Archives for

Benutzer per Email über Ablauf des Windows-Kennworts benachrichtigen

In Windows 7 werden Benutzer nach der Anmeldung nur noch durch eine Sprechblase der Taskleiste darüber informiert, dass deren Windows-Kennwort in naher Zukunft abläuft. Da diese Sprechblase gerne von Usern übersehen wird, kann zusätzlich mithilfe eine PowerShell-Skripts eine Emailbenachrichtigung eingerichtet werden.

Damit das Skript ausgeführt werden kann, muss es entweder auf einem Domain Controller (Win 2008 R2 aufwärts) oder einem Member-Server mit installierter “Active Directory-Domänendiensten”-Rolle aufgerufen werden. Außerdem muss ggf. noch PowerShell’s Execution Policy auf “RemoteSigned” angepasst werden:

Set-ExecutionPolicy RemoteSigned

Hiermit kann geprüft werden wie die Execution Policy konfiguriert ist (Standardwert: Restricted):

Get-ExecutionPolicy

 

1.) PowerShell-Skript erstellen
Diesen Code in einen Texteditor kopieren, die hervorgehobenen Stellen anpassen und als PowerShell-Skript speichern (z.B. C:\Temp\password.ps1):

———————————————

Import-Module ActiveDirectory

Get-ADUser -filter * -properties PasswordLastSet,EmailAddress,GivenName,Surname -SearchBase “OU=Benutzer,DC=domain,DC=de” -SearchScope Subtree |foreach
{
$PasswordSetDate=$_.PasswordLastSet
$maxPasswordAgeTimeSpan = $null
$maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge

$today=get-date
$ExpiryDate=$passwordSetDate + $maxPasswordAgeTimeSpan

$daysleft=$ExpiryDate-$today

$display=$daysleft.days
$UserName=$_.GivenName
$SurName=$_.Surname

if ($display -lt 14 -and $display -gt 0)
{
$MyVariable = @”
Sehr geehrte/r $UserName $Surname,

Ihr Kennwort wird in $display Tagen ablaufen. Sollten Sie es nicht rechtzeitig aendern, wird das Internet abgeschaltet :)

Mit freundlichem Gruss,
EDV-Abteilung

*** Diese Nachricht wurde automatisch generiert – bitte nicht darauf antworten. ***

“@
send-mailmessage -to $_.EmailAddress -from kennwortwarnung@domain.de -Subject “IT Information: Ihr Kennwort wird in $display Tagen ablaufen” -body $MyVariable  -smtpserver smtp.domain.de
}
}

———————————————

Erläuterung:

OU=Benutzer,DC=domain,DC=de  > durch entsprechende OU-Struktur ersetzen (durch den Schalter “-SearchScope Subtree” werden Unter-OUs inkludiert)
$display -lt 14  > 14 = Zeitraum in Tagen bevor das Kennwort abläuft. Während des definierten Zeitraums wird der Benutzer bei Ausführung des Skripts gewarnt.
Sehr geehrte/r…  > Benachrichtigungsinhalt nach eigenem Geschmack gestalten.
kennwortwarnung@domain.de  > Austauschen gegen gewünschte Absenderadresse.
smtp.domain.de  > Email-Server

 

2.) Benachrichtigungsskript in die Windows-Aufgabenplanung einbinden
- In Aufgabenplanung “Neue einfache Aufgabe” erstellen
- Name & Zeitplan festlegen
- Aktion: Programm starten
- Programm starten:
> Programm / Skript: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
> Argumente hinzufügen (optional): -command C:\Temp\password.ps1
- Anschließend die Aufgabe bearbeiten und unter “Allgemein” die Haken “Unabhängig von der Benuzteranmeldung ausführen” und “Mit höchsten Privilegien ausführen” setzen

 

Quellen:
Technet-Forum
Technet
Mike Pfeiffer

Read More

netstat

netstat > Protokoll, Lokale Adresse, Remoteadresse (NetBIOS), Status

netstat -f > Protokoll, Lokale Adresse, Remoteadresse (FQDN), Status

netstat -n > Protokoll, Lokale Adresse, Remoteadresse (IP), Status

netstat -e > Ethernet-Schnittstellenstatistik incl. Pakete mit Status “Verworfen” und “Fehler

netstat | find “443″ > Protokoll, Lokale Adresse, Remoteadresse, Status > ausschließlich Einträge die 443 enthalten

