Schlagwort-Archive: Server

Print Friendly

Windows – Lokale Anmeldung ohne Serververbindung unterbinden

22. Mai 2013

Wie kann man die lokale Anmeldung ohne Serververbindung unterbinden:

Wenn der Server nicht zu Verfügung steht, gibt Windows bei der Anmeldung eine entsprechende Meldung aus und versucht, die Anmeldung mit den lokalen Benutzerinformationen durchzuführen. Unter gewissen Umständen kann dieses Verhalten nicht gewünscht sein.

Es gibt zwei Möglichkeiten. um das zu verhindern:

  1. In der ersten Beschreibung wird eingestellt, dass beim Abmelden jeweils das lokale Benutzerprofil gelöscht werden soll. Dies hat aber den Nachteil, dass bei jedem Anmelden das ganze Profil über das Netzwerk neu geladen werden muss.
  2. Im zweiten Beispiel wird das Benutzerprofil nicht von der lokalen Festplatte gelöscht, so dass beim Anmelden nur die Änderungen am Profil übertragen werden müssen, welches den Anmeldevorgang bei langsamen Verbindungen erheblich beschleunigt. Hier wird lediglich durch einen extra Registry Schlüssel ein Anmelden ohne Server unterbunden.

Folgendes ist bei beiden Tipps zu beachten:

  1. Die User dürfen nicht als lokale User auf ihren Arbeitsstationen eingetragen sein.
  2. Im Benutzer-Manager für Domänen müssen unter Profile „User Profile Path“ die Pfade für serverbasierte Profile für die fraglichen User richtig gesetzt werden (\\Server\netlogon)

Tipp 1:

Unter „HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon““ erstellen Sie einen neuen Wert mit dem Namen „DeleteRoamingCache“ als Datentyp REG_DWORD. Setzen Sie den Wert auf 1.

Nun müssen noch evtl. lokal gespeicherte Benutzer-Profile der fraglichen Benutzer über
„START“ -> „Einstellungen“ -> „Systemsteuerung“ -> „System“ -> „User Profiles“ gelöscht werden.
Ist dies geschehen, können sich die Mitarbeiter ganz Normal einloggen, sofern eine Serververbindung aufgebaut wird. Bei Beendigung der ersten „Sitzung“ werden die benutzerspezifischen Daten an den Server übergeben und die Speicherung auf der Workstation gelöscht. Bei einer fehlenden Serververbindung sollte es den Benutzern nun nicht mehr möglich sein, sich mit der eigenen User ID lokal auf der Workstation anzumelden, da kein (gecachetes) Profil vorhanden ist.

Tipp 2:

Tragen Sie unter „HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ Current Version\ Winlogon“ einen neuen Wert mit dem Namen „CachedLogonsCount“ als Datentyp REG_SZ ein. Setzen Sie den Wert auf 0.

Unter „CachedLogonsCount“ können Sie angeben, wie viele Profile (von verschiedenen Accounts) für die Anmeldung ohne Netzwerk gespeichert werden sollen. Wenn Sie diesen Wert auf 0 setzen ,kann sich ein Anwender ohne Server nicht mehr anmelden.

Die mögliche Werte für CachedLogonsCount liegen zwischen 0 und 50.

Print Friendly

Server – Lokale Geräte und Ressourcen in einer Remotesitzung verwenden

6. Mai 2013

Betrifft: Windows Server 2008 R2

Remotedesktopdienste bieten Benutzern die Möglichkeit, in Remotesitzungen auf ihre lokalen Geräte und Ressourcen zuzugreifen. Benutzer können auf Ressourcen wie lokale Laufwerke, Drucker, die Zwischenablage und unterstützte Plug & Play-Geräte zugreifen. Dies wird in der Regel als Umleitung bezeichnet.

In Windows Server 2008 und Windows Server 2008 R2 wurde die Umleitung verbessert und erweitert. Es können nun auch tragbare Windows-Geräte (Windows Portable Devices, WPD) – insbesondere auf dem Media Transfer-Protokoll (MTP) basierende Medienprogramme sowie auf dem Picture Transfer-Protokoll (PTP) basierende Digitalkameras – umgeleitet werden.

