In meiner Testumgebung sind gleich zwei Fehler aufgetreten, die durch die neuen Administrativen Templates hervorgerufen werden. Anscheinend haben die Entwicklerteam versäumt miteinander zu sprechen 😉
Nach der Installation der Administrativen Templates, erscheint beim Aufruf einer Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor, ein Fehler. Die Datei Microsoft-Windows-Geolocation-WLPAdm.admx verwendet den gleichen Namespace wie die alte Datei LocationProviderAdm.admx. Also einfach die alte Datei entfernen. (Danke an D. Zunkel)
Fehler 2: $(string.SUPPORTED_Vista_through_Win7)
Der folgende Fehler kann ebenfalls im Gruppenrichtlinienverwaltungs-Editor auftreten: Die in der Eigenschaft „$(string.SUPPORTED_Vista_through_Win7)“ aufgeführte Ressource displayName konnte nicht gefunden werden.
In der Datei PreviousVersions.admx wird auf einen String verwiesen (dient zur Übersetzung), den es aber in der Übersetzungsdatei gar nicht gibt. Um das Problem zu lösen, muss in der Datei PreviousVersions.adml im Unterverzeichnis „de-DE“ muss zwischen den Zeilen 56 und 57 folgende Zeile eingefügt werden:
<string id="SUPPORTED_Vista_through_Win7">Windows Vista durch Windows 7 unterstützt</string>
Die Remote Server Verwaltungstools sind am 19.08.2015 in englischer Sprache erschienen (Download: https://www.microsoft.com/en-us/download/details.aspx?id=45520. Die Installation erfordert aber das Englische Language Pack, sonst läuft die Installation zwar durch, es passiert aber nichts.
Language Pack installieren
Als erstes muss das Englische (United States) Language Pack installiert werden. Dies wird unter „Einstellungen“ getan:
Zeit und Sprache:
Region und Sprache -> Sprache hinzufügen
Englisch
Englisch (United States)
Nun ist das Englische Language Pack heruntergeladen und isntalliert. Danach kann die Installation des Updates durchgeführt werden.
Remote Server Administration Tools installieren (WindowsTH-KB2693643-x64)
Nun können die RSAT installiert werden. Die installation geschieht wie gewohnt bei Windows Updates und erfordert keine weitere manuelle Eingriffe.
Features hinzufügen
Die einzelnen Komponenten können nun über „Programme und Features“ installiert bzw. verwaltet werden:
Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natürlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.
Benutzerkontensteuerung deaktivieren
Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:
Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:
Im Detail müssen folgende Einstellungen getätigt werden:
Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert
Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: Deaktiviert
Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind: Deaktiviert
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen
Die Datenbank des WSUS-Servers sollte regelmäßig von nicht mehr benötigten Updates und Computern bereinigt werden. Diese Funktionen lassen sich beispielsweise aus der Windows Server Update Services MMC Konsole starten. Eine automatische regelmäßige Bereinigung lässt sich aber am besten über die Power Shell einrichten.
Power Shell – Invoke-WsusServerCleanup
Microsoft stellt und ein CMDlet für die WSUS-Server Bereinigung zur Verfügung:
Mit der Windows Server Aufgabeplanung kann man Aktionen nach einem Zeitplan ausführen lassen. In unserem Fall werden wir ein Power Shell Script wöchentlich automatisch ausführen lassen.
WSUS-Server Cleanup Script
Das eigentlich Script führt letztendlich nur das Power Shell CMDlet Invoke-WsusServerCleanup aus. Parallel dazu wird noch unter C:\WSUS\ eine Log-Datei angelegt und das Ergebnis des Aufrufes per E-Mail an die Administratoren gesendet. Das eigentlich Script wird in diesem Beispiel unter C:\WSUS\WSUS_Cleanup.ps1 gespeichert.
In der Aufgabenplanung kann man nun eine neue einfache Aufhaben anlegen.
