Internet Explorer – Zeichenbegrenzung bei Proxy-Bypass-Adressen

Seit ich in der IT tĂ€tig bin, kenne ich die Proxy-Ausnahmen im Internet Explorer. In der frĂŒhen Vergangenheit haben viele auf sogenannte PAC-Dateien umgestiegen. Dabei wir die Steuerung in eine Datei ausgelagert, die um einiges flexibler ist als das starre Konstrukt in der Applikation selber.

Nun zum eigentlichen Thema zurĂŒck:
Bei neuen Benutzerprofilen fiel auf, dass das komplette Proxy-Setting beim Öffnen des Browsers gelöscht wird. Somit war fĂŒr den Kunden kein Internetzugriff möglich. Bei vorhandenen Profilen trat dieses Problem nicht auf. Wir konnten uns dieses im ersten Moment nicht erklĂ€ren. Nach einigen Testreihen fiel uns auf, dass die vorhandene Proxy-Bypass-Liste nicht mit der aktuell in der Verteilung befindlichen Sammlung ĂŒbereinstimmt.

Wir stellten fest, dass nach dem Start des Internet Explorers scheinbar auf eine alte Liste zurĂŒckgegriffen wird. Aus der Vergangenheit wusste ist, dass der Browser eine Speicherung von Netzwerkdaten der letzten erfolgreichen Verbindung vorhĂ€lt. Dieses war auch an dem Verhalten bei vorhanden Profilen erkennbar. Die selbe Technik wurde bei den neuen Profilen angewandt. Allerdings gab es hier nur eine gespeicherte „erfolgreiche“ Verbindung ohne Proxy-Einstellungen. Aus diesem Grund sah es leider so aus, als ob beim Start des Browsers Internet Explorer die Proxy-Daten gelöscht werden.

Das eigentliche Problem bestand in der Anzahl der verteilten Proxyausnahmen. Im Laufe der Zeit wurden immer wieder Adressen hinzugefĂŒgt und wir kamen ĂŒber die Grenze von 2064 Zeichen. Eine PrĂŒfung ob wir ein Problem mit 2048 Zeichen hatten, wurde vorgenommen. Dass einem aber eine entsprechend unĂŒbliche Zahl ein Problem verursacht, war mir noch nicht bekannt.

Den genauen Sachverhalt ist aus diesem Microsoft-Artikel zu entnehmen.

Termine des Microsoft Patchdays 2019

Im Standard veröffentlicht der Hersteller Microsoft jeden 2ten Dienstag im Monat seine Aktualisierungen. Durch diese Vorgabe entstehen folgende Termine fĂŒr das Jahr 2019:

  • 08. Januar
  • 12. Februar
  • 12. MĂ€rz
  • 09. April
  • 14. Mai
  • 11. Juni
  • 09.Juli
  • 13. August
  • 10. September
  • 08. Oktober
  • 12. November
  • 10.Dezember

Außerdem ist zu beachten, dass am 14.01.2020 der Support fĂŒr das Betriebssystem Windows 7 eingestellt wird. Somit hat man nun noch ein Jahr Zeit, um sich um eine Ablösung zu kĂŒmmern.

Export von AD-Gruppenmitgliedern mit Informationen

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. HÀufig werden weitere Daten benötigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen benötigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung fĂŒr die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese mĂŒssen nach Installation der passenden MSI ĂŒber „Programme und Features“ aktiviert werden. Anschließend sollte noch der DomĂ€nencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster geöffnet in dem der benötigte Gruppenname eingetragen wird. Anschließend wird eine Liste im Dokumente-Ordner des ausfĂŒhrenden Benutzers erstellt. Diese enthĂ€lt in dieser AusfĂŒhrung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Modusabfrage zur GPO-Loopback-Verarbeitung

In manchen DomÀnen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese FunktionalitÀt an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""ZusammenfĂŒhren (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

  • Wert: 1 = Modus „ZusammenfĂŒhren (Merge) aktiviert
  • Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
  • Kein Wert = Loopback-Verarbeitung deaktiviert

Passworteingabe beim Bildschirmschoner verzögern

Wer kennt es nicht, dass man in einem GesprĂ€ch, einer Telefonkonferenz ist oder mit analogem Lesen oder Schreiben vor dem Arbeitsplatz-System sitzt. Dabei springt nach einer vordefinierten Zeit der Bildschirmschoner an und schon muss das Passwort fĂŒr den Benutzer wieder eingegeben werden.

Dieses kann mit einem Registry ein wenig feier justiert werden:

Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: ScreenSaverGracePeriod
Typ: REG_DWORD
Wert: 0x0000000a (10)

Der Wert gibt die Anzahl Sekunden an, zu denen man durch eine Mausbewegung oder Druck auf die Tastatur noch den Bildschirmschoner ohne Passwort entsperren kann.

Registrydaten mit Schreibdatum ausdrucken

Unter Windows ist es auch möglich die Registry auszudrucken. Dieses ist bestimmt keine besonders interessante FunktionalitÀt.

Wenn man sich allerdings das Ergebnis des Ausdrucks anschaut, kann man eine recht nĂŒtzliche Information im Falle einer Fehleranalyse erhalten: Letzter Schreibzugriff

Zwar sieht man nicht welcher Wert geÀndert wurde, allerdings wird am Pfad dargestellt, wann das letzte  Mal in diesem eine VerÀnderung vorgenommen wurde. Dieses kann ebenfalls ein kleiner Baustein im Fehlerfall zu einer Lösung sein.

Mit einem Drucker wie dem „PDFCreator“ oder dem Microsoft XPS Document Writer“ können die generierten Daten auch in eine Datei umgewandelt werden.

Endungen von servergespeicherte Profile

Seit Windows 7 werden servergespeicherte Profile fĂŒr jede Betriebssystemversion getrennt voneinander betrachtet:

  • Windows 7 / Windows Server 2008 R2 verwendet die Erweiterung .V2
  • Windows 8 / Windows Server 2012 verwendet die Erweiterung .V3
  • Windows 8.1 / Windows Server 2012 R2 verwendet die Erweiterung .V4
  • Windows 10 verwendet die Erweiterung .V5
  • Windows 10 Anniversary Edition / Windows Server 2016 verwendet die Erweiterung .V6

Somit können sich Fehler nicht von einem zum anderen Build verteilen.