Windows

Windows XP Client (2000, 2003, Vista)

Windows XP Client Installation - eine kleine HowTo für eine Beispielinstallation und Konfiguration inkl. Office und Multimediasoftware
System Volume Information Zugriffsschutz - eine Anleitung, wie man in das Verzeichnis hineinkommt und die Systemwiederherstellung deaktivieren kann. Nebenbei wird auch erklärt, wie man NTFS-Sicherheitseinstellungen ändern kann.
Automatische Benutzeranmeldung bei Windows XP 2000 NT4 - eine umfassende Anleitung zu Windows ab NT4, um einen bestimmten Benutzer automatisch am System anzumelden. Ein Sicherheitshinweis hierfür vorweg: Erfahrene Administratoren werden solche Autologins in ihren Netzwerken nicht dulden. Durch das automatische Einloggen können unberechtigte Personen problemlos den Rechner starten und haben somit einen Zugang zum Netzwerk, den sie sonst so einfach nicht erhalten würden. Dies erleichtert das Einspielen von Keyloggern und anderen Spionagetools. Auch das Auslesen des Userpassworts ist kein Problem. Wenn ein Angreifer sogar ausreichend Zeit hat, um ein komplettes Festplatten-Image zu erstellen, kann er mit nur wenigen weiteren Tricks (identische Hardware, MAC-Adresse anpassen usw.) sogar den kompletten Rechner problemlos nachbauen, was die Suche nach dem Eindringling enorm erschwert.
FAT32-Partitionen mit mehr als 32GB formatieren - eine kurze Auflistung von Vor- und Nachteilen der Dateisysteme FAT32 und NTFS, warum gerade auf externen Laufwerken meist FAT32 bevorzugt wird und mehrere Lösungsmöglichkeiten, wie man trotz der Einschränkungen von Windows ab Version 2000 zu FAT32-Partitionen mit mehr als 32GB kommt.

Administration Windows 2000 Server

Die folgenden Dinge sind bisher unsortierte Anhaltspunkte für unterschiedliche Aspekte im Zusammenhang mit der Installation von Windows 2000 Server bzw. Windows 2003 Server.

Servergespeicherte Profile

Verzeichnis erstellen (Bsp.: c:\profile)
Profil-Verzeichnis im Netzwerk freigeben (Berechtigung: nur authentifizierte Benutzer)
in der mmc das Snap-In für AD-Benutzer und -Computer starten, auf User doppelklicken
unter "Profil" im Profilpfad folgendes eingeben: \\server.domain\profile\%USERNAME%

User per Script anlegen oder löschen

Gleich vorne weg der Befehl, den man heutzutage zur Integration ins AD verwenden sollte: "csvde.exe". Da ich mich jetzt hier nicht weiter damit auseinandersetzen möchte, empfehle ich für

Interessierte die Lektüre der zugehörigen Technet-Seite.

Um eine einfache Administration von der Kommandozeile aus zu ermöglichen, gibt es seit WinNT den Befehl "net". Dieser stellt ein recht umfassendes Tool für die Administration in Windows-Netzwerken zur Verfügung und ist die Grundlage, um einfach per Script eine User-Verwaltung zu ermöglichen. Im Zusammenhang mit dem Parameter "user" kann man mit "net" über weitere Parameter viele Dinge, wie z.B. die Anmeldezeiten einstellen. Es sind jedoch bei weitem nicht alle Einstellmöglichkeiten der grafischen Oberfläche von Win2000 (mmc-Snap-In) über das Konsolen-Tool möglich. Leider hat Microsoft die Weiterentwicklung der professionellen Administrationswerkzeuge in der Vergangenheit stark vernachlässigt.

net user [username [password|*] [options]] [/domain]

Ohne Parameter gibt "net user" alle Benutzerkonten auf dem Rechner aus. Der Parameter "/domain" wird nur benötigt, wenn man sich auf einer Workstation (z.B. WinNt4 WS oder Win2k Prof) befindet. In diesem Fall wird der Befehl auf den (primären) Domaincontroller angewandt. Entsprechend wird der Parameter nicht benötigt, wenn man sich bei der Ausführung des Befehls auf einem (Member-)Server der Domain befindet.

Einen Überblick über die mir bekannten Parameter habe ich im folgenden aufgelistet.

