Nach einer Dateiserver-Migration oder nach einem Anwendungs-Update sollen oft veraltete Verknüpfungen im Startmenü oder auf dem Desktop von Benutzern entfernt werden, weil sie auf ein nicht mehr vorhandenes Ziel zeigen. Da Benutzer solche Links auch selbst erzeugen können, ist das eine nicht ganz einfache Aufgabe.

Unser Autor Pegasus hat in einer Newsgroup-Diskussion eine Batch-Lösung dafür entwickelt, die sehr flexibel ist. Sie benötigt das Tool shortcut.exe von folgender Webseite:

[Optimum X Download Page]
http://www.optimumx.com/download/#Shortcut

Hier das Skript. Die Zeilennummern bitte manuell entfernen und Zeilenumbrüche korrigieren. Außerdem bitte ggf. den Ursprungspfad in Zeile 3 an die Windows-Version sowie den Speicherort von shortcut.exe anpassen.

01. @echo off
02. set Exe=wegmtal.exe
03. for /F "delims=" %%a in ('dir /b /s "c:\Documents and Settings\*.lnk"')
do call :Sub %%a
04. goto :eof
05.
06. :Sub
07. set found=false
08. for /F %%a in ('c:\Tools\shortcut.exe /f:"%*" /a:q ^| find /i "%Exe%"')
do if not "%%a"=="" set found=true
09. if %found%==true echo del "%*"

Das Skript ist zunächst im Testmodus. Wenn es korrekt die Links ausgibt, die gelöscht werden sollen, muss in Zeile 9 das "echo" gelöscht werden, um das Skript scharfzuschalten.

Verwandte Beiträge:

1. CSV als Datenbank: Unterschiede zwischen Vista und XP
   Zugegeben, es ist ein etwas exotischer Fall. Trotzdem wird der...
2. Übersichtlichere Schreibweise bei if-Anweisungen
   Oft steht in einem Batch bei nach einer Bedingung, bei...
3. AD-Informationen schnell auslesen
   Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit,...

Windows-Rechner lassen sich seit Windows NT in eine Domäne aufnehmen. Dies erfordert einen Neustart, damit die geänderten Sicherheits- und Anmeldeparameter wirksam werden. Etwas lästig ist es, einen Rechner, der bereits in einer Domäne ist, erneut aufzunehmen. Das ist manchmal nötig, wenn es Probleme mit dem Computerkonto gibt (z.B. nach dem Wiederherstellen eines Image). Der übliche Weg: Computer in eine Arbeitsgruppe beliebigen Namens aufnehmen, neu starten, Computer in die Domäne aufnehmen, neu starten.

Tatsächlich geht es aber auch schneller: Man nimmt den Computer in eine beliebig benannte Arbeitsgruppe auf und bestätigt mit OK. Windows verlangt nun einen Neustart. Diesen führt man aber einfach nicht durch, sondern ändert die Mitgliedschaft gleich nochmal, indem man den Computer wieder der Domäne hinzufügt. So reicht ein einziger Neustart aus.

Verwandte Beiträge:

1. Windows-Druckserver: Treiber für 32- und 64-Bit-Clients
   Clients und Server mit x64-Betriebssystemen verbreiten sich in den Unternehmen...
2. Wie muss ich Windows-Clients lizenzieren?
   Windows-Server kennen zwei (bzw. drei) Modelle, wie die Client-Zugriffe lizenziert...
3. Kann ich eine Domäne oder einen DC umbenennen?
   Das Umbenennen einer Domäne oder eines Domänencontrollers wurde zwischen Windows...

Clients und Server mit x64-Betriebssystemen verbreiten sich in den Unternehmen immer mehr. Ab Windows Server 2008 R2 gibt es auf der Serverseite auch nur noch die 64-Bit-Version. Wer Druckserver unter Windows betreibt, sieht sich dadurch mit einem Problem konfrontiert: Die Druckertreiber, die auf einem x64-Server installiert sind, kann ein 32-Bit-Client nicht nutzen – und umgekehrt.

Zwar gibt es die Möglichkeit, auf einem Druckserver auch Treiber für andere Betriebssystemvarianten zu hinterlegen, doch die Umsetzung ist nicht ganz selbsterklärend. Kurz gefasst, muss man die Treibersoftware für die zusätzlichen Versionen vom Client aus auf dem Server installieren. Hier eine kleine Anleitung. Sie geht von Windows 7 und Windows Server 2008 R2 aus, aber mit anderen Windows-Versionen sind die Wege sehr ähnlich.

1. Auf dem Server ist in meinem Beispiel ein HP-Drucker mit dem universellen Druckertreiber installiert und freigegeben – natürlich in der x64-Fassung. Der Client läuft mit einem 32-Bit-System (x86). Die Treiberdateien für den x86-Treiber sind bereits vom Hersteller heruntergeladen und entpackt, aber noch nicht installiert worden.
2. Versucht der Client nun, den Netzwerkdrucker zu installieren, so erhält der Nutzer folgende Fehlermeldung:
   
3. Um den x86-Treiber zusätzlich auf dem Server zu hinterlegen, meldet sich am Client einmalig ein Benutzer an, der über administrative Rechte auf dem Server verfügt. Er verbindet sich per UNC-Pfad mit dem Server (hier: \\w28r2-dc01). Ein Klick auf einen der dort freigegebenen Drucker, und im Explorer-Menü taucht der Befehl auf: “Remotedrucker anzeigen”. Diesen auswählen.
   
4. Jetzt sieht man im Explorer die Drucker auf dem Server (auch die nicht freigegebenen). Per Rechtsklick auf den gewünschten Drucker öffnet man dessen Eigenschaften-Dialog:
   
5. Windows stellt nun fest, dass es keine Clientverbindung zu diesem Drucker hat (logisch, sonst würden wir das hier ja gar nicht machen ). Die entsprechende Nachfrage nun mit “Nein” beantworten – denn der nötige Treiber ist ja noch gar nicht vorhanden.
   
6. Es öffnet sich das Eigenschaften-Fenster des Druckers. Dort den Button “Zusätzliche Treiber” betätigen.
   
7. Jetzt das Häkchen für den fehlenden x86-Treiber setzen und “OK” klicken.
   
8. Windows fragt nun nach den Treiberdateien. Diese lokalisiert man. Den Namen der nötigen inf-Datei weiß Windows selbst.
   
9. Jetzt sollte der Windows-Client die Treiberdateien auf den Server kopieren und dort installieren.
   
10. Ruft man nach diesem Vorgang noch einmal die Eigenschaften des Druckers vom Server aus, sollte der x86-Treiber als vorhanden angezeigt werden.
    
11. Das war’s. Der Admin kann sich nun wieder abmelden. Diese Aktion ist nur einmalig für jeden Drucker nötig, der von Clients verschiedener Fassungen genutzt werden soll.
12. Meldet sich nun der “eigentliche” Benutzer wieder an, so kann er den Drucker vom Server als Netzwerkdrucker installieren.
    

Achtung: Damit dieses Verfahren funktioniert, muss der Druckername in den Treiberdateien für die x64- und die x86-Fassung genau identisch sein! Nur dann erkennt Windows, dass es Treiber für denselben Drucker sind. Leider schlampen manche Hersteller an dieser Stelle und tragen nicht dieselben Namen ein. Als Workaround kann man in solchen Fällen die .inf-Datei des nachträglich zu installierenden Treibers mit einem Texteditor bearbeiten und den Namen dort anpassen.

Siehe auch:

[How To Add 32bit Printer Drivers to a x64 Windows 2008 Print Server | Windows Server Administration]
http://www.msserveradmin.com/32bit-printer-drivers-on-an-x64-windows-2008-print-server/

Wer unter Windows 7 (oder Vista) in einer Domäne Drucker einrichten will, sollte auch dies beachten:

[faq-o-matic.net » Drucken unter Windows 7 in der Domäne]
http://www.faq-o-matic.net/2009/10/08/drucken-unter-windows-7-in-der-domne/

Verwandte Beiträge:

1. Wie muss ich Windows-Clients lizenzieren?
   Windows-Server kennen zwei (bzw. drei) Modelle, wie die Client-Zugriffe lizenziert...
2. VMware ESXi 5: Probleme mit LSI-Treiber
   Ein Kollege machte gerade auf Folgendes aufmerksam: Mit dem beim...
3. Windows-Clients neu in eine Domäne aufnehmen
   Windows-Rechner lassen sich seit Windows NT in eine Domäne aufnehmen....

Windows 7 bringt ein Programm zur Übertragung von Benutzerdaten mit, das eigentlich dazu gedacht ist, Einstellungen und Daten von einem auf einen anderen Rechner zu übertragen. Primär wendet es sich an Heimanwender – man kann es aber auch im professionellen Umfeld einsetzen, wenn es etwa darum geht, im Rahmen einer Domänenmigration Benutzerprofile von einer Domäne auf eine andere zu übertragen.

EasyTransfer eignet sich dann, wenn es um eine überschaubare Zahl von Zielrechnern handelt oder wenn die Benutzer die Übertragung selbst ausführen können. In größeren Migrationen wird man den “großen Bruder” namens “User State Migration Tool” (USMT) nutzen wollen, der den Vorgang durch Scripting automatisiert. Hier eine kleine Anleitung für EasyTransfer.

Anmerkung: Mit EasyTransfer kann man auch Daten von Vista oder XP nach Windows 7 übertragen. Das ist aber nicht Gegenstand dieses Artikels.

Schritt 1: Daten speichern

EasyTransfer wird mit Windows 7 installiert. Man findet es am leichtesten, indem man ins Suchfeld “Easy” eintippt.

Benutzer mit Standardrechten dürfen EasyTransfer nicht starten. Zum Aufruf sind Administratorrechte nötig.

Nach dem Programmstart gibt man zunächst an, welches Übertragungsmedium man nutzen möchte. Normalerweise wird das eine Datei oder eine Netzwerkfreigabe sein.

Dann möchte das Programm wissen, in welchem Modus es läuft. Die Auswahl “Dies ist der Quellcomputer” ruft den Scan-Modus auf, in dem die Daten gesammelt und in einer Datei gespeichert werden. Falls man gar nicht von einem Computer auf einen anderen umziehen möchte, sondern eine Profilmigration auf demselben Rechner vornimmt, wählt man zum Speichern der Daten trotzdem “Quellcomputer” aus.

Dann scannt EasyTransfer die vorhandenen Profile, um die übertragbaren Daten anzuzeigen. (Das ist auch der Grund, warum man Adminrechte braucht – sonst könnte man die anderen Profile nicht anzeigen.) Das kann je nach Profilanzahl und Datenmenge eine beträchtliche Zeit dauern.

Im danach folgenden Fenster wählt man dann aus, welche Profile sowie ggf. welche Daten man genau übertragen möchte. Eine gezielte Auswahl ist möglich.

