Kategorie: Windows Server 2025

WMI-Filter-Löschung behindert GPO

Posted on By Daniel Lensing Keine Kommentare zu WMI-Filter-Löschung behindert GPO

Bei einer Bereingung von Gruppenrichtlinien sollten auch WMI-Filter berücksichtigt werden. Dabei kann es allerdings zu einem Fehler konnen, wenn man den falschen Weg zum Abbau der Policy nutzt.

Das richtige Vorgehen ist:

  • Die Konntrolle des WMI-Filter und anhängigen Gruppenrichtlinien durchführen
  • Die verknüpften Gruppenrichtlinien auf einen anderen Filter oder „<KEIN>“ setzen
  • Der WMI-Filter kann gelöscht werden

Wenn der WMI-Filter gelöscht wird, obwohl noch eine oder mehrere Gruppenrichtlinien anhängig sind, kommt es zu Problemen. Mir fiel es nur auf, weil ich eine Änderung an einer Gruppenrichtlinie durchgeführt habe und der neue Wert sich nicht verteilte in den Tests.

Als ich mir über einen „GPRESULT /r“ den aktuellen Stand des Regelwerks habe anzeigen lassen, bekamt ich die Anzeige „Verweigert (WMI-Filter)“. Bei der Kontrolle der GPO über die GUI stand bei der WMI-Filterung „<Kein>“. Das es sich bei der Richtlinie um eine Verteilung von Registry-Einträgen, welche auch per „Zielgruppenadressierung“ (eng.: Item Level Targeting) gesteuert werden. Dadurch wurde erst dieses Regelwerk kontrolliert. Dieses führte, wie man sich durch die vorherige Umsetzungbeschreibung erschließen kann, nicht zur gewünschten Fehlerbehebung.

Die Lösung war einen Filter zu definieren und anschließend wieder auf „<KEIN>“ zu stellen. Scheinbar bleibt der WMI-Filter als Fragment an der Gruppenrichtlinie hängen.

Client, Server, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2025

Termine des Microsoft Patchdays 2026

Posted on By Daniel Lensing 1 Kommentar zu Termine des Microsoft Patchdays 2026
Weißer Schriftzug „UPDATE“ auf schwarzem Hintergrund
Bild by Markus Winkler – https://www.instagram.com/m23

Im Standard veröffentlicht der Hersteller Microsoft an jedem 2ten Dienstag im Monat seine Aktualisierungen. Durch diese Vorgabe entstehen folgende Termine für das Jahr 2026:

13. JanuarBaseline-Patchday
10. FebruarHot-Patchday
10. MärzHot-Patchday
14. AprilBaseline-Patchday
12. MaiHot-Patchday
09. JuniHot-Patchday
14. JuliBaseline-Patchday
10. AugustHot-Patchday
08. SeptemberHot-Patchday
13. OktoberBaseline-Patchday
10. NovemberHot-Patchday
14. DezemberHot-Patchday

Hotpatching von Microsoft ist eine Methode, um Updates auf Windows Server sowie Windows Enterprise-Clients zu installieren, ohne dass ein Neustart erforderlich ist. Dabei wird der im Speicher befindliche Code laufender Prozesse gepatcht, ohne dass der Prozess neu gestartet werden muss.

Hotpatching ist besonders nützlich für Unternehmen, die eine hohe Verfügbarkeit ihrer Server benötigen und Ausfallzeiten minimieren möchten.

Bei allen anderen Systemen werden alle Patchdays inkl. der erforderlichen Neustarts durchgeführt

Client, Office, Patchday+Updates, Programme, Server, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2025

Selbstextrahierende EXE-Datei mit 7-ZIP

Posted on By Daniel Lensing Keine Kommentare zu Selbstextrahierende EXE-Datei mit 7-ZIP

Ein selbstextrahierendes Archiv (SFX) ist eine ausführbare Datei im EXE-Format, die ein komprimiertes Archiv und den passenden Entpacker kombiniert. Der Vorteil: Der Empfänger benötigt keine zusätzliche Software wie 7-Zip oder WinRAR, um die Dateien zu entpacken. Ein Doppelklick genügt, und die Inhalte werden automatisch extrahiert. Optional kann direkt im Anschluss ein Programm gestartet werden – ideal für Installationsroutinen.

