Office 365 Pro Plus oder Business mit Hilfe der configuration.xml anpassen

Mit Office 365 bietet Microsoft eine Vielzahl von Diensten, Apps und Anwendungen an. An vielen Stellen geht Microsoft aber davon aus, dass der Endbenutzer sich die einzelnen Dienste auch selbst auf dem PC oder Smartphone installiert und konfiguriert. So zum Beispiel auch beim Office Paket. Im Unternehmen sehen das die Administratoren aber anders. An dieser Stelle sollten die Benutzer noch nicht einmal die Rechte haben eigenständig Software zu installieren. Administratoren müssen demnach auch weiterhin Software konfigurieren und verteilen. Weiterlesen

Internet Explorer – Sicherheitszonen via Gruppenrichtlinie und Registry Keys

Selbst wenn Microsoft mittlerweile den EDGE Browser etablieren möchte so ist insbesondere im Unternehmensnetzwerk der Internet Explorer durch seine starke Integration in das Betriebssystem unabdinglich. Weiterhin setzt auch Microsoft bei seinen Anwendungen immer mehr auf webbasierte Oberflächen welche SSO (Single Sign-on) Funktionalitäten benötigen. Das beste Beispiel dazu ist zum Beispiel Office 365 oder aber auch Skype for Business oder SharePoint. Dabei wird das durchreichen von Anmeldeinformationen in eine Browsersitzung unter anderem durch die Sicherheitszonen im Internet Explorer geregelt. Auch die Ausführung von benötigten Skripten ist standardmäßig durch die Zonen reglementiert. Weiterlesen

Mal wieder… Vertrauensstellung zur Domäne verloren

Auch dieses Problem gehört zum Alltag eines Microsoft Admin. Der Benutzer ruft an und kann sich nicht anmelden. Das System meldet sich mit der Fehlermeldung „Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden“. Ursachen hierfür gibt es leider viele. Manchmal hat das System die Domäne zu lange nicht gesehen, Kerberos oder Zeitprobleme sind ebenfalls nicht selten. Aber auch eine defekte Netzwerkkarte hat in meiner Praxis schon einmal zu diesem Phänomen geführt. Weiterlesen

Windows Domäne – Neue Clients bei Domänenbeitritt automatisch in eine OU verschieben

Wer neue Clients und Server in die Windows Domäne aufnimmt kennt das Problem. Standardmäßig landen diese Systeme im Active Directory nicht in einer Organisationseinheit (OU) sondern im Standard-Container „Computers“. Anschließend verschiebt der Administrator den Client in die vorgesehene OU. Leider lassen sich aber Gruppenrichtlinien nicht mit Containern sondern ausschließlich auf OUs, Domänen oder AD-Standorten verknüpfen. Dabei vergisst der eine oder andere Admin gerne das System zu verschieben und erforderliche Gruppenrichtlinien greifen nicht.

Weiterlesen

Windows Client oder Server vom USB Stick installieren

Nur ein kleiner Beitrag zur Erstellung eines USB Sticks für ein Boot von USB zur Installation von Windows ab Version Windows Vista bis zum aktuellen Windows 10. Auch Server lassen sich, solange die Hardware das Starten von USB unterstützt mit einem USB Stick betanken. Da ich immer auf vielen verschiedenen Systemen unterwegs bin müssen Bordmittel herhalten. Die sind halt immer zur Hand :-). Wer eine UEFI Installation anstrebt sollte aber vorsichtig sein. Nicht alle Systeme unterstützen einen UEFI Boot von USB und somit ist auch keine UEFI Installation möglich. Weiterlesen

Windows 10 und Windows Server 2016 – Mal etwas rumgedockert

Mit Windows 10 ab Version 1607 und Windows Server 2016 wurden eine Menge neue Features in die Betriebssysteme gebracht. Zeit mal wieder etwas zu basteln und gleich mal drei dieser Funktionen zu testen. Hierbei handelt es sich um Nested Virtualization, PowerShell Direct und Container bzw. Docker. Weiterlesen

