Kategorie: Windows Server

Fehler in ADMX-Template für Outlook 365 & 2019 & 2016

Posted on By Daniel Lensing Keine Kommentare zu Fehler in ADMX-Template für Outlook 365 & 2019 & 2016

Nach einer Aktualisierung der Gruppenrichtlinien für Office 365 bekam ich eine Fehlermeldung, dass in der Datei „outlk16.admx“ in Zeile 6286 bei Zeichen 312 ein Problem besteht.

Bei der Analyse fiel mir auf, dass es einen Fehler in der ADMX-Datei unter der Nutzung der XML-Spezifikation gibt. Der Konfigurationsblock für „L_DisableOnlineModeAuthDiagnostics“ stand leider hinter dem Eintrag „</policies>“ Somit konnte dieser nicht verarbeitet werden.

Ich verschob den Textblock vor den Eintrag und die Gruppenrichtlinien waren wieder lesbar.

Das Problem tritt beim aktuell bereit stehenden Download durch den Hersteller Microsoft auf:

Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016
Version: 4768.1000
Erscheinungsdatum: 18.01.2019

Außerdem muss dieses bei beiden Vorlage-Versionen (für 32 sowie 64-Bit) berücksichtigt werden.

Office, Office 365, Windows Server

Powershell: Ausdrucke pro Drucker ermitteln

Posted on By Daniel Lensing Keine Kommentare zu Powershell: Ausdrucke pro Drucker ermitteln

Vor einer Umstellung oder auch einer Abschaltung eines Druckservers kann ein Audit der Druckdaten sinnvoll sein. Dabei wird ermittelt das Skript in den Parametern eines Zeitfensters, welcher Drucker wieviel Druckaufträge verarbeitet hat.

$Startzeit = "24.11.2018 00:00:00"
$Endzeit = "24.11.2018 23:59:59"
 
$ZentralDatei ="E:\Audit\Zentraldatei.csv"
$Auswertung ="E:\Audit\Auswertung.csv"
 
$Druckerliste = @()
 
$Resultate = Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-PrintService/Operational"; ID=307; StartTime=$Startzeit; EndTime=$Endzeit;}
 
ForEach($Resultat in $Resultate){
  $Datensatz = [xml]$Resultat.ToXml()
  $DatenDetails = New-Object -TypeName psobject -Property @{
 
      Druckername = $Datensatz.Event.UserData.DocumentPrinted.Param5
      Zeitstempel = $Resultat.TimeCreated
 
      }
    $Druckerliste += $DatenDetails
  }
 
 
$Druckerliste | Export-Csv -LiteralPath $ZentralDatei -NoTypeInformation
 
 
Import-Csv $ZentralDatei | Group-Object Druckername | Select-Object Name, Count | Sort-Object -Property name | Export-csv $Auswertung -NoTypeInformation

Das eingesetzte CMDlet „Get-WinEvent“ steht seit Windows Server 2008 R2 und späteren Betriebssystemen zur Verfügung.

Um die Daten zu erhalten, muss allerdings in der Ereignisanzeige das Log für „Microsoft \ Windows \ Printservices \ Operational“ aktiviert worden sein. Dieses sollte auch vorzeitig durchgeführt worden sein, um längere Zeiträume zu überwachen. Die Daten können nicht rückwirkend erstellt werden. Anbei die schnelle Umsetzung per PowerShell-Aufruf:

$EventLogging = Get-WinEvent -ListLog 'Microsoft-Windows-PrintService/Operational'
$EventLogging.IsEnabled = $true
$EventLogging.MaximumSizeInBytes = 1000000
$Eventlogging.LogMode = "Circular"
$EventLogging.SaveChanges()

Mit diesem Befehlssatz wird das erforderliche Eintrag in der Ereignisanzeige aktiviert. Dabei wird ein 1 GigaByte großes Log erstellt. Wenn der Schwellwert erreicht ist, wird beim Hinzufügen eines neuen Ereignisses das Älteste entfernt.

In der Datei „Auswertung.csv“ stehen dann die Druckernamen sowie die Anzahl der Ausdrucke im Zeitraum ausgedruckt wurden.

Powershell, Windows Server

Gruppe für fein abgestimmte AD-Kennwortrichtlinie

Posted on By Daniel Lensing Keine Kommentare zu Gruppe für fein abgestimmte AD-Kennwortrichtlinie

href="https://www.freeiconspng.com/img/5502">Active Directory Simple Png</a>Im Active Directory gibt es eine standardmäßige Gruppenrichtlinie für die Einstellungen der Kennwörter verwandt. Diese sind im Regelfall in der „Default Domain Policy“ verankert. Als Erweiterung der Konfigurationsmöglichkeit wurden die fein abgestimmten AD-Kennwortrichtlinien (Fine-grained Password Policy / FGPP) mit Windows Server 2008 eingeführt.

Mit dieser Methode ist es möglich verschiedene Kennwort-Parameter für Benutzer festzulegen. Die Einstellungen zur Aushandlung der Computer-Kennwörter wird weiterhin von der Standard-Richtlinie übernommen.

Da die Funktionalität entweder per Powershell oder ADSIEdit zur Verfügung oder bearbeitet werden muss, ist es für die Administration einfacher, dieses über eine AD-Gruppe zu verwaltet. Allerdings ist dabei auf eines zu achten: Es funktioniert nur mit einer globalen AD-Gruppe.