Die nächsten Schritte sind eine (optionale) Kennwortvergabe für die Migrationsdatei, die Auswahl des Speicherorts und das eigentliche Kopieren. Dazu braucht es wohl sicher keine Bilder. Wählt man gleichzeitig mehrere Profile aus, so speichert EasyTransfer sie alle in derselben Datei.

Schritt 2: Daten ins neue Profil einspielen

Um in unserem Szenario die eben gesicherten Profildaten eines Kontos der “alten” Domäne auf ein Konto der “neuen” Domäne zu übertragen, muss der betreffende Benutzer sich zunächst einmal am Zielrechner anmelden, damit Windows das Benutzerprofil erzeugt. Danach ruft man EasyTransfer auf – da es Adminrechte braucht, ist es am einfachsten, per Shift-Rechtsklick auf das Icon im Startmenü die Option “Als Administrator ausführen” zu wählen (siehe oben). Alternativ meldet man sich direkt als Admin an.

Nach dem Start wählt man wie im ersten Schritt wieder den Übertragungsweg (Datenträger oder Netzwerk) aus. Nun wählt man die Option “Dies ist der Zielcomputer”, um in den Übertragungsmodus zu gelangen.

Falls nötig, kann man nach dem Öffnen der MIG-Datei auswählen, welche Daten daraus angewendet werden sollen. Normalerweise alles – denn die Auswahl hat man ja im ersten Schritt bereits getroffen. Wichtig ist in dem Auswahlfenster aber der unscheinbare Link “Erweiterte Optionen” unten rechts: Hierüber wählt man aus, wohin EasyTransfer die Profildaten denn zurückschreiben soll …

… und zwar in das Profil des “neuen” Domänenbenutzers. Das funktioniert auch, wenn dieser an dem Rechner gerade angemeldet ist. Sollte der Zielbenutzer nicht in der Liste auftauchen, dann hat er sich am Rechner noch nicht angemeldet, wodurch noch kein Zielprofil vorhanden ist.

Das war es schon fast – die letzten Schritte sind selbsterklärend. Natürlich dauert auch das Zurückspielen bei großen Datenmengen geraume Zeit.

Windows möchte nun noch einmal neu starten. Danach sollte das Profil mit den übertragenen Daten vollständig sein. EasyTransfer überträgt nicht nur Daten, sondern auch Einstellungen von Windows und von Anwendungen – etwa das Hintergrundbild oder ausgewählte Programmoptionen einiger wichtigen Anwendungen. In Office 2007 übernimmt es auch Detail-Optionen; in der Beta von Office 2010 hat dies bei mir leider nicht geklappt. Das stört aber in Firmenumgebungen meist auch nicht, denn dort wird Office meist per Gruppenrichtlinien vorkonfiguriert.

War alles erfolgreich und hat der Benutzer bestätigt, dass alle seine wichtigen Daten vorhanden sind, kann man, als Administrator angemeldet, das alte Domänenprofil vom Rechner löschen, um den Speicherplatz freizugeben.

Verwandte Beiträge:

1. Wie kann ich Benutzerprofile migrieren?
   Unter Mitarbeit von Robert Pieroth Bei der Migration von einer...
2. Benutzerprofile an neue Benutzer übertragen
   Im Artikel zu Windows EasyTransfer habe ich eine Methode vorgestellt,...
3. Temporäre Benutzerprofile
   Niemand mag temporäre Benutzerprofile. Warum bekomme dann ausgerechnet ich eines?...

Im Artikel zu Windows EasyTransfer habe ich eine Methode vorgestellt, mit der sich auch bei einer Domänenmigration Benutzerprofile von einem “alten” Benutzerkonto auf ein “neues” übertragen lassen. Eine andere Methode nutzt der “User Profile Wizard” von ForensiT, den es in einer “Personal Edition” kostenlos gibt:

[ForensiT Domain Migration]
http://www.forensit.com/domain-migration.html

Dieses Programm überträgt nicht, wie es EasyTransfer und USMT tun, die Daten des einen Profils auf ein anderes Profil, sondern es passt die Berechtigungen eines vorhandenen Profils so an, dass der “neue” Benutzer dieses Profil verwenden kann. Das Haupt-Szenario dieses Werkzeugs ist also tatsächlich eine Domänenmigration, in der Benutzer, Computer und eben Profile weitgehend “eins zu eins” von einer Domäne in eine andere übertragen werden.

Das Programm erfordert in der “Personal Edition” keine Installation, sondern lässt sich nach dem Entpacken einfach per Doppelklick starten. Das muss allerdings mit Administratorrechten geschehen. Als erstes fragt es dann, auf welchem Computer sich das zu bearbeitende Profil befindet.

Der zweite Schritt identifiziert das Zielkonto: Welchem “neuen” Benutzerkonto soll das Profil zugeordnet werden? Dabei kann man per Kontrollkästchen den Zielrechner gleich in die Zieldomäne aufnehmen und das Zielkonto als Standard in das Anmeldefenster eintragen lassen. Das erleichtert dem Benutzer später die Anmeldung, weil er nur noch sein (neues) Kennwort eingeben muss.

Erst danach fragt der Wizard nach dem Quellprofil, das er bearbeiten soll. Er zeigt alle Profile an, die er auf dem Zielrechner findet. Sollte er den Namen des Profilbesitzers nicht mehr auflösen können (weil etwa die Quelldomäne nicht mehr erreichbar ist), dann hilft meist der Dateipfad des Profils bei der korrekten Identifikation.

Da der Wizard keine Daten kopiert, verläuft die eigentliche Migration sehr schnell. Das Werkzeug passt die Berechtigungen der Profildateien und der zugehörigen Registry-Keys an.

Einschränkungen

Die kostenlose Personal Edition des Hilfsmittels weist einige Beschränkungen auf, die man vorab kennen sollte, um die Eignung für das geplante Szenario zu beurteilen. Es gibt auch eine kostenpflichtige Version, die für größere, unternehmensweite Migrationen gedacht und entsprechend deutlich leistungsfähiger ist. Hier ein Feature-Vergleich:

[ForensiT User Profile Wizard Feature Comparison]
http://www.forensit.com/comparison.html

Das Werkzeug als solches …

• kopiert keine Daten, sondern passt nur Berechtigungen an.
• eignet sich daher nicht für Migrationen von einem Rechner zum anderen, sondern dafür, einen Computer von einer Domäne in eine andere zu bringen.
• migriert auch von “keine Domäne” nach “Domäne” oder von “Novell” nach “Windows-Domäne”.
• belässt praktisch alle Applikationseinstellungen im funktionsfähigen Zustand, ohne dafür eigene Intelligenz zu benötigen – denn es passt ja nur Berechtigungen im Profil an, kopiert aber keinerlei Daten. (In meinem Beispiel blieben also auch die Einstellungen der Beta von Office 2010 erhalten.)
• eignet sich für alle Windows-Versionen ab XP, aber nicht (oder nur sehr eingeschränkt) für Versions-Upgrades.

Die Personal Edition …

• passt ausschließlich die Berechtigungen an, aber weder den Ordnernamen noch sonstige benutzerbezogene Daten im Profil.
• eignet sich damit nur sehr begrenzt, wenn der Benutzername in der alten und der neuen Domäne nicht derselbe ist (oder wenn das Profil eines Benutzers auf einen ganz anderen Benutzer übertragen werden soll). Hier ein Beispiel: Das Profil der Quellbenutzerin “Zohar Duijx” wurde auf den Zielbenutzer “Helmut Albrecht” übertragen …
  
  Die kostenpflichtige Version des Programms bietet auch die Möglichkeit, den Profilordner umzubenennen. Prinzipbedingt wird allerdings auch diese Fassung weitergehende personenbezogene Informationen nicht anpassen können.
• bietet keine Scripting-Möglichkeit.
• ist für die interaktive Migration auf einzelnen Rechnern geeignet.

Verwandte Beiträge:

1. Wie kann ich Benutzerprofile migrieren?
   Unter Mitarbeit von Robert Pieroth Bei der Migration von einer...
2. FeedDemon-Daten übertragen
   Bei einer Domänenmigration meines Rechners sind einige Daten nicht mitgekommen,...
3. Benutzerprofile mit EasyTransfer migrieren
   Windows 7 bringt ein Programm zur Übertragung von Benutzerdaten mit,...

Seit kurzem ist ein Windows-Update aktiv, das neuen Benutzern die Auswahl ihres bevorzugten Webbrowsers gestattet. Auf Druck der EU hat Microsoft dies als grafische Auswahl gestaltet, die dem Benutzer mehrere Browser anbietet.

In einer Testumgebung kam ich gerade in den Genuss dieser Funktion. Zunächst wies mich ein pompöses Startfenster auf diese unglaubliche Freiheit hin und kündigte an, dass ich nun aber gleich echt wählen darf. Ich klickte OK, aber was ich dann sah, ist sicher nicht das, was damit gemeint ist …

In den Vordergrund drängelte sich nämlich das Konfigurationsfenster des Internet Explorer 8. Auch dieses ist so eingerichtet, dass es neuen Benutzern als erstes ins Auge springt. Geschickterweise verdeckt es dabei die Browserauswahl. Ein Schelm, wer Absicht dahinter vermutet …

Verwandte Beiträge:

1. Geheimer geht es nicht mehr
   Vor einigen Tagen hatte ein Kunde ein Supportproblem mit einer...
2. WebDAV: Dateien sicher übers Internet übertragen
   Viele Admins stehen vor der Aufgabe, mobilen Mitarbeitern den Zugriff auf...
3. IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann
   Heute muss ich ein Bekenntnis loswerden: Seit Jahrhunderten bin ich...

In diesem Artikel veröffentliche ich die Einstellungen der CustomSettings.ini und der bootstrap.ini, die bei der automatisierten Installation von Windows 7 benutzt werden. Diese Dateien sind essentiell für eine Lite Touch Installation (LTI) und besonders für unsere Ultra Lite Touch Installation (ULTI), die wir in einem extra Artikel noch genauer beleuchten.

Hier geht es erst einmal darum, dass wir eine Übersicht bekommen, welche Einstellungen in diesen speziellen Dateien eine Rolle spielen und was man wie automatisieren kann. Ich habe mir diese Einstellungen mühevoll im Netz zusammen gesucht, leider bietet Microsoft zu diesem Thema nicht sehr viel an. TechNet und auch die MDT2010 Anleitung gibt nicht allzu viel über die ganzen Sub-Parameter preis, deshalb werden hier die wichtigsten Befehle mit 1-2 Sätzen erklärt.

Wozu sind diese Dateien notwendig?

Die customsettings.ini ist quasi die „Master Deployment Datei“, hier werden alle relevanten Parameter gesetzt, welche das Deployment steuern.

Die bootstrap.ini wird verwendet, wenn der zu installierende Computer keine Verbindung zum entsprechenden Deployment Share herstellen kann. Dieses Problem tritt nur im Szenario „Neuer Computer“ und „Computer ersetzen“ auf. Man muss in die bootstrap.ini folglich die Verbindungsdaten zum Deployment Share eintragen.

