Category Archives: W7

“Run Windows Explorer as administrator”

Posted on by .

[For an ENGLISH version, click this line!]

Seit Microsoft mit Vista die Benutzerkontensteurung (“User account control”) einführte, stellte diese sicherheitsrelevante Neuerung Administratoren vor Herausforderungen. Besonders fragwürdig erscheint es, dass sich der Windows Explorer nur dem ersten Anschein nach mit erweiterten Rechten starten lässt. In der Grundkonfiguration erscheint zwar der Erweiterungsdialog (“Elevation prompt”), die Rechte des Anwenders werden aber nicht erweitert. Gleiches gilt unabhängig davon, ob der Anwender mit einem administrativen Konto angemeldet ist (als “Protected Admin”) oder sich impersonifiziert. Das System unterscheidet auch nicht zwischen “Run as administrator” und “Run as different user”.

Gut versteckt im Betriebssystem findet sich ein Registry-Key, der es erlaubt, den Explorer.exe-Prozess mit erweiterten Rechten zu starten:

HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}\RunAs

Löscht oder ändert man den o.g. Schlüssel (zum Beispiel in “RunA_”) lässt sich der Explorer mit erweiterten Rechten starten.

Es lauern aber  weitere Fallen: Der Schlüssel ist vor leichtfertigen Änderungen dadurch geschützt, dass der “Trusted Installer” als Eigentümer eingetragen ist. Will man den Schlüssel modifizieren, muss man zunächst den Besitz übernehmen. Leider kenne ich kein Bordmittel, um diese Änderung script-gesteuert vorzunehmen: “regini.exe” kann keine Besitzrechte übernehmen, das PowerShell-Cmdlet “Set-ACL” scheitert an den vorgegebenen Zugriffsrechten (es sei denn man impersonifiziert sich zuvor als “SYSTEM”-Benutzer, was ebenfalls Zusatzwerkzeuge erfordert).

Ein Workaround bietet Helge Kleins Freeware-Werkzeug “setacl.exe”; diese populäre Werkzeug meistert, was die Bordmittel nicht schaffen.

Das vorliegende PowerShell-DemoScript “Enable-ExplorerRunAs.ps1” lädt Helges Werkzeug herunter, führt die nötigen Änderungen durch und löscht die temporären Dateien schließlich.  Das Script benötigt lokale Adminrechte, die Änderungen greifen unmittelbar.

Ein abschließender Tipp noch für Windows 8/Windows Server 2012:  Das Kontextemenü bietet standardmäßig keine Erweiterungsdialoge. Legt man jedoch eine Verknüpfung für “explorer.exe” neu an, so sind die nötigen Kontexteinträge sichtbar.

 

Download als Textdatei  Enable-ExplorerRunAs.ps1 oder Vorschau auf GitHub

 
Ein Artikel des Kollegen Helge Klein erinnerte mich an dieses Demoscript, das ich schon vor einiger Zeit veröffentlichen wollte. Helges lesenswerter Artikel über die Unzulänglichkeiten des Windows Explorer findet sich hier:

http://helgeklein.com/blog/2013/04/why-every-self-respecting-administrator-should-ditch-explorer-for-good/

Neuer Artikel in der IT-Administrator erschienen

Posted on by .

Unter dem Titel “Stolpersteine im Sysprep-Vorgang bei Windows 7 – Rollout mit Hindernissen” ist in der aktuellen IT-Administrator (Heft 06/2011, ab Seite 61) ein Workshop von mir erschienen. Ich beleuchte dort das Erstellen eines Standardbenutzer-Profils mit der “CopyProfile”-Option, die Hürden beim Erstellen von “Pinned Items” in der Taskleiste sowie die Feinheiten der “OOBE”-Phase für den SYSPREP-Vorgang. Die im Heft vorgestellen Beispieldaten finden sich hier zum Download.

Über Kommentare, Ergänzungen, Anregungen freue ich mich per Mail.

IErrungen

Posted on by .

Mit dem Internet Explorer 9 hat Microsoft in zeitlicher Nähe zum Service Pack 1 ein reizvolles Update veröffentlicht, das man beim Setup von Windows 7 sinnvollerweise direkt in das Installationsmedium integrieren sollte. Beim automatisierten Bereitstellen warten aber einige Fallen, die es zu umschiffen gilt.