Voraussetzungen

Um mit 7-Zip ein SFX-Archiv zu erstellen, benötigt man:

  • 7-Zip
    Diese kann sich auf der Herstellerseite heruntergeladen werden: 7-zip.org
  • SFX-Module
    Ebenfalls auf der Hersteller-Webseite zu bekommen: SDK-Download
  • Texteditor
    Dieser wird für die Konfigurationsdatei (config.txt) benötigt

🛠️ Schritt-für-Schritt-Anleitung

1. Archiv erstellen

  • Mit 7-Zip die gewünschten Dateien zu einem .7z-Archiv packen.
  • Empfohlene Einstellungen:
    • Format: 7z
    • Kompression: LZMA (hohe Kompressionsrate, gute Performance)

2. Arbeitsverzeichnis vorbereiten

  • Lege ein neues Verzeichnis an.
  • Kopiere hinein:
    • Das erstellte .7z-Archiv
    • Das SFX-Modul (7z.sfx)
    • Eine Konfigurationsdatei (config.txt)

3. Konfigurationsdatei erstellen

Die config.txt steuert das Verhalten der EXE. Beispiel mit festem Ordnerpfad:

;!@Install@!UTF-8!
Title="Mein Programm"
BeginPrompt="Möchten Sie die Dateien entpacken?"
ExtractTitle="Entpacke Dateien..."
InstallPath="C:\\MeinProgramm"
RunProgram="setup.exe"
GUIMode="2"
;!@InstallEnd@!
  • InstallPath:
    Legt den Zielordner fest, in den die Dateien extrahiert werden.
  • RunProgram:
    Startet nach dem Entpacken automatisch eine Anwendung.
  • GUIMode:
    Steuert die Benutzeroberfläche (z. B. stiller Modus oder Fortschrittsanzeige).
    Mode 0 – Standard-GUI mit allen Dialogen (z. B. Pfadauswahl, Fortschrittsanzeige)
    Mode 1 – Reduzierte GUI – Fortschrittsanzeige sichtbar, aber keine Pfadauswahl
    Mode 2 – Silent Mode – keine GUI, keine Dialoge, Entpackung läuft im Hintergrund

Tipp: Mit Umgebungsvariablen wie %ProgramFiles%, %TEMP% oder %USERPROFILE% kannst du flexible Pfade definieren.

4. EXE zusammenfügen

Mit der Windows-Kommandozeile:

copy /b 7z.sfx + config.txt + archiv.7z meinInstaller.exe
  • copy /b fügt die Dateien binär zusammen.
  • Ergebnis: Eine ausführbare Datei meinInstaller.exe, die sich selbst entpackt und optional ein Programm startet.

Erweiterte Möglichkeiten

  • Benutzerwahl des Pfades:
    Wenn du kein InstallPath setzt, erscheint ein Dialog zur Auswahl des Zielordners.
  • Automatisierung:
    Skripte können direkt nach dem Entpacken ausgeführt werden – praktisch für portable Tools oder Installationsroutinen.

Sicherheit & Einschränkungen

  • Adminrechte:
    Manche SFX-Archive verlangen erhöhte Rechte, insbesondere wenn Programme gestartet werden.
  • Kompatibilität:
    SFX-Module unterscheiden sich je nach Systemarchitektur (32-Bit vs. 64-Bit). Das sollte aber heute nicht mehr so ein Problem darstellen.
  • Alternative Tools:
    Neben 7-Zip existieren auch IExpress (Windows-Bordmittel), allerdings gilt es als veraltet und unsicher.

Zusammenfassend

Mit 7-Zip lassen sich kostenlose, flexible und portable selbstextrahierende EXE-Dateien erstellen. Dank der Möglichkeit, den Ordnerpfad direkt in der Konfiguration festzulegen, kannst du Installationen noch gezielter steuern. Ob fester Pfad oder Benutzerwahl – die Anpassung ist einfach und macht deine Distribution professionell und komfortabel.

AutoIT, Client, Eigene Tools, KiXtart, Powershell, Programme, Programmierung, Server, Software, VB.NET, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2025

PSAppDeployToolkit 4.1.6: Stabilitäts-Upgrade

Posted on By Daniel Lensing Keine Kommentare zu PSAppDeployToolkit 4.1.6: Stabilitäts-Upgrade

Mit Version 4.1.6 liefert das PSAppDeployToolkit-Team ein solides Wartungsrelease, das zahlreiche Fehlerbehebungen und Verbesserungen bringt – insbesondere für das Dateikopiermodul Copy-ADTFile, das in vielen Deployment-Szenarien eine zentrale Rolle spielt. Wer mit modularen Frameworks, robuster Fehlerbehandlung und GUI-gestützten Installationen arbeitet, sollte sich dieses Update genauer ansehen.

