Windows – Seite 59 – ugg.li Schnelle Hilfe für schnelle Admins

Windows Server 2012/R2 zwei Administrator RDP-Anmeldungen zulassen

Veröffentlicht am Dezember 10, 2013 von admin — 3 Kommentare ↓

In seiner unendlichen Weisheit des Betriebssystem-UI-designs hat Microsoft die Terminaldienstverwaltung (später „Konfiguration des Remotedesktop-Sitzungshosts“) aus Windows-Server Installationen ohne Terminaldienste („Remotedesktopdienste“) ersatzlos entfernt. Bis Windows Server 2008R2 war es hier dem Administrator „auf die schnelle“ möglich, die Einstellungen für dne RDP-Host zu ändern. Typischerweise wurde hier die Beschränkung auf eine einzeln Administrator-Sitzung gelöst und die in den meisten Fällen sinnbefriete Druckerumleitung deaktiviert. Ab Windows Server 2012 gibt es diese Konsole nicht mehr (ohne weiteres). Die Einstellungen hingegen existieren selbstvwrständlich noch, ebenso sind zwei Administrator-RDP-Sitzungen durch die Server-Lizenz abedeckt. Häufig hört man „Windows 2012 ist jetzt beschränkt auf eine einzige Administrator-RDP-Sitzung“, was so prinzipiell nicht korrekt ist – es spielt nur die Voreinstellung eine Rolle.

Lösung:

Die Einstellungen sind (seit Windows 2008 unverändert, jetzt aber eklusiv) via GPO oder in der lokalen Richtlinie (gpedit.msc) erreichbar:

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponennten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen > „Remotedesktopdienste-Benutzer auf eine Remotedesktop-Sitzung beschränken“

Wenn diese Richtlinieneinstellung aktiviert ist, werden RDP-Benutzer auf eine einzelne Sitzung beschränkt. Wenn der Benutzer eine getrennte Sitzung verlässt, wird er bei der nächsten Anmeldung automatisch wieder mit dieser Sitzung verbunden.

Wenn Sie diese Richtlinieneinstellung deaktiviert ist, können RDP-Benutzer eine je nach Lizenz unbeschränkte Anzahl gleichzeitiger Remoteverbindungen herstellen.

Windows 8 Apps starten nicht als Administrator

Veröffentlicht am November 21, 2013 von admin — 2 Kommentare ↓

Problem

„Die App kann nicht von einem integrierten Adminisrtator-Konto aus gestartet werden. Bitte melden Sie sich mit einem Benutzerkonto an“. So begrüßt Windows 8/8.1 gerne mal einen Admin der eine App, vor allem den Store, verwenden möchte. Ja, richtig gelesen: Der Administrator darf den Store nicht verwenden – auch nicht um das Windows 8.1 Update einzuspielen. Die OEM-Version von Windows 8.1 Pro lässt sich bekanntlich ja nicht anders als über den Store installieren, die ISO benötigt einen nicht-OEM-Key für den Download.

Lösung

Immerhin lässt sich diese Flause dem Windows TwinToken-System schnell austreiben:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken

Auf „1“ Stellen (Enabled), Default ist 0 (Disabled).

Wie immer auch gerne als .REG-Datei:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"FilterAdministratorToken"=dword:00000001

Und natürlich geht das auch via GPO für die ganze Domäne:
COMPUTERKONFIGURATION -> Richtlinien -> Windows-Einstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> „Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto“

Mehr zum Thema: http://technet.microsoft.com/de-de/library/dd835564(v=ws.10).aspx#BKMK_BuiltInAdmin

Windows Server 2008/2008R2/2012/2012R2 RDS verbleibende Zeit anzeigen

Veröffentlicht am November 4, 2013 von weed — Keine Kommentare ↓

Der Windows Server, seit 2008, bringt eine Gnadenfrist für die Remote Desktop Services (früher Terminalservices) mit. In dieser Zeit lassen sich unbegrenzt Verbindungen herstellen und die Terminaldienste ausgiebig testen. Diese Zeit beträgt 90 Tage, bei nicht-erreichbarkeit des RDS-Lizenzservers bis zu 120 Tage. Doch wieviele Tage verbleiben noch?

