Windows allgemein – PowerShell.pub

Proxy – Autoconfiguration

Beitrag gepostet am 10.08.2016 von adminHinterlasse einen Kommentar

Ein praktisches Online-Tool zum prüfen der Syntax:
http://esprima.org/demo/validate.html

http://home.thorsen.pm/proxyforurl

WINS aus NIC-Config löschen

Beitrag gepostet am 18.01.2016 von adminHinterlasse einen Kommentar

folgendes Batch-Script löscht die WINS-Konfiguration von allen verbundenen Netzwerkkarten:

@echo off
FOR /F "skip=2 tokens=4*" %%a IN ('NetSh.exe Interface IP Show Interface') DO (
	if "%%a"=="connected" (
		rem echo "%%b - %%a"
		netsh interface ipv4 set winsservers name="%%b" static none
	)
)
exit /B

„skip“ könnte hier auch weggelassen werden. Die Verarbeitung läuft trotzdem, da auf „connected“ geprüft wird.

Sollen alle NICs umkonfiguriert werden, sollte man „skip“ korrekt angeben, damit die richtige Anzahl an Zeilen übersprungen wird. Ansonsten werden ungültige Netzwerkadapter „konfiguriert“ was Fehler hervorruft…

Wird die Zahl zu groß gewählt, werden NICs übersprungen.

Sysprep für Images

Beitrag gepostet am 15.06.2015 von adminHinterlasse einen Kommentar

Beim Erstellen von Images wird häufig sysprep eingesetzt um Windows zu generalisieren, SIDs neu zu erstellen usw.
Sysprep führt jedoch, in der Standard-Konfiguration, einen rearm der Lizenz durch. Dies ist nur 3 mal zulässig. Beim 4ten versuch verwehrt sysprep seine Dienste.

Um dies zu verhindern erstellt man im sysprep-Verzeichnis (typisch c:\windows\system32\sysprep) eine Datei mit dem Namen unattend.xml mit folgendem Inhalt:

<settings pass="generalize">
	<component name="Microsoft-Windows-Security-SPP" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
		<SkipRearm>1</SkipRearm>
	</component>
</settings>

Durch dieses File wird der rearm der Lizenz unterbunden!

Durch folgenden Reg-Key kann angeblich das gleiche erreicht werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SoftwareProtectionPlatform\SkipRearm

GPO-Backup

Beitrag gepostet am 16.03.2015 von adminHinterlasse einen Kommentar

Schnell ist es passiert:
Eine GPO wird geringfügig angepasst und plötzlich funktioniert sie nicht mehr so wie gewünscht.
…ein Backup der alten Version wäre jetzt hilfreich.

„GPO-Backup“ weiterlesen →

Nachinstallation von .Net 3.5

Beitrag gepostet am 11.03.2015 von adminHinterlasse einen Kommentar

Die Installation von .NET 3.5 ist eine echte Herausforderung:
Trotz Internetanbindung schlägt das Nachladen meist fehl.

Die einfachste variante ist, meiner Meinung nach, das einlegend der DVD und dann die Offline-Installation per DISM:

DISM /Online /Enable-Feature /FeatureName:NetFx3 /All /LimitAccess /Source:f:\sources\sxs

Die Option „LimitAccess“ sorgt dafür, dass kein Kontakt zum Internet aufgenommen wird.

Der Pfad bei „Source“ muss mit dem korrekten Laufwerksbuchstaben versehen werden!

WMI-Filter testen

Beitrag gepostet am 24.02.2015 von adminHinterlasse einen Kommentar

In Gruppenrichtlinien kommen häufig WMI-Filter zum Einsatz.

Mit dem CMDlet Get-WMIObject kann man auf jedem PC, auf dem Power Shell läuft, die WMI-Filter testen. Am besten auf dem PC auf dem die Filter wirken sollen.

Hinweis: WMI-Filter von GPOs werden auf dem Client ausgeführt und das Ergebnis entscheidet ob die Richtlinie angewendet wird oder nicht.
WMI-Filter benötigen somit Ressourcen vom Client und der Server muss auf das Ergebnis warten. Wie immer gilt: Verwendung in maßen und nicht in Massen!

Hier ein Beispiel mit Ausgabe:

PS C:\Users\rob> Get-WmiObject -Query "select * from Win32_ComputerSystem where PCSystemType = 3"


Domain              : PowerShell.PUB
Manufacturer        : Gigabyte Technology Co., Ltd.
Model               : To be filled by O.E.M.
Name                : PC-1
PrimaryOwnerName    : administrator
TotalPhysicalMemory : 16999178240

Eine Ausgabe bedeutet TRUE und wenn nichts ausgegeben wurde ist das Ergebnis FALSE

Hier noch ein hilfreicher Link: https://technet.microsoft.com/en-us/library/jj717288.aspx

NTFS-Change Permissions

Beitrag gepostet am 20.02.2015 von adminHinterlasse einen Kommentar

Die normalen Änderungsrechte auf ein Verzeichnis geben meist zu viele Rechte. Der Benutzer ist dadurch in der Lage das Verzeichnis zu löschen, umzubenennen oder zu verschieben.

