte mich dann auf das Tool „ADFIND“[1],[2]. Leider entsprach das Ergebnis noch nicht meinen Wünschen. Aber nach ein bisschen Kopfkratzen kam ich dann auf

C:\System\AdFind.exe -nolabel -b OU=Desktop_User,DC=contoso,DC=com proxyAddresses

| find /I "smtp" > smtp-addresses.txt

(alles in einer Zeile)

Die Datei enthielt dann zwar eine Adresse pro Zeile; aber da es sich nur um 80 Mailboxen handelte, reichte das Ergebnis vollkommen aus.

Vielleicht hilft das ja jemand weiter.

[1] https://serverfault.com/questions/207574/how-to-export-all-e-mail-addresses-from-exchange-2003

[2] http://www.joeware.net/freetools/tools/adfind/index.htm

 

 

Quicktipp: User und Abteilung per PowerShell auslesen

Die Aufgabenstellung war: welche User sind Mitglied in einer bestimmten Gruppe und zu welcher Abteilung gehören sie? Das ist eine Aufgabe, die man sehr gut mit der PowerShell lösen kann. Sicherlich kann man das eleganter skripten, aber trotzdem zeige ich mal, wie ich es gelöst habe:

$a = Get-ADGroupMember GRUPPE

$headline = "Name;Abteilung"

Out-file -FilePath C:\users\twallutis\test.csv -InputObject $headline

foreach ($i in $a){

$name = $i.name

$Abteilung = (Get-ADUser $i -Properties department).department

$x = $name + ";" + $Abteilung

Out-file -FilePath C:\users\twallutis\test.csv -Append -InputObject $x

}

Der Trick ist, dass Get-ADUser nicht standardmäßig die Abteilung mitliefert. Man kann aber mit Hilfe von „-Properties“ angeben, was einen denn noch so interessiert. Leider finde ich den Link nicht wieder, wo ich diesen Hinweis gefunden habe.

Daten verstecken

Beim 31C3 gab es einen interessanten Vortrag darüber, was man so alles mit Dateien machen kann[1]; Dateien enthielten verschiedene Objekte, je nachdem womit man es öffnet.

Das brachte mich auf eine Idee, von der ich aber noch nicht weiß ob man sie verwirklichen kann. Aber ich wollte sie trotzdem mal niederschreiben…

Nehmen wir z.B. an, das ich in einem Bild ein anderes Bild verstecke. Das ist ja nichts Neues. Aber ferne würde ich auf meinem Computer eine modifizierte Version eines Programmes zum Öffnen von Bildern haben; das könnte z.B. GIMP. GIMP ist nun so modifiziert, dass ein Aktivieren eines selten genutzten Features eine alternative Routine zum Öffnen von Dateien aktiviert wird. Diese Routine führt dann nicht zur Anzeige des ursprünglichen Bildes, sondern des versteckten Bildes.

Das könnte man nun fortführen: in einer Tabelle verstecke ich Zahlen, die ich nicht öffentlich machen will. Zur Verschleierung füge ich jede Menge Zahlen hinzu, damit die Struktur der Daten verbergen will. Die alternative Routine zum Öffnen der Datei filtert nun die überflüssigen Daten aus.

Die wichtigste Frage ist nun: kann ich Daten so in anderen Daten verstecken, dass sie nicht entdeckt werden können? Bei einem Bild könnten die Daten ja zusätzlich noch verschlüsselt werden; bei Daten z.B. in einer Tabelle stelle ich mir das eher schwierig vor.

Über Kommentare würde ich mich freuen.

