Nov 132012
 

Auf der Suche, wie man die NTUSER.DAT bearbeiten kann, bin ich auf folgenden Link gestoßen:

http://www.robotronic.de/regeditPro.html

Die NTUSER.DAT dient als Speicherort für die Benutzereinstellungen der Registry. Oft wird diese dazu verwendet, bei Rechnern oder Servern ein Benutzerprofil vorzubereiten. Nach der Vorbereitung wird die NTUSER.DAT in das Profil des Default Users kopiert damit alle neuen Benutzer die gleichen Voreinstellungen haben. Die NTUSER.DAT gibt hierbei dann nur defaulteinstellungen vor. Benutzer können weiterhin Einstellungen verändert (sofern Sie dazu die Berechtigung bestitzen). Einstellungen, welche auch nicht von den Benutzer verändert werden solle, sollten mit Gruppenrichtlinien verteilt werden.

Nov 092012
 

Eine gute Übersicht über alle Berechtigungen und die damit verbundenen Zugriffsrechte gibt 8MAN. Es liest von den konfigurierten Server die Berechtigungen aus und speichert diese in eine SQL Datenbank. Berechtigungen können dann mit 8MAN vergeben werden, wodurch auch bei großen Organisationen Strukturen der Delegation geschaffen werden können. So können z.B. Abteilungsleiter selber Berechtigungen für Ihre Ordner vergeben.

Eine Eigenschaft gibt es hierbei allerdings für NETAPP Filer zu Berücksichtigen. 8MAN muss in der Standardkonfiguration die Freigaberechte auslesen können (Share Permissons). Dies ist bei NETAPP Filern meistens nicht gewünscht, wodurch der 8MAN Benutzer entweder sehr hohe Rechte benötigt oder die NETAPP angepasst werden muss. Diese beiden unschönen Möglichkeiten kann man jedoch umgehen, indem in der Konfiguration des 8MAN unter C:\ProgramData\protected-networks.com\8MAN\cfg in der Datei pnserver.config.xml folgenden Eintrag setzen:

<fileSystem>
<change>
  <checkShareRights type="System.Boolean">false</checkShareRights>
</change>
</fileSystem>

Dadurch werden die Freigabeberechtigungen nicht mehr geprüft, die DACL allerdings schon. Somit müssen auch keine Änderungen an der NetApp vorgenommen werden.

kix32 Drucker auslesen mit dem Loginskript

 Windows 7, Windows 8, Windows Server 2003, Windows Server 2008  Comments Off on kix32 Drucker auslesen mit dem Loginskript
Sep 132012
 

Wer schon mal das Problem hatte, das alle Drucker beim Login gelöscht werden soll um dann nur die Drucker zu verbinden die relevant sind, wird schnell auf das Problem der Druckereinstellungen stroßen. Was ist nun wenn ein Benutzer sich den beidseitigen Druck für einen Drucker eingestellt hat?
Die Lösung hierzu ist recht einfach, exportieren der Druckereinstellungen bevor die Drucker durch das Loginskript gelöscht werden. Wie das geschehen kann ist nachfolgend dargestellt, hierbei werden die Einstellungen der Drucker in %temp% exportiert und anschließend werden die Druckerverbindungen gelöscht (mit DELPRINTERCONNECTION, dies ist ein Befehl aus kix-script):

