Jul 192015
 

A better fix

Just change your computer password using netdom.exe!

netdom.exe resetpwd /s:<server> /ud:<user> /pd:*

<server> = a domain controller in the joined domain

<user> = DOMAIN\User format with rights to change the computer password
Sep 202013
 

Clients in einem Windows Netzwerk nutzen als Zeitquelle Ihren Domänencontroller. Der erste Domänencontroller in einem Netzwerk erhält alle Betriebsmasterrollen, auch den PDC. Dieser dient in einem Netzwerk als zentraler Zeitserver, von dem alle weiteren Domänencontroller Ihre Zeit beziehen. Die Clients fragen dann immer den jeweiligen Domänencontroller ihres Standortes ab. Dadurch wird eine hierarische Struktur von Zeitservern aufgebaut. Jede Stufe erhöht den sogenannten Stratum Wert. Dieser Wert gibt an, auf welcher Ebene der Zeitserver steht. Die Atomuhr hat den Stratumwert 0. Der maximale Stratumwert ist 15.

In einem Netzwerk sollte der PDC eine externe Zeitquelle oder einen internen NTP Server abfragen, dieser sollte allerdings einen Stratumwert kleiner 11 erhalten. Dies ist aufgrund der Hierarchie innerhalb der Windows Domäne notwendig. Der PDC zählt diesen Wert bereits um 1 hoch und die weiteren Domänencontroller auf den nächsten Ebenen ebenso. Dadurch ist schnell der maximale Wert erreicht, wodurch die Clients keine Zeit mehr vom Domänencontroller erhalten können.

Mit dem Befehl

w32tm /query /source

kann kontrolliert werden von welcher Quelle der Client seine Zeit bezieht. Damit eine genaue Ausgabe erfolgt sollte der Befehl

w32tm /query /status

genutzt werden. Dieser gibt auch den zugehörigen Stratum Wert aus. Dieser sollte maximal 15 betragen. Als Referenz-ID sollte der Domänencontroller angegeben sein, an dem sich der Client anmeldet. Ist dies alles nicht der Fall, liegt ein Problem mit der Zeitsynchronisation vor. Dann sollte der Stratumwert auf den Domänencontrollern überprüft werden.

 

 

May 212013
 

Um unter Windows die Dienste in Abhängigkeit von anderen Diensten starten zu lassen ist eine Anpassung in der Registry notwendig. Alle Dienste werden in der Registry unter

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services

aufgeführt. In den Schlüsseln ist der Eintrag (REG_MULTI_SZ) DependOnService für die Abhängigkeiten verantwortlich. Erst wenn die dort aufgeführeten Dienste gestartet sind, startet auch der Dienst der gerade bearbeitet wird. Die Dienste sind mit dem entsprechenden Identifier in die Liste einzutragen. Für jede Dienstbezeichnung eine separate Zeile!!

 

Apr 242013
 

Problem:

Auf Fileservern sind Berechtigungen für Benutzer oder Gruppen vergeben worden. Diese wurden gelöscht und dadurch tauchen in den Sicherheitslisten der Dateien oder Ordner lange SID’s auf. Damit diese automatisiert entfernt werden können hat Helge Klein ein Tool entwickelt das diese arbeit erledigen kann:

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/

Die Befehlszeile für das entfernen der orphaned SID’s ist folgende:

setacl.exe -on c:\Ordner -ot file -actn delorphanedsids

Damit werden die verwaisten SID’s entfernt wodurch die Auflistung der Berechtigungslisten nicht mehr unnötig verzögert wird. Damit ein Netzwerkshare gescannt werden kann, ist statt file hinter -ot shr notwendig

Um eine Liste alle Ordner mit verwaisten SID’s zu erhalten kann folgende Befehlszeile verwendet werden:

setacl.exe -on c:\Ordner -ot file -rec cont -actn list -lst oo:y

Um eine CSV Datei zu erzeugen kann folgende Befehlszeile verwendet werden:

setacl.exe -on c:\Ordner -ot file -rec cont -actn list f:csv;oo:y > test.csv

Wichtig, die verwaisten (orphaned) Benutzer oder Gruppen dürfen nicht durch einen übergeordneten Ordner vererbt werden, diese können nicht gelöscht werden. Somit ist die Befehlszeile am besten am ersten Ordner in der Hierarchie auszuführen.

