Da über eine IP-Adresse mehrere Remote-Systeme erreicht werden sollten, war es am einfachsten dieses über verschiedene Ports zu realisieren. Dieses ist über einen Registry-Eintrag sehr einfach möglich:

Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
Objekt: PortNumber
Objekttyp: REG_DWORD

Dort kann über den Radiobutton der Wert auf “Dezimal” gesetzt werden und eine gewünschte Portnummer eingestellt werden.

Es ist natürlich zu beachten, dass beim Aufbau per “Remotedektopverbindung” auch der Port angegeben werden muss und vielleicht auch entsprechende Firewallfreischaltungen notwendig sind.

Es gibt Tage, da lässt man für einen Download oder Abarbeitung eines Skriptes sein Windows 7-System auch in Abwesenheit des Benutzers laufen. Da kann es nach Patchdays von Microsoft schon mal dazu führen, dass trotz offener Programme im Benutzeraccount und Kontext das System neugestartet wird.

Dieses kann über folgenden Registry-Key verhindert werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update
Objekt: NoAutoReBootWithLoggedOnUsers
Objekttyp: REG_DWORD
Value: 0×00001

Auf Stand-Alone-Systemen ohne WSUS Anbindung bzw. konfigurierter Gruppenrichtlinie für Windows Update muss der Schlüssel “Windows Update” und das Objekt “NoAutoReBootWithLoggedOnUsers” neu angelegt werden.

Nun wird es zu keinem Neustart mehr kommen, wenn ein Benutzer angemeldet ist.

Dasselbe Vorgehen habe ich bereits vor längerer Zeit für meine Testumgebungen eingestellt, wo mich die Meldung, dass das System in 5 Minuten neugestartet wird, störte und ich diese deaktivieren wollte. Lesen sie hier

Gestern musste ich mir die Frage stellen, wie ich denn durch eine .reg-Datei einen Eintrag löschen kann. Bis dato habe ich im Regelfall diese Dateien nur zum Hinzufügen von Schlüsseln oder Anpassungen von Werten benutzt. Ich suchte in meinen alten Aufzeichnungen und fand die Möglichkeit wieder.

Man muss einfach nur ein Minus-Zeichen hinter das Gleichheitszeichen setzen wie im folgenden Beispiel:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\DALECOM\Testing]
"Adminmodus"=-

Entsprechend wird der definierte Wert gelöscht.

Man sitzt ausserhalb des eigenen Netzwerkes und möchte eine Verbindung in das Internet aufbauen. Man erhält die Information, dass man dazu einen Proxy-Server mit Authentifizierung nutzen muss. Dieser Eintrag ist über die Internetoptionen und den Verbindungs-LAN-Einstellungen schnell erledigt.

Nun erscheint aber keine Authentifizerungsmaske, um Benutzerdaten zur Autorisation einzugeben, sondern eine Webseite, dass man keie erlaubten Benutzerdaten verwendet. Das bedeutet, dass der Browser versucht sich, mit den am System angemeldeten Benutzer und dessen Daten, am Proxy-Server zu authentifizieren und daran scheitert.

Nun muss man die automatische Benutzerdatenübergabe deaktivieren. Dieses funktioniert unter:

Extras – Internetoptionen – Erweitert – Sicherheit – Integrierte Windows-Authentifizierung aktivieren

Anschließend ist ein Neustart des Systems erforderlich.

In manchen Systemen ist es nicht möglich die Registerkarte “Erweitert” zu editieren. Dann kann probiert werden, ob eine Anpassung der Registry und des folgenden Wertes möglich ist:

Pfad: HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Objekt: EnableNegotiate
Objekttyp: REG_DWORD
Value: 0×00000

Mit diesen Angaben wird die Authentifizierung ebenfalls deaktiviert. Auch hierbei ist eine Abmeldung erforderlich, wobei der entsprechende Eintrag durch eine Gruppenrichtlinie überschrieben werden kann.

In vielen größeren IT-Landschaften werden zentrale Tools zur Verteilung von Software und auch Treiber genutzt. Mit den beiden folgend benannten Tools können Treiber heruntergeladen und zum Beispiel auf einem Netzwerklaufwerk für Installation zur Verfügung gestellt werden.