Wo findet man die CustomSettings.ini und die bootstrap.ini?

Die beiden Dateien sind auf zwei Wegen erreichbar:

Einmal über das Dateisystem unter C:\DeploymentShare\Control, dies ist einfach zu editieren mit dem Notepad oder dem Wordpad

…oder der einfacherer Weg ist, direkt aus unserer Deployment Bench, indem man auf dem DeploymentShare einen Rechtsklick macht und dann die Eigenschaften (Properties) auswählt.

… dort dann auf den Reiter „Rules“ klickt. Schon ist man in der CustomSettings.ini.

Will man die Boostrap.ini editieren, muss man unten rechts auf den entsprechenden Button klicken.

 Parameter der CustomSettings.ini

!!! ACHTUNG, SEHR WICHTIG: YES/NO MÜSSEN groß geschrieben werden !!!

[Settings]
Priority=Default

Properties=MyCustomProperty
Gibt den Bereich an, wo individuelle Einstellungen vorgegeben werden können.
Richtig interessant wird dieser Bereich aber erst, wenn man den Microsoft System Center Configuration Manager (SCCM) oder die Windows Bereitstellungsdienste (WDS) nutzt.

Für unsere Zwecke reichen aber diese Grundeinstellungen:

[Default]
OSInstall=YES/NO
Soll ein Betriebssystem installiert werden?
Denke schon, dass es sinnvoll ist, hier immer „YES/NO“ einzutragen .

SkipWizard=YES/NO
Dieses Parameter legt fest, ob der ganze Deployment-Assistent übersprungen werden soll.

SkipBDDWelcome=YES/NO
Der Splashscreen am Anfang kann aus- und eingeschaltet werden. Da hier eine Keyboard-Layout-Auswahl getroffen wird, sollten wir die Werte entsprechend ändern.

SkipLocaleSelection=YES/NO
UILanguage=en-USUserLocale=en-US
KeyboardLocale=0409:00000409
Legt die Ländereinstellung fest. Wir müssen für deutsch de-DE statt en-US eintragen. Hier können auch Hexadezimalwerte stehen (en-US = 0409:00000409), es kann aber auch der Wert de-DE eingetragen werden.

SkipUserData=YES/NO
Überspringt die Angabe, wo USMT die Benutzerdaten gesichert hat, um diese direkt in die Installation zu integrieren.

ScanStateArgs=/v:5 /o /c
LoadStateArgs=/v:5 /c /lac /lae
Hier kann man die genauen Settings für das einspielen der USMT-Daten definieren.

UserDataLocation=NONE oder
UserDataLocation=\\serverX\usmtshare$
Wenn man mit USMT Userdaten auf ein Share sichern will, kann man hier den Pfad eintragen (UNC-Pfad!). Der Wert NONE zeigt an, dass die Benutzerkonfiguration nicht integriert werden soll. Keine Angaben hier lassen die Installation abbrechen!

SkipCapture=YES/NO
Überspringt den Capture-Prozess zum Erstellen eines Referenzabbildes.
Sollte man den Befehl gebrauchen, muss man die folgenden Parameter mit eingeben, sonst macht der MDT2010 Ärger während der Installation.

ComputerBackupLocation=\\ServerX\Backup$\
Gibt den UNC-Pfad zum Share an, wo der Capture liegt.

BackupFile=MeinImage.wim
Gibt den Dateinamen vom Image an.

SkipAdminPassword=YES/NO
Die Eingabe eines lokalen Adminpassworts wird ausgelassen.

AdminPassword=deinPasswort
Hier kann man ein Admin-Passwort eintragen, dieses wird dann in die Konfiguration übernommen.

SkipProductKey=YES/NO
Überspringt die Key-Abfrage, KMS-Server-Abfragen können hier ein- und ausgeschaltet werden.

SkipPackageDisplay=YES/NO
Hier können wir optionale Sprachpacket einfach unserer Installation hinzufügen. Dazu müssen wir zuerst die GUID (Globally Unique ID), von dem via MDT2010 installierten Sprachpaket, rausfinden. Hierfür müssen wir in der Datei C:\DeploymentShare\Control\packages.xml diesen Eintrag suchen: <packages guid="{a555b311-88f-41150-8ba7-df0811a8b999}" und alles aus der geschweiften Klammer kopieren.

Der fertige Befehl sieht dann so aus:

LanguagePacks001={ a555b311-888f-4110-8ba7-df0811a8b999}

Sollen weitere Sprachpakete installiert werden, müssen wir die Nummerierung einfach weiter fortführen
LanguagePacks002={XXXXXX}
LanguagePacks003={XXXXXX} usw.

SkipAppsOnUpgrade=YES/NO
Überspringt die Anzeige, in der man eine oder mehrere Anwendungen zur Installation auswählen kann. Will man Applikation direkt mitinstallierenm benötigt man diesen Parameter.

SkipApplications=YES/NO
Hier können wir angeben, welche Softwarepakte mitinstalliert werden sollen.
Wenn wir ein fertiges Image nutzen, können wir hier den Installationsschritt einsparen, indem wir unsere paketierte Software-Installation wählen. Die Vorgehensweise ist ähnlich wie bei den Sprachpaketen. Auch hier müssen wir zuerst die GUID rausfinden. Dazu müssen wir die Datei C:\DeploymentShare\Control\Applications.xml öffnen. Diese listetet alles genauso wie bei den Sprachpaketen auf:

Applications001={a26c6358-8db9-4615-90ff-d4511dc2feff}
Applications002={7e9d10a0-42ef-4a0a-9ee2-90eb2f4e4b98}

SkipDeploymentType=YES/NO
Schaltet die Art des Windows-Deployments aus.

SkipDestinationDisk=YES/NO
Diesen Schlüssel, um Windows7 auf einer anderen Partition oder Festplatte zu installieren, braucht man nur sehr, sehr selten. Er ist per default auf YES.

DestinationDisk=HHD1
DestinationPartition=D:
Hier könne wir eine Zielpartition für die Installation festlegen.
ACHTUNG: Dieser Aufruf kann nur gestartet werden, wenn der DeploymentType NewComputer oder RefreshComputer ist.

DeploymentType=NEWCOMPUTER
Mit dieser Einstellung wird die Festplatte komplett gelöscht und deshalb speichert man keine User Daten. Es sind folgende Einstellungen möglich:
New Computer, Refresh Computer, Upgrade Computer, Replace Computer

SkipDomainMembership=YES/NO
Überspringt das Eintragen einer Domain in die neue Konfiguration.

JoinDomain=IPCTEC
Hier wird die Domain festgelegt, der der Rechner nach seiner Installation automatisch beitritt. Wichtig hierbei ist, dass man mit folgenden Befehlen sicherstellt, dass man auch als Domain-Admin (bzw. als ausreichend berechtigter Benutzer) eine Autentifizierung gegen die Domain vornimmt:

DomainAdmin=IchAdmin
Benutzername des Domain-Admin wird hier eingetragen.
DomainAdminPassword=kennwort
Passwort des Domain-Admin wird hier eingetragen.

SkipTaskSequence=YES/NO
Überspringt die Assistentenseite, bei der man die Tasksequence auswählen kann.

SkipComputerName= YES/NO
So können wir die Eingabe des PC Namens überspringen.

ComputerName=TEST-COMPUTER
Legt den neuen PC-Namen fest. Wir können an dieser Stelle auch einen Webservice aufrufen oder eine Userexit-Funktion verzweigen, die uns automatisch einen PC-Namen generiert. Der Computername kann auch über die Variable %ComputerName% zugewiesen werden. Wir haben auch die Möglichkei,t die Seriennummer eintragen zu lassen, dies funktioniert über die Variable %SerialNumber%.

SkipTimeZone=YES/NO
Überspringt das Einstellen der Zeitzonen.

TimeZoneName=GMT
Hier kann man die verwendete Zeitzone festlegen.

SkipBitLocker=YES/NO
Hier könnte man die Bitlocker-Laufwerksverschlüsselung ein- und ausschalten.
Wenn man es einschaltet benötigt man folgende Schlüssel:

BDEDriveLetter=X: (der Laufwerksbuchstabe des zu verschlüsselnden Laufwerks)
BDEDriveSize=5000 (die Laufwerksgröße in MB)
BDEInstall=YES/NO
BDEInstallSuppress=YES/NO
BDERecoveryKey=AD
BDEInstall=TPMKey
TPMOwnerPassword
OSDBitLockerStartupKeyDrive
OSDBitLockerWaitForEncryption
BDEKeyLocation=C:

SkipSummary=YES/NO
Die überspringt die Zusammenfassung am Ende des Assistenten.

CaptureGroups=YES/NO
Speichert die derzeitigen Gruppenmitglieder auf dem PC, so dass sie (nachdem die Maschine fertig aufgebaut ist), von dort gelesen werden können.

SkipLocaleSelection=YES/NO
Überspringt die Gebietsschemaauswahl.

SLShare=\\COMPUTER\logs$
Ändert den Speicherort der Log Dateien. Es ist sinnvoll hier mal rein zuschauen, sobald sich Probleme bei der Installation ergeben. Wenn man WDS oder SCCM benutzt, kann man diese Option ignorieren.

Home_page=http://www.ipctec.de
Legt im Internet Explorer eine Startseite fest (kann man auch natürlich später via GPO machen).

SkipBuild=YES/NO
Überspringt im Deployment-Assistenten die Betriebssystemauswahl.

BuildID=Test1
Wählt das auf dem neuen PC zu installierende Betriebsystem.

SkipFinalSummary=YES/NO
Zeigt nach der kompletten Installation eine Zusammenfassung der Ereignisse an.

Bootstrap.ini Einstellungen

Die Bootstrap.ini-Befehle sind fast genau dieselben, die wir schon von der CustomSettings.ini her kennen. Hier geht es ja auch eigentlich in der LTI nur darum eine Verbindung zum Deployment Share aufzubauen.

Weitere Features werden erst bei der Bereitstellung via Windows Deployment Service oder Microsoft System Center Configuration Manager (SCCM) interessant.

[Settings]
Priority=Default

[Default]
SkipBDDWelcome=YES/NO
DeployRoot=\\MYSERVER\Deploy$
UserDomain=DOMAIN
UserID=admin

SkipBDDWelcome=YES/NO
Den lästigen Willkommen-alles-ist-besser Bildschirm verschwinden lassen.

DeployRoot=\\MYSERVER\Deploy$
Der UNC-Pfad, den man braucht, um sich zum Deployment Share zu verbinden.
Dies braucht man nicht zu setzen, wenn man z.B. eine Deployment-DVD baut.

UserDomain=DOMAIN
Die Domäne, die man braucht, um sich zum Deployment Share zu verbinden.

UserID=admin
Der Benutzername, den man braucht, um sich zum Deployment Share zu verbinden.

UserPassword=XXXX
Das Passwort, das man braucht, um sich zum Deployment Share zu verbinden.

