Kategorie: Windows Server 2012

Datei mit beliebiger Größe erstellen

Posted on By Daniel Lensing Keine Kommentare zu Datei mit beliebiger Größe erstellen

In Tests für Netzwerkauslastung oder Abfragen von Softwaremanagement-Systemen ist es regelmäßig notwendig Dateien zu erstellen, die eine definierte Größe haben, wobei der Inhalt selber egal ist.

Dieses kann mit einem Befehl aus den Windows-Boardmitteln vorgenommen werden:

fsutil file createnew Testdatei.txt 2048

Das Tool nutzt die Dateigrößen in Byte, so dass in diesem Beispiel eine Datei mit 2 KiloByte erstellt wird.
Für eine Dateigröße von 1 MegaByte müsste somit der Wert 1048576 angegeben werden.

Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012

Bereinigung des AD-Attributes SIDHistory

Posted on By Daniel Lensing Keine Kommentare zu Bereinigung des AD-Attributes SIDHistory

Nach dem in einem vorherigen Artikel der Export des Attributes SIDHistory dargestellt wurde, geht es heute um das Leeren des Feldes

Auch hier ist der Powershell-Code sehr ĂĽberschaubar:

$SAMID = $args[0]
import-module activedirectory
Get-ADGroup $SAMID -server "dc01.testingdomain.local" -Properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}

Empfehlung: Es sollten die ObjectSIDs genutzt werden. Bei diesen können Umlaute, Sonderzeichen und Leerzeichen ignoriert werden und funktionieren sehr zuverlässig

Selbstverständlich gibt es das ganze auch für Benutzer:

$UserID = $args[0]
import-module activedirectory
Get-ADUser $UserID -server "dc01.testingdomain.local" -Properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Windows Server, Windows Server 2012

Zusätzliche Route in DHCP-Server setzen

Posted on By Daniel Lensing Keine Kommentare zu Zusätzliche Route in DHCP-Server setzen

Über die DHCP-Option im Windows-Server ist es möglich zusätzliche statische Routen zu definieren.

Es gibt allerdings 2 verschiedene Optionen, die nach Server-Version von einander abweichen:

  • Option 249 bei Windows Server 2003
  • Option 121 ab Windows Server 2008

Dort können wir manuell über den Befehl NETSH Routen definiert werden. Dafür werden folgende Daten benötigt:

  • Ziel-Range
  • Subnetmask der Zielrange
  • Gateway

Die Betriebssysteme ab Vista bzw. Windows Server 2008 können beide Optionen verarbeiten. Sollte man diese Funktionalität für Systeme vor den genannten Betriebssystemen (wie z.B. Windows XP) verwenden wollen, muss die Option 249 verwandt werden.

Windows Server, Windows Server 2012

SYSVOLREADY – Wenn der DC zu schnell startet

Posted on By Daniel Lensing Keine Kommentare zu SYSVOLREADY – Wenn der DC zu schnell startet

Bei einer Domänencontroller-Migration passierte für mich etwas ungewöhnliches. Der Domänencontroller war hinzugefügt und die Betriebsmasterrolen übertragen. Für einen Test trennte ich das Netzwerk vom abzulösenden Server und wollte mich an einem Client vergewissern, dass der Umzug erfolgreich war.

Leider griffen die Anmeldeskripte nicht mehr. Auch eine Freigabe NETLOGON auf dem  hinzugefĂĽgten Domänencontroller konnte nicht erreicht werden. Bei einem Blick auf den Server musste ich feststellen, dass die erforderliche Freigabeauf dem Server nicht verfĂĽgbar war.

Nach etwas Recherche fand ich einen Technet-Artikel, welcher mich zum Ziel fĂĽhrte:

Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Objekt: SysvolReady

Dieser Eintrag ist bereits vorhanden und wird auf dem Wert „1“ stehen. Dieser muss nun 2-mal gewechselt werden. Der Wert muss einmal auf „0“ und dann direkt wieder auf „1“ gesetzt werden.

Nach einem anschlieĂźenden Neustart steht die Freigabe NETLOGON wieder zur VerfĂĽgung.

