Dressurausbildung Daniel Köck
MS Server 2008 R2
Delprof2 ist ein Tool um script basiert Benutzerprofile zu löschen.
Auf der Herstellerseite findet man die nötigen Informationen. Ein toller Beitrag dazu ist auch auf dem faq-o-matic Blog erschienen.
XAMPP für Windows lässt sich über die Softwareverteilung in den GPO verteilen. Auf diese Weise lässt sich die Software in Schulungsräumen schnell verteilen.
XAMPP für Windows bringt kein MSI Installationspaket mit. Mit dem Warapper verpacken wir die Installationsdatei in ein MSI Paket.
- XAMPP für Windows download
- Am Server im Verteilungspunkt einen Ordner erstellen und die Setup Datei nach dem Download abspeichern.
- Wrapper starten (Anleitung siehe hier)
- Folgende Silent Schalter verwenden: /S /D="x:\dirname\" /NCRC
- MSI Datei im selben Ordner wie die Exe Datei speichern.
- Über Gruppenrichtline verteilen
Bewertung: 2 / 5
Notepad++ bringt kein MSI Installationspaket mit. Mit dem Warapper verpacken wir die Installationsdatei in ein MSI Paket.
Mit Hilfe der Einstellungen (Preferences) in den Gruppenrichtlinien können auch Registrierungseinträge sehr komfortabel verteilt werden. Ich möchte dies am Beispiel der Klassenraumverwaltung ITALC 2 (1.9.6) zeigen. Nach der unbeaufsichtigten Installation der Software auf den Clients müssen noch die richtigen Einstellungen in der Registrierung eingetragen werden. Automatisiert kann dieser Vorgang mit Hilfe einer Gruppenrichtlinie werden.
Auf dem Blog von Grouppolicy Center gibt es einen guten Artikel, wie man die Einstellungen von Microsoft Security Essentials über die Group Policy Preferences verteilen kann. Wer möchte kann natürlich die Einstellungen von einem Muster Client auf dem die Security Essentials installiert sind exportieren, dann müssen die Einstellungen nicht händisch gemacht werden. Diese Vorgehensweise habe ich im Artikel Registrierungseinstellungen über GPO verteilen beschrieben.
Vor kurzem hatte ich bei meinem WDS das Problem, dass die Clients kein TFTP Boot Image mehr empfangen konnten. Fehler PXE-E32 TFTP open timeout
Folgende Lösung hat bei mir geholfen:
regedit
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\WDSServer\Parameters
UdpPortPolicy --> den Wert auf 0 ändern.
Windows Deployment Services Service neustarten.
Bewertung: 4 / 5
Beim Windows Deployment gibt es die Möglichkeit während der Installation durch Drücken der Tastenkombination Shift + F10 auf die Kommandozeile zu wechseln. Dies kann in einer Entwicklungsumgebung sehr nützlich sein. In einer produktiven Umgebung sollte diese Möglichkeit aus Sicherheitsgründen aber abgeschaltet werden, da man dadurch Systemrechte auf der Maschine erlangt. So könnte man sich unbemerkt einen Benutzer mit administrativen Rechten anlegen und niemand merkt es.
Um die Tastenkombination Shift + F10 zu deaktivieren sind folgende Schritte nötig.
1. Die Datei boot.wim schreibbar mounten. Am schnellsten geht es mit ImageX GUI. Beim Mounten Image 2 auswählen.
2. Nach dem Mounten wird im Verzeichnis Windows ein Unterverzeichnis Setup erstellt. In diesem ein Verzeichnis script. Im Verzeichnis script wird eine Datei mit dem Namen DisableCMDRequest.TAG erstellt.
3. Die Datei boot.wim wieder unmounten und den Befehl Commit vorher nicht vergessen.
In Windows Server 2008 R2 gibt es im Active Directory den Active Directory Papierkorb. Mit Hilfe dieser Funktion ist es möglich, versehentlich gelöschte Objekte im laufenden Betrieb wiederherzustellen. Der Active Directory Papierkorb ist standardmäßig nicht eingeschaltet.
Auf dem Blog von WindowsPro gibt es eine gute Anleitung von Andreas Kroschel.