;*** Drucker aus Registry auslesen ***

 $Index = 0
 :Loop
 IF @ERROR=0
  $TempPrinter = $TempPrinter + EnumValue("HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts",$Index) + ","
  $Index = $Index + 1
  GoTo "Loop"
 ENDIF
 $TempPrinter = Trim($TempPrinter)
 $Length = Len("$TempPrinter") - 2
 $TempPrinter = Left("$TempPrinter","$Length")
 $PrinterArray = Split("$TempPrinter",",")
 ;*** Druckereinstellungen exportieren ***
 $zz = 0
 FOR $Count = 0 to $Index-2
  IF LEFT($PrinterArray[$Count],2) = "\\"
   $PrinterFileName = RIGHT($PrinterArray[$Count],LEN($PrinterArray[$Count])-2)
   $PrinterFileNameA[$zz] = LEFT($PrinterFileName,INSTR($PrinterFileName,"\")-1)
   $PrinterFileNameB[$zz] = RIGHT($PrinterFileName,LEN($PrinterFileName) - INSTR($PrinterFileName,"\"))
   SHELL 'rundll32 printui.dll,PrintUIEntry /q /Ss /n "' + $PrinterArray[$Count] + '" /a "%temp%\Druckereinstellungen_' + $PrinterFileNameA[$zz] + '.' + $PrinterFileNameB[$zz]  + '.dat"'
   $zz = $zz + 1
   DELPRINTERCONNECTION($PrinterArray[$Count])
  ENDIF
 NEXT
 $maxzz = $zz

Nun müssen diese Einstellungen, nachdem die Drucker wieder Verbunden wurden ja auch wieder importiert werden. Das kann wie folgt geschehen:

 ;*** Einstellungen der Drucker wieder importieren ***
 FOR $zz = 0 to $maxzz
  SHELL 'rundll32 printui.dll,PrintUIEntry /q /Sr /n "\\' + $PrinterFileNameA[$zz] + '\' + $PrinterFileNameB[$zz] + '" /a "%temp%\Druckereinstellungen_' + $PrinterFileNameA[$zz] + '.' + $PrinterFileNameB[$zz]  + '.dat"'
 NEXT

 

Alle Netzwerkdrucker mit Loginskript löschen

 Windows 7, Windows Server 2003, Windows Server 2008, Windows XP  Comments Off on Alle Netzwerkdrucker mit Loginskript löschen
Aug 092012
 

Ein interessantes Programm, welches das löschen und verbinden von Netzwerkdruckern erleichtern kann ist con2prt.exe.

http://www.gruppenrichtlinien.de/tools/con2prt.exe

Mit dem Befehl

con2prt /f

können alle Netzwerkdrucker gelöscht werden. Das ist sehr sinnvoll, wenn man verhindern möchte, das unnötige Drucker bei den Benutzern verbunden sind. Das tool stammt noch von Windows NT, funktioniert aber bis Windows 7, auch unter 64 Bit, problemlos.

Anzahl der Gruppen, in welcher ein Benutzer Mitglied ist

 Uncategorized, Windows 7, Windows Server 2003, Windows Server 2008, Windows XP  Comments Off on Anzahl der Gruppen, in welcher ein Benutzer Mitglied ist
Aug 092012
 

Da Windows für Benutzer nur eine begrenzte Anzahl von Gruppenmitgliedschaften unterstütz, ist der nachfolgende Beitrag sehr interessant:

http://www.msxfaq.de/code/tokengroup.htm

Das Problem der beschränkten Gruppenmitgliedschaften ist auf die größe des Securitytokens zurück zu führen, welches nur einen begrenzten Speicherplatz zur Verfügung hat.

Windows 7 Druckermeldung “vertrauen Sie diesem Drucker”

 Windows 7, Windows Server 2003, Windows Server 2008  Comments Off on Windows 7 Druckermeldung “vertrauen Sie diesem Drucker”
Jul 302012
 

Seit Windows 7 erscheint beim verbinden von Druckern über Loginskripte eventuell die Meldung “vertrauen Sie diesem Drucker”. Ursache ist hier die Point-and-Print Funktion, welche mit Windows Vista eingeführt wurde. Diese verbietet normalen Benutzern die Druckertreiberinstallation, auch wenn diese von internen Server heruntergeladen werden können. Es können hierfür Server definiert werden, von welchen die Treiber heruntergeladen werden dürfen. Dadurch kann ein Angriff über falsche Druckertreiber verhindert werden.

