Der Windows Server 2012 bietet ein Dashboard, in dem man z.B. unterschiedliche Dienste und Server remote verwalten kann. Dieses ist auch für Windows Server 2008 und Windows Server 2008 R2 möglich, wenn 2 weitere Software-Produkte installiert werden:

  • Net.Framework 4.0
  • Windows Management Framework 3.0

Wenn diese Software installiert ist, muss nur noch das Remote Management lokal konfiguriert werden, damit auf den Server aus der Ferne zugegriffen werden kann. Dieses kann per folgenden Befehl in einer administrativen Eingabeaufforderung erfolgen:

Configure-SMRemoting.exe -enable

Nun muss das Dashboard nur noch mit dem Server verbunden werden.

Um Performance-Daten auf dem Windows Server 2012 erhalten zu können wird noch das Hotfix KB 2682011 benötigt. Dieses muss auf die Windows Server 2008 bzw. Windows Server 2008 R2 installiert werden.

Für Windows Server 2012 R2 (derzeit noch als Preview) sind die folgenden Software-Pakete erforderlich:

  • Net.Framework 4.5
  • Windows Management Framwork 4.0 (derzeit noch als Preview)

Weiterführende Links:

Net.Framework 4.0 hier
Net.Framework 4.5 hier
Windows Management Framework 3.0 hier
Windows Management Framework 4.0 hier
Performance Hotfix (KB 2682011) hier

Gestern musste ich mir die Frage stellen, wie ich denn durch eine .reg-Datei einen Eintrag löschen kann. Bis dato habe ich im Regelfall diese Dateien nur zum Hinzufügen von Schlüsseln oder Anpassungen von Werten benutzt. Ich suchte in meinen alten Aufzeichnungen und fand die Möglichkeit wieder.

Man muss einfach nur ein Minus-Zeichen hinter das Gleichheitszeichen setzen wie im folgenden Beispiel:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\DALECOM\Testing]
"Adminmodus"=-

Entsprechend wird der definierte Wert gelöscht.

In größeren Unternehmen gibt es im Regelfall nicht nur einen Administrator für die Active Directory, sondern mehrere. Es kann in diesem Zusammenhang auch schon mal zu Fehlern kommen, die kurzfristig analysiert werden müssen. Es gibt einen recht einfachen Weg herauszufinden, um zu ermitteln, wer das Objekt angelegt hat , in dem man sich den Besitzer des Objektes anschaut.

Sollte der Benutzer, welcher das Objekt angelegt hat nur über die Berechtigung „Konten-Operatoren“ oder noch dediziertere Rechte verfügen, wird das Attribut „Besitzer“ auf den Ersteller des Objektes gesetzt. Ist der Benutzer allerdings Mitglied in der Gruppe „Domänen-Admins“ oder „Organisations-Admins“, werden diese Gruppen als Besitzer eingetragen. 

Wird der Benutzeraccount des Erstellers gelöscht, bleibt weiterhin die SID des gelöschten Accounts am Objekt. Änderungen am Benutzeraccount können am Attribut „Besitzer“ nicht ermittelt werden.

Einen schnellen Weg eine Active Directory-Domäne bzw. eine neue Gesamtstruktur zu erstellen ist diese per Powershell zu aktivieren. Als erstes wird die Active Directory Domain Services-Rolle auf dem Server installiert ebenso wie der DNS-Server und auch die Gruppenrichtlinien-Verwaltung:

Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools

Hiermit wird der die Voraussetzungen zur Konfiguration der neuen Gesamtstruktur geschaffen sowie die benötigten Verwaltungstools installiert.

Als nächstes erfolgt die Installation der Active Directory-Gesamtstruktur

Install-ADDSForest -DomainName „testing.loc“ -DatabasePath „C:\Windows\NTDS“ -DomainMode Win2012 -DomainNetbiosName „TESTING“ -ForestMode Win2012 -LogPath „C:\Windows\NTDS“ -NoRebootOnCompletion -SafeModeAdministratorPassword (Read-Host -AsSecureString -Prompt “Enter Recovery Password”) -SkipPreChecks -SysvolPath „C:\Windows\SYSVOL“ -Force:$true

In dem Aufruf müssen nur die Einstellungen hinter dem Parameter „DomainName“ und „DomainNetbiosName“ angepasst werden.

Da ich diesen Aufruf regelmäßig in virtuellen Umgebungen benutze, fehlt in diesem String die Option „CreateDNSDelegation“. Mit dieser Angabe wird die DNS-Verwaltung dem im Active Directory Domain Services integrierten DNS-Server übergeben.