Wer lieber eine GUI für den Active Directory Papierkorb verwenden möchte, wird auf der Seite von OverallSolutions fündig.
Martin Lehmann stellt auf seiner Webseite Powershell scripts zur Verfügung.
Da im Schulnetz vermehrt Windows Clients und auch die Server über KMS aktiviert werden, möchte ich nochmals auf einige Fehler hinweisen:
- Schulen, die einen eigenen KMS betreiben müssen die Bedingungen für ein KMS Umfeld beachten. Als Aktivierungsschwellen gelten folgende Werte: Windows 7: 25 Systeme, Windows 2008 R2: 5 Systeme
- Die Verwendung eines zentralen KMS Servers bietet hier Vorteile. Im internen Schulnetz sind am DNS Server diese Einträge zu machen:
DNS Server --> Forward Lookup Zone --> eigene Domäne --> TCP
- Auf den Clients kann man die richtige Bereitstellung des KMS Eintrages folgend überprüfen:
nslookup -type=srv _vlmcs._tcp.eigeneDomäne
- mit den Befehlen: slmgr -dli oder slmgr -dlv kann man sich auch die KMS Einträge und den Lizenzstatus anzeigen lassen.
ActiveX Steuerelemente lassen sich über Gruppenrichtlinien gezielt steuern. So kann man z.B. im Internet Explorer gezielt Add-ons aktiveren oder deaktiveren.
Ich möchte das am Beispiel des Windows Media Player Add-ons zeigen.
- Wir erstellen ein neues Gruppenrichtlinien Objekt: Computerkonfiguration --> Administrative Vorlagen --> Windows Komponenten --> Internet EXplorer --> Sicherheitsfunktionen --> Add-on Verwaltung
- die Add-On Liste wird mit den entsprechenden Werten gefüllt (im Beispiel Windows Media Player)
- Die CLSID erhält man direkt aus den Add-ons im Explorer
- Das gewünschte Add-on doppelklicken, über den Kopier Button den Text in die Zwiwchenablage kopieren und in einem Editor wieder öffnen
- Am Client ist dann nach dem Abarbeiten der GPO im IE das Add-on deaktivert
Über Gruppenrichtlinien kann man auch bestimmte Programme an der Ausführung hindern. Ich möchte dies an einem Beispiel zeigen.
- Neues Gruppenrichtlinienobjekt erstellen
- Unter Zusätzliche Regeln eine neue Hashregel erstellen
- Programm auswählen
- GPO mit entsprechender OU verknüpfen
Wenn Sie es Benutzern, die nicht Mitglied der lokalen Gruppe Administratoren sind, ermöglichen möchten, Druckerverbindungen zu installieren, die über Gruppenrichtlinien bereitgestellt werden und nicht digital signierte Druckertreiber enthalten, müssen Sie die Gruppenrichtlinieneinstellungen Point-and-Print-Beschränkungen konfigurieren. Wenn Sie diese Gruppenrichtlinieneinstellungen nicht konfigurieren, müssen Benutzer möglicherweise Anmeldeinformationen der lokalen Gruppe Administratoren eingeben.
Achtung: Die Einstellungen gibt es für Benutzer und Computer. Allerdings gelten die benutzerbezogen Einstellungen nur für Clients vor Windows 7.
Folgende Technet Artikel können hier sehr hilfreich sein:
Altaro
Windows 10/11 Updates
- KB5036892 Windows 10 22H2 19045.4291 Sicherheitspatch April 2024 2024-04-10 06:21:34
- KB5036893 Windows 11 23H2 und 22H2 226×1.3447 Sicherheitsupdate April 2024 2024-04-10 06:19:25
- KB5035942 Windows 11 23H2 und 22H2 226×1.3374 optionales Update 2024-03-27 09:06:48
- KB5035941 Windows 10 22H2 19045.4239 optionales Update März 2024-03-27 09:04:24
- KB5035853 Windows 11 23H2 und 22H2 226×1.3296 Sicherheitsupdate März 2024 2024-03-13 06:21:38
- KB5035845 Windows 10 22H219045.4170 Sicherheitspatch März 2024 2024-03-13 06:18:46
- KB5034848 Windows 11 23H2 und 22H2 Moment 5 226×1.3235 als optionales Update 2024-03-01 06:54:20