Diese kann mittels Gruppenrichtlinien deaktiviert werden. Folgende Richtlinie muss hierfür auf die Computerkonten angewendet werden:

Computerkonfiguration / Richtlinien / Administrative Vorlagen / Drucker

Dort die Richtlinie

Point-and-Print Einschränkungen

Diese Richtlinie aktivieren und in den Auswahllisten die Option

Warnung oder Anhebungsaufforderung nicht anzeigen

wählen.

Nach einem Neustart des Clients oder dem Ausführen von gpupdate /target:computer sowie Ab- und Anmelden sollte die Meldung nun nicht mehr erscheinen. Dadurch ist es nun auch nicht-Admins gestattet die Druckertreiber zu installieren (jedoch nur von Druckservern)

RemoteDesktop auf entferntem Server remote aktivieren

 Microsoft, Windows Server 2003, Windows Server 2008  Comments Off on RemoteDesktop auf entferntem Server remote aktivieren
Mar 132012
 

Sich selbst am eigenen Schopf aus dem Sumpf ziehen – vor einer ähnlichen Aufgaben stehen Administratoren, wenn sie zum ersten Mal eine Funktionalität auf einem Server einsetzen wollen. Ein Beispiel dazu lautet: Wie kann ich die Remote Desktops Services (RDS) auf einem entfernten Server über den Fernzugriff aktivieren?

Für die Aufgabe, RDS auf entferntem Server remote zu aktivieren, kann man den folgenden Weg beschreiten:

Zuerst muss sich der Systembetreuer das kostenlose Tool PsExec von Sysinternals besorgen, wenn er es nicht schon besitzt. Es ist in der Version 1.98 über die Sysinternals-Website bei Microsoft verfügbar. Anschließend ist dieses Programm von Mark Russinovich auf dem System zu installieren.

Danach muss der Administrator das folgende Kommando eingeben – und dabei beim Namen für das betreffende System den des entfernten Rechners eingeben. Damit wird dann ein Wert in der entsprechenden Registry gesetzt, mit dem sich RDS-Verbindungen aktivieren und deaktivieren lassen.

psexec \\remotemachine reg add "hklm\system\currentcontrolset\control\terminal server" /f /v fDenyTSConnections /t REG_DWORD /d 0

Im abschließenden Schritt gilt es danach noch die Firewall auf dem System so einzustellen, dass in den Exceptions der Firewall der Zugriff über RDS erlaubt ist. Dazu ist die folgende Befehlssequenz nötig:

psexec \\ remotemachine netsh firewall set service remoteadmin enable
psexec \\ remotemachine netsh firewall set service remotedesktop enable

Anschließend sollte der Remote-Zugriff auf das entfernte System gelingen.

Quelle: http://www.nt4admins.de/nc/news/newsdetails/article/rds-auf-entferntem-server-remote-aktivieren.html?tx_ttnews[backPid]=7&cHash=007c8d59280b87d952ed55db28d8e6b2

Outlook Express deinstallieren

 Windows Server 2003  Comments Off on Outlook Express deinstallieren
Jan 042012
 

Um auf einem Windows Server 2003 Outlook Express zu deinstallieren muss dieses wieder in den Windows Komponenten eingeblendet werden.

Dies kann über die Datei c:\windows\inf\sysoc.inf erfolgen.

Dort bei dem Eintrag

OEAccess=ocgen.dll,OcEntry,oeaccess.inf,hide,7

das hide entfernen. Danach wird Outlook Express beim Softwaredialog für die Windowskomponenten wieder angezeigt.

Windows Server 2003 uptime

 Windows Server 2003  Comments Off on Windows Server 2003 uptime
Aug 312011
 

Um die Uptime eines Windows Server 2003 herauszufinden ist folgende Vorgehensweise erforderlich:

  1. Start / Ausführen
  2. CMD eingeben und OK anklicken
  3. net statistics server eingeben und Enter drücken
  4. Die Zeile Statistik seit … zeigt den Zeitpunkt des letzten Betriebssystemstarts an.