Benutzer können unter Remotedesktopverbindung auf der Registerkarte Lokale Ressourcen angeben, welche Gerätetypen und Ressourcen sie an den Remotecomputer umleiten möchten.

Sie können angeben, welche lokalen Geräte und Ressourcen für Benutzer für Remotesitzungen verfügbar sind, indem Sie eine Verbindung auf dem Server mit dem Host für Remotedesktopsitzungen verwenden. Sie können die Umleitung für folgende Elemente aktivieren oder deaktivieren:

  • Laufwerke
  • Drucker
  • LPT-Anschluss
  • COM-Anschluss
  • Zwischenablage
  • Audio
  • Unterstützte Plug & Play-Geräte

So aktivieren oder deaktivieren Sie die Umleitung von lokalen Geräten und Ressourcen

Öffnen Sie auf dem Hostserver für Remotedesktopsitzungen die Konfiguration des Hosts für Remotedesktopsitzungen. Zum Öffnen der Konfiguration des Hosts für Remotedesktopsitzungen zeigen Sie im Startmenü auf Verwaltung, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Konfiguration des Remotedesktop-Sitzungshosts.

Klicken Sie unter Verbindungen mit der rechten Maustaste auf den Namen der Verbindung, und klicken Sie anschließend auf Eigenschaften.

Klicken Sie im Dialogfeld Eigenschaften der Verbindung auf die Registerkarte Clienteinstellungen.

Führen Sie unter Umleitung eine der folgenden Aktionen für eine der angegebenen Kategorien an lokalen Geräten oder Ressourcen aus:

  • Aktivieren Sie das Kontrollkästchen, um die Umleitung für diesen Typ eines lokalen Geräts oder einer Ressource zu deaktivieren.
  • Deaktivieren Sie das Kontrollkästchen, um die Umleitung für diesen Typ eines lokalen Geräts oder einer Ressource zu aktivieren.

Klicken Sie auf OK.

Sie können auch konfigurieren, welche lokalen Geräte und Ressourcen für Benutzer in ihren Remotesitzungen verfügbar sein sollen, indem Sie Gruppenrichtlinien anwenden.

Die folgende Liste enthält einige der für die Remotedesktopdienste spezifischen Gruppenrichtlinieneinstellungen, die sich auf die Umleitung von lokalen Geräten und Ressourcen beziehen.

Umleitung für Audio- und Videowiedergabe zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Zwischenablageumleitung nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Umleitung für COM-Anschluss nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Laufwerkumleitung nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Umleitung für LPT-Anschluss nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Umleitung für unterstützte Plug & Play-Geräte nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung

Clientdruckerumleitung nicht zulassen
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Druckerumleitung

Diese Gruppenrichtlinieneinstellungen können mit dem Editor für lokale Gruppenrichtlinien oder der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfiguriert werden.

Print Friendly

Server – DNS defekt (Zonen neu einrichten)

7. Dezember 2011

DNS defekt – Zonen muss neu eingerichtet werden:

Wenn der DNS defekt ist, hilft dies Anleitung zu 99% weiter:

  • Alle Einträge im DNS löchen (domäne.tld, _msdsc.domäne.tld, Reverselookupzone)
  • Neue Zone (primäre) domäne.tld erstellen (AD integriert)

– net stop dns
– net stop netlogon
– net start dns
– net start netlogon
– ipconfig /registerdns

  • Neue Zone _msdcs.domäne.tld anlegen
  • Event. noch die Zonenübertragung aktivieren (Kommunikation zu anderen DNS in der Domäne), sollte aber bereits aktiviert sein…

Erläuterung der Ordner unterhalb der Zone:

dc – DomänenController, Informationen wie der Client mit dem DC kommunizieren kann (Protokoll, Abfragearten, …)
domains – Die Domänen mit unterstützten Protokollen
gc – Globalkatalogserver in der Domäne</li>\n<li>pdc – Informationen zu den Zeitserver bei der Anmeldung z.B.