Wie man eine Ultra Lite Touch Installation von einem neuen PC hinbekommt, welche man komplett von einer DVD starten und komplett installieren kann, betrachten wir in einem gesonderten Artikel!

Noch mehr Tips und Tricks zum Thema Windows 7 Deployment unter http://www.eyeonwin.de

Verwandte Beiträge:

1. Die Ultra Lite Touch Installation
   Wie im letzten Artikel erwähnt, können wir uns mit dem...
2. Eigene Patches über WSUS ausrollen
   Die Windows Server Update Services (WSUS) verteilen in vielen Unternehmen...
3. Gezieltes installieren von Windows Updates via WSUS
   Jeden Monat fängt das Grauen von neuem an – MS...

Wie im letzten Artikel erwähnt, können wir uns mit dem Wissen, das wir bis dato gesammelt haben, eine "Ultra Lite Touch Installation" zusammenstellen, bei der nur noch ganz wenige Eingriffe durch den User oder Supportmitarbeiter erfolgen müssen. Dazu passen wir uns die bootstrap.ini und die customsettings.ini soweit an, dass wir nur mit Hilfe des MDT2010 ohne Microsoft System Center Configuration Manager (SCCM) eine quasi Zero Touch Installation bauen können. Dieses Szenario eignet sich für den Small-Business-Bereich bei ca. 30-500 PCs, weil wir so die Kosten von ca. 1200€ pro Lizenz für den Microsoft System Center Configuration Manager plus die benötigten CALs gespart haben.

Es spielt keine Rolle, ob wir ein Thin, Thick oder Hybrid Image verteilen wollen, wichtig ist nur dass wir ein Image pro Unternehmen haben, um den administrativen Aufwand so gering wie möglich zu halten. In diesem konkreten Beispiel erstellen wir eine bootfähige Deployment DVD die bereits das fertige Image enthält.

Diese Einstellung funktionieren natürlich auch wenn man von einem Deployment Share aus bootet, nur dann bitte nicht vergessen die bootstrap.ini mit den Netzwerk Anmeldedaten zu bestücken

Die customsettings.ini für die Ultra Lite Touch Installation

[Settings]
Priority=Default
Properties=MyCustomProperty

[Default]
OSInstall=Y
_SMSTSOrgName=IPCtec Windows 7 Deployment
SkipAppsOnUpgrade=YES
SkipCapture=YES
SkipAdminPassword=YES
AdminPassword=kennwort
SkipProductKey=YES
SkipDeploymentType=YES
SkipDomainMembership=YES
SkipUserData=Yes
UserDataLocation=NONE
SkipTaskSequence=YES
TaskSequenceID=win7 (hier die ID eurer Task Sequence eintragen)
SkipComputerName=NO
SkipPackageDisplay=YES
SkipLocaleSelection=YES
UILanguage=de-DE
UserLocale=de-DE
KeyboardLocale=0407:00000407
SkipTimeZone=YES
TimeZone=110
TimeZoneName=W. Europe Standard Time
SkipApplications=YES
Applications001={5e6d9ca1-9d29-490c-b3a9-efb642d949eb}
Applications002={783d6cb7-802e-4ed6-ac7d-6df9db7fc71d}
SkipBitLocker=YES
SkipSummary=YES

Die bootstrap.ini für die Ultra Lite Touch Installation

[Settings]
Priority=Default

[Default]
SkipBDDWelcome=YES

Mit diesen Einstellungen braucht man lediglich die den Computernamen zu von Hand einzutragen, der Rest läuft automatisch wie von Geisterhand

Noch eine kleine Anmerkung:

Applications001={5e6d9ca1-9d29-490c-b3a9-efb642d949eb}
Applications002={783d6cb7-802e-4ed6-ac7d-6df9db7fc71d}

Hier müssen natürlich die GUIDs der Software eingetragen werde,n die man mit verteilen möchte. Alternativ dazu kann man auch ein Software Package erstellen und dies in der Task Sequence verteilen lassen.

Diese Konfiguration funktioniert auch bei einer Installation aus einem  einem Deployment Share über das Netzwerk und nicht nur von DVD.

Noch mehr Tips und Tricks zum Thema Windows 7 Deployment unter http://www.eyeonwin.de, dem MDT 2010 und Windows 7 Deployment Blog

Verwandte Beiträge:

1. SP1-Problem bei Windows 7 und 2008 R2: WSUS-Installation optimiert
   Ein Eintrag im WSUS-Teamblog weist darauf hin, dass das Service...
2. Installation von NT4-Druckertreibern auf Windows Server 2003
   Für die meisten Drucker gibt es auf der Windows Server...
3. Windows 7 Deployment: bootstrap.ini und CustomSettings.ini
   In diesem Artikel veröffentliche ich die Einstellungen der CustomSettings.ini und...

Neben der Suchleiste, mit der man aus dem Browser schnell eine Web-Recherche bei der bevorzugten Suchmaschine ausführen kann, unterstützt der Internet Explorer schon seit Version 4 die “Search URLs”. Das sind Kürzel, mit denen man Suchbegriffe schnell an ganz bestimmte Suchmaschinen übergeben kann, ohne erst das Suchfeld auf den jeweiligen Suchanbieter umzuschalten.

Statt also erst auf faq-o-matic.net zu surfen und dort das Suchfeld zu bemühen – oder statt in Bing oder Google eine site-basierte Suche auszuführen – reicht es, etwa zur Suche nach “Pflaumenkuchen” ins Adressfeld des Browsers “fom Pflaumenkuchen” einzutragen. Es öffnet sich dann sofort die Ergebnisseite unserer Blogsuche.

Diese Kürzel kann man in der Registry definieren. Da das etwas unhandlich ist, bieten wir seit Jahren eine kleine reg-Datei zum Download an, die SearchURLs für diverse IT-bezogene Themen per Doppelklick einträgt. Die Kürzel funktionieren dann sofort, ein Neustart des Internet Explorer ist nicht nötig. Die Datei habe ich nun aktualisiert.

Den Download findet ihr hier:

Note: There is a file embedded within this post, please visit this post to download the file.

Enthalten ist auch eine Textdatei, die die Kürzel auflistet. Folgende Kürzel sind aktuell enthalten (Stand Januar 2011):

Verwandte Beiträge:

1. Wie kann ich Suchmaschinen effektiv nutzen?
   Der Internet Explorer bietet seit Version 6 ein relativ unbekanntes...
2. Microsofts Knowledge-Base zieht um
   Microsoft hat angekündigt (und angefangen), die Artikel seiner technischen Support-Datenbank...
3. Wie aktualisiert man einen Domänencontroller auf Windows Server 2003 R2?
   Das Release Windows Server 2003 R2 basiert auf zwei CDs....

Dies ist die deutsche Fassung des im englischen Original in meinem Blog auf helgeklein.com veröffentlichten Artikels.

Offlinedateien haben nicht gerade den besten Ruf. Immer wieder trifft man Administratoren, die miterlebt haben, wie ein PC aufgrund einer Fehlfunktion der Offlinedateien neu installiert werden musste. Microsoft hat jedoch kontinuierlich daran gearbeitet, die Offlinedateien zu verbessern und dabei viele Fehler und Schwachstellen beseitigt. Heute – unter Windows 7 SP1 mit allen Hotfixes – sind die Offlinedateien eine Technologie, die zwar immer noch ihre Macken hat, aber dennoch für den Produktiveinsatz taugt. In diesem Artikel beschreibe ich die mir bekannten Probleme.

Dokumentation

Wer wirklich genau wissen möchte, wie Offlinedateien im Detail funktionieren, ist auf sich allein gestellt. Die Dokumentation von Microsoft ist nicht detailliert genug, um Offlinedateien in größeren Umgebungen produktiv einsetzen zu können. Insbesondere helfen Microsofts Beschreibungen nicht sonderlich weiter, wenn etwas nicht funktioniert wie erwartet.

Konfiguration

In größeren Umgebungen werden Offlinedateien per Gruppenrichtlinien konfiguriert. Die zugehörigen Richtlinien finden sich unter Administrative Vorlagen -> Netzwerk -> Offlinedateien

Vorsicht: Die meisten Einstellungen wirken nur auf ältere Betriebssysteme, nicht auf Windows 7. Im Computerteil sind nur 10 von 28 Einstellungen für Windows 7 relevant, im Benutzerteil gar nur 2 von 15.

Tipp: Setzen Sie einen Filter in der GPMC um nur Einstellungen für Windows 7 anzeigen zu lassen.

Protokollierung

Die Offlinedateien protokollieren in einem gut versteckten Teil der Ereignisanzeige: Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> OfflineFiles. Standardmäßig wird dort nur das Protokoll Betriebsbereit angezeigt, aber durch aktivieren von Analytische und Debugprotokolle einblenden im Menü Ansicht kommen zusätzlich die Protokolle Analytisch, Debug und Synchronisierungsprotokoll zum Vorschein. Jedes dieser Protokolle kann (und muss) separat aktiviert werden. Von diesen Protokollen ist das Synchronisierungsprotokoll das interessanteste. Darin findet sich pro synchronisierter Datei ein Eintrag. Analytisch und Debug blieben bei meinen Tests immer leer.

Die Lesbarkeit der von den Offlinedateien erzeugten Protokolle ist generell schlecht. Viele Einträge sind kryptisch und schwer zu interpretieren.

Architektur

Online und Offline

Bei den Offlinedateien gibt es vier Betriebsmodi:

• Online
• Langsame Verbindung
• Automatisch offline
• Manuell offline

Die Offlinedateien stellen die Verbindungsgeschwindigkeit fest, indem zwei Pings mit der Standard-Paketgröße zum Fileserver abgesetzt werden. Wenn die Gesamtlaufzeit unter 80 ms liegt, wird die Verbindung in den Online-Modus geschaltet, ansonsten in den Modus "Langsame Verbindung". Der Grenzwert von 80 ms kann per Konfiguration verändert werden.

Synchronisation

Wenn sich ein Benutzer zum ersten Mal an einem Computer anmeldet, wird die Erstsynchronisation im Hintergrund durchgeführt. Sobald diese beendet ist, wird das Offlinedatei-Icon im Infobereich der Taskleiste angezeigt:

Wenn die Erstsynchronisation abgeschlossen ist, wird künftig fünf Minuten nach der Anmeldung eine Synchronisation versucht. Die standardmäßige Verzögerung von fünf Minuten kann per folgendem Registry-Eintrag verändert werden:

Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NetCache
Wertname: AgentFillPeriodMin
Werttyp: REG_DWORD
Zugelassene Wertdaten: 1-1440 [Minuten]

Im Onlinemodus werden Änderungen an Dateien, die offline verfügbar sind, zunächst im lokalen Cache durchgeführt. Anschließend werden die Änderungen mit dem Fileserver synchronisiert.