  • ThinkVantage Update Retriever
  • HP SoftPaq Download Manager

Mit diesen Tool kann über die Identifikationsnummer des Modells die erforderlichen Treiber geladen werden. Ein direktes Auspacken der komprimierten Dateien ist ebenfalls möglich. So kann direkt auf die Daten zur Aktualisierung von Treibern zu gegriffen werden.

Dieses funktioniert auch für Installation, wenn Windows nicht selbständig einen Treiber findet, aber auf ein definiertes Netzwerklaufwerk zugegriffen werden kann.

Weitere Informationen:
ThinkVantage Update Retriever
HP SoftPaq Download Manager

Aufgrund mehrerer neu definierten Gruppenrichtlinie dauerte die Anmeldung bei den Clientsystemen unerwartet lang. Entsprechend wollte ich natürlich herausbekommen, warum dieses passierte.

Entsprechend musste als erstes ein neuer Schlüssel angelegt werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Schlüssel: Diagnostics

Unter dem Schlüssel “Diagnostics” muss der folgende Wert definiert werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
Objekt: GPSvcDebugLevel
Objekttyp: REG_DWORD
Value: 0×30002

Anschließend muss auch ein Ordner neu angelegt werden:

Pfad: %windir%\debug\ (z.B. C:\Windows\debug\)
Ordner: usermode

In diesem Ordner wird die Datei “gpsvc.log” abgelegt.

Zur Analyse habe ich die Tools “PolicyReporter” und “GPLogView” genutzt, welches die Log-Datei bzw. Die Einträge im Eventlog in eine angenehm lesbare Form darstellt.

Weitere Links:
PolicyReporter
GPLogView

Wenn man die Bitlocker-Wiederherstellungsschlüssel in der Domäne speichert, kann es zu dem Fall kommen, dass ein Computerobjekt keinen Schlüssel zur Verfügung hat, obwohl das System selber sich trotzdem in der Domäne befindet.

Meistens passiert dieses, wenn ein Rechner-Objekt in der Domäne gelöscht wird und wieder aufgenommen wird. Bei der Domänenaufnahme wird der Bitlockerschlüssel nicht wieder an den Domänencontroller übergeben. Dieses kann aber durch ein VBS-Skript durchgeführt werden. 

Ich veröffentliche hier das Skript unter Nutzung von “Deutsch” als Displaysprache. Das von Microsoft verfügbare Skript ist auf Englisch ausgelegt und wurde von mir angepasst.

    Option Explicit
 
    Dim strNumericalKeyID
    Dim strManageBDE,strManageBDE2
    Dim oShell
    Dim StrPath
    Dim StdOut, strCommand
    Dim Result, TPM, strLine
    Dim Flag, NumericalKeyID
 
    Set oShell = CreateObject("WSCript.Shell")
 
    strManageBDE = "Manage-BDE.exe -protectors -get c:"
 
    Flag = False
 
    Set Result = oShell.Exec(strManageBDE)
 
    Set TPM = Result.StdOut
 
    While Not TPM.AtEndOfStream
       strLine = TPM.ReadLine  'Sets strLine
       If InStr(strLine, "Numerisches Kennwort:") Then  
        Flag = True
       End If
       If Flag = True Then
         If InStr(strLine, "ID:") Then 
          NumericalKeyID = Trim(strLine)
          NumericalKeyID = Right(NumericalKeyID, Len(NumericalKeyID)-4)
          Flag = False
         End If
       End If
    Wend
 
    strManageBDE2 = "Manage-BDE.exe -protectors -adbackup C: -ID " & NumericalKeyID
    oShell.Run strManageBDE2, 0, True

Dieses Skript kann auch automatisiert regelmäßig ausgeführt werden, da der Wiederherstellungsschlüssel mit dem entsprechenden Datum seiner Erstellung in der AD gespeichert wird und nicht bei jeder Übermittlung des entsprechenden Wertes. Somit kann eine Ablage dieses wichtigen Objektes in der Active Directory gewährleistet werden ohne zusätzliches Datenvolumen in der AD aufzubauen.