Lösung: Die Antwort ist via WMI zu bekommen und versteckt sich in der win32_terminalservicesetting Klasse.

An der Powershell:

(Invoke-WmiMethod -PATH (gwmi -namespace rootcimv2terminalservices -class win32_terminalservicesetting).__PATH -name GetGracePeriodDays).daysleft[/powershell)

Via CMD/WMIc:

C:Windowssystem32>wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !="") CALL GetGracePeriodDays

Allgemeine Informationen über die Lizenz und Lizensierung des aktiven Servers gibt es via

slmgr /dlv

Upgrade Windows Server 2012 Standard Edition auf Server 2012 Datacenter Edition

Veröffentlicht am Oktober 29, 2013 von weed — Keine Kommentare ↓

Problem

Muss man einen Server neu installieren, wenn man im Setup die falsche Version des Windows Server 2012 ausgewählt hat?

Antwort: Nein, man kann Windows Server 2012 Standard Edition jederzeit auf Windows Server Datacenter Edition aktualisieren.

Anzeigen der verwendeten Edition:

c:\> DISM /online /Get-CurrentEdition

Lösung

Herausfinden, ob wenn ja welches Upgrade möglich ist:
```
c:\> DISM /online /Get-TargetEditions
```

Upgrade durchführen:

c:\> DISM /Online /Set-Edition:ServerDatacenter /AcceptEula /ProductKey: 48HP8-DN98B-MYWDG-T2DCC-8W83P

Der hier angegebene Key ist der KMS Client Setup Key, der für sich genommen nicht zur Produktnutzung berechtigt. Alle KMS-Setup-Schlüssel gibt’s imTechnet unter http://technet.microsoft.com/en-us/library/jj612867.aspx

Powershell Sicherheitswarnung für PS1-Scripts trotz „unrestricted“ loswerden

Veröffentlicht am September 24, 2013 von weed — 4 Kommentare ↓

Das man an der Kommandozeile nahezu keine selbst- oder Fremdgebauten PS-Scripts ausführen kann hat sich mittlerweile herumgesprochen. Das kaum ein Admin seine kleinen Helferchen einzeln und bei jeder Änderung signieren wird ist ebeso offensichtlich.

Umso ärgerlicher, als das der Script-aktive Admin ab und an über den doppelten Boden der Powershell-Ausführungsverhinderung stolpert. Trotz der ExecutionPolicy ohne Restriktionen:

Set-ExecutionPolicy Unrestricted

gibt es doch weiterhin Scriptausführungsverhinderungen die sich in deutlich nicht-aussagekräftigen Fehlermeldung an der Kommandozeile und ISE bemerkbar machen:

powershell-ise-warnung

… an der Shell:

PS C:scripts> .format-c.ps1
Sicherheitswarnung
Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet können zwar nützlich sein,
stellen jedoch auch eine potenzielle Gefahr für Ihren Computer dar. Möchten Sie "C:scriptsformat-c.ps1"
ausführen?
[N] Nicht ausführen  [M] Einmal ausführen  [H] Anhalten  [?] Hilfe (Standard ist "N"):

Automatisierungen jeder Art sind so offensichtlich undurchführbar und auch das deutlichste „Als Stapelverarbeitungsauftrag anmelden“ Recht verpufft an diesem Scriptverhüterli wirkungslos.

Lösung

Seit Windows 8 und dem zugehörigen Server 2012 gibt es im Dateisystem ein magisches Flag, das die (telepatisch festgestellte) Herkunft des Scripts als lokal oder „Siebter Kreis der Hölle“ markiert. Das Flag lässt sich mit einem Klick auf „Zulassen“ in den Dateieigenschaften wie für die lokale Ausführung erwartet zulassen.

powershell-ise-warnung-loesung

Selbstverständlich ist der Vorgang irreversibel, denn die telepatischen Fähigkeiten von Windows sind über jeden Zweifel erhaben. Die Anwesenheit des Flags lässt sich durch kopieren/einfügen beibehalten, durch Snippletkopiererei (ein TOTAL ungewöhnlicher Vorgang beim scripten) reproduzieren und nicht automatisiert beheben.