Windows 10 Gruppenrichtlinien – Fehlermeldungen nach Installation

In meiner Testumgebung sind gleich zwei Fehler aufgetreten, die durch die neuen Administrativen Templates hervorgerufen werden. Anscheinend haben die Entwicklerteam versĂ€umt miteinander zu sprechen 😉

Fehler 1: Microsoft-Windows-Geolocation-WLPAdm.admx

Nach der Installation der Administrativen Templates, erscheint beim Aufruf einer Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor, ein Fehler. Die Datei Microsoft-Windows-Geolocation-WLPAdm.admx verwendet den gleichen Namespace wie die alte Datei LocationProviderAdm.admx. Also einfach die alte Datei entfernen. (Danke an D. Zunkel)

Fehler 2: $(string.SUPPORTED_Vista_through_Win7)

Der folgende Fehler kann ebenfalls im Gruppenrichtlinienverwaltungs-Editor auftreten: Die in der Eigenschaft „$(string.SUPPORTED_Vista_through_Win7)“ aufgefĂŒhrte Ressource displayName konnte nicht gefunden werden.

In der Datei PreviousVersions.admx wird auf einen String verwiesen (dient zur Übersetzung), den es aber in der Übersetzungsdatei gar nicht gibt. Um das Problem zu lösen, muss in der Datei PreviousVersions.adml im Unterverzeichnis „de-DE“ muss zwischen den Zeilen 56 und 57 folgende Zeile eingefĂŒgt werden:

<string id="SUPPORTED_Vista_through_Win7">Windows Vista durch Windows 7 unterstĂŒtzt</string>
von Manuel M. 24. August 2015 @ 23:49

Windows 10 – Remote Server Verwaltungstools installieren

Die Remote Server Verwaltungstools sind am 19.08.2015 in englischer Sprache erschienen (Download: https://www.microsoft.com/en-us/download/details.aspx?id=45520. Die Installation erfordert aber das Englische Language Pack, sonst lÀuft die Installation zwar durch, es passiert aber nichts.

Language Pack installieren

Als erstes muss das Englische (United States) Language Pack installiert werden. Dies wird unter „Einstellungen“ getan:

Windows 10 LP 1

Zeit und Sprache:

Windows 10 LP 2

Region und Sprache -> Sprache hinzufĂŒgen

Windows 10 LP 3

Englisch

Windows 10 LP 4

Englisch (United States)

Windows 10 LP 5

Nun ist das Englische Language Pack heruntergeladen und isntalliert. Danach kann die Installation des Updates durchgefĂŒhrt werden.

Remote Server Administration Tools installieren (WindowsTH-KB2693643-x64)

Nun können die RSAT installiert werden. Die installation geschieht wie gewohnt bei Windows Updates und erfordert keine weitere manuelle Eingriffe.

Features hinzufĂŒgen

Die einzelnen Komponenten können nun ĂŒber „Programme und Features“ installiert bzw. verwaltet werden:

Windows 10 RSAT 1

Windows Komponenten verwalten

Windows 10 RSAT 2

Jetzt können die Komponenten verwaltet werden

Windows 10 RSAT 3

Fertig

Windows 10 RSAT 4

von Manuel M. 24. August 2015 @ 22:01

Benutzerkontensteuerung per Gruppenrichtlinie deaktiveren

Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natĂŒrlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.

Benutzerkontensteuerung deaktivieren

Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:

Benutzerkontensteuerung per GPO deaktivieren 1

Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:

Benutzerkontensteuerung per GPO deaktivieren 2

Im Detail mĂŒssen folgende Einstellungen getĂ€tigt werden:

  • Benutzerkontensteuerung: Administratorgenehmigungsmodus fĂŒr das integrierte Administratorkonto: Deaktiviert
  • Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausfĂŒhren: Deaktiviert
  • Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
  • Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
  • Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
  • Benutzerkontensteuerung: Erhöhte Rechte nur fĂŒr UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
  • Benutzerkontensteuerung: Nur ausfĂŒhrbare Dateien heraufstufen, die signiert und ĂŒberprĂŒft sind: Deaktiviert
  • Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fĂŒr erhöhte Rechte fĂŒr Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung fĂŒr erhöhte Rechte fĂŒr Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen
von Manuel M. 24. August 2015 @ 18:43

Windows Server 2012 – WSUS Server Cleanup

Die Datenbank des WSUS-Servers sollte regelmĂ€ĂŸig von nicht mehr benötigten Updates und Computern bereinigt werden. Diese Funktionen lassen sich beispielsweise aus der Windows Server Update Services MMC Konsole starten. Eine automatische regelmĂ€ĂŸige Bereinigung lĂ€sst sich aber am besten ĂŒber die Power Shell einrichten.