Windows Server 2016 und Windows 10 – virtuelles NAT Switch

Mit Windows Server 2016 und Windows 10 in der Version 1511 wurde endlich eine Möglichkeit implementiert virtuelle Hyper-V Switche NAT fähig zu machen. Über Sinn und Unsinn in einer produktiven Umgebung kann man sich streiten. Für Test-Szenarien am Windows 10 Client aber auch für Testumgebungen im eignen Windows Rechenzentrum können sie dennoch ein Rolle spielen. Test man zum Beispiel das Restore einer VM oder prüft vorab diverse Update-Szenarien so bietet sich ein virtuelles NAT-Switch zum isolieren von der Produktivumgebung durchaus an. Weiterlesen

Bitlocker – Zusätzlicher PIN beim Systemstart

Bitlocker ist eine reine offline Verschlüsselung und schützt die Daten primär physikalisch vor Diebstahl. Einen Schutz vor Angriffen online und über das Netzwerk kann Bitlocker wiederum nicht bereitstellen. Dabei hilft ein TPM (Trusted Platform Module -> Wikipedia), verbaut auf der Platine des PC-Systems oder Notebooks, bei der Speicherung des kryptographischen Schlüssels. Dieser sorgt beim starten des Systems für ein automatisches und komfortables entsperren der Festplatte ohne ein eingreifen des Benutzers anzufordern bis dann die Windows-Anmeldung erscheint. Hat ein Dieb oder der unbefugte Benutzer das System vor sich so kann er auf jeden Fall versuchen das Passwort zu erraten. Weiterlesen

Windows 10 härten – SmartScreen-Filter

Zugegeben, die Akzeptanz vom Microsoft Internet Explorer oder dem neuen Browser EDGE hält sich eher in Grenzen. Der Internet Explorer hält nach Angaben von statista.com ca. 10 Prozent der Marktanteil, der Browser EDGE schafft es gerade einmal auf knapp über 1 Prozent. Für mich als Windows Admin haben beide aber einen großen Vorteil. Sie lassen sich per Gruppenrichtlinien steuern und via Windows Update problemlos aktualisieren. Das bedeutet für mich im Vergleich zu anderen Browsern einen geringen Verwaltungsaufwand und damit verbundene geringere Kosten. Weiterhin schützt SmartScreen nicht nur die Microsoft Browser sondern sitzt tief verankert im Windows Betriebssystem.  Weiterlesen

Windows 10 härten – Datenausführungsverhinderung (DEP)

Ein weiterer fast unscheinbarer Baustein zum Schutz von Windows Systemen vor Schadcode wurde mit Windows XP SP2 eingeführt. Die Datenausführungsverhinderung oder auch Data Execution Prevention (kurz DEP) soll verhindern, dass Schadcode innerhalb eines geschützten Speicherbereiches ausgeführt wird. Durchgesetzt wird dieses durch das CPU-Feature NX (Not Execute) welches von allen aktuellen CPUs unterstützt wird. Ich werde in diesem Beitrag weniger auf die Arbeitsweise von NX eingehen, sondern vielmehr auf die vollständige Implementierung im Windows Client und eine mögliche Umsetzung im Unternehmen. Weiterlesen

Windows 10 härten – AppLocker

In meinem vorhergehenden Beitrag habe ich schon eine Zusammenfassung über die möglichen Schutzfunktionen von Microsoft gesprochen. In diesem Artikel geht es um den Schutz vor unbekannten Programmen, Apps oder Skripten. Hierbei kommt der Windows AppLocker zum Einsatz welcher seit Windows 7 zur Ausstattung des Betriebssystems gehört. Leider ist dieses Feature nur für Firmenkunden mit einer Enterprises Edition verfügbar. Dabei würde es dem Microsoft Image gut tun jegliche Sicherheitsfunktionen für alle Windows Editionen zur Verfügung zu stellen. Weiterlesen

