Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen Tätigkeit. Entsprechend kann es zu möglichen Sicherheitslücken kommen, obwohl diese gar nicht eingeplant sind.

Wenn ein Benutzer zum Beispiel Mitglied der Gruppe  “Kontenoperator” ist, ist es ihm möglich Passwörter zu zurückzusetzen. Das gilt allerdings dann auch für sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.

In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe “Kontenoperatoren” oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung “Self” die folgenden Rechte verweigert bekommen:

  • Reset Passwort
  • Write Accountexpires
  • Write UserAccountControl

Über die Anpassung des Rechtes “Reset Passwort” kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurücksetzen als Beispiel auf den alten Stand.

Durch die Anpassung des Rechtes “Write Accountexpires” wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberständig zu editieren.

Mit der Anpassung der Berechtigung “Write UserAccountControl” wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr abläuft.

Mit diesen Maßnahme ist eine deutliche Verbesserung der Sicherheit für administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.

Da über eine IP-Adresse mehrere Remote-Systeme erreicht werden sollten, war es am einfachsten dieses über verschiedene Ports zu realisieren. Dieses ist über einen Registry-Eintrag sehr einfach möglich:

Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
Objekt: PortNumber
Objekttyp: REG_DWORD

Dort kann über den Radiobutton der Wert auf “Dezimal” gesetzt werden und eine gewünschte Portnummer eingestellt werden.

Es ist natürlich zu beachten, dass beim Aufbau per “Remotedektopverbindung” auch der Port angegeben werden muss und vielleicht auch entsprechende Firewallfreischaltungen notwendig sind.

Um Windows 8 sowie Windows Server 2012 auf einem Windows Server 2008 oder Windows Server 2008 R2 (und den jeweiligen Client-Editionen) zu aktivieren, ist ein zusätzlichen Hotfix und ein entsprechender KMS-Key erforderlich.

Nach der Installation des Updates KB2757817 und einem Reboot müssen die folgende Befehle zur Aktivierung des neuen Keys angewandt werden:

  • CSCRIPT %windir%\system32\slmgr.vbs /ipk
  • CSCRIPT %windir%\system32\slmgr.vbs /ato

Die Platzhalter sind selbstverständlich durch die eigenen Werte zu ersetzen.

Weitere Informationen hier

Von einem Server älteren Modells sind bei einer Daten-Migration einige Dateien und Ordner auf einen neuen Server migriert worden. Da allerdings ein paar wenige Applikationen auf dem alten Modell bis zu einem Versionswechsel vorgehalten werden müssen und diese entsprechend auch weiter wachsen, sollten die nicht mehr benötigte Verzeichnisse gelöscht werden.

Da die Applikationen über Freigaben auf den Server zugreifen war bis zur Abschaltung dieser es kein Problem Daten entsprechend abzulegen und zu verwalten. Aufgrund der gewachsenen Dateistruktur war es mir nicht auf Anhieb möglich die Dateien und Ordner zu löschen.

Dieses funktionierte nur über einen DOS-Befehl wie hier im Beispiel:

subst t: “c:\ordner1\ordner2\ordner3″

Entsprechend wurde der Ordner als Laufwerksbuchstaben t erstellt und man konnte auch in den tieferen Ebenen Dateien und Ordner löschen. Zum Aufheben des Laufwerks reicht der folgende Befehl:

subst t: /d

Bei neueren Betriebssystemen wie Windows Vista oder Windows Server 2008 und höher ist dieses Vorgehen ebenfalls möglich oder kann per GUI über die Datenträgerverwaltung durchgeführt werden.

In manchen Fällen macht es Sinn auf Druckservern mit Prioritäten zu arbeiten. Als Beispiel gibt es einen Farbdrucker auf dem auch große Präsentationen gedruckt werden. Nun kann es ohne Priorisierung dazu führen, dass eine Mail eines Kollegen hinter dem großen Auftrag ausgedruckt wird.

Als Lösungsansatz könnten zum Beispiel 2 Druckobjekte auf dem Druckserver, welche auf den selben Drucker verweisen, installiert werden, bei dem man einmal nur den schwarz-weiß-Ausdruck einstellt und bei dem anderen den farbigen Ausdruck.

Wenn nun der Drucker mit dem farbigen Ausdruck eine höher Zahl (99) und somit eine niedrigere Priorität erhält, werden die Ausdrucke im Spooler des Schwarz-Weiß-Druckers (1) bevorzugt behandelt.

Entsprechend ist die Mail des Kollegen schneller ausgedruckt als die große Präsentation. An der Ausdruckzeit selber, wenn der Druckauftrag an das Gerät versandt wurde, ändert diese Einstellung nichts.

Weitere Informationen:

Assigning different priority levels – hier

Set different print priority to different groups – hier

Der Windows Server 2012 bietet ein Dashboard, in dem man z.B. unterschiedliche Dienste und Server remote verwalten kann. Dieses ist auch für Windows Server 2008 und Windows Server 2008 R2 möglich, wenn 2 weitere Software-Produkte installiert werden:

  • Net.Framework 4.0
  • Windows Management Framework 3.0

Wenn diese Software installiert ist, muss nur noch das Remote Management lokal konfiguriert werden, damit auf den Server aus der Ferne zugegriffen werden kann. Dieses kann per folgenden Befehl in einer administrativen Eingabeaufforderung erfolgen:

Configure-SMRemoting.exe -enable

Nun muss das Dashboard nur noch mit dem Server verbunden werden.

Um Performance-Daten auf dem Windows Server 2012 erhalten zu können wird noch das Hotfix KB 2682011 benötigt. Dieses muss auf die Windows Server 2008 bzw. Windows Server 2008 R2 installiert werden.

Für Windows Server 2012 R2 (derzeit noch als Preview) sind die folgenden Software-Pakete erforderlich:

  • Net.Framework 4.5
  • Windows Management Framwork 4.0 (derzeit noch als Preview)

Weiterführende Links:

Net.Framework 4.0 hier
Net.Framework 4.5 hier
Windows Management Framework 3.0 hier
Windows Management Framework 4.0 hier
Performance Hotfix (KB 2682011) hier

Gestern musste ich mir die Frage stellen, wie ich denn durch eine .reg-Datei einen Eintrag löschen kann. Bis dato habe ich im Regelfall diese Dateien nur zum Hinzufügen von Schlüsseln oder Anpassungen von Werten benutzt. Ich suchte in meinen alten Aufzeichnungen und fand die Möglichkeit wieder.

Man muss einfach nur ein Minus-Zeichen hinter das Gleichheitszeichen setzen wie im folgenden Beispiel:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\DALECOM\Testing]
"Adminmodus"=-

Entsprechend wird der definierte Wert gelöscht.