Kategorie: Server

Group Policy Preferences fĂĽr WinXP, Vista & 2003

Posted on By Daniel Lensing Keine Kommentare zu Group Policy Preferences fĂĽr WinXP, Vista & 2003

Da aufgrund des auslaufenden Supportes nicht nur Windows XP, sondern auch nach und nach Windows Server 2003 in den Infrastrukturumgebungen aufgelöst werden, ist es wahrscheinlich, dass auch die Domänenfunktionsebenen dem neu eingesetzten Betriebssystem angepasst werden. Entsprechend sind auch neue Funktionen zur Verfügung wie unter anderem der AD-Papierkorb.

Eine Option, welche direkt nach der Anhebung der Domänenfunktionsebene aktiv ist, sind die „Group Policy Preferences“ (GPP) mit denen Drucke, Laufwerke, Registrykeys, Benutzer und vieles weiter bearbeitet werden kann. Dieses kann auch fĂĽr Windows XP, Windows Vista und Windows Server 2003 genutzt werden, allerdings nicht ohne der Installation eines Addons durch ein Microsoft KB.

Mit diesem werden die Gruppenrichtlinieneinstellungs-Clienterweiterungen installiert und aktiviert. Entsprechend können auch die vorher genannten Betriebssysteme die Einstellungen verarbeiten

Weitere Informationen: Link

Windows Server, Windows Vista, Windows XP

SYSVOLREADY – Wenn der DC zu schnell startet

Posted on By Daniel Lensing Keine Kommentare zu SYSVOLREADY – Wenn der DC zu schnell startet

Bei einer Domänencontroller-Migration passierte für mich etwas ungewöhnliches. Der Domänencontroller war hinzugefügt und die Betriebsmasterrolen übertragen. Für einen Test trennte ich das Netzwerk vom abzulösenden Server und wollte mich an einem Client vergewissern, dass der Umzug erfolgreich war.

Leider griffen die Anmeldeskripte nicht mehr. Auch eine Freigabe NETLOGON auf dem  hinzugefĂĽgten Domänencontroller konnte nicht erreicht werden. Bei einem Blick auf den Server musste ich feststellen, dass die erforderliche Freigabeauf dem Server nicht verfĂĽgbar war.

Nach etwas Recherche fand ich einen Technet-Artikel, welcher mich zum Ziel fĂĽhrte:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Objekt: SysvolReady

Dieser Eintrag ist bereits vorhanden und wird auf dem Wert „1“ stehen. Dieser muss nun 2-mal gewechselt werden. Der Wert muss einmal auf „0“ und dann direkt wieder auf „1“ gesetzt werden.

Nach einem anschlieĂźenden Neustart steht die Freigabe NETLOGON wieder zur VerfĂĽgung.

Weitere Informationen: hier

Windows Server, Windows Server 2012

GPO: Zusätzliche Client-Dienste administrieren

Posted on By Daniel Lensing Keine Kommentare zu GPO: Zusätzliche Client-Dienste administrieren

Es gibt Software, die bei der Installation einen Dienst installieren. Es kann also auch zu einer Anforderung beim Bau von Gruppenrichtlinien kommen, wo man Dienste administrieren soll, die auf dem System, von wo aus diese erstellt werden soll, nicht vorhanden ist.

Der Dienst muss in Gruppenrichtlinien nicht ausgewählt werden, sondern kann diesen auch per Tastatur definieren. Wichtig ist nur, dass man den Dienstnamen kennt und diesen entsprechend in der Gruppenrichtlinie verankern.

Dieses wird dann allerdings nicht unter den „Windows-Einstellungen / Sicherheitseinstellungen“ bei den „Systemdiensten“, sondern ĂĽber die Gruppenrichtlinien-Einstellungen (GPP) durchgefĂĽhrt.  Dort können Dienste auch händisch eingegeben werden.

Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012

Ubuntu: LTS-Versionen

Posted on By Daniel Lensing Keine Kommentare zu Ubuntu: LTS-Versionen

Es gibt jeweils 2 Versionen des Desktop- und Server-Betriebssystems Ubuntu. In diesem Artikel soll es um die LTS-Versionen gehen. LTS bedeutet Long-Term-Support. Diese wird im Regelfall bei Servern eingesetzt und auch bei Desktops, wenn diese im Enterprise-Umfeld eingesetzt wird.

Mit den LTS-Versionen hat man 60 Monate (5 Jahre) Support fĂĽr Aktualisierungen. Die Versionen des „Small Term Support“ werden nur 9 Monate mit entsprechenden Updates versorgt wird. Entsprechend ist ein Versionssprung häufiger erforderlich.

Alle 2 Jahre erscheint eine neue LTS-Version, so dass genügend Zeit für Migrationen auf neue Versionen zur Verfügung bleibt. Die meisten Software-Produkte, welche auch im kommerziellen bzw. Kunden-Umfeld, sind auch auf entsprechende Betriebssysteme abgestimmt.