Windows 10 härten – Eine erste Übersicht

Die aktuelle Virenflut macht uns und unseren Kunden wieder große Sorgen. Dank Bitcoins ist man jetzt in der Lage mit Schadcode zu erpressen und anonyme Geldtransaktionen durchzuführen. Dabei erfolgte eine Entwicklung über die Jahre vom einfachen Virus nur so zum Spaß über das Ausspionieren von anderen Systemen mit Trojanern bis zum jetzigen Stand dem Geld verdienen mit Baukästen-Trojanern. Antivirensoftware Hersteller reiben sich die Hände den der Rubel rollt. Weiterlesen

Exchange 2013 – Outlook Web App offline verfügbar machen

Oft kommt es vor, dass wegen schlechter Netzabdeckung bei UMTS oder LTE aber auch fehlender Netzwerkanbindung zum Firmen-LAN die Verbindung zu Outlook nicht möglich ist. Der Outlook Client bietet hier ja die Möglichkeit mit Hilfe des Cache-Mode weiterhin auf seine Emails zuzugreifen. Wer lokal auf seinem Rechner keinen Outlook Client hat der hatte bisher das Nachsehen. Die Gründe dafür können unterschiedlicher Natur sein aber meistens fehlen einfach mal Lizenzen. Seit Version 2013 von Exchange besteht aber auch die Möglichkeit Outlook Web App, kurz auch OWA genannt, per Browser offline zu nutzen. Ebenfalls die Nutzer von Office 365 mit der Produktversion 15 können OWA offline nutzen. Die Schritte dazu sind sehr einfach. Gehen Sie dazu folgendermaßen vor: Weiterlesen

Windows 8 – Verbindung oder Anmeldung mit Microsoft Konto unterbinden

Ich habe mich bereit in zwei anderen Artikeln über Windows 8 im Unternehmen ausgelassen. In diesen Beiträgen ging es primär um die Anpassung der Modern UI bzw. die Einschränkung der Standard Apps. In diesem kurzen Artikel ein ganz wichtig Punkt. Wie verhindere ich die Anbindung eines Microsoft Kontos (früher Live ID) an Windows 8. Auch in der Domäne haben Standardbenutzer die Möglichkeit ihr Domänenkonto mit einem Microsoft Konto zu verknüpfen. Zwar ist hier eine Anmeldung mit dem Windows Konto im vergleich mit einem Arbeitsgruppen PC nicht möglich aber eine Verknüpfung zwischen den denn Diensten und ein Datenaustausch ist trotzdem problemlos möglich. Ich gehe davon aus, dass dies in vielen Unternehmen nicht erwünscht ist. Weiterlesen

Windows 8 – Standard Modern Apps dauerhaft für alle Benutzer entfernen und den Zugriff auf den Windows Store verhindern

Ich habe in einem vorherigen Artikel bereits über einige Probleme mit Windows 8 im Unternehmensumfeld gesprochen. Microsoft hat Windows 8 doch eher für Endanwender als für Unternehmenskunden entwickelt. Im privaten Einsatz macht Windows 8 auch wirklich Spaß. Nur viele größere Unternehmen wollen die Nutzung der Modern Apps verhindern da diese die Unternehmensrichtlinien für Softwarenutzung und Installation außer kraft setzen. Eine Möglichkeit ist die Nutzung von AppLocker via Gruppenrichtlinie. Diese Vorgehensweise habe ich bereits in diesem Artikel erklärt (Windows 8 Apps durch AppLocker einschränken). Für Kunden die aber die Lösung mit AppLocker nicht nutzen wollen muss es doch auch noch einen anderen Weg geben. Weiterlesen