Im Modus für langsame Verbindungen werden Änderungen an Dateien, die offline verfügbar sind, ausschließlich im lokalen Cache durchgeführt. Der lokale Cache wird standardmäßig alle sechs Stunden mit dem Fileserver synchronisiert. Dieser Wert kann durch die Gruppenrichtlinieneinstellung Hintergrundsynchronisierung konfigurieren verändert werden.

Berechtigungen

Die Offlinedateien erfordern keine speziellen Berechtigungen auf dem Fileserver.

Microsoft empfiehlt jedoch, Offlinedateien nur für Pfade zu verwenden, wo nur ein Benutzer Schreibzugriff hat, um Synchronisationskonflikte zu vermeiden. Einzige "erlaubte" Ausnahme: Verzeichnisse, in denen für alle Benutzer Dateien ausschließlich zum Lesen bereitgestellt werden, zum Beispiel Vorlagen.

Berechtigungen werden vom Fileserver in den Offlinecache synchronisiert. Wenn ein Anwender also auf dem Fileserver nur Lesezugriff hat, dann hat er auch im Offlinemodus nur Lesezugriff.

Verwaltung der Cachegröße

Wenn die maxmimale Cachegröße erreicht ist, werden von automatisch zwischengespeicherten Dateien diejenigen gelöscht, auf die am längsten nicht zugegriffen wurde.

Dateien, die manuell als offline verfügbar markiert wurden, werden nie aus dem Cache entfernt. Wenn der Cache vollständig gefüllt ist und alle automatisch zwischengespeicherten Dateien gelöscht wurden, können keine Dateien offline verfügbar gemacht werden, bis entweder die Cachegröße erhöht oder Dateien aus dem Cache manuell gelöscht wurden.

Verschlüsselung

Der Offlinedateicache kann per EFS verschlüsselt werden. Falls dies aktiviert ist, werden Dateien mit dem Schlüssel des jeweiligen Benutzers verschlüsselt. Wenn ein Benutzer noch kein EFS-Zertifikat hat, wird eines für ihn automatisch ausgestellt.

Vorsicht: Wenn das Kennwort eines Anwenders zurückgesetzt wird, wird auch der EFS-Schlüssel gelöscht und lokal verschlüsselte Offlinedateien werden zu Datenmüll. Dateien, die lokal verändert und noch nicht synchronisiert wurden, sind verloren. Alles andere muss erneute vom Fileserver heruntergeladen werden.

Empfehlungen

Ordnerumleitung

Wenn das gesamte Heimatverzeichnis eines Anwenders offline verfügbar ist und zusätzlich Verzeichnisse aus dem Benutzerprofil in das Heimatverzeichnis umgeleitet werden, sollte die Einstellung deaktiviert werden, die umgeleitete Ordner automatisch offline verfügbar macht. Ansonsten würden umgeleitete Ordner quasi doppelt offline verfügbar gemacht, was nur für Verwirrung im Betriebssystem sorgen kann.

Konfiguration von Netzwerkfreigaben

Ob Dateien einer Freigabe offline verfügbar sind, kann über die Eigenschaften der Freigabe konfiguriert werden. Sie sollten sicherstellen, dass die per Button Zwischenspeichern erreichbaren Optionen der Freigabe nicht so konfiguriert sind, dass Offlinespeicherung deaktiviert ist.

• Schlecht: Keine Dateien oder Programme aus dem angegebenen Ordner offline verfügbar machen
• Gut: Nur von Benutzern angegebene Dateien und Programme sind offline verfügbar
• Mit Vorsicht zu genießen: Alle Dateien und Programme, die Benutzer über den freigegebenen Ordner öffnen, automatisch offline verfügbar machen
• Für hohe Leistung optimieren hat ab Vista kein Auswirkung mehr

Versionen

Setzen Sie unbedingt die neuste Windows-Version ein und installieren Sie alle Hotfixes für Netzwerk und Offlinedateien, deren Sie habhaft werden können. Microsoft veröffentlicht regelmäßig neue Hotfixes für die Offlinedateien. Suchen Sie regelmäßig nach neuen KB-Artikeln oder abonnieren Sie den RSS-Feed dieses Blogs: blogs.technet.com/b/yongrhee.

Offlinedateicache zurücksetzen

Bei ernsthaften Problemen mit Offlinedateien oder beim Testen ist es sehr hilfreich, eine Methode zum vollständigen Löschen des Caches zur Verfügung zu haben. Fügen Sie dazu den folgenden Eintrag der Registrierung hinzu:

Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CSC\Parameters
Wertname: FormatDatabase
Werttyp: DWORD
Wertdaten: 1

Hinweis: Der eigentliche Wert (1) wird ignoriert. Diese Änderung an der Registrierung erfordert einen Neustart, um wirksam zu werden. Während der Computer neu startet initialisiert das Betriebssystem den CSC und löscht den Wert FormatDatabase.

Achtung: Alle Dateien im Offlinedateicache werden gelöscht – nicht synchronisierte Dateien gehen verloren!

Architektonische Schwachstellen

DFS

Wenn die Offlinedateien in den Offlinemodus übergehen, werden stets komplette Pfad-Bäume berücksichtigt. Dies ist insbesondere bei Nutzung von DFS unglücklich, da folgendes passieren kann: wenn \\domain.com\dfs\homes\user1 als offline erkannt wird, geht der ganze Baum unterhalb von \\domain.com\dfs in den Offline-Modus. Dem kann entgegengewirkt werden, indem eine Richtlinie zur Erkennung langsamer Verbindungen wie folgt konfiguriert wird:

• \\domain.com\dfs: Latency=32000
• \\domain.com\dfs\homes: Latency=60

Weitere Informationen über diese Konfigurationsvariant können dem AskDS-Blog entnommen werden.

Erstsynchronisation

Es gibt keinen Indikator dafür, dass die Erstsynchronisation abgeschlossen ist. Der Anwender wird völlig im Dunklen gelassen.

Übergang in den Offlinemodus und Fileserverlast

Das einzige Kriterium um festzustellen, ob ein Netzwerkpfad verfügbar ist, ist die per Ping überprüfte Erreichbarkeit des Servers. Es gibt jedoch Fälle, in denen ein Server zwar noch auf Pings antwortet, jedoch aufgrund hoher Last keine anderweitigen Anfragen mehr beantworten kann. In einer solchen Situation wechseln die Offlinedateien nicht in den Offlinemodus, was zu Folge hat, dass der Netzwerkpfad nicht erreichbar ist, obwohl eine lokale Kopie der Dateien auf den Clients vorliegt.

Weitere Informationen

Microsoft

• Configuring New Offline Files Features for Windows 7 Computers Step-by-Step Guide
• What's New in Offline Files for Windows Vista
• Slow-Link with Windows 7 and DFS Namespaces
• How to enable Event logging for Offline Files (Client Side Caching) in Windows Vista
• How the synchronization in Windows 7 Offline Files works
• Slow Link Detection for Offline Files in Windows Vista SP2 & Windows 7

Andere Quellen

• Configuring an Automatic Resolution Policy for Offline Files in Windows 7
• Change Offline Files “Check for a slow connection” interval with group policy

Verwandte Beiträge:

1. Microsoft User Experience Virtualization (UE-V): Fakten und Bewertung
   Dies ist die deutsche Fassung des im englischen Original in...
2. WebDAV: Dateien sicher übers Internet übertragen
   Viele Admins stehen vor der Aufgabe, mobilen Mitarbeitern den Zugriff auf...

Dieser Artikel erschien zuerst auf gruppenrichtlinien.de.

Gruppenrichtlinien und Deployment liegen thematisch ganz eng bei einander. Ich stolpere oft über den KMS (Key Management Service) zur Aktivierung vom Betriebssystem und Office.
Vor allem stolpere ich, weil mir lange Zeit nicht klar war, dass das VAMT (Volume Activation Management Tool) das unnötigste und sinnloseste Werkzeug ist, das man für den KMS einsetzen kann.

Die Fakten:

• Es ist schon alles auf dem Server vorhanden. Die slmgr.vbs ist onboard. Diese konfiguriert den Dienst Software Protection (sppsvc), der letztlich die KMS-Funktion bietet.
• Die Installation und Konfiguration des KMS inkl. der Aktvierung des eigenen KMS-Product-Keys ist nur in der CMD (Eingebaeaufforderung) möglich. Die Aktivierung kann wie auch beim Einzelprodukt übers Internet oder übers Telefon erfolgen. (slui.exe)
• Der KMS kann erst mal nur sein eigenes Betriebssystem und das passende Client-OS aktivieren. Für weitere Produkte (neuere Betriebsysteme oder Office) benötigt er ein Update.
• VAMT ist ein eigenständiges Monitoring-/Inventarisierungs-Produkt. Es liest nicht die aktuelle Konfiguration/Datenbank des KMS-Hosts aus, sondern baut eine eigene auf und ist wirklich nur ein weitere Datenbank/Informationsquelle. Der KMS funktioniert komplett ohne diese.
• VAMT nutzt RPC Calls, dafür sind lokale Administratorrechte notwendig, um den Status des jeweiligen Rechners abzufragen. Es liest, wie schon gesagt,  nicht den aktuellen KMS-Host aus.
• Man kann im VAMT seine eigenen Keys hinterlegen. Diese dienen nur zur manuellen Aktivierung eines Clients, falls dieser sich nicht automatisch aktiviert. Das Tool macht praktisch über einen RPC-Call ein slmgr.vbs /ATO xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
• Die im VAMT hinterlegten Product-Keys können nicht über das VAMT aktiviert werden. Die "produktiven" werden nicht im VAMT verwaltet. Diese liegen im KMS. Ein weiterer Beweis, dass das VAMT komplett eigenständig ist.

VAMT ist nur ein Add-on, ohne echten Sinn und Zweck. Für Inventarisierung gibt es 1000 bessere Tools. Dafür muss ich mir keine SQL Instanz (in der VAMT Version 3.0 notwendig) installieren. Völlig unnötig.

Es gibt 4 Seriennummergruppen für Betriebssysteme:

• Client VL (Clients VL)
• Group A (Web und HPC)
• Group B (Standard und Enterprise)
• Group C (Datacenter)

Änderung in Windows Server 2012: es ist keine Enterprise Version mehr vorhanden.

Ein Group-B-Key kann alle Client-VL- und Group-A-Systeme aktivieren. Ein Group C kann alle Group A,B und Client VL aktivieren. Je "höher" die Lizenz, desto mehr Versionen können mit einem einzigen Key aktiviert werden. Bester Weg: Man hat einen Server-KMS-Key für die aktuellste Serverversion aus der Group C! Dieser kann jedes andere OS aktivieren.

DNS-Konfiguration

Der KMS wird im Unternehmen über einen DNS-Eintrag von den Clients gefunden, diesen Service Record könnt ihr per Hand erstellen:

http://technet.microsoft.com/en-us/library/ff793405.aspx

DNS Verwaltung -> Forward Lookup Zone -> _tcp -> "weitere neue Einträge" -> "Dienstidentifizierung (SRV)" -> "." (Punkt am Ende des Hostnamens.!)

