Kategorie: Windows Server 2012

Die Rolle „Remote Desktop Services“ kann auf einem Domänen-Controller mit Windows Server 2012 installiert werden. Allerdings fällt dabei auf das der „Remote Desktop Connection Broker“ die Installation verweigert und einen erforderlichen Neustart bemängelt.

Das eigentliche Problem ist die nicht vorgesehene Installation der „Remote Desktop Services“ auf einen Domänen-Controller. Es gibt auch eine Anleitung, wie der entsprechend konfigurierte Server trotzdem als Terminalserver genutzt werden kann. allerdings mit 2 Einschränkungen, die nicht zur Verfügung stehen:

• Zugriff auf RemoteApp-Verbindungen
• Zugriff auf die Remote Desktop-Webseite

Weitere Informationen:
Link

In größeren Unternehmen gibt es im Regelfall nicht nur einen Administrator für die Active Directory, sondern mehrere. Es kann in diesem Zusammenhang auch schon mal zu Fehlern kommen, die kurzfristig analysiert werden müssen. Es gibt einen recht einfachen Weg herauszufinden, um zu ermitteln, wer das Objekt angelegt hat , in dem man sich den Besitzer des Objektes anschaut.

Sollte der Benutzer, welcher das Objekt angelegt hat nur über die Berechtigung „Konten-Operatoren“ oder noch dediziertere Rechte verfügen, wird das Attribut „Besitzer“ auf den Ersteller des Objektes gesetzt. Ist der Benutzer allerdings Mitglied in der Gruppe „Domänen-Admins“ oder „Organisations-Admins“, werden diese Gruppen als Besitzer eingetragen. 

Wird der Benutzeraccount des Erstellers gelöscht, bleibt weiterhin die SID des gelöschten Accounts am Objekt. Änderungen am Benutzeraccount können am Attribut „Besitzer“ nicht ermittelt werden.

Einen schnellen Weg eine Active Directory-Domäne bzw. eine neue Gesamtstruktur zu erstellen ist diese per Powershell zu aktivieren. Als erstes wird die Active Directory Domain Services-Rolle auf dem Server installiert ebenso wie der DNS-Server und auch die Gruppenrichtlinien-Verwaltung:

Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools

Hiermit wird der die Voraussetzungen zur Konfiguration der neuen Gesamtstruktur geschaffen sowie die benötigten Verwaltungstools installiert.

Als nächstes erfolgt die Installation der Active Directory-Gesamtstruktur

Install-ADDSForest -DomainName „testing.loc“ -DatabasePath „C:\Windows\NTDS“ -DomainMode Win2012 -DomainNetbiosName „TESTING“ -ForestMode Win2012 -LogPath „C:\Windows\NTDS“ -NoRebootOnCompletion -SafeModeAdministratorPassword (Read-Host -AsSecureString -Prompt “Enter Recovery Password”) -SkipPreChecks -SysvolPath „C:\Windows\SYSVOL“ -Force:$true

In dem Aufruf müssen nur die Einstellungen hinter dem Parameter „DomainName“ und „DomainNetbiosName“ angepasst werden.

Da ich diesen Aufruf regelmäßig in virtuellen Umgebungen benutze, fehlt in diesem String die Option „CreateDNSDelegation“. Mit dieser Angabe wird die DNS-Verwaltung dem im Active Directory Domain Services integrierten DNS-Server übergeben.

Diese Befehlszeile kann auch für ältere Domänenumgebungen genutzt werden, in dem die Optionen „ForestMode“ und „DomainMode“ entsprechend editiert werden.

Im Anmeldebildschirm des Windows Server 2012 befindet sich kein Button, um den Server neuzustarten oder gar herunterzufahren. Somit sind diese beiden Funktionen ohne Anmeldung mit Benutzerdaten nicht möglich.

Dieses kann über 2 Wege aktiviert werden.

• Gruppenrichtlinie
  Pfad: Windowseinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
  Einstellungsname: Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
• Registry
  Pfad: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  Name: ShutdownWithoutLogon
  Typ: REG_SZ
  Wert: 0×00000001 (1)

Es gibt allerdings zu der vorherigen Windows Server 2008 R2 einen kleinen Unterschied, da dieser Button dann auch bei Remoteverbindungen per RDP zu sehen und auch nutzbar ist. Somit können auch Benutzer den Server im laufenden Betrieb herunterfahren.

Im Windows Server 2012 gibt es die Möglichkeit zwischen der GUI-Oberfläche und der Core-Oberfläche zu wechseln. Dieses ist mit 2 einfachen Befehlszeilen möglich.

Wechsel von Core auf GUI:

Dism /online /enable-feature /featurename:ServerCore-FullServer /featurename:Server-Gui-Shell /featurename:Server-Gui-Mgmt

Wechsel von GUI auf Core:

Dism /online /disable-feature /featurename:ServerCore-FullServer 

Entsprechend stehen die ausgewählten Oberflächen zur Verfügung.

Im Bereich der Programmierung, des Skriptings oder Verwaltung von Zugriffsberechtigungen werden regelmäßig zur eindeutigen Identifizierung SIDs verwandt, da der Anzeigename verändert werden kann und es somit Probleme entstehen können. Bei der Nutzung von SIDs ist die Bezeichnung des entsprechenden Objekts nicht relevant.

Hier eine Auflistung meiner meist genutzten SIDs:

• S-1-1-0 = Jeder
• S-1-5-2 = Netzwerk
• S-1-5-4 = Interaktiv
• S-1-5-14 = Terminaldienste-Anmeldung
• S-1-5-18 = System
• S-1-5-32-544 = Gruppe der Administratoren
• S-1-5-32-545 = Gruppe der Benutzer
• S-1-5-32-548 = Gruppe der Konten-Operatoren (auf Domänencontrollern)
• S-1-5-32-550 = Gruppe der Server-Operatoren
• S-1-5-32-550 = Gruppe der Druck-Operatoren
• S-1-5-32-555 = Gruppe der Remote Desktop Benutzer
• S-1-5-32-573 = Gruppe der Ereignisanzeigen-Leser
• S-1-5-32-578 = Gruppe der Hyper-V-Administratoren
• S-1-5-32-580 = Gruppe der Remote-Management-Benutzer

Die nun folgenden Nutzer werden vom Computer bzw. einer Domäne mit einem zusätzlichen String identifiziert, der durch einen Zufallsgenerator bereits bei der Installation des Systems erzeugt wird. Als Platzhalter für diesen Eintrag verwende ich „xxx“:

• S-1-5-21-xxx-500 = Lokaler Administrator
• S-1-5-21-xxx-512 = Gruppe der Domänen-Administratoren
• S-1-5-21-xxx-513 = Gruppe der Domänen-Benutzer

Es gibt auch noch weitere Benutzer und Gruppen, die entsprechend nachgelesen werden können

Link