Offline Domänenbeitritt mit djoin.exe

Seit Windows Server 2008 bietet Microsoft mit dem Kommandozeilenwerkzeug djoin.exe die Möglichkeit ein Computerkonto ohne Verbindung zu einem Domänenkontroller, also offline, einer Domäne beitreten zu lassen. Als ich dieses zum ersten Mal gelesen habe konnte ich mir über Sinn oder Unsinn dieser Möglichkeit noch kein wirkliches Bild machen. Wer will schon einen Computerkonto offline hinzufügen? Weiterlesen

Inhalt von AD-Attribut thumbnailPhoto als Benutzerprofilbild

Vielleicht ist dem einen oder anderen schon einmal der Gedanke gekommen, das SharePoint Profilbild auch als Benutzerprofilbild in Windows zu nutzen. SharePoint an sich bietet ja eine einfache Art der Datenspeicherung ins Active Directory an. Somit ist es relativ einfach das Benutzerprofilbild aus SharePoint in das AD-Attribut thumnailPhoto zu exportieren. Wie aber kann man dieses Foto als Windows-Benutzerprofilbild nutzen? Weiterlesen

Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Der Einsatz der neuen Windows 8 Modern UI (vorher Metro) für Privatanwender steht außer Frage. Die Meinungen gehen hier weit auseinander aber insbesondere die Nutzer von Tablet PCs oder Displays mit Touchscreen profitieren von der neuen Oberfläche. In meinem beruflichen Umfeld war vorab auch großes Bedenken der neuen Oberfläche gegeben welches sich aber mittlerweile durchweg positiv auswirkt. Selbst die „ältere Generation“ kommt hier doch ganz gut klar. Ich nutze Windows 8 seit dem Erscheinen über Technet und komme ebenfalls sehr gut damit zu recht.

Wie aber schlägt sich die neue Oberfläche insbesondere die Windows Apps im Unternehmen. Hier sind zurzeit kaum Erfahrungswerte vorhanden. Kaum ein Unternehmen hat sich auch nur ansatzweise mit dem Rollout von Windows 8 beschäftig. Was kann und darf der Nutzer und wo müssen die Administratoren dem User neue Grenzen setzen?

Hier bildeten sich mir am Anfang drei grundlegende Fragen:

  • Darf der Standard Benutzer im Unternehmen Windows Apps verwenden?
  • Darf der Standard Benutzer Modern UI Apps aus dem App-Store installieren?
  • Darf der Standard Benutzer sein Domänen Konto mit seinem Windows Konto verknüpfen und Einstellungen synchronisieren?

Weiterlesen

Remote Gruppenrichtlinienupdate mit der GPMC und Windows Server 2012

Gruppenrichtlinien nach einer Änderung der Einstellungen schnell durchzusetzen war bis vor kurzem leider nicht so leicht möglich. Eine Wartezeit von 90 Minuten (+/-30 Minuten) musste man schon einplanen und über AD-Standorte kann sich das ganze theoretisch auch schon mal über den ganzen Tag hinziehen. Mit Windows Server 2012 bekommen Administratoren hier neue Möglichkeiten. Weiterlesen

Windows Server 2012 und Windows 8 über Verknüpfungen abmelden oder neu starten

Es klingt fast ein wenig lächerlich die Überschrift dieses kleinen Beitrages. Wer jedoch regelmäßig mit den neuen Windows Server 2012 oder aber auch Windows 8 in Verbindung mit RDP, Teamviewer, Hyper-V oder z.B. vSphere zur täglich arbeitet nutzt dem hilft er vielleicht ein klein wenig weiter. Hier sind besonders Systeme gemeint welche Tastenkombinationen wie Str+Alt+Entf, Alt+F4, Win+R oder einfach nur die Windows Taste nicht wirklich gut in den Remote PC übertragen. Ich arbeite täglich mit dem Remote Desktop Connection Manager von Microsoft oder bei Kunden mit Hilfe von TeamViewer und fummle hier immer wieder in die unteren Ecken um den PC/Server einmal neu starten oder mich einfach nur abmelden zu können. Weiterlesen