KMS-Host-Installation auf einem Server 2008 R2

Konfiguration für Windows Server 2012, Office 2010 und Office 2013:

Der Server 2008 R2 kann nur Server 2008, Vista, Windows 7 und Server 2008R2 aktivieren. Er benötigt ein Update um neuere OS aktivieren zu können, der Server 2012 benötigt das logischerweise nicht für das Betriebsystem.

Benötigte Software:

Update adds support for Windows 8 and Windows Server 2012 to Windows Server 2008, Windows 7, and Windows Server 2008 R2 KMS hosts
http://www.microsoft.com/de-de/download/details.aspx?id=34826
-> Windows6.1-KB2757817-x64.msu   

Microsoft Office 2010 KMS Host License Pack
http://www.microsoft.com/en-us/download/details.aspx?id=25095
-> KeyManagementServiceHost_en-us.exe

Microsoft Office 2013 Volume License Pack
http://www.microsoft.com/en-nz/download/details.aspx?id=35584
-> office2013volumelicensepack_x86_en-us.exe

Der Vorgang:

Ich habe hier den Prozess komplett in der CMD nachgestellt. Wer mag, kann die Installation- ID und die am Telefon genannte Activation-ID auch etwas leichter in einem GUI-FrontEnd eintippen. Die 6er Blöcke sind etwas leichter zu lesen als die komplette Kette ohne Trennzeichen.

Für das Frontend in Start -> Ausführen oder auch in der CMD: "slui.exe 4"  aufrufen und "Deutschland" wählen:

(klick-vergrößern)

Hier nun folgend der komplette Prozess per Commandline:

a) Integration Key und Aktivierung für Betriebssysteme

aa) Integration -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-GROUP-SERVER-VLKEY-XXXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-GROUP-SERVER-VLKEY-XXXXX successfully. 

ab) Installation ID anzeigen -> /dti

diese wird bei jedem Aufruf dynamisch generiert und muss am Telefon eingegeben werden

C:\Windows\System32>cscript slmgr.vbs /dti 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 

ac) Aktivierung des integrierten Keys -> /atp

per Telefon, Microsoft 0800 28 48 28 3. Nach dem Eintippen der Installation ID wird einem die Activation ID genannt.

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product 7b37c913-252b-46be-ad80-b2b5ceade8af deposited successfully. 

b) Office in den KMS integrieren

Das "KMS Schema" muss für die passende Office-Version erweitert werden, vorher wird der Key per /IPK als ungültig deklariert. Das Update muss PRO OFFICE VERSION erfolgen.

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Error: 0xC004F050 The Software Licensing Service reported that the product key is invalid 

Installation von KeyManagementServiceHost_en-us.exe und office2013volumelicensepack_x86_en-us.exe Nach der Installation des jeweiligen "Office Addons" ist die Integration erfolgreich.

ba) Integration Key Office 2010 -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-OFFIC-E201X-VLKEY-XXXX successfully. 

bb) Installations-ID für Office 2010 abfragen -> /dti 

ohne die "bfe7a195-…" würde /dti nur die ID des OS liefern

C:\Windows\System32>cscript slmgr.vbs /dti bfe7a195-4f8f-4f0b-a622-cf13c7d16864 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 

Die bfe7a195-4f8f-4f0b-a622-cf13c7d16864 ist fix für Office 2010 vorgegeben.

bc) Aktivierung per Telefon -> /atp

Die Activation ID wird am Telefon genannt

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 bfe7a195-4f8f-4f0b-a622-cf13c7d16864 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product bfe7a195-4f8f-4f0b-a622-cf13c7d16864 deposited successfully.

ca) Integration Key Office 2013 -> /ipk

C:\Windows\System32>cscript slmgr.vbs /ipk EUER-OFFIC-E201X-VLKEY-XXXX 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installed product key EUER-OFFIC-E201X-VLKEY-XXXX successfully. 

cb) Installations-ID für Office 2013 abfragen -> /dti

ohne die "2E28138A-…" würde /dti nur die des OS liefern

C:\Windows\System32>cscript slmgr.vbs /dti 2E28138A-847F-42BC-9752-61B03FFF33CD 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Installation ID: 012345678901234567890123456789012345678901234567890123 
Die 2E28138A-847F-42BC-9752-61B03FFF33CD ist fix für Office 2013 vorgegeben. 

bc) Aktivierung per Telefon -> /atp

Activation ID wird am Telefon genannt

C:\Windows\System32>cscript slmgr.vbs /atp 987654321098765432109876543210987654321098765432109876 2E28138A-847F-42BC-9752-61B03FFF33CD 
Microsoft (R) Windows Script Host Version 5.8 
Copyright (C) Microsoft Corporation. All rights reserved. 
Confirmation ID for product 2E28138A-847F-42BC-9752-61B03FFF33CD deposited successfully.

Ihr könnt aus jeder Betriebsystem Version (OEM, Systembuilder, etc.) einen KMS Client machen. Dafür gibt es den sogenannten GVLK – Generic Volume License Key oder auch KMS Client Setup Key. Für Windows 7/2008R2 ist dieser in der product.ini auf jeder DVD dokumentiert. Mit diesem Key kann man zunächst einmal jedes OS installieren und dann über den KMS aktivieren. Wenn ihr keinen KMS habt, kann dieser Key natürlich nicht aktiviert werden. Es ist keine Rettung oder Universalschlüssel für "keine Seriennummer" .

Für Windows 8/2012 findet ihr dies GVLKs im Technet:

Appendix A: KMS Client Setup Keys

http://technet.microsoft.com/en-us/library/jj612867.aspx

In Windows 8 und Server 2012 gibt es ein Verhalten, das den Windows Update Dienst (wuauserv) zum Absturz bringen kann.

Für den wuauserv lässt sich ein Proxy-Server konfigurieren.
Standardmäßig ist jedoch kein Proxy für diesen Dienst gesetzt.

Ist dies der Fall und man besitzt keine direkte Internetverbindung, so kann es passieren, dass die Suche nach Windows Updates nicht abgeschlossen werden kann.

Dieses Verhalten wurde von Microsoft als "by design" deklariert. Welchen Workaround ihr jedoch benutzen könnt, erfahrt ihr in meinem aktuellen Beitrag in meinem Blog.

http://matthiaswolf.blogspot.de/2013/09/windows-update-fehler-0x80072ee2-unter.html

Ein Artikel im PlatformsPFE-Blog in Microsofts TechNet weist auf ein wenig bekanntes Verhalten von Windows 8.1 hin: Diese Windows-Version führt Anmeldeskripte erst nach einer Wartezeit von 5 Minuten nach dem Beginn der Anmeldung aus. Dies soll vor allem in Umgebungen mit weniger gut geschriebenen Skripten eine Überlastung des Logon-Prozesses insbesondere im Hinblick auf die Festplattenlast verhindern.

Da diese Verzögerung nicht in jedem Netzwerk erwünscht ist, lässt sie sich aber per Gruppenrichtlinie konfigurieren. Der folgende Link weist den Weg zum Originalartikel, wo dies näher beschrieben ist:

[Windows 8.1 Logon Script Delay Group Policy Setting – PlatformsPFE – TechNet Blogs]
http://blogs.technet.com/b/platformspfe/archive/2014/03/08/windows-8-1-logon-script-delay-group-policy-setting.aspx

Allgemein empfiehlt Microsoft, die klassischen Aufgaben eines Anmeldeskriptes lieber mit Hilfe von Group Policy Preferences (GPP) umzusetzen. Dies ist häufig noch leistungsfähiger und führt zu weniger Belastung als viele herkömmliche Skripte. Einen guten Überblick über GPP liefert Florian Frommherz in einem englischsprachigen PDF:

[10 things Group Policy Preferences can do better than your current script!]
http://www.frickelsoft.net/blog/downloads/10%20things%20Group%20Policy%20Preferences%20does%20better.pdf

Dieser Artikel erschien zuerst auf gruppenrichtlinien.de

Vielleicht liegt es an meinem deutschen Kontrollzwang, aber ich gehöre wie viele meiner Kollegen zu den Administratoren, die gerne eine Kontrolle über den Start- und/oder Anmeldevorgang ihrer Computer und Benutzer haben.

Windows XP hat uns gelehrt diese beiden Richtlinien zu aktiveren:
"Bei Neustart des Computers und der Anmeldung immer auf das Netzwerk warten" = Aktiviert
und
"AnmeldeSkritps gleichzeitig auszuführen"= Aktiviert

Siehe auch: Fast Logon – Schnelles Anmelden – Asynchrones Startverhalten – ehemals FAQ 36

Jetzt kommen wir in das Dilemma, das SSD-Platten unter Umständen so schnell sind, dass das Netzwerk keine Chance hat, in dem kurzen Zeitraum zu starten. Der Rechner ist 2-3 Sekunden zu schnell. Zum Zeitpunkt der Benutzeranmeldung ist das Netzwerk dann vorhanden, das sind die zwei Sekunden Verzögerung, die sich durch die Eingabe des Kennworts ergeben. Zum Zeitpunkt des Computerstarts fehlt das Netzwerk, und dadurch haben wir keine Vordergrund-Richtlinienverarbeitung der Computerrichtlinien und Computer-Startup-Skripte laufen nicht.

Die offizielle Lösung von Microsoft ist:
Computer Configuration\Administrative Templates\System\Gruppenrichtlinie\
"Wartezeit für Richtlinienverarbeitung beim Systemstart angeben"
der empfohlene Richtwert beträgt 60 Sekunden.

WICHTIG! Das ist bei einem verbundenem LAN-Client kein Timeout, sondern ein maximaler Zeitraum, während dessen der Gruppenrichtlinienclient-Dienst (gpsvc) versucht, Kontakt zu seiner Infrastruktur aufzunehmen. Sobald diese erreichbar ist, werden die Richtlinien verarbeitet, und die Anmeldemaske für den Benutzer erscheint. Solange das Netzwerk nicht zur Verfügung steht, wartet der Rechner und macht direkt weiter, sobald das Netzwerk verfügbar ist. Wir verlieren nur minimal Zeit: eben die 2-3 Sekunden, die der Start der Netzwerkdienste benötigt, und zusätzlich die Zeit, die es braucht, die Richtlinien zu verarbeiten. Wir bekommen aber wieder eine kontrollierbare Startumgebung.

Es gibt jetzt nur ein blödes Phänomen: Notebooks.