1. Offline Setup
Oblgeich man auf der Downloadseite zwischen zahlreichen Varianten wählen kann, benötigt man für die automatisierte Installation in der Regel nur den deutschen IE für Windows 7, in 32 und/oder 64 Bit, da mit ihm sowohl englische Windows-Versionen als auch der Windows Server 2008 R2 betankt werden können. Dem Installer “IE9-Windows7-x64-deu.exe” entlockt man mit “/?” Parameter, so zum Beispiel den Paramter “/x:<pfad>” zum Entpacken der Datei.  Das extrahierte Archiv gibt den Blick frei auf vier Dateien, von denen die Datei “ielangpack-DEU.CAB” das Sprachpaket repräsentiert. Es ist nicht erforderlich die separat angebotenen Sprachpakete herunterzuladen, sie sind in den landesspezifischen Installern integriert, Englisch ist in jedem Fall bereits in der Grundinstallation enthalten.

Die erste Ver-IE-rrung erlebt man bei dem Versuch, IE 9 ohne Internetzugang zu installieren. Obgleich der Parameter “/update-no” die Suche nach Updates vor der Installation unterbinden soll, kann der Installationsversuch fehlschlagen:

IE9 Setup verlangt nach Internetverbindung

Installiert man den IE 9 jedoch mittels “dism.exe”, so läuft die Installation zuverlässig durch:

dism /online /Add-Package /PackagePath:IE9-Win7.CAB

dism /online /Add-Package /PackagePath:ielangpack-DEU.CAB

Der zweite Befehl installiert das Sprachpaket. Auf einem rein englischen System kann man die Sprachdatei einfach ignorieren. Wie bereits erwähnt, ist es demzufolge nicht erforderlich, die “englische” Version herunterzuladen – man hat sie bereits vorliegen.

2. Offline Patching
Da sich “dism.exe” als geignetes Werkzeug zur Installation erwiesen hat, kann man den IE auch direkt in das Windows 7-Installationsmedium integrieren. Es bietet sich an, bei der Gelegenheit ein vollständig zweisprachiges (deutsch/englisch) Windows zu erstellen:

# 1: Den Inhalt einer deutschen Windows 7-Enterprise-DVD nach c:\depot\win7 kopieren, anschließend das Installationsabbild montieren:
dism.exe /Mount-Wim /WimFile:c:\depot\win7\sources\install.wim /index:1 /MountDir:c:\mnt\tmp

# 2: Das englische Sprachpaket nach c:\depot\LP_W7SP1 herunterladen , entpacken und integrieren:
dism.exe /Image:c:\mnt\tmp /Add-Package /PackagePath:”C:\depot\LP_W7SP1\en-us\lp.cab”

# 3: Den IE herunterladen, die Datei “IE9-Windows7-x64-deu.exe” entpacken(im Beispiel nach IE9-Windows7-x64-deu) und integrieren :
dism.exe /Image:c:\mnt\tmp /Add-Package /PackagePath:”C:\depot\ie9\IE9-Windows7-x64-deu\IE9-Win7.CAB”
dism.exe /Image:c:\mnt\tmp /Add-Package /PackagePath:”C:\depot\ie9\IE9-Windows7-x64-deu\ielangpack-DEU.CAB”

# 4: Das Abbild demontieren:
dism.exe /Unmount-Wim /MountDir:c:\mnt\tmp /commit

# 5: Das “Windows AIK für Windows 7” installieren und eine neue DVD erstellen:
c:\Program files\Windows AIK\tools\amd64\oscdimg.exe -n -m -b”c:\depot\win7\boot\etfsboot.com” c:\depot\win7 c:\depot\win7x64_de_en_ie7.iso

Führt man Schritt 1 mit einer anderen Windows 7-Edition aus, somuss man zunächst ermitteln, welcher Index der gewünschten Variante zugeordnet ist.

DISM.exe /Get-WimInfo /WimFile:”c:\depot\win7\sources\install.wim”

Schritt 2 entfällt bei  einer Home Premium oder Professional-Edition, da diese Editionen keine Mehrsprachigkeit erlauben (es sei denn, man möchte während des Setup zwischen verschiedenen Sprachen wählen können).

3. Gruppenrichtlinien/GPO
Nach der erfolgreichen Installation des neuen Internet Explorer sollte man einen Blick in das Verzeichnis “c:\Windows\PolicyDefinitions” werfen: dort sind nun drei neue Dateien vorhanden:

  • inetres.admx
  • de-DE\inetres.adml
  • en-US\inetres.adml

Der Installer hinterlegt die korrespondieren administrativen Vorlagen auf jedem Windows-System mit installiertem IE 9. Man erkennt die neue Version an der Kennzeichnung ‘revision=”9.0″‘ in den ersten Zeilen der Dateien. Diese ADMX/L-Dateien sollte man nun in den “Central Store” integrieren.

