Archives for

DameWare Mini Remote Control Agent – Änderungen global verteilen

Sollen die Agenten-Einstellungen auf allen Clients im Unternehmen einheitlich angepasst werden, lässt sich dies global am Einfachsten per GPO steuern.

1)    Auf einem Testsystem die gewünschten Einstellungen vornehmen (Taskbar, rechtsklick auf Dameware-Icon, Einstellungen > Änderungen vornehmen)
Beispiel: Das Benachrichtigungsfenster soll für 5 Sekunden erscheinen und einen angepassten Text darstellen. Außerdem soll bei Beendigung der Session ebenfalls eine Nachricht erscheinen:

2)    Die Einstellungen werden in der Registry gespeichert unter: HKLM\Software\DameWare Development\Mini Remote Control Service

3)    Diesen Pfad per rechtsklick “Exportieren” und auf einem Netzwerkshare mit Lese-Rechten für “Jeder” ablegen

4)    Anschließend eine Gruppenrichtlinie erstellen und über Computerkonfiguration\Richtlinien\Windows-Einstellungen\Skripts (Start/Herunterfahren)\Starten folgende Skript-Parameter hinterlegen:
Skriptname: regedit.exe
Skriptparameter: /s „Netzwerkpfad_zum_gespeicherten_Reg-File“

5)    Diese Gruppenrichtlinie auf die gewünschten Computerobjekte bzw. Computergruppen der Ziel-OUs anwenden.
ACHTUNG: Wird dieses Skript auf Rechnern angewandt, auf denen DameWare noch nie installiert wurde, kommt es während des Bootvorgangs beim Verarbeiten der Start-Skripte zu einer sehr langen Wartezeit! Darum dieses GPO ausschließlich auf Rechner anwenden, auf denen DameWare auch installiert ist.

6)    Nach einem Neustart und dem Verarbeiten der Start-Skripts erscheint zukünftig beim Verbinden per DameWare MRC das konfigurierte Benachrichtigungsfenster:

Read More

WMI-Filterung in Gruppenrichtlinie anwenden

Die Zuweisung von Gruppenrichtlinien lässt sich nicht nur auf Benutzer-, Computer- oder Gruppenebene vornehmen, sondern auch über WMI-Abfragen filtern.

Angenommen eine neue Software soll nicht auf allen Computern im Unternehmen installiert werden, sondern ausschließlich auf Windows 7 Clients. Man könnte entweder hergehen und alle Windows 7 Rechner in einer Gruppe zusammenfassen und eine Softwareinstallations-Gruppenrichtlinie dieser Gruppe zuweisen, oder man weist die GPO im ersten Schritt allen Rechnern zu und filtert im zweiten Schritt per WMI nur die Windows 7 Clients heraus.

Im folgenden Beispiel sollen DameWare-Agenten Settings an Unternehmensrechner verteilt werden, aber nur an die Rechner, auf denen der Agent installiert ist.

Hierzu erstellen wir in der Gruppenrichtlinienverwaltung unter > Gesamtstruktur > Domänen > Domäne > WMI-Filter eine neue WMI-Abfrage:

Diese nennen wir “DameWare Agent Settings” und hinterlegen die folgenden Einstellungen:

Die WMI-Abfrage prüft ob der Dienst des DameWare-Agenten (name=’dwmrcs’) auf dem Zielsystem läuft (state=’Running’). Läuft der Dienst, während die Gruppenrichtlinie verarbeitet wird, werden die damit verbundenen GPO-Einstellungen angewandt. Sollte der Dienst nicht installiert sein, bzw. nicht laufen, wird die Gruppenrichtlinie herausgefiltert. Auszug aus ‘gpresult’ auf einem Zielsystem:

Weitere WMI-Abfragemöglichkeiten habe ich in meinem Post “Häufige WMI-Abfragen” aufgeführt.