Als nächstes muss der Zeitplan und die Aktion definiert werden:
Nun wird der eigentliche Power Shell Script Aufruf konfiguriert. Dabei wird die Power Shell gestartet (ich habe den vollständigen Pfad hinterlegt, weil es sonst manchmal zu Problemen kommen kann) und das eigentliche Script wird per Argument (Parameter) übergeben. Der Pfad zur Power Shell ist übrigens bei allen Versionen gleich. Power Shell Aufruf:
Da es bisher noch keine Remoteserver Verwaltungstools für Windows 10 RTM gibt, kann man zumindest gewisse Aufgaben mit der Power Shell machen. So kann man beispielsweise Befehle auf den Domain Controller ausführen oder auch weitere Server mit der lokalen Power Shell administrieren.
Power Shell – Verbindung zum Domain Controller herstellen
Zuerst muss eine PSSession zu einem Domain Controller aufgebaut werden. Falls der ausführende Benutzer kein Domänen-Administrator ist, muss mit „-Credential (Get-Credential)“ die Authentifizierung angefordert werden:
Wenn auf dem Domain Controller Power Shell 2.0 installiert ist, muss folgendes Befehl abgesetzt werden. Bei Power Shell 3.0 / 4.0 ist dies nicht mehr nötig.
Bei mir scheiterte der Befehl, da die Power Shell Excecution-Policy noch nicht konfiguriert war. Damit der Befehl verarbeitet werden kann, muss ein neues Power Shell Fenster als Administrator geöffnet werden, mit dem mann dann die Excecution-Policy konfigurieren kann, sonst erscheint folgender Fehler:
Power Shell Excecution-Policy auf RemoteSigned konfigurieren:
Set-ExecutionPolicy RemoteSigned
Nun kann der eben fehlerhafte Befel erfolgreich ausgeführt werden:
Nun kann man in der lokalen Power Shell sämtliche Active Directory CMDlets ausführen. Beispielsweise kann man Benutzer oder Computer anlegen, bearbeiten und löschen. Im Prinzip kann man sämtliche Konfigurationen (und noch viele mehr) mit der Power Shell erledigen, die man sonst mit der Active Directory Verwaltungskomsole per GUI vornimmt.
Natürlich kann man auch andere Windows Server auf diesem Weg lokal verwalten und Konfigurationen vornehmen.
Der Remote Power Shell Zugriff auf andere Computer / Server hat viele Vorteile. Man kann z.B. von einem Computer aus, alle anderen Computer / Server per Power Shell verwalten.
Remote Power Shell zugriff aktivieren
Der Power Shell Rempte Zugriff, die Windows Remote Verwaltung und die dazugehörigen Firewall-Richtlinien müssen konfiguriert werden.
Dienst Windows-Remoteverwaltung automatisch starten
Damit der Remote Power Shell Zugriff überhaupt funktionierne kann, muss der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ automatisch gestartet werden. Dieser kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Systemdienste“ konfiguriert werden.
Remoteshellzugriff zulasse
In der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteshell“ gibt es den Punkt „Remoteshellzugriff zulassen“. Dieser muss aktiviert werden.
Remoteverwaltung über WnRM zulassen
Nun muss in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteverwaltung -> WinRM-Dienst“ der Punkt „Remoteverwaltung über WnRM zulassen“ konfiguriert werden. Hier können einzelne IPV4 oder IPV6 Adressen berechtigt werden. Alternativ kann man mit einem „*“ alle IP-Adressen zulassen.
Hier kann man jetzt z.B. noch HTTP / HTTPS aktivieren oder verschiedene Authentifizierungsmethoden konfigurieren. Dies ist aber keine Voraussetzung.
Windows Firewall
Abschließend muss nur noch die Windows Firewall dahingehend geöffnet werden. Hier gibt es aber schone ine Vorgefertige Richtlinie, dir nur noch aktiviert werden muss. Diese kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiteter Sicherheit -> Windows-Firewall mit erweiteter Sicherheit“ aktiviert werden. Es muss dafür Ein- und Ausgehende Regeln geben. Die Richtilinie die aktivert werden muss heißt „Windows-Remoteverwaltung“.
