Rund um Windows, Exchange und Active Directory

Kategorie: Vista

Best Practice bezüglich aktueller ADMX / ADML Dateien

Aktives Verzeichnis Blog : Best Practice bezüglich aktueller ADMX / ADML Dateien.

Überblick über die Neuerungen in Vista

Um meine kleine Beitragsreihe über erste Erfahrungen mit Vista abzuschließen (hüstel), hier noch ein Link mit guter Übersicht über die neuen Funktionen und die Integration in den einzelnen Vista-Versionen.

Vista vs XP – Speichernutzung

Vergleich bei der Speichernutzung meiner PCs zu Hause (XP) und den in der Firma (Vista SP1):

XP SP2 nach hochfahren: 198 MB
Vista SP1 nach hochfahren: 930 MB

Das ist die Funktion „SuperFetch“, die den vorhandenen Arbeitsspeicher einfach mehr auslastet und ihn aber dann, wenn andere (als im Speicher befindliche) Programme ihn benötigen, wieder freigibt.
SuperFetch geht hierbei weiter als noch das „PreFetch“ von XP: Es soll sogar Tagesprofile über die verwendete Software erstellen, und diese nach dem Start dann in den Speicher laden. Mit dem Ergebnis, dass z.B. Montags andere Software vorgeladen wird, als am Wochenende…

Vista und die UAC

Es ist schon ein kleiner Akt, wenn man ein lokales Programm (in diesem Fall meine Domänen-Verwaltungskonsole) mit einem Domänenaccount ausführen lassen möchte.
Dies kann z.B. für ein .msc-Snapin zur Verwaltung der Domänenbenutzer oder Gruppenrichtlinien notwendig sein.

Zum einen muss man mal die lokale UAC überwinden und dann noch die Möglichkeit bekommen, seine Domänencredentials einzugeben. Hierzu habe ich mir eine Desktopverknüpfung gebaut, in deren erweiterte Eigenschaften ich den Haken gesetzt habe, das Snapin mit (lokalen) Adminrechten zu starten:

vista_verkn_1.jpg

Für den eigentlichen Zielaufruf in der Verknüpfung verwendet man das „runAs“-Kommando:

C:\Windows\System32\runas.exe /netonly /user:admin@domäne.local „mmc C:\Verwaltungskonsole\MeineVerwaltungskonsole.msc“

GPMC unter Vista

Da aktualisiert man freudig erregt auf Vista SP1, um endlich von seinem lokalen Arbeitsplatz auch die Vista-Gruppenrichtlinien verwalten zu können und stellt fest, dass mit dem SP1 diese Verwaltungskonsole deinstalliert wurde. :-/

Siehe http://gpfaq.se/?p=37 oder http://forums.techarena.in/showthread.php?t=943264. Das RSAT von Windows Server 2008 ist aber nun verfügbar und beinhaltet zum Glück auch wieder eine erweiterte Version der gpmc. Das RSAT ist die neue Version des Adminpak.msi von 2000/2003 Server. Neuer Name – neues Glück. 😉

Der Download für Vista 32-Bit,
und für Vista 64-Bit.

Vor der Installation sollten aber alle alten Verwaltungstools für 2003 deinstalliert werden.
Nach erfolgtem Durchlauf zeigt sich im Startmenü zunächst nichts – die Tools müssen zunächst über die Systemsteuerung / Programme / Windows-Funktionen ein- oder ausschalten aktiviert werden.
Gut ist hierbei, dass man an dieser Stelle nur die benötigten Funktionen anhaken kann. Eine selektive, parametrisierte Installation des .msi ist daher nicht nötig:

vista_rsat_installieren.jpg

Vista II – die Vergeltung

Ein neuer Tag, eine neue Erfahrung. 🙂

Die Bereitstellung des Hotfix 933664 für den Zugriff auf diverse SAN-Filer von Vista aus war natürlich nicht so einfach getan. Was auf dem ersten PC funktionierte, klappte auf dem 2. schon nicht mehr.
Beim Versuch der Installation des .msu-Paketes mit dem wusa.exe erhielt ich die Fehlermeldung „Installer encountered an error: 0x8007177f. This machine is disabled for file encryption“. Nun hatte ich nicht genug Fantasie, um zu erahnen, was die von mir selbst definierte domänenweite Deaktivierung von EFS mit der unfallfreien Installation eines Hotfix zu tun haben könnte.
Aber dann fand ich die Ursache:  ein weiterer Bug. Auch diesen Hotfix muss man separat anfordern. Da er auch als .msu-Paket vorliegt, gibt es ja ein Huhn-Ei-Problem. Um das zu umgehen, wird mit dem Vista-eigenen „expand“-Kommando das .msu entpackt und dann mit dem pkgmgr.exe – dem Vista-Paketmanager – das .cab-File installiert. 🙂

Das Märchen vom kleinen Vista

In unserem spannenden Märchen vom kleinen Vista, welcher dann auch irgendwann mal dazugehören und auf dem großen Abenteuerspielplatz ‚Domäne‘ mit den anderen Kindern spielen wollte, hat der liebe Michael an einem etwas ruhigeren Tag erste Schritte eingeleitet, damit irgendwann einmal das Märchen wahr werden kann.

Das ist bisher geschehen:

  • Vista Upgrade Advisor auf meinem PC ausgeführt und herzlich gelacht.  
  • Domänen-Logonscript angepasst
  • Hotfix 933664 für Zugriff auf Netapp-SAN bereitgestellt und installiert
  • Danach die Firewall ausschalten – einschalten und den Hinweisen folgen (der Hotfix lehnt erstmal sämtlichen Netzwerkverkehr nach seiner Installation ab =:/)
  • ADMX-Templates für Domäne bereitgestellt (wobei im Szenario 2 das richtige Snapin GPMC.msc und nicht GPEDIT.msc lautet). Damit hätten wir dann 2400 mögliche Richtlinien.
  • WMI-Filter für Vista-PCs erstellt, um den Netapp-Hotfix zukünftig z.B. über GPO mitzugeben:
    root\CIMv2;SELECT Version, ProductType FROM Win32_OperatingSystem WHERE Version >= ‚6‘ AND ProductType = ‚1‘
  • Notes SingleSignOn wurde als „unerwünschte Anwendung“ vom Windows Defender entdeckt…
  • Die Windows Firewall will auch im DNS-Namensraum der Domäne zwangsläufig gestartet werden, um die Dateifreigaben zu beenden…ein ausschalten über GPO kontert sie mit einem müden lächeln, um sich dann gleich beim anmelden wieder zu starten.

Und in nächster Zeit:

  • Datenausführungsverhinderung (DEP) untersuchen und ggfs. Ausnahmen eintragen 
  • UAC – User Account Control untersuchen
  • Bitlocker ausschalten
  • Netzwerkverkehr untersuchen und viele Dinge deaktivieren… 🙂

Update: Jaja, „das Updatepaket eben via GPO mitgeben“ war natürlich nix: Anscheinend und aus mir noch unbekannten Gründen werden diese Hotfixe als „eigenständiges Windows-Updatepaket“ und vorbei am Microsoft Installer mit der Dateiendung .msu angeboten. Damit kann ich es erst einmal nicht mehr via GPO verteilen, weil diese nur .msi unterstützt.
Statt des Installers (msiexec) läuft die Installation mit einem Programm namens „wusa“. Wenn man das .msu-Paket mit dem Hilfeparameter /h oder /? aufruft, erscheint ein kleines Syntax-Fenster…
Nunja, wird mir erstmal nichts anderes übrig bleiben, als das Paket über ein Startupscript installieren zu lassen.
Ein bißchen fühle ich mich hier ja wie auf Schnitzeljagd in einem Jump ’n Run-Spiel…