Termine des Microsoft Patchdays 2021

Im Standard ver├Âffentlicht der Hersteller Microsoft jeden 2ten Dienstag im Monat seine Aktualisierungen. Durch diese Vorgabe entstehen folgende Termine f├╝r das Jahr 2021:

  • 12. Januar
  • 09. Februar
  • 09. M├Ąrz
  • 13. April
  • 11. Mai
  • 08. Juni
  • 13. Juli
  • 10. August
  • 14. September
  • 12. Oktober
  • 09. November
  • 14. Dezember

Gruppenrichtlinien nach Erstellung erzwingen

In manchen Momenten ist es sinnvoll Gruppenrichtlinien direkt zu verteilen. Dieses ist seit Windows Server 2012 und Windows 8 m├Âglich.

├ťber die Gruppenrichtlinien-Verwaltung k├Ânnen die Richtlinien unterhalb einer OU direkt an die zugeordneten Clients auf den Clients vor dem Standard-Intervall aktualisiert werden. Nach Aufruf der Funktionalit├Ąt wird die Anzahl der betroffenen Computer in einem Abfrage-Fenster angezeigt. Man erh├Ąlt in diesem auch eine Warnmeldung ├╝ber die eventuelle Auslastung von Netzwerkressourcen, wenn viele Clients aktiviert werden sollen.

F├╝r diese Funktionalit├Ąt sind die folgenden Firewall-Regeln am Client erforderlich:

  • Remote Scheduled Tasks Management (RPC)
  • Remote Scheduled Tasks Management (RPC-ERMAP)
  • Windows Management Instrumentation (WMI-IN)

Auf den zentralen Firewalls sind die folgenden Ports freizuschalten:

  • Remote Event Log Management
    • TCP-135 (RPC-ERMAP)
    • TCP-dynamic ports (RPC)
  • Windows Management Instrumentation
    • TCP-all ports (WMI-IN)

Noch etwas Hintergrund-Material gibt es bei Microsoft

Gruppe f├╝r fein abgestimmte AD-Kennwortrichtlinie

href="https://www.freeiconspng.com/img/5502">Active Directory Simple Png</a>Im Active Directory gibt es eine standardm├Ą├čige Gruppenrichtlinie f├╝r die Einstellungen der Kennw├Ârter verwandt. Diese sind im Regelfall in der „Default Domain Policy“ verankert. Als Erweiterung der Konfigurationsm├Âglichkeit wurden die fein abgestimmten AD-Kennwortrichtlinien (Fine-grained Password Policy / FGPP) mit Windows Server 2008 eingef├╝hrt.

Mit dieser Methode ist es m├Âglich verschiedene Kennwort-Parameter f├╝r Benutzer festzulegen. Die Einstellungen zur Aushandlung der Computer-Kennw├Ârter wird weiterhin von der Standard-Richtlinie ├╝bernommen.

Da die Funktionalit├Ąt entweder per Powershell oder ADSIEdit zur Verf├╝gung oder bearbeitet werden muss, ist es f├╝r die Administration einfacher, dieses ├╝ber eine AD-Gruppe zu verwaltet. Allerdings ist dabei auf eines zu achten: Es funktioniert nur mit einer globalen AD-Gruppe.

Alle anderen Gruppenformen werden bei der Zuordnung der Definition ignoriert. Wird eine Gruppe von der globalen Gruppe in eine andere Form ├╝berf├╝hrt, greift automatisch die Standard-Richtlinie. Somit sollte man sich beim Einsatz von Gruppen f├╝r die Verwaltung der Benutzerzuordnung ├╝berlegt werden, ob die Gruppenform mit einem Skript oder einer Applikation ├╝berwacht wird.

Export von AD-Gruppenmitgliedern mit Informationen

Es gibt Situationen, wo es wichtig ist die Gruppen-Mitglieder einer Active Directory-Gruppe auszulesen. H├Ąufig werden weitere Daten ben├Âtigt. Zum Beispiel werden Mail-Adressen zum Versand von Informationen ben├Âtigt. Dazu habe ich ein Skript erstellt.

import-module activedirectory
[System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic') | Out-Null
 
$groupname = [Microsoft.VisualBasic.Interaction]::InputBox("Bitte AD-Gruppe eingeben", "AD-Gruppe") 
$Domaincontroller = "LAB-DC1.demo.local"
$Folder = [System.Environment]::GetFolderPath("MyDocuments")
$Exportfile = $Folder + "\" + $groupname + ".csv"
$Parameter ="name, mail, samaccountname"
 
$Gruppe = Get-ADGroupMember $groupname -server $Domaincontroller | Select distinguishedName
$Gruppe | ForEach { Get-ADUser $_.distinguishedName -server $Domaincontroller -Properties * | Select-object $Parameter} | export-csv $Exportfile -notypeinformation -encoding UTF8

Als Voraussetzung f├╝r die Programmzeilen sind die „Active Directory Module for Windows PowerShell“ der „Remote Server Administrator Tools“. Diese m├╝ssen nach Installation der passenden MSI ├╝ber „Programme und Features“ aktiviert werden. Anschlie├čend sollte noch der Dom├Ąnencontroller im Ablauf angepasst werden.