[1] https://www.youtube.com/watch?v=Ub5G_t-gUBc

TV-Tipp: Scorpion

Seit wenigen Wochen läuft Sonntags Abends um 22:15 Uhr die neue Serie „Scorpion“. Die Helden sind ein Computer-Genie mit Vergangenheit, ein Spezialist für Verhaltensanalyse mit einem leichten Spielproblem, ein Rechen-Genie mit fotografischem Gedächtnis und einigen Phobien , eine Hardware-Hackerin mit Wut-Problem, ein Special Agent (Robert Patrick aus „Terminator 2“) sowie eine Kellnerin mit hochbegabten Sohn, die als „Übersetzerin für soziale Kontakte“ fungiert. Das klingt nach „The Big Bang Theory“ im Action-Umfeld und was in den bisherigen drei Folgen als Lösung von Problemen präsentiert wird, ist stellenweise ziemlich abgedreht. Aber allein die Szene in der Pilotfolge, wo aus einem (sehr!) tieffliegenden Jumbo-Jet der Ko-Pilot ein Computerkabel aus dem ausgefahrenen Fahrwerk heraushängen lässt, damit aus dem drunter herfahrenden Sportwagen per Laptop die Software des Bordcomputers heruntergeladen werden kann, ist so bizarr, dass es schon wieder lustig ist. Wenn man die Geschichten nicht zu ernst nimmt, ist das Ganze gute Unterhaltung mit interessanten Charakteren.

Einfach mal reinschauen!

Kinokritik: Blackhat

Nachdem WHOAMI[1] im letzten Jahr ja schon gut vorgelegt hat, war ich gespannt wie ein aktueller US-amerikanischer Film das Thema „Hacking“ darstellt. Der Trailer deutete auf eine interessante Story hin, in dem Angriffe auf Industrieanlagen von einem böswilligen Angreifer durchgeführt werden. Dieser Angreifer schien keine der üblichen Motive wie Geld oder Rache zu haben.

Auf der Suche nach einem Kino waren wir dann aber schon erstaunt, dass der Film scheinbar nur noch in der Spätvorstellung läuft. Wir mussten unsere Suche bis nach Witten ausweiten, wo der Film dann auch um 20 Uhr gezeigt wurde. Der Kinosaal selber erinnerte dann aber mehr an ein gut ausgebautes Heimkino (mit dem Nachteil, dass die Untertitel schlecht lesbar waren).

Ich hatte vorher extra alle Kritiken ignoriert, um nicht zu viel von der Story zu erfahren. Mittlerweile weiss ich dank IMDB, dass der Film schon nach wenigen Wochen in den USA nur noch in ca. 240 Kinos gezeigt wird und dass auf einen Start in Australien angeblich komplett verzichtet wurde. Der Film soll Verluste in Höhe von 90 Mio. US-$ eingefahren haben.

Da stellt sich die Frage: ist er wirklich so schlecht? Ich weise vorsichtshalber darauf hin, dass für den Rest des Artikels gilt: SPOILER ALARM. Wer den Kinobesuch noch vor sich hat, für den gibt es jetzt ein kurzes Fazit: kein Hit, aber wir haben die Ausgabe auch nicht bereut.

.
.
.
.
.
.
.
.
.
.

Wie sieht nun die Story aus? Zeitgleich werden Steuercomputer in den USA und China angegriffen. Die Angriffe in den USA bleiben folgenlos, aber der Angriff in China führen zu einer Explosion in einem Nuklearreaktor. Ich fand hierbei die Eingangssequenz, in der wohl angedeutet werden sollte wie sich die Schadsoftware im Computer verbreitet, ganz gut gemacht.

Der Ermittler in China (dessen Schwester passenderweise auch eine Spezialistin in der IT ist) schlägt seinen Vorgesetzten eine Zusammenarbeit mit den US-Ermittlern vor. Als er entdeckt, dass der Schädling teilweise auf seinem eigenen alten Code und dem eines ehemaligen Kommilitonen beruht, holt er den inhaftierten Hacker hinzu (Auftritt Chris Hemsworth). Der fängt natürlich eine Affäre mit der Schwester seines Kumpels an, was übrigens meiner Frau nicht gefiel. Sie fragte mich nachher, warum eigentlich immer eine Romanze eingebaut werden muss; zudem fand sie, dass doch eher wenig gehackt wurde. Muss mein schlechter Einfluss sein…

Die Helden werden durch halb Asien gejagt, 9/11 wird auch kurz eingebaut und zum Schluss kommt es zum Showdown mit den Bösen, die dann doch nur am Geld interessiert sind.

Ach so, die NSA (und deren geheime Software) kommt auch noch drin vor.