Als Administrator möchte man das meist nicht und die Änderungen passiert meist auch nicht mit Absicht. Schnell die Maus über die Liste der Verzeichnisse bewegt und dabei versehentlich die linke Taste kurz ausgelöst. Schon ist ein Verzeichnis verschoben und es fällt erst mal nicht auf…

Die Rechte anzupassen ist dabei nicht Aufwendig:

Eigenschaften des Verzeichnisses öffnen
Den Tab „Sicherheit“ anklicken
Auf den Button „Erweitert“ im Fenster unten rechts klicken
Den betroffenen Benutzer oder Gruppe auswählen und auf „Ändern“ klicken
Bei Windows 8 und 8.1 muss man nun noch den Link „Erweiterte Berechtigungen anzeigen“ anklicken
Berechtigung wie im Bild vergeben. Markiert sind die Optionen die geändert wurden gegenüber den Änderungsrechten.

…und dies wäre nicht „PowerShell.PUB“ wenn es kein Script dafür geben würde:

Wenn Sie auf das Verzeichnis C:\Daten folgende Rechte vergeben möchten:

Vollzugriff für SYSTEM
Vollzugriff für lokale Admins
Änderungsrechte für Benutzer (unterhalb des Verzeichnisses

Folgender Einzeiler erledigt das für Sie:

icacls c:\Daten /inheritance:r /grant *S-1-5-32-544:(OI)(CI)(F) /grant *S-1-5-18:(OI)(CI)(F) /grant *S-1-5-32-545:(OI)(CI)(RX,W,DC)

Es wir mit SIDs gearbeitet, da diese international funktionieren. Umlaute und andere Sonderzeichen erzeugen manchmal Probleme.

Lokales System: S-1-5-32-18
Lokaler Admin: S-1-5-32-544
Lokaler Benutzer: S-1-5-32-545

Die restlichen well known SIDs können Sie hier finden: https://support.microsoft.com/kb/243330

Zertifikate nach PEM (ascii) konvertieren

Beitrag gepostet am 12.02.2015 von adminHinterlasse einen Kommentar

Zertifikate aus einer Windows Zertifizierungsstelle die mit privatem Schlüssel exportiert werden, sind im pkcs12 Format. Mit hilfe von OPENSSL kann man den Privaten Schlüssel und der Zertifikat exportieren (d.h. jeweils in eine Datei speichern) und in das PEM-Format konvertieren:

Export private Key: openssl pkcs12 -in windows-cert.pfx -out priv-key.pem -nodes -nocerts

Export certificate: openssl pkcs12 -in windows-cert.pfx -out cert.pem -nodes -nokeys

SAN-Zertifikate von eigener CA

Beitrag gepostet am 12.02.2015 von adminHinterlasse einen Kommentar

SAN-Zertifikate
Um Zertifikate zu erstellen die für mehrere Namen gültig sind, muß man die Zertifikatsstelle dafür konfigurieren. Das geht mit folgender Befehlsfolge:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Bei dem Request muß dann im Feld Attribute die Namesliste angegeben werden:

SAN:dns=servername.mydomain.com&dns=servername&dns=phones&dns=phones.mydomain.com

WINSXS verkleinern

Beitrag gepostet am 12.02.2015 von adminHinterlasse einen Kommentar

Bei den aktuellen Betriebssystemen von Microsoft wurde das Patchmanagemen etwas verändert. Unter Windows XP wurden die Unsinstall-FIles unter c:\Windows abgelegt. Diese konnten meist einfach gelöscht werden da die Updates meist gar nicht deinstallierbar waren. Ab Vista wurde das WINSXS-Verzeichnis eingeführt. Hier werden Versions-Historien geführt. Dies kann und sollte man nicht einfach löschen! Mit Vista will ich mich auf dieser Seite nicht beschäftigen… Das WINSXS-Verzeichnis wird auf Dauer ziemlich groß und kann somit durchaus ein anfangs großzügig ausgelegtes C: zum überlaufen bringen 🙁

Mit folgendem Befehl kann mann zumindest Dateien löschen lassen, die Seit SP1 überflüssig geworden sind. Dies habe ich unter Windos 7 und Windows 2008 R2 erfolgreich durchgeführt.

dism /online /cleanup-image /spsuperseded

Quelle: How to reclaim space after applying Windows 7/2008 R2 Service Pack 1