Dokumentation zu setacl

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/

Quelle: http://helgeklein.com

Dec 272012
 

Wie oft fragt man sich nach Jahren welchen Produkt-Key man bei der Installation für Office oder Windows verwendet hat. Bei Laptops oder PC’s, welche diese Komponenten bereits vorinstalliert hatten, ist meist auch gar kein Lizenzzertifikat dabei, auf welchem der Produkt-Key steht. Ein nützliches Tool, um den Produkt-Key auszulesen ist hier zu finden:

http://www.belarc.de/free_download.html

 

Möchte man dann das zugehörige Office herunterladen wird man hier fündig:

Office 2010

https://www7.downloadoffice2010.microsoft.com/row/registerkey.aspx?ref=pkc&culture=de-DE

Office 2007

http://www.microsoft.com/office/downloads/

 

Nov 132012
 

Auf der Suche, wie man die NTUSER.DAT bearbeiten kann, bin ich auf folgenden Link gestoßen:

http://www.robotronic.de/regeditPro.html

Die NTUSER.DAT dient als Speicherort für die Benutzereinstellungen der Registry. Oft wird diese dazu verwendet, bei Rechnern oder Servern ein Benutzerprofil vorzubereiten. Nach der Vorbereitung wird die NTUSER.DAT in das Profil des Default Users kopiert damit alle neuen Benutzer die gleichen Voreinstellungen haben. Die NTUSER.DAT gibt hierbei dann nur defaulteinstellungen vor. Benutzer können weiterhin Einstellungen verändert (sofern Sie dazu die Berechtigung bestitzen). Einstellungen, welche auch nicht von den Benutzer verändert werden solle, sollten mit Gruppenrichtlinien verteilt werden.

Nov 092012
 

Eine gute Übersicht über alle Berechtigungen und die damit verbundenen Zugriffsrechte gibt 8MAN. Es liest von den konfigurierten Server die Berechtigungen aus und speichert diese in eine SQL Datenbank. Berechtigungen können dann mit 8MAN vergeben werden, wodurch auch bei großen Organisationen Strukturen der Delegation geschaffen werden können. So können z.B. Abteilungsleiter selber Berechtigungen für Ihre Ordner vergeben.

Eine Eigenschaft gibt es hierbei allerdings für NETAPP Filer zu Berücksichtigen. 8MAN muss in der Standardkonfiguration die Freigaberechte auslesen können (Share Permissons). Dies ist bei NETAPP Filern meistens nicht gewünscht, wodurch der 8MAN Benutzer entweder sehr hohe Rechte benötigt oder die NETAPP angepasst werden muss. Diese beiden unschönen Möglichkeiten kann man jedoch umgehen, indem in der Konfiguration des 8MAN unter C:\ProgramData\protected-networks.com\8MAN\cfg in der Datei pnserver.config.xml folgenden Eintrag setzen:

<fileSystem>
<change>
  <checkShareRights type="System.Boolean">false</checkShareRights>
</change>
</fileSystem>

Dadurch werden die Freigabeberechtigungen nicht mehr geprüft, die DACL allerdings schon. Somit müssen auch keine Änderungen an der NetApp vorgenommen werden.

Alle Netzwerkdrucker mit Loginskript löschen

 Windows 7, Windows Server 2003, Windows Server 2008, Windows XP  Comments Off on Alle Netzwerkdrucker mit Loginskript löschen
Aug 092012
 

Ein interessantes Programm, welches das löschen und verbinden von Netzwerkdruckern erleichtern kann ist con2prt.exe.

http://www.gruppenrichtlinien.de/tools/con2prt.exe

Mit dem Befehl

con2prt /f

können alle Netzwerkdrucker gelöscht werden. Das ist sehr sinnvoll, wenn man verhindern möchte, das unnötige Drucker bei den Benutzern verbunden sind. Das tool stammt noch von Windows NT, funktioniert aber bis Windows 7, auch unter 64 Bit, problemlos.

Anzahl der Gruppen, in welcher ein Benutzer Mitglied ist

 Uncategorized, Windows 7, Windows Server 2003, Windows Server 2008, Windows XP  Comments Off on Anzahl der Gruppen, in welcher ein Benutzer Mitglied ist
Aug 092012
 

Da Windows für Benutzer nur eine begrenzte Anzahl von Gruppenmitgliedschaften unterstütz, ist der nachfolgende Beitrag sehr interessant:

http://www.msxfaq.de/code/tokengroup.htm

Das Problem der beschränkten Gruppenmitgliedschaften ist auf die größe des Securitytokens zurück zu führen, welches nur einen begrenzten Speicherplatz zur Verfügung hat.