Windows Remotehilfe erweiterte Rechte („Als Administrator“) erlauben / ermöglichen

Veröffentlicht am von Keine Kommentare ↓

Die Windows Remotehilfe (STRG+Win+Q) ist ein ausgezeichnetes, oft unterschätztes und seit Windows 10 allgegenwärtiges Werkzeug. Der Admin kann damit beliebigen Windows (Clients) direkt Hilfe anbieten, ohne Tools wie Teamviewer oder Anydesk herunterladen zu müssen.

Das einzige Problem ist die Rechteausweitung. Die Windows Remotehilfe kann nicht selbstständig „Erweiterte Rechte“ erlangen, man kann also nicht mal eben Dinge „Als Administrator“ starten. Wenn man das versucht, sieht man auf der Helfer-Seite ein „Pause“ Symbol und auf dem Client den „Secure Desktop“ der die Eingabeaufforderung für Admin-Credentials

Die Admin-Seite bleibt schwarz
Die Client-Seite zeigt den UAC-Dialog

Selbst wenn man dann bestimmte Anwendungen als Administrator gestartet hat, zum Beispiel via runas oder minirunas, sind Eingaben in diese Fenster für den Helfenden nicht möglich. Der „Sichere Desktop“ verhindert das ein nicht-admin die Administrator-Fenster bedienen kann. Grundsätzlich sicher eine sichere Idee, aber auch etwas unprkatisch.

Lösung

Um es Admins zu ermöglichen, die Anmeldedaten auch in einer Remotehilfesitzung einzugeben, müssen zwei Dinge geschehen. Erstens muss die UAC-Eingabeauffoderung ohne „Sicheren Desktop“ angezeigt werden und zweitens muss die ganze Benutzersitzung zum „Sicheren Desktop“ wechseln dürfen.

Das geht am einfachsten per Gruppenrichtlinie.

Computerkonfiguration > Richtlinien > Lokale Richtlinien > Sicherheitsoptionen > Benutzerkontensteuerung >
„Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln“: Deaktiviert

(Gleicher Pfad)
„Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind“: Aktiviert

(Gleicher Pfad)
„Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern“: Aktiviert

Nach dem nächsten gpupdate können Admins auch in der Windows Remotehilfe wieder Anmeldedaten „für „Als Administrator“ eingeben.

WordPress Domain (URL) Umzug via SQL (PHPMyAdmin)

Veröffentlicht am von Keine Kommentare ↓

Schnippsel der Kategorie „Braucht man so oft, das man sie nicht wegspeichert“.

Manchmal muss man „mal eben“ ein WordPress auf eine neue URL umsellen. Um eine „DEV“ Seite in den Produktivbetrieb umzustellen oder endlich die neue Domain zu nutzen. Wenn es nur um die WordPress Domain geht, kann man das am schnellsten via SQL tun:

UPDATE wp_options SET option_value = replace(option_value, 'old.example.com', 'new.example.com') WHERE option_name = 'home' OR option_name = 'siteurl';
UPDATE wp_posts SET guid = replace(guid, 'old.example.com','new.example.com');
UPDATE wp_posts SET post_content = replace(post_content, 'old.example.com', 'new.example.com');
UPDATE wp_postmeta SET meta_value = replace(meta_value,'old.example.com','new.example.com');

Das via Konsole oder PHPMyAdmin ausgeführt, und schon ist die URL für alle Standard-WP Felder geändert. Manche Plugins oder Themes haben noch eigene Felder (ganz zu schweigen von manuellen URLs in Dateien), aber dafür gibt es kein Patentrezept.

PrintNightmare: Drucker hinzufügen Fehler 0x0000011b (Update)

Veröffentlicht am von 9 Kommentare ↓

Nach der Installation von KB5005033 (und den folgenden Patches) kann es dazu kommen, dass Clients im Netzwerk nicht mehr zuverlässig drucken können:

  • Die Druckerliste ist (und bleibt) leer
  • Es passiert nach einem Druckauftrag nichts mehr
  • Alle Netzwerkdrucker sind verschwunden

Verbindet man einen so „verschwundenen“ Drucker von einem gepatchten Windows-Druckserver neu, erhält man statt eines neu verbundenen Druckers die Fehlermeldung 0x0000011b. Das betrifft in der Regel Maschinen, die eine ältere Version des zugehörigen Druckertreibers installiert hatten.

Nutzt man auch noch Drucker(treiber) die einen einem eigenen Porttyp mitbringen, bleibt auch die Liste der „Anschlüsse“ plötzlich leer.

Lösung

In die Registry importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Nach einem Neustart des Druckerspoolers geht alles wieder.

In einigen Fällen kann auch dieser Registry Key auf dem Printserver die Lösung sein:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]  "RpcAuthnLevelPrivacyEnabled"=dword:00000000

Hiernach ist ebenfalls ein Neustart des Spoolers (auf dem Printserver) erforderlich.

Update

Damit Benutzer auch weiterhin Drucker installieren können und nicht nach dem „Administrator“ gefrat werden, muss zusätzlich zur PointAndPrint Richtlinie dieser Schlüssel gesetzt werden

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Aruba „Error connecting to the activation server: Activate TLS connection error.“

Veröffentlicht am von Keine Kommentare ↓

Im Log eines Aruba Switches finden sich oft „zahlreiche“ Warnungen. In diesem Fall alle fünf Minuten, so dass der Rest des Protokoll kaum lesbar ist. Diese Meldung sagt, das „Activation Server“ von Aruba nicht aufgelöst werden kann. Wir wissen auch nicht was das soll, lasst unsere Switches doch einfach in Ruhe.

Lösung: „Aruba Activation“ abschalten

Zeigt den Zustand der „Activation“:

# show activate provision
Configuration and Status - Activate Provision Service

Activate Provision Service : Enabled
Activate Server Address : device.arubanetworks.com
Activation Key : Not Available

Zum Deaktivieren in den Config Modus wechseln

# config
(config)# activate provision disable
(config)# activate software-update disable
(config)# wr mem

Und schon hat man Ruhe.

Microsoft 365 Exchange online: SMTP-Relay sendet nicht mehr „SendAsDenied“ und „not allowed to send as“

Veröffentlicht am von 1 Kommentar ↓

„Auf einmal“ sendet ein SMTP-Relay Server nicht mehr alle E-Mails raus. Im (IIS-SMTP-) Log findet sich dieser Fehler:

SendAsDenied; <NAME> not allowed to send as <NAME>; STOREDRV.Submission.Exception:SendAsDeniedException.MapiExceptionSendAsDenied; Failed to process message due to a permanent exception with message [BeginDiagnosticData]Cannot submit message.

Wobei <NAME> ein Alias des Relay-Benutzers ist. Der Benutzer darf also nicht mehr als er selbst senden.

Lösung

Microsoft hat, natürlich ohne große Ankündigung, die implizite „Senden-Als“ Berechtigung für Aliase einer Mailbox entfernt. Man muss diese im Exchange Admin-Center einfach wieder aktivieren.

Das geht unter Einstellungen > Nachrichtenfluss > „Senden von Aliasnamen aktivieren“

… und schon kann der Nutzer wieder mit einem beliebigen Alias E-Mails (via SMTP) versenden.