Freigabe- und NTFS-Berechtigungen unter Windows

040413_1253_Freigabeund3.png

Das Verwalten von Benutzerrechten und Freigaben von Verzeichnissen und Dateien, gehört für einen Administrator zur täglichen Arbeit. Leider stolpert man allzu oft über Windows Freigaben, die unterschiedlichen Gruppen Vollzugriff gewährt. Dies stellt grundsätzlich kein Problem dar und wenn man damit richtig umgeht, ist ein sicheres Arbeiten möglich. Die richtige Kombination mit Freigaben und NTFS-Rechten ist hier der Schlüssel zum Erfolg. Leider schleichen sich genau in dieser Kombination sehr oft Fehler ein. Zum Schutz aller Administratoren muss ich hier erwähnen, dass dies meisten unbewusst und aus historischen Gründen geschieht.

Meine Grundregeln lauten:

  • Vollzugriff auf NTFS-Ebene bekommen nur die, die Wissen was sie tun (oder die es wissen sollten) – also nur die Administratoren
  • Rechte nur auf Gruppen nie Einzelpersonen
  • Nur Rechte gewähren die notwendig sind
  • Kein „Verweigern“

Weiterlesen …

GVU-Trojaner im Domänennetzwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits Ende Januar in einem Artikel vor einer neuer Variante des BKA- bzw. GVU-Trojaners. Nun ist dieser Schädling in einem Domänennetzwerk aufgetreten und musste beseitigt werden.

Fehlermeldung

In dem mir vorliegenden Fall handelt es sich um den GVU-Trojaner in einer neuen Version. Dieser Schädling deaktiviert den Windows-Desktop, den Task-Manager und die Registry. Der User erhält eine Warnmeldung eingeblendet, die sich nicht schließen lässt. Die Meldung suggeriert, dass illegale Aktivitäten entdeckt und daraufhin der Rechner gesperrt wurde. Gegen eine Zahlung von 100 € könnte dies aber wieder Rückgängig gemacht werden.

Weiterlesen …

Server 2008 und 2008 R2 mit dem Server-Manager 2012 verwalten

Mit erscheinen von WIndows 8 und Windows 2012 wurde auch ein neuer Server-Manager eingeführt. Dieser dient dazu, die vorhandenen Server der IT-Infrastruktur zu verwalten. Dies gelingt bis zur Betriebssystem Windows Vista respektive Windows Server 2008. Das hinzufügen eines Servers geschieht über das Verwaltungsmenü oder das Dashboard. Über die darauf erscheinende Suche können nun die Server ergänzt werden.

Screenshot Server-Manager
Server dem Server-Manager hinzufügen

Weiterlesen …

Server-Manager: Leistungsindikatoren können nicht abgerufen werden

Über den Server-Manager von Windows 8 respektive Windows Server 2012 können Server zentral verwaltet werden. Sobald einige nicht Windows Server 2012 hinzugefügt wurden, werden entsprechende Dienste remote kontaktiert. Sofern diese Server bereits verwaltet werden können, erscheint mitunter die  Meldung: „Online – Daten der Leistungsindikatoren können nicht abgerufen werden.“

Screenshot Meldung aus dem Servermanager. "Online - Daten der Leistungsindikatoren können nicht abgerufen werden."
Screenshot der Meldung im Server-Manager

Das englische Pendant zur Meldung lautet:  „Online – Cannot get performance counter data“

Möchte man diese Leistungsindikatoren abfragen, ist ein Update (KB2682011) auf den entsprechenden Server (Windows Server 2008 oder 2008 R2) zu installieren.  Nach der Installation und einem Neustart sollte diese Meldung nicht mehr erscheinen.

Weitere Informationen bezüglich der Fehlerbehandlung in Verbindung mit dem Server-Manager, können aus einem Artikel im TechNet-Wiki von Microsoft entnommen werden.

Weitere Verweise/Quellen:

SYSVOL Migration auf DFSR

Bestand die Domäne bereits vor Windows Server 2008 so ist es wahrscheinlich, dass die SYSVOL Dateireplikation über den File Replication Service (FRS) realisiert wird. Dieser Dienst ist seitens Microsoft seit Windows 2003 R2 abgekündigt und wird durch den Distributed File System Replication (DFSR) Dienst abgelöst. Sofern man die Migration noch nicht vollzogen hat, sollte man über einen solchen Schritt nachdenken.

Weiterlesen …

unattended Installation Windows 8 und Server 2012

Eine Möglichkeit Windows Server und Windows  unbeaufsichtigt (unattended) zu installieren, ist der Einsatz einer Antwortdatei. Diese wird bei der Installation eingelesen und entsprechende Vorgaben übernommen (siehe auch: http://technet.microsoft.com/de-de/library/cc749415(v=ws.10).aspx).

Mit dem erscheinen von Windows Server 2012 und Windows 8 wurden einige Änderungen  von Microsoft eingepflegt. Um welche Änderungen es sich handelt kann es handelt, kann auf dieser Technet-Seite nachgelesen werden.

Weiterlesen …

Lync: IP-Phones können sich nicht mehr mit dem FE verbinden

Beschreibung

Die IP-Telefone können sich nicht mehr mit dem Lync Front End Server verbinden, bzw. melden sich nach einigen Minuten wieder ab. Hiervon betroffen waren alle IP-Telefone, zumindest die in der hier eingesetzten Umgebung (Snom UC-Edition, Lync Phone Edition von allen Herstellern). Alle Geräte waren mit dem neusten Patchstand (CU 6).

Weiterlesen …

SCCM 2012: SCCM-Clientinstallation auf einem Domänencontroller schlägt fehl

Hintergrund

Die Installation des SCCM Client auf einem Domänencontroller schlägt fehl. Anhand des Logs auf dem SCCM-Server (ccm.log) werden u.A. nachfolgende Einträge protokolliert (anonymisiert):

Hintergrund hierfür, ist dass der SCCM-Maschinen-Account keine Berechtigung hat die Freigabe admin$ besitzt. Auch der für die Client genutzte User-Account hat diese Berechtigung nicht.

Lösung

Weiterlesen …

SCCM 2012: Clientinstallation auf Windows Server 2003

Bei der Installation der SCCM-Client auf Windows Server 2003 + 2003 R2 kann fehlschlagen, sofern auf diesen Servern nicht der BITS-Dienst installiert ist. In vorherigen SCCM-Versionen wurde dies automatisch mit der Ausrollung des Clients verbunden. Das hat sich leider mit SCCM 2012 geändert. Nähere Infos kann man einem Technet-Artikel (hier: BITS Version 2.5) entnehmen In diesem Fall muss BITS auf den entsprechenden Servern nachinstalliert werden. BITS kann über die Microsoft Seiten heruntergeladen werden. Nach der Installation muss der Server neu gestartet werden.

Weiterlesen …

Übertragung der FSMO Rollen

In einem Blogeintrag wurde bereits darauf eingegangen, wie man einen DC unter Windows Server 2012 in seine Struktur einbindet. Spätestens mit der geplanten Anhebung der Gesamtstrukturfunktionsebene, müssen die alten DC aus der Struktur entfernt werden. Zumeist übernehmen diese aber noch wichtige Aufgaben in Form der sogenannten Flexible Single Master Operations – besser bekannt als FSMO.

Ich persönlich habe mir angewöhnt die FSMO Rollen gleich mit der Installation neuer Serverversionen von den alten DCs auf die neuen zu übertragen. Die notwendigen Schritte werden nachfolgend beschrieben.

Weiterlesen …