Alle anderen Gruppenformen werden bei der Zuordnung der Definition ignoriert. Wird eine Gruppe von der globalen Gruppe in eine andere Form überführt, greift automatisch die Standard-Richtlinie. Somit sollte man sich beim Einsatz von Gruppen für die Verwaltung der Benutzerzuordnung überlegt werden, ob die Gruppenform mit einem Skript oder einer Applikation überwacht wird.

Windows Server, Windows Server 2012, Windows Server 2016

Reset Quota-Werte unter Windows Server

Posted on By Daniel Lensing Keine Kommentare zu Reset Quota-Werte unter Windows Server

Über den „Ressourcen-Manager für Dateiserver“ (File Server Resource Manager) können auf Windows Server 2008 sowie Windows Server 2012 verschiedene Funktionen konfiguriert werden. Dieses gilt unter anderem für eine Kontingentverwaltung (Quota management).

Damit können zum Beispiel Benutzerverzeichnisse auf eine Größe beschränkt werden. Es können entweder Ordner oder ganze Partitionen damit definiert werden. Auch lässt sich dieses über einen Prozess automatisieren, so dass bei einer Neuanlage eines Ordners direkt eine vorher festgelegte Einschränkung dort gilt. Dieses wird nur mit dem Dateisystem NTFS unterstützt.

Aufgrund von Anpassungen zwischen verschiedenen Vorlagen oder Einstellungen kann es passieren, dass die ausgewerteten Prozente nicht mehr stimmen. Nun muss man allerdings nicht das gesamte Regelwerk neu schreiben, sondern kann über einen Befehl die Ordner neu berechnen lassen.

dirquota quota scan /path:

Zum Beispiel greifen anschließend auch wieder Regelwerke, bei denen vorher schon der Trigger überschritten war.

Weitere Informationen: hier

Windows Server, Windows Server 2012

Windows Server 2008 erhält TLS 1.1 & 1.2

Posted on By Daniel Lensing Keine Kommentare zu Windows Server 2008 erhält TLS 1.1 & 1.2

Seit dem 18.07.2017 steht ein Update für den Windows Server 2008 zur Verfügung, welches die Möglichkeit bietet TLS-Version 1.1 sowie 1.2 zu nutzen. Die Installation erfordert allerdings auf dem Server das Service Pack 2.

Aktuell ist das Update nur über den Microsoft-Update Katalog verfügbar. Ab dem Patchday (15. August) des kommenden Monats wird es als optionale Aktualisierung über Windows Update oder auch WSUS angeboten. Ab dem 12. September wird über die benannten Mechanismen das Software-Update als erforderliche Aktualisierung installiert.

Zur Aktivierung der Funktionalität muss die Registry bearbeitet und das Server-System neugestartet werden.

Weitere Informationen: hier

Patchday+Updates, Windows Server

Speicherung von Passwörtern unter WDigest verhindern

Posted on By Daniel Lensing Keine Kommentare zu Speicherung von Passwörtern unter WDigest verhindern

Zur Absicherung vor der Speicherung von Klartext-Passwörtern sollte ein zusätzlicher Registry-Eintrag vorgenommen werden:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Objekt: UseLogonCredential
Typ: REG_DWORD
Wert: 0

Für Windows 7 muss vor der Nutzung dieses Registry-Keys auch ein Microsoft Sicherheitsupdate installiert werden: KB2871997

Durch den zu setzenden Registry-Wert wird die Speicherung von WDigest-Anmeldeinformationen im Arbeitsspeicher unterbunden. Somit ist ein Zugriff durch sicherheitsriskierende Applikationen deutlich eingeschränkt.

Weitere Informationen: hier

Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012, Windows Server 2016

Powershell: Druckertreiber auf „packageaware“ prüfen

Posted on By Daniel Lensing Keine Kommentare zu Powershell: Druckertreiber auf „packageaware“ prüfen

Aufgrund der Anpassung des Microsoft-Updates MS16-087 ist es für eine erfolgreiche Installation ohne Benutzer-Interaktion ebenfalls erforderlich, dass der Druckertreiber als „ispackageaware“ gekennzeichnet ist.

Dieses ist allerdings nicht bei jedem Hersteller gegeben und sollte im Rahmen der Analyse zum benannten Patch geprüft werden. Dieses ist mit dem folgenden Powershell-Befehl sehr einfach:

Get-PrinterDriver * -ComputerName "Printserver" | Where-Object {$_.PrinterEnvironment -eq "Windows x64"}| select-object provider, name, ispackageaware

Dieser funktioniert ab Windows 8 btw. Windows Server 2012 und höher. Aufgrund der Remoteabfrage kann dieser Befehl aber auch auch ältere Windows-Systeme abfragen, wenn das aufragenden System die entsprechende Windows-Version besitzt. Des Weiteren werden nur Druckertreiber für Windows 64-Bit-Versionen ermittelt, so dass wenn Treiber für des Typs V3 für beide Bit-Systeme installiert wurden, nur einer ausgewertet wird.

Was aber bedeutet „packageaware“?
Die Treiber müssen alle erforderlichen Dateien in den zentrale Treibersammlung einbringen und müssen digital signiert sein. Entsprechend werden diese auch ohne administrative Berechtigung auf einem Client im Anwender-Kontext installiert.

Powershell, Windows Server, Windows Server 2012