Windows 10 Gruppenrichtlinien – Fehlermeldungen nach Installation

In meiner Testumgebung sind gleich zwei Fehler aufgetreten, die durch die neuen Administrativen Templates hervorgerufen werden. Anscheinend haben die Entwicklerteam versäumt miteinander zu sprechen 😉

Fehler 1: Microsoft-Windows-Geolocation-WLPAdm.admx

Nach der Installation der Administrativen Templates, erscheint beim Aufruf einer Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor, ein Fehler. Die Datei Microsoft-Windows-Geolocation-WLPAdm.admx verwendet den gleichen Namespace wie die alte Datei LocationProviderAdm.admx. Also einfach die alte Datei entfernen. (Danke an D. Zunkel)

Fehler 2: $(string.SUPPORTED_Vista_through_Win7)

Der folgende Fehler kann ebenfalls im Gruppenrichtlinienverwaltungs-Editor auftreten: Die in der Eigenschaft „$(string.SUPPORTED_Vista_through_Win7)“ aufgeführte Ressource displayName konnte nicht gefunden werden.

In der Datei PreviousVersions.admx wird auf einen String verwiesen (dient zur Übersetzung), den es aber in der Übersetzungsdatei gar nicht gibt. Um das Problem zu lösen, muss in der Datei PreviousVersions.adml im Unterverzeichnis „de-DE“ muss zwischen den Zeilen 56 und 57 folgende Zeile eingefügt werden:

<string id="SUPPORTED_Vista_through_Win7">Windows Vista durch Windows 7 unterstützt</string>

Windows 10 – Remote Server Verwaltungstools installieren

Die Remote Server Verwaltungstools sind am 19.08.2015 in englischer Sprache erschienen (Download: https://www.microsoft.com/en-us/download/details.aspx?id=45520. Die Installation erfordert aber das Englische Language Pack, sonst läuft die Installation zwar durch, es passiert aber nichts.

Language Pack installieren

Als erstes muss das Englische (United States) Language Pack installiert werden. Dies wird unter „Einstellungen“ getan:

Windows 10 LP 1

Zeit und Sprache:

Windows 10 LP 2

Region und Sprache -> Sprache hinzufügen

Windows 10 LP 3

Englisch

Windows 10 LP 4

Englisch (United States)

Windows 10 LP 5

Nun ist das Englische Language Pack heruntergeladen und isntalliert. Danach kann die Installation des Updates durchgeführt werden.

Remote Server Administration Tools installieren (WindowsTH-KB2693643-x64)

Nun können die RSAT installiert werden. Die installation geschieht wie gewohnt bei Windows Updates und erfordert keine weitere manuelle Eingriffe.

Features hinzufügen

Die einzelnen Komponenten können nun über „Programme und Features“ installiert bzw. verwaltet werden:

Windows 10 RSAT 1

Windows Komponenten verwalten

Windows 10 RSAT 2

Jetzt können die Komponenten verwaltet werden

Windows 10 RSAT 3

Fertig

Windows 10 RSAT 4

Benutzerkontensteuerung per Gruppenrichtlinie deaktiveren

Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natürlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.

Benutzerkontensteuerung deaktivieren

Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:

Benutzerkontensteuerung per GPO deaktivieren 1

Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:

Benutzerkontensteuerung per GPO deaktivieren 2

Im Detail müssen folgende Einstellungen getätigt werden:

  • Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert
  • Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: Deaktiviert
  • Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
  • Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
  • Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
  • Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
  • Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind: Deaktiviert
  • Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen

Windows Server 2012 – WSUS Server Cleanup

Die Datenbank des WSUS-Servers sollte regelmäßig von nicht mehr benötigten Updates und Computern bereinigt werden. Diese Funktionen lassen sich beispielsweise aus der Windows Server Update Services MMC Konsole starten. Eine automatische regelmäßige Bereinigung lässt sich aber am besten über die Power Shell einrichten.

