IE: Automatische Browseranmeldung behindert Proxy

Man sitzt ausserhalb des eigenen Netzwerkes und möchte eine Verbindung in das Internet aufbauen. Man erhält die Information, dass man dazu einen Proxy-Server mit Authentifizierung nutzen muss. Dieser Eintrag ist über die Internetoptionen und den Verbindungs-LAN-Einstellungen schnell erledigt.

Nun erscheint aber keine Authentifizerungsmaske, um Benutzerdaten zur Autorisation einzugeben, sondern eine Webseite, dass man keie erlaubten Benutzerdaten verwendet. Das bedeutet, dass der Browser versucht sich, mit den am System angemeldeten Benutzer und dessen Daten, am Proxy-Server zu authentifizieren und daran scheitert.

Nun muss man die automatische Benutzerdatenübergabe deaktivieren. Dieses funktioniert unter:

Extras – Internetoptionen – Erweitert – Sicherheit – Integrierte Windows-Authentifizierung aktivieren

Anschließend ist ein Neustart des Systems erforderlich.

In manchen Systemen ist es nicht möglich die Registerkarte “Erweitert” zu editieren. Dann kann probiert werden, ob eine Anpassung der Registry und des folgenden Wertes möglich ist:

Pfad: HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Objekt: EnableNegotiate
Objekttyp: REG_DWORD
Value: 0×00000

Mit diesen Angaben wird die Authentifizierung ebenfalls deaktiviert. Auch hierbei ist eine Abmeldung erforderlich, wobei der entsprechende Eintrag durch eine Gruppenrichtlinie überschrieben werden kann.

Treiber herunterladen für Lenovo und HP

In vielen größeren IT-Landschaften werden zentrale Tools zur Verteilung von Software und auch Treiber genutzt. Mit den beiden folgend benannten Tools können Treiber heruntergeladen und zum Beispiel auf einem Netzwerklaufwerk für Installation zur Verfügung gestellt werden.

  • ThinkVantage Update Retriever
  • HP SoftPaq Download Manager

Mit diesen Tool kann über die Identifikationsnummer des Modells die erforderlichen Treiber geladen werden. Ein direktes Auspacken der komprimierten Dateien ist ebenfalls möglich. So kann direkt auf die Daten zur Aktualisierung von Treibern zu gegriffen werden.

Dieses funktioniert auch für Installation, wenn Windows nicht selbständig einen Treiber findet, aber auf ein definiertes Netzwerklaufwerk zugegriffen werden kann.

Weitere Informationen:
ThinkVantage Update Retriever
HP SoftPaq Download Manager

Gruppenrichtlinien auf Client analysieren

Aufgrund mehrerer neu definierten Gruppenrichtlinie dauerte die Anmeldung bei den Clientsystemen unerwartet lang. Entsprechend wollte ich natürlich herausbekommen, warum dieses passierte.

Entsprechend musste als erstes ein neuer Schlüssel angelegt werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Schlüssel: Diagnostics

Unter dem Schlüssel “Diagnostics” muss der folgende Wert definiert werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
Objekt: GPSvcDebugLevel
Objekttyp: REG_DWORD
Value: 0×30002

Anschließend muss auch ein Ordner neu angelegt werden:

Pfad: %windir%\debug\ (z.B. C:\Windows\debug\)
Ordner: usermode

In diesem Ordner wird die Datei “gpsvc.log” abgelegt.

Zur Analyse habe ich die Tools “PolicyReporter” und “GPLogView” genutzt, welches die Log-Datei bzw. Die Einträge im Eventlog in eine angenehm lesbare Form darstellt.

Weitere Links:
PolicyReporter
GPLogView

VBS: Bitlocker-Key erneut in AD speichern

Wenn man die Bitlocker-Wiederherstellungsschlüssel in der Domäne speichert, kann es zu dem Fall kommen, dass ein Computerobjekt keinen Schlüssel zur Verfügung hat, obwohl das System selber sich trotzdem in der Domäne befindet.

Meistens passiert dieses, wenn ein Rechner-Objekt in der Domäne gelöscht wird und wieder aufgenommen wird. Bei der Domänenaufnahme wird der Bitlockerschlüssel nicht wieder an den Domänencontroller übergeben. Dieses kann aber durch ein VBS-Skript durchgeführt werden. 

Ich veröffentliche hier das Skript unter Nutzung von “Deutsch” als Displaysprache. Das von Microsoft verfügbare Skript ist auf Englisch ausgelegt und wurde von mir angepasst.