Überfällige Updates: RSAT, Windows Phone 7

Posted on by .

Derzeit (Q1 2011) macht Microsoft leider wieder einmal mit fragwürdiger Updatepolitik von sich reden: nachdem Microsoft Mitte Februar das erste Service Pack für Windows 7 und Windows Server 2008 R2 veröffentlichte, stehen nun viele AdministratorInnen vor dem Problem, dass sich die RSAT (“Remote Server Administration Tools”) auf einem frisch aufgesetztem Windows 7 mit inkludiertem SP1 nicht installieren lassen. Fragwürdig ist dies insofern, als dass die RSAT problemlos mit dem SP1 harmonieren, wenn man die Installation der RSAT auf einer RTM-Version (mit allen Patches, aber ohne SP1) von Windows 7 vornimmt und anschließend das SP1 nachinstalliert.

Dass es sich offenbar um ein reines Installer-Problem handelt, zeigt der nachfolgende beschriebene Workaround:

How-To: Install RSAT (Remote Server Administration Tools) on Win 7 Sp1

Im Kern besteht der Trick darin, dass man anstelle der graphischen Installation oder der Installation mittels “dism.exe” die alten/klassischen Tools rund um “pkmgr.exe”  verwendet. Eine Technik, die wir eigentlich mit der Veröffentlichung von Windows 7 /R2 hinter uns zu lassen glaubten. Das Microsoft nun für April eine neue Version der RSAT angekündigt hat, wirft die Frage auf, wieso ein offenkundig geringfügiger Fehler am Installer eine dermaßen lange Wartezeit verursacht:

Installing the RSAT tools on Windows 7 SP1 installations (The Windows Servicing Guy) (Siehe auch KB 2517239)

Denkt man an die Veröffentlichung von Vista zurück, so wird sich mancher noch mit Schrecken erinnern, dass es dort etliche Monate dauerte, bis die erste RSAT-Version zur Verfügung stand. Mit dem Launch von Windows 7/R2 war es Microsoft nach über 10 Jahren dann wieder einmal gelungen, sowohl Client als auch Server plus Verwaltungswerkzeuge gemeinsam zu veröffentlichen.

Noch prekärer ist die Situation für alle Besitzer eines Windows 7 Phones: dort lässt das lange schon überfällige erste Update noch immer auf sich warten, was mittlerweile selbst die größten Fans in die Verzweiflung treibt:

Microsoft: Blah, blah, blah, very small update on update delays (Paul Thurrott)

Einer von mehreren Faktoren, die die junge (und anfangs erfolgversprechende) Plattform schon jetzt zum Scheitern verurteilt?

Warten wir es ab, ob man bei Microsoft in den nächsten Monaten diese Dinge wieder besser in den Griff bekommt.

Update: Am 7. April sind die RSAT für das Service Pack 1 erschienen.

Lotus Notes and the Art of Pinning

Posted on by .

IBM hat es einmal mehr geschafft der Serie “Lotus Notes Skurrilitäten” eine weitere Folge hinzuzufügen. Versucht man die Startverknüpfung der (derzeit aktuellen) Notes 8.5x-Version an die Windows 7-Taskbar zu heften (“pinning”), so ist dies manchmal nicht möglich, da einem der Kontexteintrag nicht den notwendigen Befehl anbietet (siehe Abbildung links unten). Skurril ist dies insbesonders, weil es mal auftritt, mal nicht – wofür es wiederum keine plausible Erklärung zu geben scheint. Zahlreiche Diskussionen in Internetforen ranken sich um dieses Phänomen.

Abhilfe kann der nachfolgende Workaround schaffen: Man wechselt auf dem fraglichen Windows 7-Client zu dem unten abgebildeten Registryschlüssel:

HKEY_CLASSES_ROOT\Applications\notes.exe

Es reicht aus den Wert “NoStartPage” kurzfristig umzubennen, zum Beispiel in “NoStartPag_” und das Pinning funktioniert wieder. Anschließend ändert man den Wert zurück auf den Ausgangswert, die Fähigkeit zum Pinning ist fort, der “Pin” bleibt erhalten! (Getestet mit Lotus Notes 8.51, Standardclient mit FP4.)