Power Shell – Invoke-WsusServerCleanup

Microsoft stellt und ein CMDlet für die WSUS-Server Bereinigung zur Verfügung:

Invoke-WsusServerCleanup [-CleanupObsoleteComputers] [-CleanupObsoleteUpdates] [-CleanupUnneededContentFiles] [-CompressUpdates] [-DeclineExpiredUpdates] [-DeclineSupersededUpdates] [-InformationAction <System.Management.Automation.ActionPreference> {SilentlyContinue | Stop | Continue | Inquire | Ignore | Suspend} ] [-InformationVariable <System.String> ] [-UpdateServer <IUpdateServer> ] [-Confirm] [-WhatIf] [ <CommonParameters>]

Parameter

  • -CleanupObsoleteComputers: Computer bereinigen
  • -CleanupObsoleteUpdates: Nicht mehr benötigte Updates bereinigen
  • -CleanupUnneededContentFiles: Nicht benötigte Dateien bereinigen
  • -CompressUpdates: Nicht mehr benötigte Revisionen der Updates bereinigen
  • -DeclineExpiredUpdates: Abgelaufende Updates bereinigen
  • -DeclineSupersededUpdate: Ersatzte Update bereinigen

WSUS-Server bereinigen

Der folgende Power Shell Befehl kombiniert sämtliche Bereinigungsmöglichkeiten:

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Windows Server 2012 - WSUS Server Cleaup 1

Regelmäßige WSUS Bereinigung

Mit der Windows Server Aufgabeplanung kann man Aktionen nach einem Zeitplan ausführen lassen. In unserem Fall werden wir ein Power Shell Script wöchentlich automatisch ausführen lassen.

WSUS-Server Cleanup Script

Das eigentlich Script führt letztendlich nur das Power Shell CMDlet Invoke-WsusServerCleanup aus. Parallel dazu wird noch unter C:\WSUS\ eine Log-Datei angelegt und das Ergebnis des Aufrufes per E-Mail an die Administratoren gesendet. Das eigentlich Script wird in diesem Beispiel unter C:\WSUS\WSUS_Cleanup.ps1 gespeichert.

$AktuellesDatum = Get-Date -format ddMMyyyy-HH-mm
$Log = "C:\WSUS-$AktuellesDatum.log"

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates | Out-File $Log

$SMTPServer = "192.168.100.16"
$Absender = "m.m@valentin-berlin.local"
$Empfaenger = "m.m@valentin-berlin.local"
$Betreff = "$AktuellesDatum - WSUS Cleanup Script"
$ContentLog = Get-Content $Log | Out-String
Send-MailMessage -SmtpServer $SMTPServer -From $Absender -To $Empfaenger -subject $Betreff -body $ContentLog -Encoding Unicode

Aufgaben hinzufügen

In der Aufgabenplanung kann man nun eine neue einfache Aufhaben anlegen.

Windows Server 2012 - WSUS Server Cleaup 2

Als nächstes muss der Zeitplan und die Aktion definiert werden:

Nun wird der eigentliche Power Shell Script Aufruf konfiguriert. Dabei wird die Power Shell gestartet (ich habe den vollständigen Pfad hinterlegt, weil es sonst manchmal zu Problemen kommen kann) und das eigentliche Script wird per Argument (Parameter) übergeben. Der Pfad zur Power Shell ist übrigens bei allen Versionen gleich.
Power Shell Aufruf:

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe

Power Shell Arugemente (Parameter):

-noninteractive -command "&{C:\WSUS\WSUS_Cleanup.ps1}"

Windows Server 2012 - WSUS Server Cleaup 6

Status E-Mail

Bei jedem Durchlauf wird eine E-Mail mit dem Status verschickt. Das Ganze kann dann folgerdermaßen aussehen:

Windows Server 2012 - WSUS Server Cleaup 8

Windows 10 – Remote Power Shell Zugriff auf Domain Controller (Remoteserver Verwaltungstools Ersatz)

Da es bisher noch keine Remoteserver Verwaltungstools für Windows 10 RTM gibt, kann man zumindest gewisse Aufgaben mit der Power Shell machen. So kann man beispielsweise Befehle auf den Domain Controller ausführen oder auch weitere Server mit der lokalen Power Shell administrieren.