    Option Explicit
 
    Dim strNumericalKeyID
    Dim strManageBDE,strManageBDE2
    Dim oShell
    Dim StrPath
    Dim StdOut, strCommand
    Dim Result, TPM, strLine
    Dim Flag, NumericalKeyID
 
    Set oShell = CreateObject("WSCript.Shell")
 
    strManageBDE = "Manage-BDE.exe -protectors -get c:"
 
    Flag = False
 
    Set Result = oShell.Exec(strManageBDE)
 
    Set TPM = Result.StdOut
 
    While Not TPM.AtEndOfStream
       strLine = TPM.ReadLine  'Sets strLine
       If InStr(strLine, "Numerisches Kennwort:") Then  
        Flag = True
       End If
       If Flag = True Then
         If InStr(strLine, "ID:") Then 
          NumericalKeyID = Trim(strLine)
          NumericalKeyID = Right(NumericalKeyID, Len(NumericalKeyID)-4)
          Flag = False
         End If
       End If
    Wend
 
    strManageBDE2 = "Manage-BDE.exe -protectors -adbackup C: -ID " & NumericalKeyID
    oShell.Run strManageBDE2, 0, True

Dieses Skript kann auch automatisiert regelmäßig ausgeführt werden, da der Wiederherstellungsschlüssel mit dem entsprechenden Datum seiner Erstellung in der AD gespeichert wird und nicht bei jeder Übermittlung des entsprechenden Wertes. Somit kann eine Ablage dieses wichtigen Objektes in der Active Directory gewährleistet werden ohne zusätzliches Datenvolumen in der AD aufzubauen.

Definition des “Leerlaufs” nach Microsoft

Aufgrund einer Anforderung in einem Kundenprojekt durfte ich mich in der letzten Woche mit dem Thema “Leerlauf” beschäftigen. Eigentlich sollte ein Programm mit gewissen Parametern ausgeführt werden, wenn das System sich im Leerlauf befindet. Dieses sollte über die Aufgabenplanung realisiert werden. Hörte sich nach einer lösbaren Aufgabe an, was sich allerdings schnell zu einer Herausforderung entwickelte.

Bei der Bezeichnung “Leerlauf” war ich davon ausgegangen, dass es sich der Rechner im Leerlauf befindet, wenn er nach einer kurzen Zeit merkt, dass derzeit nichts zu tun ist. Leider ist es laut Microsoft-Definition etwas komplexer.

Zur Ermittlung des Leerlaufs überprüft der Aufgabenplanungsdienst alle 15 Minuten, ob das System sich im Leerlauf-Modus befindet. Als erstes Kriterium wird ermittelt, ob der Bildschirmschoner gestartet ist. Sollte dieses nicht der Fall sein, kann ein Leerlaufzustand ermittelt werden, wenn innerhalb der letzten 15 Minuten in einem Zeitraum von 90 Prozent keine CPU-Last und keine Schreib- oder Lesezugriffe auf der Festplatte stattgefunden haben. Desweiteren dürften weder Tastatur noch Mauseingaben oder Mausbewegungen stattgefunden haben.

Somit ist es ohne Bildschirmschoner gar nicht so einfach einen Leerlauf zu erreichen. Ausserdem gibt es heute viele Programme, die im Hintergrund doch regelmäßig auf die Festplatte zugreifen wie zum Beispiel der Indizierungsdienst von Windows Desktop Search.

Für weitere Informationen zum Thema bitte hier klicken:
Link

WMI: Versionen und ProductType von Win32_OperatingSystem

Wer bei Gruppenrichtlinien mit WMI-Filtern arbeiten möchte muss die Werte von “Version” und “ProductType” des WMI-Objektes “Win32_OperationSystem kennen. Aus diesem Grund zum schnellen Überblick hier eine Auflistung

Version:

  • 5.1 – Windows XP
  • 5.2 – Windows Server 2003
  • 6.0 – Windows Vista und Windows Server 2008
  • 6.1 – Windows 7 und Windows Server 2008 R2
  • 6.2 – Windows 8 und Windows Server 2012

Da aber der Versionsnummerierung 6.0 die Client und Serverbetriebssysteme unter einer Versionsnummer geführt wurden, muss seit dem auch der “ProductType” ausgewertet werden.

  • 1 – Client
  • 2 – Domänencontroller
  • 3 – Server

Entsprechend gibt es die folgende Unterscheidung auf Client- bzw. Serverbetriebssystem anhand des Beispiels der Version 6.2.

Windows 8:

select * from Win32_OperatingSystem WHERE Version LIKE “6.2%” and ProductType = “1″

Windows Server 2012:

select * from Win32_OperatingSystem WHERE Version LIKE “6.2%” AND ( ProductType = “2″ or ProductType = “3″ )

Registry-Favoriten können hilfreich sein

Einige Applikationen unter Windows verewigen sich in der Registry. Dort kann es dann auch zu Fehlern kommen oder man möchte Werte schnell überprüfen. Ähnlich wie in Browsern kann man in der Registry auch Favoriten erstellen, um schneller an das gewünschte Ziel zu kommen. 

Die Favoriten werden benutzerabhängig in der Registry gespeichert unter dem folgenden Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites

Diese können somit dort exportiert und auch auf weiteren Systemen importiert und genutzt werden.

Eine weitere Verwendungsmöglichkeit wären sogenannte applikationsabhänige Registrykeys für den Support, die per Verteilung zum Beispiel per GPO oder Softwaremanagementsystemen zur Verfügung gestellt werden könnten, um Probleme schneller zu beheben oder auf wichtige Registrywerte schneller zugreifen zu können.  

So könnte man eine GPO mit einer Active Directory-Gruppe verknüpfen und sogar per WMI-Filter angepasst auf Computersysteme verteilen, so dass der Supporter, wenn die entsprechende Applikation, welche im WMI-Filter definiert ist, auf dem System installiert ist, zentral bereits die entsprechenden Favoriten zur Verfügung gestellt bekommt. Somit ist das “Durchwandern” der Registry einfacher und effektiver gestaltet.