Ohne jeglichen Netzwerkkontakt sind die 60 Sekunden leider kein Intervall, sondern doch ein Timeout. Die Richtlinie orientiert sich nicht am MediaSense Normalerweise sind netzwerkabhängige Dienste so gestrickt, dass sie die generelle Verfügbarkeit eines Netzwerk prüfen und sich entsprechend verhalten. Leider sie ist dieser Zusammenhang dem GPSVC-Dienst nicht gegeben. Der wartet jetzt 60 Sekunden, es könnte ja jemand noch ein Kabel einstecken …

Alternative Lösung

Vorab, das ist nicht von Microsoft supported und das ist keine offizielle Lösung, sondern eine, mit der ich im Test und beim Kunden keinen Fehler finden konnte, aber genau das erreicht habe, was ich wollte. Wir definieren eine neue Abhängigkeit des GPSVC-Dienstes zu einem Netzwerkdienst, der per Default immer gestartet wird: IP-Hilfsdienst (iphlpsvc), alternativ wäre der "TCP/IP-NetBIOS-Hilfsdienst" (lmhosts) auch eine Möglichkeit.

Was wird passieren?

• der Gruppenrichtlinienclient startet, wenn der IP-Hilfsdienst gestartet ist. Sobald dieser gestartet ist, ist das Netzwerk vorhanden.  Wir haben damit kein Zeitintervall, sondern die genaue Zuordnung, "wann" der Gruppenrichtlinienclient loslegen soll.
• Offline-Clients ohne jeglichen Netzwerkkontakt werden den IP-Hilfsdienst niemals starten, da dieser auf Mediasense reagiert und ohne Netzwerk gar nicht erst aktiv wird. Wenn dieser Dienst nicht gestartet wird, wird der GPSVC nicht gestartet, und somit entfällt der 60-Sekunden-Timeout . Wir haben keine Wartezeit, sondern einen direkten Start. Das war das Ziel.

Nachteil dieser Lösung

Es ist keine offizielle Lösung, und sie manipuliert eine Dienstabhängigkeit, die sonst nicht gegeben wäre. Kann es schaden? Ich denke nein, denn ohne Netzwerk gibt es keine Gruppenrichtlinien. Aber die Lösung ist weit weg vom Standard und außer mir und euch macht das keiner … aber genauso schnell wie der Eintrag in die Registry kommt ist er auch wieder entfernt.

Ich bin überzeugt, dass auch heute noch in vielen Active-Directory-Umgebungen das lokale Administratorpasswort über Group Policy Preferences (GPP) gesetzt wird. Dieses Verfahren ist leider aufgrund von Sicherheitsproblemen nicht mehr zu empfehlen (siehe http://matthiaswolf.blogspot.de/2014/05/ms14-025-das-ende-der-gespeicherten.html). Auch Microsoft hat dieses erkannt und das Hinterlegen von Passwörtern in Group Policy Prefrences mit dem Update MS14-025 ( https://technet.microsoft.com/en-us/library/security/ms14-025.aspx) unterbunden.

Bis zu diesem Zeitpunkt konnten Passwörter in den folgenden Group Policy Preferences genutzt werden:

• Local user and group
• Mapped drives
• Services
• Scheduled tasks (Uplevel)
• Scheduled tasks (Downlevel)
• Immediate tasks (Uplevel)
• Immediate tasks (Downlevel)
• Data sources

Bisher genutzte GPPs zur Verteilung von Passwörtern sind zwar weiterhin funktional, allerdings sind die dort verwendeten Passwörter nicht sicher und können mit wenig Aufwand ausgelesen werden. Um trotzdem Passwörter für lokale Konten zu verwalten, hat Microsoft nun das Tool Local Administrator Password Solution (LAPS) ins Programm aufgenommen (Download unter https://www.microsoft.com/en-us/download/details.aspx?id=46899).

Bei LAPS handelt es sich um eine Lösung, bei der pro Client ein dynamisches Passwort generiert und im Active Directory hinterlegt wird. Die Lösung basiert auf den folgenden Komponenten:

• GPO Client Side Extension – auf jedem Client, der mittels LAPS verwaltet werden soll
• Management Tools
  • Fat Client UI – Grafisches User Interface zum Auslesen der Passwörter aus dem AD
  • PowerShell Modul – PowerShell Modul zur Administration per PowerShell
  • Group Policy Template – zur Verteilung der Konfiguration auf den Client per GPO

Zusätzlich zu den genannten Komponenten werden zwei neue Attribute im Active-Directory-Schema benötigt.

Client-Voraussetzungen

Installation der Management-Tools

Um die Installation der Management-Tools zu beginnen, wird die entsprechende LAPS-Installationsdatei (LAPS.<platform>.msi) aufgerufen. Die Installationsdatei ist sowohl für 32- als auch 64-bit Systeme verfügbar. Unterstützt werden als Client-Betriebssystem alle Varianten ab Windows Vista (auch Windows 10) und als Server alle Varianten ab Windows Server 2003.

Nach Bestätigung des Willkommensfensters erscheint die Auswahl der zu installierenden Komponenten. Hier werden die gewünschten Management-Tools ausgewählt, die Installation kann sowohl auf einem dedizierten Management-Client als auch einem Domänencontroller erfolgen.

Nach Bestätigung der gewählten Optionen kann mit Install die Installation durchgeführt werden. Nach Abschluss der Installation kann diese wie gewohnt mit Finish beendet werden.

Installation der Client Side Extensions auf den zu verwaltenden Clients

Die Installation der Client Side Extensions auf den zu verwaltenden Clients kann entweder durch eine manuelle Installation als auch per Softwareverteilung, Group Policy oder Skript durchgeführt werden. Für eine automatisierte Installation kann der Silent-Parameter /quiet verwendet werden.

Beispiel:

Nach der Installation ist die installierte Client Side Extension in der Systemsteuerung unter Programme und Funktionen als Local Administrator Password Solution ersichtlich.

Alternativ kann die notwendige DLL auch per regsvr32 auf den Systemen registriert werden. In diesem Fall ist die Installation der CSE nicht in der Systemsteuerung unter Programme und Funktionen ersichtlich.

Active-Directory-Voraussetzungen

Um die lokalen Passwörter innerhalb des Active Directory zu speichern, ist es wie bereits erwähnt notwendig, die folgenden Attribute zum Active-Directory-Schema hinzuzufügen.

ms-Mcs-AdmPwd – speichert das Passwort in Klartext

ms-Mcs-AdmPwdExpirationTime – speichert das Ablaufdatum des Passworts

Für das Erweitern des Schemas liefert das das LAPS die notwendigen Utensilien mit. Hierbei handelt es sich um ein PowerShell-Modul, welches die notwendigen Befehle für die Erweiterung des Schemas als auch alle anderen administrative Tätigkeiten mitbringt.

Das Modul AdmPwd.PS kann mit dem Befehl Import-Module in die PowerShell Session importiert werden.

Wenn wir schon mal das PowerShell-Modul importiert haben können wir uns auch kurz alle verfügbaren Befehle mittels get-command -Module AdmPwd.PS anzeigen lassen. Das nächste Bild zeigt uns somit alle verfügbaren Befehle, die im Zusammenhang mit LAPS verwendet werden können.

Um das Schema zu erweitern, muss der Befehl Update-AdmPwdADSchema verwendet werden. Dieser Befehl erwartet keinerlei Parameter und muss einfach mit einem Konto, das über Schema-Administrator-Berechtigungen verfügt, ausgeführt werden.

Hinweis:

Sofern ein RODC innerhalb des Active Directory vorhanden ist, muss das Attribut ms-Mcs-AdmPwd ebenfalls repliziert werden. Hierzu muss das Attribut aus dem RODC Filtered Attribute Set entfernt werden.

Berechtigungen

Lesen der Passwörter

Wichtig: Alle Anwender, die die Berechtigung zum Lesen des ms-Mcs-AdmPwd-Attributs eines Computerobjektes haben, können das hinterlegte Passwort im Klartext auslesen. Aus diesem Grund muss allen nicht berechtigten Accounts das Leserecht „All extended rights“ entzogen werden.

Das Entfernen der Berechtigung kann auf OU-Ebene erfolgen. Allerdings ist vielleicht nicht klar, wer überhaupt in der OU die Berechtigung hat, die Extended-Attribute zu lesen. Hierfür liefert das LAPS das PowerShell-Cmdlet Find-AdmPwdExtendedrights mit, mit dem die Zugriffsberechtigungen pro OU überprüft werden können.

Beispiel:

Als Ergebnis erhält man alle User und Gruppen, die über die Leseberechtigung „All extended rights“ verfügen. Sollten in dem Ergebnis User oder Gruppen auftauchen, die diese Berechtigung nicht mehr haben sollen, muss dieses Recht wieder entfernt werden. Dieses kann zum Beispiel mittels ADSIEdit durchgeführt werden.

Um Usern oder Gruppen, die nicht in der Übersicht auftauchen, die Berechtigung zum Lesen der Passwörter einzuräumen, kann der PowerShell Befehl Set-AdmPwdReadPasswordPermission verwendet werden.

Beispiel:

Soll das Passwort durch bestimmte Accounts auch zurückgesetzt werden können, so ist es notwendig, dass der entsprechende Account über Schreibrechte für das Attribut ms-Mcs-AdmPwdExpirationTime des betroffenen Clients verfügt. Diese Berechtigung kann ebenfalls über die PowerShell mit dem Befehl Set-AdmPwdResetPasswordPermission vergeben werden.

Beispiel:

Notwendige Clientberechtigung zum Schreiben der Passwörter

Die mit LAPS verwalteten Clients benötigen die Berechtigung, die lokalen Passwörter und das Ablaufdatum in die Attribute ms-Mcs-AdmPwdExpirationTime und ms-Mcs-AdmPwd zu schreiben. Hierfür müssen die ACLs jeder Organisationseinheit, die zu verwaltende Clients beinhaltet, entsprechend angepasst werden. Der für die Anpassung notwendige Befehl lautet Set-AdmPwdComputerSelfPermission.

Befehl:

Hinweis:

Sofern die Vererbung der Rechte innerhalb des AD nicht unterbrochen wurde, reicht es natürlich, die Berechtigung auf der übergeordneten Organisationseinheit zu vergeben.

Auditing

Mittels LAPS ist es ebenfalls möglich zu erfassen, wenn ein Administrator erfolgreich das Passwort eines Clients aus dem Active Directory ausgelesen hat. Die Aktivierung des Loggings erfolgt wie gewohnt mittels PowerShell und dem Befehl Set-AdmPwdAuditing. Hierbei kann sowohl definiert werden, welche OUs als auch welche Accounts überwacht werden sollen.

Beispiel:

Nach dem Aktivieren des Loggings wird bei einem erfolgreichen Auslesen des Passworts wird im Security Log des Domain Controllers ein Event mit der ID 4662 erzeugt.

Konfiguration der Einstellungen

Die eigentliche Konfiguration des LAPS erfolgt über Gruppenrichtlinien. Die hierzu notwendigen Templates AdmPwd.admx bzw. AdmPwd.adml werden bei der Installation der Management Tools in dem Ordner %WINDIR%\PolicyDefinitions bzw. %WINDIR%\PolicyDefinitions\en-US abgelegt. Nach Öffnen der Group Policy Management Console sind die möglichen Einstellungen unterhalb des Punktes Computer Configuration\Administrative Templates\LAPS zu finden.