Read More

WDS | Ereignis ID 519

Werden Clients während der Installation per WDS zur Domäne hinzugefügt, protokolliert der WDS-Server folgende Fehlermeldung:

Ereignistyp: Fehler
Ereignisquelle: BINLSVC
Ereignis-ID: 519 Benutzer: n/A
Computer: “Computername”
Beschreibung:
mehrere Computerkonten mit derselben GUID oder MAC-Adresse in Active
Directory-Domänendiensten gefunden wurden. Der
Windows-Bereitstellungsdienste-Server wird das erste aufgeführte
Computerkonto verwenden.

MAC-Adresse: “Adresse”
GUID: “GUID”

Liste der übereinstimmenden Computern:
“Name”
“Name”

Diese Meldung erscheint, obwohl weder GUID noch MAC doppelt vergeben wurden. Microsoft hat hierfür ein Hotfix bereitgestellt, welches auf dem WDS-Server zu installieren ist: KB2028840

Read More

SID eines Benutzers ermitteln

Viele Wege führen nach Rom; so auch bei der Ermittlung des eindeutigen SID (Security Identifier) eines AD-Benutzers.

1) PowerShell (2008 R2)
Im geladenen ActiveDirectory-Modul der Powershell auf dem DC einzugeben:

Get-ADUser -Identity <AD-Benutzer>
(AD-Benutzer kann sein: DN, GUID, SID oder sAMAccountName. Per SID Rückwärtsabfrage möglich!)

2) DSGET / DSQUERY
In CMD auf DC einzugeben:

dsget user “DN des Benutzers” -sid

Sollte der DN nicht bekannt sein:

dsquery user domainroot -name “NameDesBenutzers” | dsget user -sid
(bei NameDesBenutzers kann auch mit Wildcard gearbeitet werden)

3) Active Directory-Benutzer und -Computer
Unter “Ansicht” den Punkt “Erweiterte Features” aktivieren.

- Eigenschaften des Benutzers öffnen
- Reiter “Attribut-Editor”
- Attribut: objectSid

4) WHOAMI
CMD als entsprechender Benutzer öffnen (z.B. an Win7-Arbeitsstation)

whoami -user

Read More

Befehlszeilenreferenz A-Z

Link zur aktuellen Befehlszeilenreferenz für Windows Vista – 7 & Windows Server 2003 – 2008 R2:

http://technet.microsoft.com/de-de/library/cc772390%28v=ws.10%29.aspx

Stand: 20. März 2012

Read More

Zertifikatregistrierung

Wird die automatische Zertifikatregistrierung innerhalb der Domäne per Gruppenrichtlinien verwaltet, erhalten Benutzer unter Umständen nach Starten des Rechners folgende Meldung:

Sie haben Zertifikate, die bald ungültig werden oder bereits ungültig sind. Klicken Sie hier um diese Zertifikate anzusehen und um zu entscheiden, welche Aktion durchgeführt werden soll.


Durch Klicken auf diese Blase öffnet sich ein Fenster, welches die vermeintlich abgelaufenen Zertifikate auflistet. Allzu viele Optionen bietet dieses Fenster nicht – man kann lediglich die Benachrichtigung für das jeweilige Zertifikat (bzw. für alle Zertifikate) deaktivieren. Der eigentliche, entscheidende Schritt, nämlich das Zertifikat zu erneuern, wird hierüber nicht angeboten. Die Erneuerung muss entweder manuell über die MMC, oder besser (per Gruppenrichtlinie gesteuert) automatisch erfolgen.


Wird die Erneuerung per Gruppenrichtlinie gesteuert, gibt es zwei mögliche Gründe für diese Meldung:

1) Der Rechner kann die Zertifizierungsstelle nicht erreichen und somit das Zertifikat nicht erneuern.
2) Die Ablaufbenachrichtigung erfolgt zu früh (das Zertifikat ist noch länger gültig, der User wird dennoch benachrichtigt).