Weitere Informationen: hier

Windows Server, Windows Server 2012

GPO: Zusätzliche Client-Dienste administrieren

Posted on By Daniel Lensing Keine Kommentare zu GPO: Zusätzliche Client-Dienste administrieren

Es gibt Software, die bei der Installation einen Dienst installieren. Es kann also auch zu einer Anforderung beim Bau von Gruppenrichtlinien kommen, wo man Dienste administrieren soll, die auf dem System, von wo aus diese erstellt werden soll, nicht vorhanden ist.

Der Dienst muss in Gruppenrichtlinien nicht ausgewählt werden, sondern kann diesen auch per Tastatur definieren. Wichtig ist nur, dass man den Dienstnamen kennt und diesen entsprechend in der Gruppenrichtlinie verankern.

Dieses wird dann allerdings nicht unter den „Windows-Einstellungen / Sicherheitseinstellungen“ bei den „Systemdiensten“, sondern ĂĽber die Gruppenrichtlinien-Einstellungen (GPP) durchgefĂĽhrt.  Dort können Dienste auch händisch eingegeben werden.

Windows 7, Windows 8, Windows 8.1, Windows Server, Windows Server 2012

SYSVOL – Deligierung der Berechtigung

Posted on By Daniel Lensing Keine Kommentare zu SYSVOL – Deligierung der Berechtigung

Um die Berechtigungen fĂĽr Anmeldeskripte zu vergeben muss der Bearbeiter das Recht des Schreibens im Ordner „Skripts“ unter dem „SYSVOL“ der Domäne.

Zwar wird das SYSVOL auf allen Domänencontrollern repliziert, was nicht für Berechtigungen gilt. Diese muss auf allen Domänencontrollern manuell eingetragen werden. Ansonsten ist der Zugriff für die berechtigten Administratoren nur auf dem angepassten Domänencontroller möglich.

Windows Server, Windows Server 2012

Admins setzen ihre AD-Passwörter selber

Posted on By Daniel Lensing Keine Kommentare zu Admins setzen ihre AD-Passwörter selber

Viele Administratoren arbeiten nicht mit getrennten Accounts zur allgemeinen Arbeit und der administrativen Tätigkeit. Entsprechend kann es zu möglichen Sicherheitslücken kommen, obwohl diese gar nicht eingeplant sind.

Wenn ein Benutzer zum Beispiel Mitglied der Gruppe  „Kontenoperator“ ist, ist es ihm möglich Passwörter zu zurĂĽckzusetzen. Das gilt allerdings dann auch fĂĽr sein eigenes Kennwort. Somit ist es ihm möglich sein Passwort zum Ablauf des maximalen Kennwortalters auf das selbe Passwort zu setzen, was bereits im alten Zyklus genutzt wurde und somit auch die vorgegeben Kennwortchronik der definierten Anzahl der gespeicherten Passwörter zu untergraben.

In einer entsprechenden Konstellation kann es Sinn machen, dass die Benutzer der Gruppe „Kontenoperatoren“ oder auch andere Mitglieder, zum Beispiel zur delegierten OU-Verwaltung eingerichteten Gruppen, bei Ihren Benutzerobjekten in der Berechtigung „Self“ die folgenden Rechte verweigert bekommen:

  • Reset Passwort
  • Write Accountexpires
  • Write UserAccountControl

Ăśber die Anpassung des Rechtes „Reset Passwort“ kann der entsprechende Benutzer sein Kennwort nicht mehr direkt zurĂĽcksetzen als Beispiel auf den alten Stand.

Durch die Anpassung des Rechtes „Write Accountexpires“ wird dem Benutzer die Berechtigung verwehrt sein Ablaufdatum selberständig zu editieren.

Mit der Anpassung der Berechtigung „Write UserAccountControl“ wird verhindert, dass sich der Anwender seinen deaktivierten Account wieder freigibt und die Option setzt, dass sein Kennwort nicht mehr abläuft.

Mit diesen MaĂźnahme ist eine deutliche Verbesserung der Sicherheit fĂĽr administrative Benutzer bzw. Benutzern mit erweiterten Berechtigungen.

Windows Server, Windows Server 2012