Copy-ADTFile – endlich zuverlässig und fehlertolerant

Copy-ADTFile ist ein essenzieller Bestandteil vieler PSADT-Deployments, sei es für das Kopieren von Payloads, Konfigurationsdateien oder temporären Ressourcen. In früheren Versionen (v4.1.0–v4.1.5) gab es jedoch einige Stolpersteine:

  • Robocopy-Parameter und Wildcards
    Die Handhabung von Wildcards in Quellpfaden und die Kombination mit benutzerdefinierten Robocopy-Parametern war fehleranfällig. Jetzt funktioniert die Übergabe korrekt, auch bei komplexen Kopiermodi.
  • Fehlerbehandlung bei Teilkopien
    Früher konnten einzelne Kopierfehler das gesamte Deployment stoppen – selbst wenn ContinueFileCopyOnError gesetzt war. Dieses Verhalten wurde korrigiert: Fehler werden nun sauber protokolliert, ohne den Prozess unnötig abzubrechen.
  • Verbesserte Logging-Konsistenz
    Die Logausgaben bei Kopieroperationen sind nun klarer strukturiert und enthalten präzisere Statusmeldungen – ein Segen für Troubleshooting und Compliance-Dokumentation.

Weitere wichtige Fixes in Version 4.1.6

Auch abseits von Copy-ADTFile bringt das Update zahlreiche Verbesserungen, die das Toolkit stabiler und vielseitiger machen:

UI & Dialoge

  • Fluent Dialogs nutzen jetzt Software-Rendering – hilfreich bei Remote-Control-Tools wie ScreenConnect.
  • URLs im Dialogtext werden korrekt formatiert und verschachtelte Tags sauber interpretiert.
  • UI-Probleme bei erhöhtem explorer.exe wurden behoben.

Session-Handling & Prozesse

  • Start-ADTProcessAsUser funktioniert nun auch ohne aktive Benutzersession.
  • TerminalServerMode verhält sich korrekt, wenn kein Terminalserver erkannt wird.
  • Argumente in Start-ADTProcess werden zuverlässig aufgelöst.

Registry, Umgebungsvariablen & Shortcuts

  • HKLM-Zugriffe im SID-Kontext sind stabilisiert.
  • Remove-ADTEnvironmentVariable entfernt nun die Variable vollständig.
  • Get-ADTShortcut funktioniert wieder für URL-Shortcuts.

MSI & Paketfunktionen

  • Start-AdtMsiProcess deinstalliert MSIs zuverlässiger.
  • New-ADTZipFile ist wieder funktionsfähig.
  • Get-ADTApplication liefert korrekte Ergebnisse, auch bei fehlerhaften MSI-Eigenschaften.

Zusammenfassend

Für Enterprise-Architekten, die auf robuste, dokumentierte und fehlertolerante Deployment-Frameworks setzen, ist PSADT 4.1.6 ein Pflicht-Update. Besonders die Verbesserungen rund um Copy-ADTFile machen das Toolkit wieder ein Stück zuverlässiger – gerade in heterogenen Umgebungen mit eingeschränkten Rechten oder komplexen Kopierlogiken.

Patchday+Updates, Powershell, Programme, Programmierung, Software, Windows 11, Windows Server 2022, Windows Server 2025

PowerShell: Skript mit sequenzieller RDP-Verbindung

Posted on By Daniel Lensing Keine Kommentare zu PowerShell: Skript mit sequenzieller RDP-Verbindung

Es gibt Routine-Aufgaben, bei denen man sich auf mehrere Systeme per RDP-Verbindung verbinden muss. Dazu verbinde ich mich gerne nacheinander mit den Servern. Dazu nutze ich ein Skript, welches die Aufrufe sequentiell abarbeitet. Der Code ist hier folgend anhängig:

# Liste der Server
$serverList = @(
    "server001",
    "server003",
    "server004",
    "server007",
    "server008",
    "server009",
    "server010",
    "server011",
    "server012",
    "server014",
    "server015"
)

foreach ($server in $serverList) {
    Write-Host "Starte Verbindung zu $server..."

    # Starte mstsc und speichere den Prozess
    $process = Start-Process "mstsc.exe" -ArgumentList "/v:$server" -PassThru

    # Warte, bis die mstsc-Sitzung geschlossen wird
    $process.WaitForExit()

    Write-Host "Verbindung zu $server beendet."
}

Client, Exchange Server, Powershell, Programmierung, Server, Windows 10, Windows 11, Windows Server 2022, Windows Server 2025

Gruppenrichtlinien & Loopback

Posted on By Daniel Lensing Keine Kommentare zu Gruppenrichtlinien & Loopback

Die Gruppenrichtlinienverarbeitung ist ein zentraler Bestandteil der Windows-basierten Netzwerkverwaltung – und wenn du mit Terminalservern oder spezialisierten Konfigurationsszenarien arbeitest, begegnet dir früher oder später das mysteriöse „Loopback“-Verarbeitungsmodell.

