VBS: Bitlocker-Key erneut in AD speichern

Posted on By Daniel Lensing Keine Kommentare zu VBS: Bitlocker-Key erneut in AD speichern

Wenn man die Bitlocker-WiederherstellungsschlĂŒssel in der DomĂ€ne speichert, kann es zu dem Fall kommen, dass ein Computerobjekt keinen SchlĂŒssel zur VerfĂŒgung hat, obwohl das System selber sich trotzdem in der DomĂ€ne befindet.

Meistens passiert dieses, wenn ein Rechner-Objekt in der DomĂ€ne gelöscht wird und wieder aufgenommen wird. Bei der DomĂ€nenaufnahme wird der BitlockerschlĂŒssel nicht wieder an den DomĂ€nencontroller ĂŒbergeben. Dieses kann aber durch ein VBS-Skript durchgefĂŒhrt werden. 

Ich veröffentliche hier das Skript unter Nutzung von „Deutsch“ als Displaysprache. Das von Microsoft verfĂŒgbare Skript ist auf Englisch ausgelegt und wurde von mir angepasst.

    Option Explicit
 
    Dim strNumericalKeyID
    Dim strManageBDE,strManageBDE2
    Dim oShell
    Dim StrPath
    Dim StdOut, strCommand
    Dim Result, TPM, strLine
    Dim Flag, NumericalKeyID
 
    Set oShell = CreateObject("WSCript.Shell")
 
    strManageBDE = "Manage-BDE.exe -protectors -get c:"
 
    Flag = False
 
    Set Result = oShell.Exec(strManageBDE)
 
    Set TPM = Result.StdOut
 
    While Not TPM.AtEndOfStream
       strLine = TPM.ReadLine  'Sets strLine
       If InStr(strLine, "Numerisches Kennwort:") Then  
        Flag = True
       End If
       If Flag = True Then
         If InStr(strLine, "ID:") Then 
          NumericalKeyID = Trim(strLine)
          NumericalKeyID = Right(NumericalKeyID, Len(NumericalKeyID)-4)
          Flag = False
         End If
       End If
    Wend
 
    strManageBDE2 = "Manage-BDE.exe -protectors -adbackup C: -ID " & NumericalKeyID
    oShell.Run strManageBDE2, 0, True

Dieses Skript kann auch automatisiert regelmĂ€ĂŸig ausgefĂŒhrt werden, da der WiederherstellungsschlĂŒssel mit dem entsprechenden Datum seiner Erstellung in der AD gespeichert wird und nicht bei jeder Übermittlung des entsprechenden Wertes. Somit kann eine Ablage dieses wichtigen Objektes in der Active Directory gewĂ€hrleistet werden ohne zusĂ€tzliches Datenvolumen in der AD aufzubauen.

VBS, Windows 7, Windows 8

Herunterfahren-Button im Logon-Bildschirm unter W2K12

Posted on By Daniel Lensing Keine Kommentare zu Herunterfahren-Button im Logon-Bildschirm unter W2K12

Im Anmeldebildschirm des Windows Server 2012 befindet sich kein Button, um den Server neuzustarten oder gar herunterzufahren. Somit sind diese beiden Funktionen ohne Anmeldung mit Benutzerdaten nicht möglich.

Dieses kann ĂŒber 2 Wege aktiviert werden.

  • Gruppenrichtlinie
    Pfad: Windowseinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
    Einstellungsname: Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen
  • Registry
    Pfad: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Name: ShutdownWithoutLogon
    Typ: REG_SZ
    Wert: 0×00000001 (1)

Es gibt allerdings zu der vorherigen Windows Server 2008 R2 einen kleinen Unterschied, da dieser Button dann auch bei Remoteverbindungen per RDP zu sehen und auch nutzbar ist. Somit können auch Benutzer den Server im laufenden Betrieb herunterfahren.

Windows Server 2012

Windows Server 2012 – Wechsel zwischen GUI- und Core-OberflĂ€che

Posted on By Daniel Lensing Keine Kommentare zu Windows Server 2012 – Wechsel zwischen GUI- und Core-OberflĂ€che

Im Windows Server 2012 gibt es die Möglichkeit zwischen der GUI-OberflÀche und der Core-OberflÀche zu wechseln. Dieses ist mit 2 einfachen Befehlszeilen möglich.

Wechsel von Core auf GUI:

Dism /online /enable-feature /featurename:ServerCore-FullServer /featurename:Server-Gui-Shell /featurename:Server-Gui-Mgmt

Wechsel von GUI auf Core:

Dism /online /disable-feature /featurename:ServerCore-FullServer 

Entsprechend stehen die ausgewĂ€hlten OberflĂ€chen zur VerfĂŒgung.

Windows Server 2012

Powershell: Setzen von IP und Computername

Posted on By Daniel Lensing Keine Kommentare zu Powershell: Setzen von IP und Computername

In den Demo-Umgebungen möchte man fix die Netzwerkeinstellungen und Computernamen nach einer Grundinstallation oder Kopieren einer virtuellen Maschine anpassen. Dieses ist mit einem vorgefertigtem Powershell-Skript in kurzer Zeit realisierbar.