Optionen:

/active:{yes\|no}	(de-)aktiviert ein Userkonto, Standard: yes
/comment:"text"	Beschreibung für Userkonto, max. 48 Zeichen
/countrycode:nnn	setzt die Spracheinstellungen für Hilfe-/Fehlermeldungen, bei 0 wird der Standard verwendet
/expires{date\|never}	Ablaufdatum eines Userkontos im Format TT.MM.JJ, T.M.JJ, TT.MM.JJJJ oder JJJJ-MM-TT. Monatsangaben sind als Zahl, ausgeschrieben und in 3-Buchstaben-Kurzfform möglich. Jahreszahlen können das Jahrhundert enthalten, müssen jedoch nicht. Wird die Angabe der Jahreszahl weggelassen, läuft das Konto zum nächsten zutreffenden Datum ab.
/fullname:"name"	Vollständiger Name des Users.
/homedir:Pfad	Home-LW des Users, muß bereits vorhanden sein
/passwordchg:{yes\|no}	Einstellung, ob Benutzer Kennwort ändern darf (Standard: yes)
/passwordreq:{yes\|no}	Einstellung, ob Kennwort benötigt wird (Standard: yes)
/profilepath:path	Profilpfad
/scriptpath:path	Pfad zum Anmeldescript relativ zu "%systemroot%\System32\Repl\Import\Scripts"
/times:{times\|all}	Zeiten (volle Stunden), zu denen eine Anmeldung des Users erlaubt ist. Die Tage und Uhrzeiten können durch Komma getrennt aufgezählt werden oder durch Zeiträume mit Start - Ende angegeben werden. Getrennte Zeit-/Tagangaben werden mit Simikolon getrennt. Die Wochentage können ausgeschrieben oder per Kürzel (So, MO, Di, ...) angegeben werden. Die Uhrzeit wird, wenn nicht im 24-Stundenformat angegeben, durch ein "AM", "A.M.", "PM" oder "P.M." ergänzt.
/usercomment:"text"	Eine weitere Beschreibung zum Userkonto
/workstations:{computername[,...]\|*}	Einstellung, von welchen Workstations sich der USer anmelden darf. Es dürfen max. 8 Namen angegeben werden. Eine Anmeldung von allen PCs aus ist möglich, indem man dem Parameter nichts oder ein "*" übergibt.

Um User anzulegen, sieht die Grundstruktur des Befehls folgendermaßen aus:

net user username {password|*} /add [options] [/domain]

Übergibt man das Paßwort nicht als Parameter und verwendet stattdessen den "*", so wird man beim Anlegen des Users zur Eingabe des Paßwortes aufgefordert. Dieses wird dann bei der Eingabe nicht angezeigt. Da beim Anlegen eines Users in der Regel Standardpaßwörter verwendet werden, wird meist dieses einfach lesbar übergeben.

Um User zu löschen, verwendet man folgende Syntax:

net user username /delete [/domain]

Nach der Auflistung der ganzen Optionen, habe ich hier noch ein kleines Beispiel:
Um einen User anzulegen, der Hans Otto heißt, zur Anmeldung den Namen otto und das Paßwort otto verwendet und sich von Montag bis Freitag von 8:00 bis 16:00 und am Sa von 10:00 bis 14:00 anmelden darf, benötigt man folgende Zeile:

net user otto otto /ADD /fullname:"Hans Otto" /times:Mo-Fr,8:00-16:00;Sa,10:00-14:00

Um ein komplettes kleines Script zum Anlegen von Usern zu verwenden, muß man sich zuvor ein paar Gedanken darüber machen, was benötigt wird. Wie auch an manchen anderen Stellen vermißt man im Windows 2000 Ressource Kit ein paar Tools, die von NT4 her noch bekannt sind und immer noch problemlos funktionieren. Wir benötigen rmtshare zum Anlegen von Shares aus dem WinNT-Res.Kit und xcacls zum Anpassen von ACLs. Die Zugriffsrechte werden mit C für den User auf change und für den Administrator mit F auf full gesetzt.

Das Script "useradd.bat":

md \\%1\%2$\Users\%3
xcacls \\%1\%2$\Users\%3 /t /e /g %3:C;C Administrator:F;F
xcacls \\%1\%2$\Profiles\%3 /t /e /g %3:C;C Administrator:F;F
rmtshare \\%1\%3$=%2:\Users\%3
net user /add /domain %3 %4 /homedir:\\%1\%3$

Die Syntax zum Aufruf des Scriptes sieht folgendermaßen aus:

useradd <server> <drive> <username> <password>

Quellen:
microsoft.com
mcseboard.de

NTFS-Berechtigungen (mit höchster Priorität beginnend):
Gruppe
- Zugriff verweigert
- Vollzugriff
User
...

Domänen-Controller erstellen/entfernen

dcpromo - Tool zum Installieren von Active Directory bzw. Member-Servern
/i386/winnt32 /cmdcons - Installieren der Wiederherstellungskonsole

Funktionsweise von Richtlinien

1. lokale Richtlinie
2. Standortrichtlinie
3. Domänenrichtlinie
4. Organisatorische Einheitsrichtlinie
Die Reihenfolge der Abarbeitung ist von der 1. zur letzten, die der Priorität entsprechend andersherum. Ohne DC existieren 2. bis 4. nicht.

Unbeaufsichtigte Installation

unattend.txt
Umbenennen in winnt.sif für Disketten-Inst.
Bei gerouteten Netzen werden RFC 1542 kompatible Router benötigt
sysprep -nosidgen