Die aktuelle Server Version 12.04 bietet den Support bis April 2017. Im kommenden Monat (April 14) wird auch die Version 14.04 veröffentlicht. Diese wird eine Supportzeit bis April 2021 enthalten.

Download Server-Version – hier
Download Client-Version – hier

Server, Ubuntu (Linux), Ubuntu Server

SYSVOL – Deligierung der Berechtigung

Posted on By Daniel Lensing Keine Kommentare zu SYSVOL – Deligierung der Berechtigung

Um die Berechtigungen fĂĽr Anmeldeskripte zu vergeben muss der Bearbeiter das Recht des Schreibens im Ordner „Skripts“ unter dem „SYSVOL“ der Domäne.

Zwar wird das SYSVOL auf allen Domänencontrollern repliziert, was nicht für Berechtigungen gilt. Diese muss auf allen Domänencontrollern manuell eingetragen werden. Ansonsten ist der Zugriff für die berechtigten Administratoren nur auf dem angepassten Domänencontroller möglich.

Windows Server, Windows Server 2012

Admins setzen ihre AD-Passwörter selber

Posted on By Daniel Lensing Keine Kommentare zu Admins setzen ihre AD-Passwörter selber

Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen Tätigkeit. Entsprechend kann es zu möglichen Sicherheitslücken kommen, obwohl diese gar nicht eingeplant sind.

Wenn ein Benutzer zum Beispiel Mitglied der Gruppe  „Kontenoperator“ ist, ist es ihm möglich Passwörter zu zurĂĽckzusetzen. Das gilt allerdings dann auch fĂĽr sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.

In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe „Kontenoperatoren“ oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung „Self“ die folgenden Rechte verweigert bekommen:

  • Reset Passwort
  • Write Accountexpires
  • Write UserAccountControl

Ăśber die Anpassung des Rechtes „Reset Passwort“ kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurĂĽcksetzen als Beispiel auf den alten Stand.

Durch die Anpassung des Rechtes „Write Accountexpires“ wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberständig zu editieren.

Mit der Anpassung der Berechtigung „Write UserAccountControl“ wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr abläuft.

Mit diesen MaĂźnahme ist eine deutliche Verbesserung der Sicherheit fĂĽr administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.

Windows Server, Windows Server 2012

Windows Server 2K12: Server mit oder ohne GUI

Posted on By Daniel Lensing Keine Kommentare zu Windows Server 2K12: Server mit oder ohne GUI

Im Gegensatz zu den vorherigen Server-Versionen Windows Server 2008 und Windows Server 2008 R2 wird bei einer Standard-Installation des Windows Server 2012 die Server Core-Installation verwandt.

Der Server Core unterscheidet sich aber nicht nur von der Darstellung sondern auch von den angebotenen Rollen, die installiert werden können:

Rollen Server Core
Active Directory-Domänendienste ja
Active Directory Lightweight Directory Services ja
Active Directory-Rechteverwaltungsdienste ja
Active Directory-Verbunddienste nein
Active Directory-Zertifikatsdienste  ja
Anwendungsserver  nein
Datei- und Speicherdienste  ja
DHCP-Server  ja
DNS-Server  ja
Druck- und Dokumentendienste  ja
Faxserver nein
Hyper-V ja
Netzwerkrichtlinien- und Zugriffsdienste nein
Remotedesktopdienste nein
Remotedesktopgateway nein
Remotedesktop-Sizuungshost nein
Volumenaktivierungsdienste nein
Web Access fĂĽr Remotedesktop nein
Webserver (IIS) ja
Windows-Bereitstellungsdienste nein
Windows Server Update Services (WSUS) ja

Nach der Einrichtung des Server Core ist es im Regelfall nur noch nötig per Remotezugriff unter anderem per Powershell oder MMC-Snap-Ins auf den Server oder die damit verbundene Infrastruktur zuzugreifen.

Der Server Core ist auch nicht in jeder Edition verfĂĽgbar:

Edition Server Core vorhanden
Windows Server 2012 Datacenter ja
Windows Server 2012 Essentials nein
Windows Server 2012 Foundation nein
Windows Server 2012 Standard ja

Weiterer Nebeneffekt ist natĂĽrlich die geringere Auslastung der Hardware sowie des Speicherplatzes. AuĂźerdem mĂĽssen zum Beispiel weniger Updates installiert werden und auch die möglichen Angriffsszenarien verringern sind, eine direkte Anmeldung am Server eigentlich nicht notwendig ist und auch die Möglichkeiten etwas eingeschränkter sind.

Tipp: Der SQL Server 2012 lässt sich auch unter dem Server Core installieren.

Windows Server 2012