Eintragstypen:

Hosteintrag (A) – Hostname
Zeiger (PTR) – IP / Hostname
Autoritätssprung (SOA) – Version, wie alt sind die Daten im DNS
Diensteintrag (SRV)
Nameserver (NS)
Mail-Exancher (MX) – Mailserver im Netz
Alias (CNAME) – Alternativer Name für einen Client z.B.

Unter YouTube findet man ein Video von EX201 welches den Vorgang zeigt!

Print Friendly

Server – Verstärkte Sicherheitskonfiguration für den Internet Explorer ausschalten

5. Dezember 2011

Auf einem frisch installierten Windows Server ist standardmäßig die so genannte verstärkte Sicherheitskonfiguration für den Internet Explorer aktiviert. Sie drosselt die Funktionen des Browsers derart, dass er sich faktisch nicht mehr für die Darstellung von Websites aus der Sicherheitszone Internet eignet. Wenn man auf einem Server tatsächlich einen Browser benötigt, dann kann die verstärkte Sicherheitskonfiguration abschalten.

Bevor man die strengen Einstellungen deaktiviert, weil die ständigen Sicherheitswarnungen nerven, sollte man überlegen, ob man den Browser auf einem Server wirklich benötigt oder ob es nicht alternative Wege gibt, um beispielsweise Tools herunterzuladen und zu installieren.

IE_Seite_geblockt

Wenn man den IE aber nutzen will geht man sowieso automatisch nur noch auf „Schließen“, weil es nervt.
Besser ist es, für die Administratoren diese Funktion auszuschalten.
Diese Einstellung kann man im:
Server-Manager > Serverübersicht > Sicherheitsinformation > verstärkte Sicherheitskonfiguration für IE
konfigurieren.

Liste der Vertrauenswürden Websites erweitern:

Falls nur eine überschaubare Zahl an Websites angesteuert werden müssen, kann man diese in die Gruppe der vertrauenswürdigen Websites aufnehmen, wo sie von den strengen Restriktionen der verstärkte Sicherheitskonfiguration ausgenommen sind. Das heißt besonders, dass Scripts ausgeführt werden und dass man Dateien herunterladen darf.

Per Voreinstellung ist eine Reihe von Microsoft-Sites bereits in diese Liste eingetragen, so dass man etwa Windows Update ohne Einschränkungen besuchen kann. Das Hinzufügen weiterer Sites ist leider etwas umständlich, man muss dafür den Weg über

Internetoptionen => Sicherheit => vertrauenswürdige Sites => Sites

gehen und sie dort manuell eintragen. Dabei ist auch die Verwendung von Wildcards möglich, um etwa alle Subdomänen zuzulassen, also beispielsweise *.fischer-engstingen.de.

Abschalten über den Server Manager:

Wenn eine Ausnahme für einzelne Sites nicht reicht, dann lässt sich die verstärkte Sicherheitskonfiguration für den Internet Explorer unter Windows Server 2008 und 2012 über den Server Manager abschalten. In Windows Server 2008 (R2) findet sich der Befehl dafür unter der Server-Übersicht im Abschnitt Sicherheitsinformationen.

Server-Manager

Der Link Verstärkte Sicherheitskonfiguration für IE konfigurieren öffnet einen Dialog, in dem man die Drosselung des Browsers getrennt für Administratoren oder normale User abschalten kann. Im Normalfall wird man das nur für Admins tun, auf einem Terminal-Server dagegen möchten auch Standardbenutzer den Internet Explorer uneingeschränkt verwenden können.

IE_verstaerkte_Sicherheitskonfiguration

Bei Windows Server 2012 ist die Funktion zum Abschalten der verstärkten Sicherheitskonfiguration unter Lokaler Server => Eigenschaften => Verstärkte Sicherheitskonfiguration für IE.
Auch hier lässt sie sich getrennt für Administratoren und Benutzer abschalten.

Print Friendly

Server – Rückfrage bei Neustart deaktivieren

29. November 2011

Rückfrage Grund bei Neustart/Herunterfahren abschalten:

Bei Neustart oder Herunterfahren eines Windows Server Betriebssystems wird man standardmäßig mit der Frage nach dem Grund des Herunterfahren gefragt.