Was ist die Loopbackverarbeitung?

Die Loopbackverarbeitung ist ein spezieller Modus in der Gruppenrichtlinienverwaltung von Windows, bei dem die Benutzerrichtlinien nicht wie üblich aus dem Benutzerobjekt im Active Directory, sondern aus dem Computerkontext bezogen werden.

Das bedeutet: Wenn sich ein Benutzer an einem bestimmten Computer anmeldet, gelten für ihn Benutzereinstellungen, die eigentlich dem Computer zugeordnet sind. Als Ziel der Verarbeitung isteine einheitliche Benutzerkonfigurationen auf bestimmten Geräten – unabhängig davon, wer sich anmeldet – definiert.

Wann wird dieses eingesetzt?

Typische Szenarien sind:

  • Terminalserver / Remote Desktop Sessions
    Jeder Benutzer soll auf dem Terminalserver dieselbe Umgebung vorfinden, z. B. gleiches Startmenü, deaktivierter Zugriff auf Einstellungen etc.
  • Öffentliche Rechner oder Schulungs-PCs
    Benutzer sollen nur eingeschränkte Funktionen sehen, unabhängig von ihren AD-Rechten.
  • Kiosksysteme oder POS-Geräte
    Das Gerät soll immer gleich konfiguriert sein, z. B. ein Single-App-Modus oder beschränkter Zugriff auf Systemfunktionen.
  • Strukturen bei denen die Userobjekte nicht bei den Computerobjekten abgelegt sind
    Es kann Infrastrukturvorgaben geben, bei denen die Benutzer nicht in der selben Struktur der Computer-Objekte verankert sind.

Technische Umsetzung in der Gruppenrichtlinie

Um die Loopbackverarbeitung zu aktivieren:

  1. Öffne den Gruppenrichtlinieneditor für das gewünschte Computerkonto (GPO verknüpft mit dem Computer-OU).
  2. Navigiere zu:
    Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie
  3. Aktiviere die Einstellung „Gruppenrichtlinien-Verarbeitung für Benutzer konfigurieren“ (Loopback).

Du hast zwei Optionen:

ModusBeschreibung
Zusammenführen (Merge)Benutzer-Richtlinien aus dem AD plus Computer-basierte Benutzerrichtlinien werden kombiniert. Bei Konflikten gewinnt die Computerrichtlinie.
Ersetzen (Replace)Benutzer-Richtlinien aus dem Benutzerobjekt werden ignoriert. Es gelten nur die benutzerspezifischen Einstellungen aus dem Computerkontext.

Was passiert bei der Verarbeitung?

In normalen Szenarien verarbeitet Windows GPOs in folgender Reihenfolge:

  1. Lokale Richtlinien
  2. Site-Richtlinien
  3. Domänenrichtlinien
  4. OU-Richtlinien (von oben nach unten)

Mit aktivierter Loopbackverarbeitung wird diese Reihenfolge für Benutzerrichtlinien überschrieben – es gelten die Benutzer-GPOs aus dem Computerkontext, unabhängig von der Benutzer-OU.

Wichtige Hinweise

  • Loopbackverarbeitung beeinflusst nur die Benutzerrichtlinien, nicht die Computereinstellungen.
  • Testen ist Pflicht! Gerade beim Replace-Modus kann es zu überraschenden Einschränkungen kommen.
  • Reihenfolge beachten: GPOs müssen korrekt verknüpft und priorisiert sein, sonst greifen die Richtlinien nicht wie gewünscht.

Zusammenfassend

Die Loopbackverarbeitung ist ein mächtiges Werkzeug für Administratoren, die auf bestimmte Rechnerumgebungen standardisierte Benutzererfahrungen durchsetzen möchten. Ob Terminalserver, Schulungsraum, Infoterminal oder struktureller Anforderung – mit gezieltem Einsatz der Loopbackrichtlinie lassen sich komplexe Anforderungen elegant umsetzen.

Client, Server, Windows 10, Windows 11, Windows Server 2019, Windows Server 2022, Windows Server 2025

Gruppenverwaltete Dienstkonten (gMSA)

Posted on By Daniel Lensing Keine Kommentare zu Gruppenverwaltete Dienstkonten (gMSA)

In der modernen IT-Infrastruktur spielen Sicherheit und Automatisierung eine entscheidende Rolle. Eine der oft übersehenen, aber äußerst nützlichen Funktionen in Windows-Umgebungen sind gruppenverwaltete Dienstkonten (gMSA). Diese speziellen Konten bieten eine sichere und automatisierte Möglichkeit, Dienstkonten zu verwalten, ohne dass Administratoren sich um regelmäßige Kennwortänderungen kümmern müssen.