Für Punkt 1) kann es mehrere Ursachen geben (Server ist heruntergefahren; Firewall blockiert Traffic zwischen Rechner und Server; Rechner oder Benutzer haben nicht [mehr] die entsprechenden Berechtigungen das Zertifikat zu erneuern;…) auf die ich hier nicht eingehen möchte. Stattdessen möchte ich die Ablaufbenachrichtigung genauer betrachten.

Innerhalb der Gruppenrichtlinie (Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel) kann die Ablaufbenachrichtigung in den Eigenschaften des Objekts “Zerfitikatdienstclient – Automatische Registrierung” konfiguriert werden. Diese wird in Prozent-Schritten definiert und ist standardmäßig auf 10% eingestellt.


Diese 10% sagen aus, dass der Benutzer über das Auslaufen des Zertifikats benachrichtigt wird, sobald das Zertifikat 90% seiner Gültigsdauer erreicht hat. Beispiel: Gültigkeitsdauer des Zertifikats = 100 Tage | nach 90 Tagen wird der Benutzer benachrichtigt. Um diese Benachrichtigung zu umgehen, muss die Zertifikatseerneuerung vorher, sprich innerhalb der ersten 90 Tage, stattfinden.

Read More

Sie wurden mit einem temporären Profil angemeldet

Nach dem Löschen eines User-Profils unter Windows 7 oder Windows Server 2008 R2 kommt es nach erneuter Anmeldung des Benutzers zu folgender Meldung:


Änderungen, die am Profil vorgenommen werden, gehen durch Abmelden des Users verloren.

Temporäre Profile sind sowohl unter C:\Users…

…als auch in der Registry (durch die Endung .bak) zu erkennen.

Damit sich ein User nicht länger mit einem temporären, sondern einem dauerhaften Profil anmelden kann, ist das temporäre Profil in der Registry unter folgendem Pfad zu löschen:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\SID.bak

Read More

Office 2003 fordert ständig zum Akzeptieren der EULA auf (Windows 7 | Windows Server 2008 R2)

Wird Office 2003 unter Windows 7 oder Windows Server 2008 R2 installiert, wird man beim Öffnen eines neuen Office-Dokuments aufgefordert die EULA zu akzeptieren. Auch wenn diese bereits zuvor akzeptiert wurde.

Hier hilft es eines der installierten Office-Programme (egal ob Excel, Word, Outlook,..) als Administrator zu öffnen, auch wenn man lokal bereits als Administrator angemeldet ist:

- im Explorer wechseln zu C:\Programme\Microsoft Office\Office 11
- runter scrollen bis WINWORD.exe
- Rechstklick > “Ausführen als Administrator”
- jetzt die EULA noch einmal akzeptieren

Fortan muss die EULA nicht mehr akzeptiert werden (gilt auch beim Öffnen der anderen Office-Programme).

Read More

MDT / WDS | Windows 7 SP1 | unable to find SETUP

Endet das Windows 7 + SP1 Deployment im Fehler “unable to find SETUP” muss das aufgezeichnete Image (Capture) nicht als “Custom image file” sondern samt der Setup-Dateien vom Win7+SP1 Datenträger als “Full set of source files” hinzugefügt werden:

1) Dateien aus dem Source-Verzeichnis des Win7+SP1 Datenträgers auf den MDT-Server kopieren (z.B. C:\Temp\DVD-Kopie)

2) Das zuvor aufgezeichnete Image (Capture) umbenennen in install.wim

3) Diese install.wim in den Ordner C:\Temp\DVD-Kopie kopieren und die ursprüngliche Datei ersetzen

4) In MDT: Deploment Shares > Operating Systems > Rechstklick > “Import Operating System” > Auswählen: “Full set of source files” > Ordner “C:\Temp\DVD-Kopie” auswählen > Weiter & Beenden

5) Innerhalb der Task Sequence das neu eingebundene Betriebssystem (inkl. der aufgezeichneten install.wim) auswählen

Alternative:
Das aufgezeichnete Image als “Custom image file” einbinden und die Setup-Files während des Operating System Imports hinzufügen:

In MDT: Deployment Shares > Operating Systems > Rechtsklick > “Import Operating System” > Auswählen: “Custom image file” > das aufgezeichnete Image auswählen > im Bereich “Setup” auswählen “Copy Windows Vista, Windows Server 2008, or later setup files from the specified path” & den Pfad zum Win7+SP1 Datenträger angeben > Weiter & Beenden

Read More