Diese Befehlszeile kann auch für ältere Domänenumgebungen genutzt werden, in dem die Optionen „ForestMode“ und „DomainMode“ entsprechend editiert werden.

Im Bereich der Programmierung, des Skriptings oder Verwaltung von Zugriffsberechtigungen werden regelmäßig zur eindeutigen Identifizierung SIDs verwandt, da der Anzeigename verändert werden kann und es somit Probleme entstehen können. Bei der Nutzung von SIDs ist die Bezeichnung des entsprechenden Objekts nicht relevant.

Hier eine Auflistung meiner meist genutzten SIDs:

  • S-1-1-0 = Jeder
  • S-1-5-2 = Netzwerk
  • S-1-5-4 = Interaktiv
  • S-1-5-14 = Terminaldienste-Anmeldung
  • S-1-5-18 = System
  • S-1-5-32-544 = Gruppe der Administratoren
  • S-1-5-32-545 = Gruppe der Benutzer
  • S-1-5-32-548 = Gruppe der Konten-Operatoren (auf Domänencontrollern)
  • S-1-5-32-550 = Gruppe der Server-Operatoren
  • S-1-5-32-550 = Gruppe der Druck-Operatoren
  • S-1-5-32-555 = Gruppe der Remote Desktop Benutzer
  • S-1-5-32-573 = Gruppe der Ereignisanzeigen-Leser
  • S-1-5-32-578 = Gruppe der Hyper-V-Administratoren
  • S-1-5-32-580 = Gruppe der Remote-Management-Benutzer

Die nun folgenden Nutzer werden vom Computer bzw. einer Domäne mit einem zusätzlichen String identifiziert, der durch einen Zufallsgenerator bereits bei der Installation des Systems erzeugt wird. Als Platzhalter für diesen Eintrag verwende ich „xxx“:

  • S-1-5-21-xxx-500 = Lokaler Administrator
  • S-1-5-21-xxx-512 = Gruppe der Domänen-Administratoren
  • S-1-5-21-xxx-513 = Gruppe der Domänen-Benutzer

Es gibt auch noch weitere Benutzer und Gruppen, die entsprechend nachgelesen werden können

Link

Wer bei Gruppenrichtlinien mit WMI-Filtern arbeiten möchte muss die Werte von „Version“ und „ProductType“ des WMI-Objektes „Win32_OperationSystem kennen. Aus diesem Grund zum schnellen Überblick hier eine Auflistung

Version:

  • 5.1 – Windows XP
  • 5.2 – Windows Server 2003
  • 6.0 – Windows Vista und Windows Server 2008
  • 6.1 – Windows 7 und Windows Server 2008 R2
  • 6.2 – Windows 8 und Windows Server 2012

Da aber der Versionsnummerierung 6.0 die Client und Serverbetriebssysteme unter einer Versionsnummer geführt wurden, muss seit dem auch der „ProductType“ ausgewertet werden.

  • 1 – Client
  • 2 – Domänencontroller
  • 3 – Server

Entsprechend gibt es die folgende Unterscheidung auf Client- bzw. Serverbetriebssystem anhand des Beispiels der Version 6.2.

Windows 8:

select * from Win32_OperatingSystem WHERE Version LIKE „6.2%“ and ProductType = „1“

Windows Server 2012:

select * from Win32_OperatingSystem WHERE Version LIKE „6.2%“ AND ( ProductType = „2“ or ProductType = „3“ )

Einige Applikationen unter Windows verewigen sich in der Registry. Dort kann es dann auch zu Fehlern kommen oder man möchte Werte schnell überprüfen. Ähnlich wie in Browsern kann man in der Registry auch Favoriten erstellen, um schneller an das gewünschte Ziel zu kommen. 

Die Favoriten werden benutzerabhängig in der Registry gespeichert unter dem folgenden Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites

Diese können somit dort exportiert und auch auf weiteren Systemen importiert und genutzt werden.

Eine weitere Verwendungsmöglichkeit wären sogenannte applikationsabhänige Registrykeys für den Support, die per Verteilung zum Beispiel per GPO oder Softwaremanagementsystemen zur Verfügung gestellt werden könnten, um Probleme schneller zu beheben oder auf wichtige Registrywerte schneller zugreifen zu können.  

So könnte man eine GPO mit einer Active Directory-Gruppe verknüpfen und sogar per WMI-Filter angepasst auf Computersysteme verteilen, so dass der Supporter, wenn die entsprechende Applikation, welche im WMI-Filter definiert ist, auf dem System installiert ist, zentral bereits die entsprechenden Favoriten zur Verfügung gestellt bekommt. Somit ist das „Durchwandern“ der Registry einfacher und effektiver gestaltet.