Was sind gMSA?

Gruppenverwaltete Dienstkonten (gMSA) sind eine Erweiterung der verwalteten Dienstkonten (MSA), die mit Windows Server 2008 R2 eingeführt wurden. Während ein einfaches verwaltetes Dienstkonto (sMSA) nur für einen einzelnen Server genutzt werden kann, ermöglichen gMSA die Verwendung eines Dienstkontos auf mehreren Servern innerhalb einer Domäne.

Ein gMSA bietet eine automatische Kennwortverwaltung, da das System das Kennwort regelmäßig ändert, ohne dass Administratoren eingreifen müssen. Dies erhöht die Sicherheit, da das Passwort nicht manuell gespeichert oder weitergegeben wird, und vereinfacht die Verwaltung, da ein einzelnes Dienstkonto für mehrere Systeme genutzt werden kann.

Vorteile von gMSA

Die Verwendung von gMSA bringt zahlreiche Vorteile mit sich. Besonders hervorzuheben ist die automatische Kennwortverwaltung, die durch das Active Directory gewährleistet wird. Dies reduziert das Risiko statischer Kennwörter erheblich und macht es unnötig, manuelle Änderungen durchzuführen.

Ein weiterer großer Vorteil liegt in der erhöhten Sicherheit. Da Administratoren die Kennwörter nicht verwalten müssen, entfällt die Gefahr, dass sie versehentlich weitergegeben oder kompromittiert werden. Zudem erleichtert die zentrale Verwaltung die Nutzung und Wartung von Dienstkonten in größeren IT-Umgebungen, da ein gMSA von mehreren Servern innerhalb einer Domäne verwendet werden kann.

Einschränkungen von gMSA

Trotz der zahlreichen Vorteile gibt es einige Einschränkungen, die bei der Implementierung von gMSA berücksichtigt werden müssen. Diese Konten sind nur mit Windows Server 2012 und neuer kompatibel. Unternehmen mit älteren Windows-Versionen können gMSA nicht verwenden und müssten auf alternative Lösungen zurückgreifen.

Ein wichtiger Punkt ist zudem, dass gMSA nicht für interaktive Anmeldungen genutzt werden können. Sie sind ausschließlich für Dienste und Anwendungen vorgesehen, sodass eine direkte Anmeldung an einem Server damit nicht möglich ist. Auch bei geplanten Aufgaben gibt es eine Einschränkung, denn gMSA lassen sich nicht direkt über die Windows-Oberfläche konfigurieren – dafür wird PowerShell benötigt.

Darüber hinaus benötigen gMSA eine kontinuierliche Verbindung zum Domänencontroller, um die automatischen Kennwortaktualisierungen zu erhalten. Falls ein Server über einen längeren Zeitraum offline ist, könnten Authentifizierungsprobleme auftreten. Außerdem sind diese Konten nur innerhalb einer Domäne nutzbar und können nicht über Domänengrenzen hinweg eingesetzt werden.

Eine weitere Herausforderung besteht in der Verwaltung der Berechtigungen. Jeder Server, der ein gMSA verwenden soll, muss explizit in einer Liste mit berechtigten Systemen (PrincipalsAllowedToRetrieveManagedPassword) eingetragen werden. Dies erfordert eine präzise Planung, um die Zugriffskontrolle effektiv zu verwalten. Abschließend besteht trotz der automatisierten Kennwortverwaltung weiterhin ein potenzielles Sicherheitsrisiko, falls ein Server kompromittiert wird und dadurch das Kennwort ausgelesen werden könnte.

Fazit

Gruppenverwaltete Dienstkonten (gMSA) sind eine äußerst praktische Lösung für die sichere und automatisierte Verwaltung von Dienstkonten in Windows-Umgebungen. Die automatische Kennwortverwaltung, die erhöhte Sicherheit und die vereinfachte Administration machen sie besonders geeignet für Unternehmen, die ihre IT-Infrastruktur effizienter gestalten möchten. Allerdings sollten Administratoren sich der potenziellen Einschränkungen bewusst sein und bewährte Sicherheitsmaßnahmen anwenden, um mögliche Risiken zu minimieren.

Server, Windows Server 2019, Windows Server 2022, Windows Server 2025