#Variablen
$ip = "192.168.0.5" 
$prefix = "24" 
$gw = "192.168.0.1" 
$dns = "192.168.0.1" 
$name = "Server1" 
 
#Setzen der IP-Einstellungen
$adapter = (Get-NetAdapter).ifIndex 
New-NetIPAddress -IPAddress $ip -PrefixLength $prefix -InterfaceIndex $adapter -DefaultGateway $gw 
#Setzen des DNS-Servers
Set-DNSClientServerAddress –InterfaceIndex $Adapter -ServerAddresses $dns
#Setzen des Computernamens
Rename-Computer -NewName $name -force 
#Neustart des Systems
Restart-Computer
Powershell

Meine meistgenutzen Windows-SIDs

Posted on By Daniel Lensing Keine Kommentare zu Meine meistgenutzen Windows-SIDs

Im Bereich der Programmierung, des Skriptings oder Verwaltung von Zugriffsberechtigungen werden regelmĂ€ĂŸig zur eindeutigen Identifizierung SIDs verwandt, da der Anzeigename verĂ€ndert werden kann und es somit Probleme entstehen können. Bei der Nutzung von SIDs ist die Bezeichnung des entsprechenden Objekts nicht relevant.

Hier eine Auflistung meiner meist genutzten SIDs:

  • S-1-1-0 = Jeder
  • S-1-5-2 = Netzwerk
  • S-1-5-4 = Interaktiv
  • S-1-5-14 = Terminaldienste-Anmeldung
  • S-1-5-18 = System
  • S-1-5-32-544 = Gruppe der Administratoren
  • S-1-5-32-545 = Gruppe der Benutzer
  • S-1-5-32-548 = Gruppe der Konten-Operatoren (auf DomĂ€nencontrollern)
  • S-1-5-32-550 = Gruppe der Server-Operatoren
  • S-1-5-32-550 = Gruppe der Druck-Operatoren
  • S-1-5-32-555 = Gruppe der Remote Desktop Benutzer
  • S-1-5-32-573 = Gruppe der Ereignisanzeigen-Leser
  • S-1-5-32-578 = Gruppe der Hyper-V-Administratoren
  • S-1-5-32-580 = Gruppe der Remote-Management-Benutzer

Die nun folgenden Nutzer werden vom Computer bzw. einer DomĂ€ne mit einem zusĂ€tzlichen String identifiziert, der durch einen Zufallsgenerator bereits bei der Installation des Systems erzeugt wird. Als Platzhalter fĂŒr diesen Eintrag verwende ich „xxx“:

  • S-1-5-21-xxx-500 = Lokaler Administrator
  • S-1-5-21-xxx-512 = Gruppe der DomĂ€nen-Administratoren
  • S-1-5-21-xxx-513 = Gruppe der DomĂ€nen-Benutzer

Es gibt auch noch weitere Benutzer und Gruppen, die entsprechend nachgelesen werden können

Link

Windows Server, Windows Server 2012

Server-Manager beim Windows Server 2012 deaktivieren

Posted on By Daniel Lensing 1 Kommentar zu Server-Manager beim Windows Server 2012 deaktivieren

Wie auch bereits bei den VorgĂ€ngern Windows Server 2008 und Windows Server 2008 R2 wird beim Microsoft Windows Server 2012 nach der Anmeldung des Benutzers der Server-Manager gestartet. Allerdings muss die Deaktivierung dieser Funktion nicht mehr ĂŒber die Aufgabenplanung oder per GPO durchgefĂŒhrt werden, sondern kann ganz einfach im Server-Manager selber deaktiviert werden.

Unter dem Punkt „Verwalten“ und „Server-Manager-Eigenschaften“ kann man den Haken bei der Option „Server-Manager beim Anmelden nicht automatisch starten“ setzen und beim nĂ€chsten Start im Benutzerprofil erscheint der Manager nicht mehr.

Windows Server 2012

Screenshot beim Samsung Galaxy S3

Posted on By Daniel Lensing Keine Kommentare zu Screenshot beim Samsung Galaxy S3

Manche werden sagen, dass es eigentlich ja gar keinen Blogartikel wert sein kann, aber ich kann mir Dinge, die ich hier schreibe besser merken und finde sie, falls ich es doch mal vergessen habe schnell wieder…

Beim Samsung Galaxy S III kann beim gleichzeitigen DrĂŒcken von Power- (Taste rechts am GerĂ€t) und Home-Taste (Taste unten in der Mitte) ein Bildschirmabzug erstellt werden.

Dieser wird im Ordner „Screenshots“ unterhalb des Ordners „Pictures“ gespeichert, der bei Der Erstellung des ersten Bild angelegt wird. Entsprechend erscheinen diese Bilder auch in der Galerie.

Android