Was mir zu dem Film einfällt:

  • es wird auch gehackt und man verzichtete auf übetrieben unrealistische Oberflächen. Eigentlich wurden hauptsächlich Konsolenzugriffe gezeigt.
  • manche regen sich über eine IP-Adresse auf, die in zwei Oktetten Zahlen größer als 255 enthielt. Hat mich nicht egstört, da ich ja auch an fiktive Telefonnummern gewöhnt bin
  • der Hacking-Anteil ist moderat und nimmt zum Ende hin deutlich ab
  • der Action-Anteil ist (gerade in der zweiten Hälfte) hoch
  • es stellt sich die Frage, ob ein hochrangiger Mitarbeiter der NSA wirklich einfach so ein PDF öffnen würde und ob es möglich wäre, darüber dort einen Keylogger zu installieren
  • würde die NSA wirklich einen Remotezugriff auf eine streng geheime Software zulassen? (aber die haben sich ja auch von einem kleinen Techniker den Fileserver lerrräumen lassen;-))
  • der Trailer verspricht eine etwas andere Story
  • der böse Hauptschurke war enttäuschend (wobei „Die Hard 4“ mit der Figur des Thomas Gabriel die Latte meines Erachtens sehr hoch gelegt hat)
  • das Finale war etwas krawallig und es war unglaubwürdig, dass bewaffnete Leute durch eine große Menschenmenge laufen können, ohne eine Panik zu erzeugen

Der Film folgt den üblichen Hollywod-Storywegen und ist deshalb kein „Hacker-Film“. Betrachtet man ihn als Action-Film mit Hacker-Elementen, dann ist er aber gute Unterhaltung. Er ist kein Blockbuster-Material wie Mission Impossible, aber solide Unterhaltung.

Was mir ganz gut gefiel: es gab zwischendurch ruhige Szenen, die dadurch besonders wirkten, weil in ihnen nicht gesprochen wurde.

Warum ist der Film nun so gnadenlos gefloppt? Auf IMDB gibt es mehrere Theorien dazu:

  • er trat gegen „American Sniper“ an und der scheint in den USA alle anderen Filme zu überrollen
  • Chris Hemsworth ist zwar als Thor bekannt („The Avengers“), aber er ist eben (noch) kein Zugpferd wie Tom Cruise oder Jason Statham
  • man nahm Chris Hemsworth den Hacker nicht ab
  • für einige Zuschauer war wohl unglaubwürdig, dass jemand ein guter Hacker und gut im Nahkampf ist
  • in der englsichen Fassung ist die Schwester wohl schwer zu verstehen
  • schlechte Kritiken haben potentielle Besucher dann abgeschreckt

Aber vielleicht haben die Zuschauer auch befürchtet (wie die uns begleitenden Damen), dass man im ganzen Film nur Leute vor Bildschirmen sieht.

Ich möchte auf den Punkt mit „man nahm ihm den Hacker nicht ab“ noch mal eingehen. Das erinnert mich ein bisschen an die Diskussion „ist Ben Affleck ein guter Batman“. Hier wird den Schauspielern gar nicht erst die Chance gegeben, die Zuschauer zu überzeugen; dumme Vorurteile eben.

Würde ich mir den Film noch einmal im Kino ansehen? Vermutlich nicht (dafür gibt es zu viele andere interessante Filme). Werde ich mir die DVD zulegen? Ja, denn ich sammle Filme mit „Hacking“ als Topic und da passt er rein.

Wenn man mit der richtigen Erwartungshaltung in den Film rein geht, dann wird man nicht enttäuscht werden; aber es reicht eventuell auch, wenn man sich die DVD zulegt.

Meine persönlichen Hacker-Filme bleiben „Hackers“, „Wargames“, „Takedown“ und „Whoami“ (und, ausser Konkurrenz, „Die Hard 4“;-)).

[1] http://wallutis.de/?p=1737

 

 

HBO – John Oliver

Eigentlich ist dieser Blog ja frei von Werbung, aber ab und zu gibt es Sachen, auf die muss man einfach aufmerksam machen.

Surft man auf YouTube (und da kann man sich schnell verlieren), findet man manches Interessante, viel (für mich) Uninteressantes und einen ganzen Haufen „WTF?“. Aber immer wieder gibt es wunderschöne Perlen zu finden und eine davon ist John Oliver. Er ist Moderator einer Sendung auf dem US-amerikanischen Bezahlsender HBO. Netterweise wird seine Show kostenlos in einem eigenen YouTube-Kanal bereitgestellt; wobei ich dafür sogar bezahlen würde.