SRV_Herunterfahren_1

In großen Umgebungen mag dies vielleicht sinnvoll sein. Wer dies in seiner Umgebung allerdings nicht möchte, kann dieses Verhalten per Gruppenrichtlinie deaktivieren.

Gruppenrichtlinien für Domäne, lokale Gruppenrichtlinien: 

Es wird grundsätzlich zwischen domänenweiten Gruppenrichtlinien und lokalen Gruppenrichtlinien unterschieden. Lokale Gruppenrichtlinien werden auf dem lokalen Rechner definiert und angewendet. Wenn in einem Unternehmen mehrere Hundert Computer im Einsatz sind, wäre es ziemlich mühselig, alle Gruppenrichtlinien auf allen Computern zu aktualisieren. Zum Glück gibt es die Möglichkeit, Gruppenrichtlinien domänenweit anzuwenden. Man erstellt Gruppenrichtlinien für eine Domäne und alle Clients in der Domäne müssen sich daran halten.

Die Gruppenrichtlinien werden über den Gruppenrichtlinien-Objekteditor bearbeitet. Den Editor rufen Sie über gpedit.msc auf. Um die Gruppenrichtlinien für einen Domäne zu ändern, fügen Sie in Ihre MMC über die Microsoft Management Console das Snap-In Gruppenrichtlinienverwaltungs-Editor hinzu. Beim Einfügen des Snap-Ins müssen Sie noch angeben, welche Richtlinie bearbeitet werden soll.

Der Aufbau der Gruppenrichtlinien ist sowohl für lokale Computer als auch im Active Directory gleich. Die Einstellungen sind wie im Explorer angeordnet und unterteilen sich zwei Hauptkategorien. Computerkonfiguration und Benutzerkonfiguration. Beide Hauptkategorien verzweigen wiederum in weitere Unterkategorien. Bei den lokalen Gruppenrichtlinien in Softwareeinstellungen, Windows-Einstellungen und Administrative Vorlagen.

Lösung:

Geben Sie „gpedit.msc“ in die Suchleiste ein
gpedit

Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > “Ereignisprotokollierung für Herunterfahren anzeigen” auf deaktiviert setzen.

SRV_Herunterfahren_2

HINWEIS: Sollten Sie jemals diesen Vorgang rückgängig machen wollen, achten Sie bitte darauf, das diese Gruppenrichtlinie für die gesamte Domäne gilt. Wenn Sie also die Abfrage beim Herunterfahren (“Shutdown”) wieder für den Server aktivieren wollen, so klicken sie bitte bei „nicht konfiguriert“.

Sollten Sie bei „aktiviert“ klicken, dann ergänzen Sie ihre Angabe mit „Nur Server“, sonst werden alle Client-Computer im Netzwerk gezwungen bei jedem Herunterfahren eine Abfrage zu setzen.

Print Friendly

Server – Kennwortrichtlinien anpassen

29. November 2011

Kennwortkomplexität Windows Server ab 2008 R2 anpassen:

(für Domänen Benutzer)

1. Komplexitätseinstellungen ändern für Domänenbenutzer:

Unter Start => Verwaltung => Gruppenrichtlinienverwaltung => „DOMÄNENNAME“ => Default Domain Policy rechts Klick Bearbeiten => Computerconfiguration => Windows Einstellungen => Sicherheitseinstellungen => Kontorichtlinien => Kennwortrichtlinien => Das erste Feld ( Konto muss Kompläxitibilitätsvoraussetzungen entsprechen ) Deaktivieren !

Solltet man dennoch Probleme haben, muss man auch sicherstellen das die Kennwortrichtlinie „Minimal Kenwortlänge “ auch bearbeitet wird.

(für die Lokale Richtlinie) 

Unter Start => Lokalesicherheitsrichtlinie => Kontorichtlinie => Kennwortrichtlinie => Dort genau das gleiche einstellen

Wir empfehle allerdings die Kompläxitibilität bei Servern eingeschaltet zu lassen!