Noch eine abschließende Bemerkung zum “pinning”: Lotus Notes ist bei weitem nicht die einzige Anwendung, die beim “Heften an die Taskleiste” versagt. Häufig ist jedoch schlicht ein fehlender Registryeintrag für den Dateityp *.lnk Ursache des Problems. Wie man u. a. hier nachlesen kann, sorgt das fehlen des Schlüssels

HKEY_CLASSES_ROOT\lnkfile\IsShortcut

dafür, dass Verknüpfungen nicht als ausführbar erkannt werden und somit auch nicht angeheftet werden können. In diesem Fall sollte es reichen, den o. g. Wert einfach neu zu erzeugen, das Datenfeld kann leer bleiben.

Notes Dadaismus: Pinning nicht möglich

Notes DADAismus

Mythos KMS, heute: Aktivierung ohne Domänenmitgliedschaft

Posted on by .

Der KMS (Key Management Service) bietet reichlich Anlass für hitzige Diskussionen; oft missverstanden und unbeachtet, traut sich so mancher Admin nur unter Vorbehalt an dieses Thema heran. Eine beliebte Frage ist, in wie fern die Aktivierung über den KMS für ein Nicht-Domänenmitglied gesteuert werden kann.

KMS-SRV-Eintrag im DNS

Wie man an der Abbildung oben erkennt, wird ein KMS über einen SRV-Eintrag im DNS gefunden. Damit dieser vom Client nun aucht tatsächlich zum Zwecke der Aktivierung angefragt wird , muss das primäre DNS-Suffix des KMS-Clients so konfiguriert werden, dass es der DNS-Domäne entspricht, in der der “_VLCMS“-Eintrag erstellt wurde. Im Beispiel oben ist das “contoso.com“.

Das besondere ist hierbei, dass ausschließlich der Eintrag über die Systemeigenschaften relevant ist (rechte Maustaste auf den Arbeitsplatz bzw. “Computer”, Eigenschaften). DNS-Suffixe, die in der Netzwerkkonfiguration festgelegt werden, beachtet das System diesbezüglich nicht. Da beim Eintritt in eine Domäne genau dieser Wert automatisch festgelegt wird, ist bei vielen Admins der falsche Eindruck enstanden, dass der Eintritt in die Active Directory-Domäne erforderlich sei. Im Umkehrschluss ließe sich daraus eine Grundsicherung des KMS ableiten. Diese Annahme ist falsch.

Die zweite Möglichkeit, einen KMS ohne Domänenmitgliedschaft zu nutzen, zeigt die folgende Abbildung:

SLMGR.VBS -SKMS

Dieser Fall wird in den Microsoft Whitepapern empfohlen. Durch den Aufruf von

slmgr.vbs -skms

wird ein Registrywert gesetzt, wie in der dritten Abbildung zu sehen ist:

SLMGR.VBS -SKMS erzeugt einen Registryeintrag

Abschließend ist noch die Frage offen, wie man diese Aktivierung denn nun verhindern kann. Die Antwort ist: nicht über den KMS, der kennt keine Zugriffsbeschränkungen. Welche Clients aktiviert werden dürfen lässt sich nur über den beschränkten Zugriff auf das Intranet definieren. VLANs, 802.1X-Authentifizierung, IPSec etc. bieten Möglichkeiten der Absicherung des Datenverkehrs. Andererseits gibt es keinen Anlass für übertriebene Panik: ein KMS aktiviert unabhängig von der tatsächlich lizensierten Hardware prinzipiell unbegrenzt Clients. Man braucht also nicht zu fürchten, dass der KMS die Dienste ab irgendeinem Schwellwert einstellt.

Autounattend.xml

Posted on by .

Seit dem Erscheinen von Windows Vista lassen sich alle Windows-Betriebssysteme über eine Antwortdatei unbeaufsichtigt installieren; diese Datei kann mittels eines USB-Sticks parallel zur Installation von DVD dem System übergeben werden. Der Name der Datei muss “Autounattend.xml” lauten, in Windows XP und Windows Server 2003 entspricht dies der Datei “winnt.sif”.

Basic Unattended File: Autounattend.xml
Der “Windows System Imager Manger” aus dem “Windows AIK” vereinfacht das Erstellen solcher Dateien, die prinzipiell auch mit jedem Texteditor bearbeitet werden können. Um den Einstieg zu erleichtern listet das nachfolgende PDF jene Einträge, die zum Grundgerüst der Datei gehören, so dass Installationen vollständig ohne Benutzereingriff laufen. Grau hinterlegte Einträge sind optional (aber nützlich).

Beispieldateien finden sich hier zum Download:

Nach dem Download bitte die Dateien umbenennen in “autounattend.xml”. Beim Vergleich der Beispieldateien sollte sich schnell zeigen, welche Anpassungen vorgenommen werden müssen, um beispielsweise die (UI-) Sprache oder die Prozessorplattform zu wechseln.