In obigen Bild ist ersichtlich, dass die Konfiguration der Lösung sich auf vier Punkte beschränkt und somit sehr einfach durchzuführen ist.

1. Definition der Eigenschaften des Passworts (Passwortlänge, maximales Passwortalter und Komplexität des Passworts)
2. Name des zu verwaltenden Kontos
3. Festlegung, ob das festgelegte maximale Passwortalter auch für manuelle Zurücksetzungen des Passworts gilt
4. Aktivieren des LAPS-Managements

Bei der Definition des Passworts kann sowohl die Länge als auch die Komplexität und das maximale Alter des lokalen Passworts beeinflusst werden.

Bei der Festlegung des zu verwendeten lokalen Accounts kann ein vom Built-in-Account (Administrator) abweichender Kontoname angegeben werden. Sofern der Built-In-Account verwendet wird, ist keinerlei Konfiguration der Richtlinie notwendig.

Es kann mittels der Richtlinie „Do not allow password expiration time longer than required by policy“ festgelegt werden, ob beim manuellen Zurücksetzen eines Passworts das in der Einstellung „Password Settings“ festgelegte maximale Passwortalter überschritten werden darf.

In der Richtlinie „Enable local admin password management“ kann die Nutzung von LAPS entweder aktiviert oder deaktiviert werden.

Verwalten der Clients

Anzeige von Passwörtern

Um die Passwörter von LAPS gemanagten Clients einzusehen, gibt es mehrere Möglichkeiten. Einerseits kann das Passwort, sofern man über die notwendigen Berechtigungen verfügt, mittels jedem LDAP-Tool, wie zum Beispiel Active Directory-Benutzer und -Computer, ausgelesen werden. Hierbei wird das Passwort im Attribut ms-Mcs-Adm-Pwd und das Ablaufdatum des Passworts im Attribut ms-Mcs-AdmPwdExpirationTime angezeigt.

Das Passwort wird hierbei im Klartext angezeigt. Um das Ablaufdatum in einer lesbaren Form zu erhalten ist es notwendig, den Inhalt des Attributs mittels w32tm /ntte zu konvertieren.

Eine komfortablere Lösung zur Anzeige und zum Zurücksetzen der Passwörter ist jedoch in den Management-Tools von LAPS enthalten. So bietet die LAPS UI die Möglichkeit, nach Computernamen zu suchen und die Informationen zum Passwort und Ablaufdatum des Passworts zu erhalten.

Ebenfalls kann die PowerShell verwendet werden, um die Informationen eines Clients zu erhalten. Der Befehl hierfür lautet Get-AdmPwdPassword.

Ein Anwender, der nicht über die Berechtigung zur Anzeige der Passwörtern verfügt, sieht weder im Active Directory Benutzer und Computer noch der LAPS UI das hinterlegte Passwort. Lediglich das Ablaufdatum des Passworts ist für den Anwender ersichtlich.

Zurücksetzen von Passwörtern

Das Passwort eines Clients kann einerseits über die LAPS-UI als auch per PowerShell zurückgesetzt werden. Hierbei wird entweder ein definierter Zeitpunkt für die Passwortänderung hinterlegt, oder es wird sofort zurückgesetzt. Die Änderung des Passwortes erfolgt in diesem Fall nach einer erneuten Group-Policy-Aktualisierung auf dem Client.

In der LAPS-UI kann die Änderung sehr einfach über das Setzen eines neuen Ablaufzeitpunkts des Passwortes und dem Bestätigen mit Set veranlasst werden. Soll das Passwort sofort zurückgesetzt werden, bleibt einfach das Feld „New expiration time“ leer.

In der PowerShell wird für die Änderung des Passwortes der Befehl Reset-AdmPwdPassword verwendet. Soll ein Änderungsdatum hinterlegt werden, so ist zusätzlich der Parameter ‑WhenEffective zu verwenden.

Beispiel:

LAPS – lokales Admin-Passwort endlich sicher

Troubleshooting

Das Troubleshooting von LAPS-Problemen kann auf dem Client durch das Aktivieren des Client Loggings durchgeführt werden.

Hierzu muss unterhalb des Registry Schlüssels HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ ein REG_DWORD mit dem Namen ExtensionDebugLevel angelegt werden.

Mögliche Optionen beim Logging sind:

Nach Aktivieren des Loggings sind die jeweiligen Events im Anwendungs-Log des Clients zu finden (Quelle: Microsoft LAPS Operations Guide).

Quelle: Microsoft LAPS Operations Guide

Fazit

Microsoft hat mit der Local Administrator Passwort Solution nun für alle ein Programm im Portfolio, mit dem das Setzen von lokalen Administrator Passwörtern endlich sicher, einfach und automatisch erfolgen kann. Meiner Meinung sollte jeder, der etwas mehr Sicherheit in seinem Active Directory haben möchte und bisher die Passwörter mittels Group Policy Preferences verteilt, schnell auf die neue Lösung umsteigen. Der Aufwand hierfür ist im Vergleich zur gewonnenen Sicherheit extrem gering.

Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.

Die Ausgangssituation stellte sich zunächst trivial dar: Es gab ein Servicedesk-Ticket, dass auf Server X auf der Freigabe der Ordner Y komplett zu löschen sei. Mein Kollege verband sich mit Administrationsrechten mit Server X, löschte Ordner Y und beendete das Ticket.

Kurze Zeit später meldete sich der Benutzer wieder und meldete, dass Ordner Y noch vorhanden sei. Da auf diesem Datenträger "Volume Shadow Copy" (= Vorgängerversionen) aktiv ist, dachte der Kollege an ein Zurückspielen der Daten durch Dritte. Er verband sich wieder auf den Server, aber Ordner Y war weder in dem Verzeichnis noch in den Vorgängerversionen zu finden. Damit entfiel auch die Möglichkeit, den Ordner zurückzuspielen und dann komplett zu löschen. Ein Benutzer-Wechsel zu einem Domänen-Administratoren-Konto zeigte keinen Unterschied. Er öffnete anschließend eine Remotesitzung auf den Client Rechner und Ordner Y war da zu sehen.

Die Versuche, den Ordner über die GUI vom Client Rechner zu löschen oder umzubenennen schlugen fehl. Stets gab es die Fehlermeldung "Dieser Vorgang kann nur ausgeführt werden, wenn Sie eine Verbindung mit dem Netzwerk hergestellt haben."

Bei Betrachtung der Ordner-Eigenschaften fehlte auch noch der Reiter "Sicherheit".

Da uns in der letzten Zeit immer dann die PowerShell aus der Klemme geholfen hatte, wenn die anderen bekannten Methoden versagt hatten, probierte der Kollege dann erfolglos die PowerShell mit wechselnden Berechtigungen aus. Nach einigen Tagen landete das Ticket dann bei mir.

Da der Benutzer in den nächsten Tagen neue Hardware bekommen sollte, wollte ich das Problem von seinem neuen Rechner aus lösen. Dabei hoffte ich genug Zeit zu haben, um die Problematik in Ruhe zu untersuchen, ohne dass ich den Benutzer von seinem PC fernhalte. Ich meldete mich gemeinsam mit diesem Benutzer am Laptop an: Ordner Y war weg. Damit sollte das Problem am alten Rechner sein. Wenn man die paar Tage bis zur Auslieferung des Laptops noch abwarten würde, dann wäre das Thema durch ;-). Aber es versprach interessant zu werden.

Ich habe mich mit dem Benutzer in Verbindung gesetzt und trotz der Vorarbeit meines Kollegen alles noch einmal selbst überprüft und gleich ein paar Screenshots angefertigt. Aus Gewohnheit ließ ich den Process Monitor während eines Löschversuchs mitlaufen. Währenddessen befragte ich die dicke Tante aus Mountain View im Internet zu der Fehlermeldung. Die Ergebnisse waren ziemlich mager und trafen auf den ersten Blick nicht einmal annähernd zu. Also warf ich einen Blick in die Log-Datei des Process Monitors. Über "Tools – Count Occurrences…" wurde auf Anzahl der Ergebnisbegriffe gefiltert. Da stach mit fünf Treffern das Ergebnis "0xC00002CC" prominent heraus. Auch der angegebene Pfad in diesen Ergebnissen zeigte genau auf den zickigen Ordner.

Die Suchmaschine war nun etwas auskunftsfreudiger. Viele der Treffer beschäftigten sich mit fehlerhaften Offline-Dateien.

Offline-Dateien?

Für gewöhnlich schalte ich die Offline-Option bei der Erstellung der Freigaben ab, aber just in diesem Moment konnte ich mich nicht erinnern, ob ich diese Freigabe "anno Röhrendeckel" überhaupt erzeugt hatte. Außerdem sind wir mit solchen Optionen und Informationen darüber den Benutzern gegenüber sehr sparsam. Ein kurzer Blick auf den Server bestätigte mir, dass Offline-Dateien auf der Freigabe aktiv waren. Bevor ich die Offline-Dateien am Server deaktiviere, wollte ich erst den Client-Cache löschen. Ich verband mich auf den Client-Rechner und deaktivierte im Sychronisationscenter die Offline-Dateien.

Nach einem erforderlichen Neustart war Ordner Y auf dem Client endlich weg. Mission erfüllt.

PS: Vermutlich hätte auch der KB-Artikel (https://support.microsoft.com/en-us/kb/942974) das gleiche Resultat erzielt, aber für mich was der Weg über das Sychronisationscenter der einfachere Weg.

Um in einem Netzwerk die IP-Adressen für eine Reihe von Rechnern herauszufinden und in einer Tabelle zu speichern, kann man mit einem einfachen Batch arbeiten. Es versucht, den Rechner über seinen Namen anzupingen. Ist dies erfolgreich, so schreibt das Skript den Namen und die IP-Adresse in eine Tabelle, anderenfalls wird der Name als nicht erreichbar gekennzeichnet.

@echo off
set DNS=%1
set IP=no-reply
REM echo Name;IP>result.txt
for /f "Tokens=2 Delims=[] skip=1" %%i in ('ping -4 -n 1 %DNS%') do (
   set IP=%%i
)
echo %DNS%;%IP%>>result.txt

Man ruft das Skript auf, indem man den Namen des Zielrechners angibt:

Get-IPbyName PC1234

Um das Skript auf eine Reihe von Rechnern anzuwenden, kann man sich z.B. mit Excel ein zweites Batch dieser Art bauen:

@echo off
call Get-IPbyName PC01
call Get-IPbyName PC24
call Get-IPbyName PC245
call Get-IPbyName PC4711

Wichtig ist dabei der Aufruf mit “call”, denn sonst endet die Ausführung gleich nach dem ersten Aufruf der Batchdatei. Die Ergebnisse landen in der Datei result.txt im aktuellen Verzeichnis; die Datei hat das CSV-Format mit dem Semikolon als Spaltentrennung. Wer will, kann bei der ersten Ausführung die REM-Zeile aktivieren, dann stehen die Spaltenüberschriften am Anfang der Datei.