Zur Abfrage wird ein kleines GUI-Fenster ge├Âffnet in dem der ben├Âtigte Gruppenname eingetragen wird. Anschlie├čend wird eine Liste im Dokumente-Ordner des ausf├╝hrenden Benutzers erstellt. Diese enth├Ąlt in dieser Ausf├╝hrung die Namen, Mail-Adressen und Anmeldenamen der Mitglieder.

Modusabfrage zur GPO-Loopback-Verarbeitung

In manchen Dom├Ąnen-Umgebungen wird in den eingesetzten Gruppenrichtlinien die Loopback-Verarbeitung angewandt, um User-Einstellungen anzuwenden, welche an Computerobjekten definiert sind. Um die Herauszufinden, ob diese Funktionalit├Ąt an einem Client genutzt wird, habe ich mir ein kleines Skript geschrieben:

$key = "Registry::HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System"
$value = "UserPolicyMode"
 
$UserPolicyMode = (Get-ItemProperty -Path $key -Name $value).$value
 
If ($UserPolicyMode -eq $null){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist nicht aktiviert.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 1){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Zusammenf├╝hren (Merge)"" gesetzt.",0,"GPO Loopback")}
 
Elseif ($UserPolicyMode -eq 2){
$wshell = New-Object -ComObject Wscript.Shell
$wshell.Popup("Die GPO-Loopback-Verarbeitung ist auf ""Ersetzen (Replace)"" gesetzt.",0,"GPO Loopback")}

Dabei wird der Wert

UserPolicyMode

aus dem Registrypfad

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System

abgefragt.

Entsprechend des Ergebnisses wird eine Messagebox dargestellt.

  • Wert: 1 = Modus „Zusammenf├╝hren (Merge) aktiviert
  • Wert: 2 = Modus „Ersetzen (Replace)“ aktiviert
  • Kein Wert = Loopback-Verarbeitung deaktiviert

Reset Quota-Werte unter Windows Server

├ťber den „Ressourcen-Manager f├╝r Dateiserver“ (File Server Resource Manager) k├Ânnen auf Windows Server 2008 sowie Windows Server 2012 verschiedene Funktionen konfiguriert werden.┬áDieses gilt unter anderem f├╝r eine┬áKontingentverwaltung (Quota management).

Damit k├Ânnen zum Beispiel Benutzerverzeichnisse auf eine Gr├Â├če beschr├Ąnkt werden. Es k├Ânnen entweder Ordner oder ganze Partitionen damit definiert werden. Auch l├Ąsst sich dieses ├╝ber einen Prozess automatisieren, so dass bei einer Neuanlage eines Ordners direkt eine vorher festgelegte Einschr├Ąnkung dort gilt. Dieses wird nur mit dem Dateisystem NTFS unterst├╝tzt.

Aufgrund von Anpassungen zwischen verschiedenen Vorlagen oder Einstellungen kann es passieren, dass die ausgewerteten Prozente nicht mehr stimmen. Nun muss man allerdings nicht das gesamte Regelwerk neu schreiben, sondern kann ├╝ber einen Befehl die Ordner neu berechnen lassen.

dirquota quota scan /path:

Zum Beispiel greifen anschlie├čend auch wieder Regelwerke, bei denen vorher schon der Trigger ├╝berschritten war.

Weitere Informationen: hier

Endungen von servergespeicherte Profile

Seit Windows 7 werden servergespeicherte Profile f├╝r jede Betriebssystemversion getrennt voneinander betrachtet:

  • Windows 7 / Windows Server 2008 R2 verwendet die Erweiterung .V2
  • Windows 8 / Windows Server 2012 verwendet die Erweiterung .V3
  • Windows 8.1 / Windows Server 2012 R2 verwendet die Erweiterung .V4
  • Windows 10 verwendet die Erweiterung .V5
  • Windows 10 Anniversary Edition / Windows Server 2016 verwendet die Erweiterung .V6

Somit k├Ânnen sich Fehler nicht von einem zum anderen Build verteilen.