John Oliver ist (soweit ich weiss) Engländer, der aber in den USA lebt(?) und arbeitet. Viele seiner Themen sind auf die USA bezogen, aber oft trotzdem interessant. Er kommentiert Dinge wie Kinder-Schönheitswettbewerbe, Nuklearwaffen und die Todesstrafe. Oftmals kann ich mich vor Lachen kaum halten; aber gleichzeitig transportiert er viele Infos, die so nicht in der Presse stehen.

Falls jemand z.B. Argumente gegen TTIP und die dort geplanten internationalen Schiedsgerichte sucht, dem empfehle ich die Sendung über Tabakkonzerne[1] (ca. ab Minute 8).

Der einzige Haken ist, dass die Sendungen nur auf Englisch sind; aber zumindest das ist sehr gut verständlich.

Und die Sendungen sind gut als kleiner Snack zwischendurch, da sie zwischen 3 und 20 Minuten lang sind.

[1] https://www.youtube.com/watch?v=6UsHHOCH4q8

Wenn ich jedes Mal einen Euro dafür bekommen würde…

Leider trifft man immer wieder auf Windows-Umgebungen (Active Directory), in denen User einen Account zum Arbeiten und zum Administrieren nutzen. Ich möchte jetzt gar nicht über die Gründe sprechen, die aus Security-Sicht dagegen sprechen. Aber während einer Exchange-Migration tritt dann immer wieder ein Problem auf…

Folgendes Szenario: der neue Server ist aufgebaut und es werden die ersten User migriert. Plötzlich melden sich einzelne User, bei  denen die Synchronisierung ihres Smartphones mit ihrem Postfach nicht mehr klappt[1]. Schaut man sich nun die betroffenen User an, stellt man fest dass sie Mitglied in einer oder mehrere administrativen Domänen-Gruppen sind. In diesem Fall greift etwas, dass unter dem Stichwort „AdminSDHolder“ bekannt ist. Um administrative Konten zu schützen, werden regelmäßig (jede Stunde) alle Konten auf diese Mitgliedschaft geprüft. Falls das betreffende Konto Mitglied z.B. in der Gruppe der Domänen-Administratoren ist, dann wird die Berechtigungsvererbung abgeschaltet. Das führt aber auch dazu, dass Exchange nun bestimmte Rechte auf dem User fehlen. Aber ohne diese Eintragung findet keine Erstsynchronisation statt…

Bei  der ersten Synchronisation mit dem neuen Server wird im Regelfall das Gerät im Benutzerkonto eingetragen. Fehlen Exchange aber die entsprechenden rechte, schlägt diese Eintragung fehl.

Was kann man da tun:

– kurzfristig: die Vererbung wieder einschalten. Siehe hierzu [2], [3] oder [4]

– langfristig: Administratoren müssen zwei Konten nutzen. Das mag unbequem sein, ist aber auch aus anderen Gründen sinnvoll. Und bei der Gelegenheit kann man ja auch mal schauen, ob wirklich für alle Mitglieder dieser Gruppen die Mitgliedschaft (noch) notwendig ist.

Wer sich für die Hintergründe interessiert, findet entweder unter den obigen Links etwas oder auch unter [5] bzw. [6].

Dieses Problem tritt immer wieder auf (bei einem Kunden war es schon unser running gag); daher also die Überschrift…

[1] Alternativ können sie sich auf dem neuen Server nicht an Outlook Web Access anmelden. Hier liegt es daran, dass man bei der ersten Anmeldung die bevorzugte Sprache und die Zeitzone angeben muss; das wird dann im Benutzerkonto vermerkt. Diese Eintragung schlägt aber fehl, weil Exchange die entsprechenden Rechte auf dem User fehlen.

[2] http://www.msxfaq.de/konzepte/adminsdholder.htm

[3] http://www.serverhowto.de/Der-AdminSDHolder.477.0.html

[4] http://blog.mrinas.de/2011/11/12/adminsdholder-oder-warum-habe-ich-keine-rechte/

[5] http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx

[6] http://policelli.com/blog/archive/2009/11/06/understanding-adminsdholder-and-protected-groups/

PS: wie immer gilt: für den Inhalt der externen Links bin ich nicht verantwortlich.