Firstlogon/Startscripts
Eine Schlussbemerkung: in den Beispielen wird auf ein Script zur ersten Anmeldung verwiesen mit dem Namen “c:\setup1\setup1.cmd”. Von Haus aus sind weder das Verzeichnis noch die Scriptdatei vorhanden. Wird diese nicht gefunden, so ignoriert das Setup die Startanweisung. Es lohnt sich jedoch, die “install.wim” anzupassen und eigene Elemente zu integrieren. Noch flexibler ist es, in der “autounattend.xml” an Stelle eines lokalen Pfades einen Netzwerkpfad zu hinterlegen.

Windows 7 und R2 evaluieren ohne Produktschlüssel (PID)

Posted on by .

Seit der Veröffentlichung von Vista lassen sich alle Windows-Betriebssysteme sehr komfortabel evaluieren, ein Produktschlüssel (PID) ist in keinem Fall erforderlich. Jedoch sollte man wissen, wie man die eingebaute Evaluierungsphase effizient nutzen kann. In Windows 7 und dem Windows Server 2008 R2 hat sich diesbezüglich im Vergleich zu den Vorgängerversionen einiges geändert.

Autounattend.xml und Default-PIDs
In Vista/WS2008 musste man bei Verwendung einer Datei zur unbeaufsichtigen Installation einen Produktschlüssel hinterlegen; dazu eigneten sich die so genannten “OPK PIDs” vorzüglich (siehe OPK-PIDs Vista und WS 2008 ). Das Verwenden dieser Platzhalter ist in Win7/R2 nicht mehr erforderlich, aber noch immer möglich.

Automatische Aktivierung ausschalten
Nach der Installation der Enterprise-Editionen erwarten Win7/R2 einen KMS (“Key Management Service”) im Unternehmen. Aus diesem Grund sieht man im Dialogfenster “System” (Windowstaste + PAUSE), dass 3 Tage für die automatische Aktivierung verbleiben.

3 Tagesfrist für die automatische Aktivierung

In Wirklichkeit stehen jedoch 30 Tage zu Einrichtung und Testen zur Verfügung. Die automatische Aktivierung lässt sich über den nachfolgenden Registry-Schlüssel deaktivieren:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Activation]
“Manual”=dword:00000001

Anschließend sieht man den vollständigen Testzeitraum, das System aktiviert sich nicht mehr selbständig im Hintergrund:

30 Tagesfrist für die Aktivierung

Der o.g. Schlüssel wurde in Win7/R2 an diesen Ort verschoben, in Vista und WS 2008 befand sich der Registry-Schlüssel an dieser Stelle:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL\Activation]
“Manual”=dword:00000001

Neu laden
Mit dem allseits bekannten “slmgr.vbs -rearm” lassen sich nach Ablauf dieser 30 Tage weitere 30 Tage frei schalten. In Win7/R2 ist dies insgesamt drei mal möglich, so dass man auf einen Gesamtzeitraum von 120 Tagen kommt.
In Vista/WS2008 war dies nicht einheitlich: Vista ließ sich maximal 6 x 30 Tage evaluieren, WS 2008 4 x 60 Tage.

Sysprep
Wenn man die maximale Anzahl an “Rearms” erreicht hat, so lässt sich allerdings kein SYSPREP mehr ausführen.
(Siehe u.a. KB 929828)
Screenshot


Die verbleibende Anzahl der möglichen Verlängerungen ermittelt das “Microsoft Genuine Advantage Diagnostic Tool“.
Screenshot

1E9E-Undefined (oder: die wirklich wahren Neuerungen in Windows 7)

Posted on by .

Es war schon während der Beta-Phase zu lesen: Windows 7 unterstützt erstmals das versale “ß”!

versaleseszett01

Man muss schon zwei mal hinschauen, um das große (=versale) Zeichen vom kleinen “ß” zu unterscheiden, hier in der Schrift “Segoe UI” (Größe 20). Nachdem der Großbuchstabe für das “ß”, den es gemäß deutscher Rechtschreibung überhaupt nicht gibt, durch die ISO/IEC-Norm 10646 zum Leben erweckt wurde, ergänzt Microsoft nun in Windows 7 einige Schriftarten um den bisher in Windows fehlenden Großbuchstaben.

Hier klicken für eine eine Schriftprobe der angepassten Schriften.

P.S. 1E9E ist die Unicode-Zeichennummer für das versale “ß”. “Undefined” bezieht sich auf die fehlende Benennung des Zeichens, was man in der obigen Abbildung im Tooltip erkennt.