Monat: Oktober 2015

Mit Server 2016 Member of mit ttl

In Windows Server 2016 wird es möglich sein (sobald der Domain Funktion Level auf 2016 steht) User nur temporär in eine Gruppe aufzunehmen. Sobald die TTL des Eintrags erreicht ist, wird der User wieder aus der Gruppe entfernt. Leider lässt sich das aktuell in der Technikal Preview nur über die Powershell steuern, aber so langsam sollte auch der letze WindowsAdmin damit familiär geworden sein 😉

Das Feature muss erst von Hand aktiviert werden. Ob dies bei euch möglich ist findet Ihr mit dem cmdlet Get-ADOptionalFeature heraus. Mit dieem könnt Ihr zum Beispiel auch den AD Papierkorb anschalten (DFL2008).

Was mir an diesem Feature besonders gut gefällt, ist das Kerberos die TTL ausließt und auch wirklich die SID aus dem Kerberos Token entfernt wenn diese abgelaufen ist (Sonst wäre die Berechtigung ja bis zum nächsten Abmeldung / oder bis das Kerberos Ticket abläuft aktiv).

Sobald ich etwas mehr Zeit habe, werde ich dies mal in meiner Testumgebung ordentlich testen und dokumentieren.

auf bald…