Power Shell – Invoke-WsusServerCleanup

Microsoft stellt und ein CMDlet fĂŒr die WSUS-Server Bereinigung zur VerfĂŒgung:

Invoke-WsusServerCleanup [-CleanupObsoleteComputers] [-CleanupObsoleteUpdates] [-CleanupUnneededContentFiles] [-CompressUpdates] [-DeclineExpiredUpdates] [-DeclineSupersededUpdates] [-InformationAction <System.Management.Automation.ActionPreference> {SilentlyContinue | Stop | Continue | Inquire | Ignore | Suspend} ] [-InformationVariable <System.String> ] [-UpdateServer <IUpdateServer> ] [-Confirm] [-WhatIf] [ <CommonParameters>]

Parameter

  • -CleanupObsoleteComputers: Computer bereinigen
  • -CleanupObsoleteUpdates: Nicht mehr benötigte Updates bereinigen
  • -CleanupUnneededContentFiles: Nicht benötigte Dateien bereinigen
  • -CompressUpdates: Nicht mehr benötigte Revisionen der Updates bereinigen
  • -DeclineExpiredUpdates: Abgelaufende Updates bereinigen
  • -DeclineSupersededUpdate: Ersatzte Update bereinigen

WSUS-Server bereinigen

Der folgende Power Shell Befehl kombiniert sÀmtliche Bereinigungsmöglichkeiten:

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Windows Server 2012 - WSUS Server Cleaup 1

RegelmĂ€ĂŸige WSUS Bereinigung

Mit der Windows Server Aufgabeplanung kann man Aktionen nach einem Zeitplan ausfĂŒhren lassen. In unserem Fall werden wir ein Power Shell Script wöchentlich automatisch ausfĂŒhren lassen.

WSUS-Server Cleanup Script

Das eigentlich Script fĂŒhrt letztendlich nur das Power Shell CMDlet Invoke-WsusServerCleanup aus. Parallel dazu wird noch unter C:\WSUS\ eine Log-Datei angelegt und das Ergebnis des Aufrufes per E-Mail an die Administratoren gesendet. Das eigentlich Script wird in diesem Beispiel unter C:\WSUS\WSUS_Cleanup.ps1 gespeichert.

$AktuellesDatum = Get-Date -format ddMMyyyy-HH-mm
$Log = "C:\WSUS-$AktuellesDatum.log"

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates | Out-File $Log

$SMTPServer = "192.168.100.16"
$Absender = "m.m@valentin-berlin.local"
$Empfaenger = "m.m@valentin-berlin.local"
$Betreff = "$AktuellesDatum - WSUS Cleanup Script"
$ContentLog = Get-Content $Log | Out-String
Send-MailMessage -SmtpServer $SMTPServer -From $Absender -To $Empfaenger -subject $Betreff -body $ContentLog -Encoding Unicode

Aufgaben hinzufĂŒgen

In der Aufgabenplanung kann man nun eine neue einfache Aufhaben anlegen.

Windows Server 2012 - WSUS Server Cleaup 2

Als nÀchstes muss der Zeitplan und die Aktion definiert werden:

Nun wird der eigentliche Power Shell Script Aufruf konfiguriert. Dabei wird die Power Shell gestartet (ich habe den vollstĂ€ndigen Pfad hinterlegt, weil es sonst manchmal zu Problemen kommen kann) und das eigentliche Script wird per Argument (Parameter) ĂŒbergeben. Der Pfad zur Power Shell ist ĂŒbrigens bei allen Versionen gleich.
Power Shell Aufruf:

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe

Power Shell Arugemente (Parameter):

-noninteractive -command "&{C:\WSUS\WSUS_Cleanup.ps1}"

Windows Server 2012 - WSUS Server Cleaup 6

Status E-Mail

Bei jedem Durchlauf wird eine E-Mail mit dem Status verschickt. Das Ganze kann dann folgerdermaßen aussehen:

Windows Server 2012 - WSUS Server Cleaup 8

von Manuel M. 10. August 2015 @ 19:06

Windows 10 – Remote Power Shell Zugriff auf Domain Controller (Remoteserver Verwaltungstools Ersatz)

Da es bisher noch keine Remoteserver Verwaltungstools fĂŒr Windows 10 RTM gibt, kann man zumindest gewisse Aufgaben mit der Power Shell machen. So kann man beispielsweise Befehle auf den Domain Controller ausfĂŒhren oder auch weitere Server mit der lokalen Power Shell administrieren.

