Es gibt Software, die bei der Installation einen Dienst installieren. Es kann also auch zu einer Anforderung beim Bau von Gruppenrichtlinien kommen, wo man Dienste administrieren soll, die auf dem System, von wo aus diese erstellt werden soll, nicht vorhanden ist.

Der Dienst muss in Gruppenrichtlinien nicht ausgewählt werden, sondern kann diesen auch per Tastatur definieren. Wichtig ist nur, dass man den Dienstnamen kennt und diesen entsprechend in der Gruppenrichtlinie verankern.

Dieses wird dann allerdings nicht unter den „Windows-Einstellungen / Sicherheitseinstellungen“ bei den „Systemdiensten“, sondern über die Gruppenrichtlinien-Einstellungen (GPP) durchgeführt.  Dort können Dienste auch händisch eingegeben werden.

Um die Berechtigungen für Anmeldeskripte zu vergeben muss der Bearbeiter das Recht des Schreibens im Ordner „Skripts“ unter dem „SYSVOL“ der Domäne.

Zwar wird das SYSVOL auf allen Domänencontrollern repliziert, was nicht für Berechtigungen gilt. Diese muss auf allen Domänencontrollern manuell eingetragen werden. Ansonsten ist der Zugriff für die berechtigten Administratoren nur auf dem angepassten Domänencontroller möglich.

Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen Tätigkeit. Entsprechend kann es zu möglichen Sicherheitslücken kommen, obwohl diese gar nicht eingeplant sind.

Wenn ein Benutzer zum Beispiel Mitglied der Gruppe  „Kontenoperator“ ist, ist es ihm möglich Passwörter zu zurückzusetzen. Das gilt allerdings dann auch für sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.

In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe „Kontenoperatoren“ oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung „Self“ die folgenden Rechte verweigert bekommen:

  • Reset Passwort
  • Write Accountexpires
  • Write UserAccountControl

Über die Anpassung des Rechtes „Reset Passwort“ kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurücksetzen als Beispiel auf den alten Stand.

Durch die Anpassung des Rechtes „Write Accountexpires“ wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberständig zu editieren.

Mit der Anpassung der Berechtigung „Write UserAccountControl“ wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr abläuft.

Mit diesen Maßnahme ist eine deutliche Verbesserung der Sicherheit für administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.

Da über eine IP-Adresse mehrere Remote-Systeme erreicht werden sollten, war es am einfachsten dieses über verschiedene Ports zu realisieren. Dieses ist über einen Registry-Eintrag sehr einfach möglich:

Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
Objekt: PortNumber
Objekttyp: REG_DWORD

Dort kann über den Radiobutton der Wert auf „Dezimal“ gesetzt werden und eine gewünschte Portnummer eingestellt werden.

Es ist natürlich zu beachten, dass beim Aufbau per „Remotedektopverbindung“ auch der Port angegeben werden muss und vielleicht auch entsprechende Firewallfreischaltungen notwendig sind.

Um Windows 8 sowie Windows Server 2012 auf einem Windows Server 2008 oder Windows Server 2008 R2 (und den jeweiligen Client-Editionen) zu aktivieren, ist ein zusätzlichen Hotfix und ein entsprechender KMS-Key erforderlich.

Nach der Installation des Updates KB2757817 und einem Reboot müssen die folgende Befehle zur Aktivierung des neuen Keys angewandt werden:

  • CSCRIPT %windir%\system32\slmgr.vbs /ipk
  • CSCRIPT %windir%\system32\slmgr.vbs /ato

Die Platzhalter sind selbstverständlich durch die eigenen Werte zu ersetzen.

Weitere Informationen hier

Von einem Server älteren Modells sind bei einer Daten-Migration einige Dateien und Ordner auf einen neuen Server migriert worden. Da allerdings ein paar wenige Applikationen auf dem alten Modell bis zu einem Versionswechsel vorgehalten werden müssen und diese entsprechend auch weiter wachsen, sollten die nicht mehr benötigte Verzeichnisse gelöscht werden.

Da die Applikationen über Freigaben auf den Server zugreifen war bis zur Abschaltung dieser es kein Problem Daten entsprechend abzulegen und zu verwalten. Aufgrund der gewachsenen Dateistruktur war es mir nicht auf Anhieb möglich die Dateien und Ordner zu löschen.

Dieses funktionierte nur über einen DOS-Befehl wie hier im Beispiel:

subst t: „c:\ordner1\ordner2\ordner3“

Entsprechend wurde der Ordner als Laufwerksbuchstaben t erstellt und man konnte auch in den tieferen Ebenen Dateien und Ordner löschen. Zum Aufheben des Laufwerks reicht der folgende Befehl:

subst t: /d

Bei neueren Betriebssystemen wie Windows Vista oder Windows Server 2008 und höher ist dieses Vorgehen ebenfalls möglich oder kann per GUI über die Datenträgerverwaltung durchgeführt werden.

In manchen Fällen macht es Sinn auf Druckservern mit Prioritäten zu arbeiten. Als Beispiel gibt es einen Farbdrucker auf dem auch große Präsentationen gedruckt werden. Nun kann es ohne Priorisierung dazu führen, dass eine Mail eines Kollegen hinter dem großen Auftrag ausgedruckt wird.

Als Lösungsansatz könnten zum Beispiel 2 Druckobjekte auf dem Druckserver, welche auf den selben Drucker verweisen, installiert werden, bei dem man einmal nur den schwarz-weiß-Ausdruck einstellt und bei dem anderen den farbigen Ausdruck.

Wenn nun der Drucker mit dem farbigen Ausdruck eine höher Zahl (99) und somit eine niedrigere Priorität erhält, werden die Ausdrucke im Spooler des Schwarz-Weiß-Druckers (1) bevorzugt behandelt.

Entsprechend ist die Mail des Kollegen schneller ausgedruckt als die große Präsentation. An der Ausdruckzeit selber, wenn der Druckauftrag an das Gerät versandt wurde, ändert diese Einstellung nichts.

Weitere Informationen:

Assigning different priority levels – hier

Set different print priority to different groups – hier