Nach der Erstellung des WMI-Filters kann dieser nun in den Einstellungen der Gruppenrichtlinie (über die die DameWare-Agenten Einstellungen verteilt werden) ausgewählt werden:

 

Read More

Active Directory | Domänenbeitritt von Computern durch Benutzer verhindern

Standardmäßig dürfen nicht nur Administratoren sondern auch reguläre Domänenbenutzer Computer in die Domäne aufnehmen. Normale Benutzer dürfen zwar nur maximal 10 Computer zu einer Domäne hinzufügen, dies birgt dennoch das Risiko dass ungewollt private Notebooks in die Domäne aufgenommen werden.

Um den Domain Join durch normale Benutzer vollständig zu unterbinden gibt es 2 unterschiedliche Möglichkeiten:

1)    Anpassen der „Default Domain Controllers Policy“
-    Gruppenrichtlinienverwaltung auf einem Domänen Controller öffnen (Start | Ausführen | gpedit.msc | [ENTER] oder Start | Verwaltung | Gruppenrichtlinienverwaltung)
-    Unterhalb von Gesamtstruktur | Domänen | Domäne | Domain Controllers: Default Domain Controllers Policy > Rechtsklick > Bearbeiten…
-    Innerhalb des Gruppenrichtlinienverwaltungs-Editors: Computerkonfiguration | Richtlinien | Windows Einstellungen | Sicherheitseinstellungen| Lokale Richtlinien | Zuweisen von
Benutzerrechten
-    Unterpunkt „Hinzufügen von Arbeitsstationen zur Domäne“  | Rechtsklick > Eigenschaften
-    Standardmäßig sind hier „Authentifizierte Benutzer“ ausgewählt (darin enthalten sind sämtliche Domänenbenutzer)
-    Auswählen „Authentifizierte Benutzer“ | Entfernen
-    „Benutzer oder Gruppe hinzufügen…“ | Eingeben „Administratoren“ | OK | OK | Fertig

2)    Anpassen von „ms-DS-MachineAccountQuota“
-    ADSI-Editor auf einem Domänen Controller öffnen (Start | Auführen | adsiedit.msc | [ENTER]
oder Start | Verwaltung | ADSI-Editor)
Hinweis: ADSI-Editor muss u.U. unter Windows 2000 und 2003 nachinstalliert werden
-    Ggf. Verbindung zu „Standardmäßiger Namenskontext“ aufbauen (Rechtsklick ADSI-Editor > Verbindung herstellen… | unter „Bekannten Namenskontext auswählen“ auswählen:
„Standardmäßiger Namenskontext“ | OK)

-    „Standardmäßiger Namenskontext [server-FQDN) über + erweitern
-    Auf Domänenebene (z.B. DC=contoso,DC=com) Eigenschaften öffnen
-    Im Attribut-Editor runterscrollen bis „ms-DS-MachineAccountQuota“
-    „ms-DS-MachineAccountQuota“ auswählen | Bearbeiten | gewünschten Wert eintragen | OK | OK | Fertig
Hinweis: der angegebene Wert gibt die maximal zulässige Anzahl an Computerkonten an, die
ein normaler User zur Domäne hinzufügen darf;
0 = kein einziges Computerkonto
1= ein Computerkonto
10 = 10 Computerkonten
usw.

Zusätzlich sicher stellen dass ein User keine besonderen „Computer-Objekte erstellen“- Rechte auf dem Container / der OU besitzt, dem / der Computerkonten standardmäßig hinzugefügt werden.
-    Auf einem Domänen Controller „Active Directory-Benutzer und –Computer“ öffnen (Start | Ausführen | dsa.msc | [ENTER] oder Start | Verwaltung | Active Directory-Benutzer und
–Computer)
-    Ansicht | Erweiterte Features
-    Unterhalb der Domäne den Container / die OU auswählen dem / der standardmäßig neue Computerobjekte hinzugefügt werden (normalerweise der Container „Computers“)
-    Eigenschaften | Sicherheit
-    Ist unter „Gruppen- und Benutzernamen“ ein spezieller Benutzer bzw. eine Gruppe hinzugefügt worden: Benutzer / Gruppe auswählen | Erweitert | Benutzer / Gruppe auswählen
(Standardberechtigung an dieser Stelle: Lesen)| Bearbeiten | ggf. Haken bei „Computer-Objekte erstellen“ entfernen

Microsoft KB 243327

Read More