Interessante BeitrÀge zu dem Thema

Power Shell – Verbindung zum Domain Controller herstellen

Zuerst muss eine PSSession zu einem Domain Controller aufgebaut werden. Falls der ausfĂŒhrende Benutzer kein DomĂ€nen-Administrator ist, muss mit „-Credential (Get-Credential)“ die Authentifizierung angefordert werden:

$session = New-PSSession -ComputerName vmhost -Credential (Get-Credential)

Windows 10 Powershell RSAT 1

Wenn auf dem Domain Controller Power Shell 2.0 installiert ist, muss folgendes Befehl abgesetzt werden. Bei Power Shell 3.0 / 4.0 ist dies nicht mehr nötig.

Invoke-Command -Session $session {Import-Module -Name ActiveDirectory}

Windows 10 Powershell RSAT 2

Nun kann die PSSession importiert und das AD Modul geladen:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 3

Bei mir scheiterte der Befehl, da die Power Shell Excecution-Policy noch nicht konfiguriert war. Damit der Befehl verarbeitet werden kann, muss ein neues Power Shell Fenster als Administrator geöffnet werden, mit dem mann dann die Excecution-Policy konfigurieren kann, sonst erscheint folgender Fehler:

Windows 10 Powershell RSAT 4

Power Shell Excecution-Policy auf RemoteSigned konfigurieren:

Set-ExecutionPolicy RemoteSigned

Windows 10 Powershell RSAT 5

Nun kann der eben fehlerhafte Befel erfolgreich ausgefĂŒhrt werden:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 6

Ergebnis

Nun kann man in der lokalen Power Shell sĂ€mtliche Active Directory CMDlets ausfĂŒhren. Beispielsweise kann man Benutzer oder Computer anlegen, bearbeiten und löschen. Im Prinzip kann man sĂ€mtliche Konfigurationen (und noch viele mehr) mit der Power Shell erledigen, die man sonst mit der Active Directory Verwaltungskomsole per GUI vornimmt.

Windows 10 Powershell RSAT 7

NatĂŒrlich kann man auch andere Windows Server auf diesem Weg lokal verwalten und Konfigurationen vornehmen.

von Manuel M. 6. August 2015 @ 07:45

Windows Server 2012 – Remote Power Shell Zugriff per Gruppenrichtlinie aktivieren

Der Remote Power Shell Zugriff auf andere Computer / Server hat viele Vorteile. Man kann z.B. von einem Computer aus, alle anderen Computer / Server per Power Shell verwalten.

Remote Power Shell zugriff aktivieren

Der Power Shell Rempte Zugriff, die Windows Remote Verwaltung und die dazugehörigen Firewall-Richtlinien mĂŒssen konfiguriert werden.

Dienst Windows-Remoteverwaltung automatisch starten

Damit der Remote Power Shell Zugriff ĂŒberhaupt funktionierne kann, muss der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ automatisch gestartet werden. Dieser kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Systemdienste“ konfiguriert werden.

Remoteshellzugriff zulasse

In der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteshell“ gibt es den Punkt „Remoteshellzugriff zulassen“. Dieser muss aktiviert werden.

Remoteverwaltung ĂŒber WnRM zulassen

Nun muss in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteverwaltung -> WinRM-Dienst“ der Punkt „Remoteverwaltung ĂŒber WnRM zulassen“ konfiguriert werden. Hier können einzelne IPV4 oder IPV6 Adressen berechtigt werden. Alternativ kann man mit einem „*“ alle IP-Adressen zulassen.

Hier kann man jetzt z.B. noch HTTP / HTTPS aktivieren oder verschiedene Authentifizierungsmethoden konfigurieren. Dies ist aber keine Voraussetzung.

Windows Firewall

Abschließend muss nur noch die Windows Firewall dahingehend geöffnet werden. Hier gibt es aber schone ine Vorgefertige Richtlinie, dir nur noch aktiviert werden muss. Diese kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiteter Sicherheit -> Windows-Firewall mit erweiteter Sicherheit“ aktiviert werden. Es muss dafĂŒr Ein- und Ausgehende Regeln geben. Die Richtilinie die aktivert werden muss heißt „Windows-Remoteverwaltung“.

von Manuel M. 5. August 2015 @ 18:12
  • RSS
  • manuel m. on E-Mail
  • manuel m. on Faceboo
  • manuel m. on Google+