Interessante Beiträge zu dem Thema

Power Shell – Verbindung zum Domain Controller herstellen

Zuerst muss eine PSSession zu einem Domain Controller aufgebaut werden. Falls der ausführende Benutzer kein Domänen-Administrator ist, muss mit „-Credential (Get-Credential)“ die Authentifizierung angefordert werden:

$session = New-PSSession -ComputerName vmhost -Credential (Get-Credential)

Windows 10 Powershell RSAT 1

Wenn auf dem Domain Controller Power Shell 2.0 installiert ist, muss folgendes Befehl abgesetzt werden. Bei Power Shell 3.0 / 4.0 ist dies nicht mehr nötig.

Invoke-Command -Session $session {Import-Module -Name ActiveDirectory}

Windows 10 Powershell RSAT 2

Nun kann die PSSession importiert und das AD Modul geladen:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 3

Bei mir scheiterte der Befehl, da die Power Shell Excecution-Policy noch nicht konfiguriert war. Damit der Befehl verarbeitet werden kann, muss ein neues Power Shell Fenster als Administrator geöffnet werden, mit dem mann dann die Excecution-Policy konfigurieren kann, sonst erscheint folgender Fehler:

Windows 10 Powershell RSAT 4

Power Shell Excecution-Policy auf RemoteSigned konfigurieren:

Set-ExecutionPolicy RemoteSigned

Windows 10 Powershell RSAT 5

Nun kann der eben fehlerhafte Befel erfolgreich ausgeführt werden:

Import-PSSession -Session $session -Module ActiveDirectory

Windows 10 Powershell RSAT 6

Ergebnis

Nun kann man in der lokalen Power Shell sämtliche Active Directory CMDlets ausführen. Beispielsweise kann man Benutzer oder Computer anlegen, bearbeiten und löschen. Im Prinzip kann man sämtliche Konfigurationen (und noch viele mehr) mit der Power Shell erledigen, die man sonst mit der Active Directory Verwaltungskomsole per GUI vornimmt.

Windows 10 Powershell RSAT 7

Natürlich kann man auch andere Windows Server auf diesem Weg lokal verwalten und Konfigurationen vornehmen.

Windows Server 2012 – Remote Power Shell Zugriff per Gruppenrichtlinie aktivieren

Der Remote Power Shell Zugriff auf andere Computer / Server hat viele Vorteile. Man kann z.B. von einem Computer aus, alle anderen Computer / Server per Power Shell verwalten.

Remote Power Shell zugriff aktivieren

Der Power Shell Rempte Zugriff, die Windows Remote Verwaltung und die dazugehörigen Firewall-Richtlinien müssen konfiguriert werden.

Dienst Windows-Remoteverwaltung automatisch starten

Damit der Remote Power Shell Zugriff überhaupt funktionierne kann, muss der Dienst „Windows-Remoteverwaltung (WS-Verwaltung)“ automatisch gestartet werden. Dieser kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Systemdienste“ konfiguriert werden.

Remoteshellzugriff zulasse

In der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteshell“ gibt es den Punkt „Remoteshellzugriff zulassen“. Dieser muss aktiviert werden.

Remoteverwaltung über WnRM zulassen

Nun muss in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Remoteverwaltung -> WinRM-Dienst“ der Punkt „Remoteverwaltung über WnRM zulassen“ konfiguriert werden. Hier können einzelne IPV4 oder IPV6 Adressen berechtigt werden. Alternativ kann man mit einem „*“ alle IP-Adressen zulassen.

Hier kann man jetzt z.B. noch HTTP / HTTPS aktivieren oder verschiedene Authentifizierungsmethoden konfigurieren. Dies ist aber keine Voraussetzung.

Windows Firewall

Abschließend muss nur noch die Windows Firewall dahingehend geöffnet werden. Hier gibt es aber schone ine Vorgefertige Richtlinie, dir nur noch aktiviert werden muss. Diese kann in der Gruppenrichtlinien Verwaltungskonsole unter „Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiteter Sicherheit -> Windows-Firewall mit erweiteter Sicherheit“ aktiviert werden. Es muss dafür Ein- und Ausgehende Regeln geben. Die Richtilinie die aktivert werden muss heißt „Windows-Remoteverwaltung“.