Generelle Voraussetzungen:

• Eine existierende AD-Umgebung welche korrekt mittels Azure-AD-Sync nach Azure AD synchronisiert
• Mindestens einen der Domäne beigetretenen Computer
• Regionale Verfügbarkeit des Dienstes
• Sicherheit darüber, dass Azure Files prinzipiell funktioniert. Als Test kann eine Dateifreigabe mittels Speicherkontenschlüssel erstellt und getestet werden. Diese muss funktionieren!

Der Beitrag ist extra so kurz wie möglich gehalten und beschreibt nur die wichtigsten Schritte. Weitere, sowie tiefgründigere Informationen, sind der Microsoft Dokumentation zu entnehmen.

Lösung

Vorhandenes Speicherkonto auswählen oder ein neues erstellen.

Das Archiv „AzureFilesHybrid“ von GitHub herunterladen und entpacken.

Hinweis: Dies und das Nachfolgende auf einem Computer durchführen, welcher der lokalen Domäne beigetreten ist. Außerdem sicherstellen, dass ein AD-Konto verwendet wird, welches mindestens das Recht besitzt einen Dienstbenutzer (service log on account) zu erstellen.

PowerShell-Terminal öffnen und folgende Befehle ausführen und bestätigen:

Install-Module -Name az -AllowClobber -Scope CurrentUser
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

In der PowerShell-Sitzung in den Ordner des entpackten „AzureFilesHybrid“ Archives wechseln und folgende Befehle ausführen und bestätigen:

.\CopyToPSPath.ps1
Import-Module -Name AzFilesHybrid -Verbose

Eine Verbindung mit dem Azure-Online-Dienst aufbauen. Dazu mit dem gewünschten Azure-Konto anmelden und sicherstellen, dass das korrekte Abo ausgewählt wurde. Sollte das falsche Abo vorausgewählt sein, kann es mit einem optionalen Befehl gewechselt werden.

Connect-azaccount

Optional bei falschem Abo:
Select-AzSubscription -SubscriptionId "ID"

Erstellung und Zuweisung eines Service-Benutzers zur Authentifizierung des Azure Speicherkontos. Dabei eine OU angeben unter welcher der Benutzer erstellt werden soll.

Hinweis: Darauf achten, dass das Passwort des Dienstbenutzers nicht abläuft! (Sollte „Kennwort läuft nie ab“ nicht verwendet werden)

Join-AzStorageAccountForAuth -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname" -Domain "lokale Domäne" -DomainAccountType ServiceLogonAccount -OrganizationalUnitDistinguishedName "Gewünschte OU"

Anschließend kann der erstellte Benutzer in der angegebenen OU des ADs gefunden werden.

Als nächstes sollte die Konfiguration überprüft werden. Dazu ggf. ein zweites PowerShell-Fenster öffnen und folgende Informationen auslesen lassen und temporär merken.

$domainInformation = Get-ADDomain
$domainGuid = $domainInformation.ObjectGUID.ToString()
$domainName = $domainInformation.DnsRoot
$domainGuid
$domainName

Die nachfolgenden Befehle in das erste PowerShell-Fenster eingeben und prüfen, ob die angezeigten Informationen passen.

$storageacccount = Get-AzStorageAccount -ResourceGroupName "Ressourcengruppenname" -Name "Speicherkontoname"
$storageacccount | Get-AzStorageAccountKey -ListKerbKey | Format-Table Keyname
# Es sollten Schlüsselnamen angezeigt werden
$storageacccount.AzureFilesIdentityBasedAuth.DirectoryServiceOptions
# Ergebnis sollte "AD" sein
$storageacccount.AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
# Die informationen sollten mit denen aus dem zweiten PowerShell-Fenster übereinstimmen(DomainName und DomainGUID)

Über das Azure-Portal können, in der Konfiguration des Speicherkontos, die Freigabeberechtigungen (via IAM) vorgenommen werden. Folgende Rollen sind hierfür relevant:

Hinweis: Alternativ können Berechtigungen auch direkt über die Freigabe im Windows-Explorer (ACL) vorgenommen werden.

Zuletzt den Azure Fileshare via CMD mounten damit er über den Explorer verwendet werden kann.

net use LAUFWERKBUCHSTABE: \\SPEICHERKONTONAME.file.core.windows.net\FREIGABENAME

Hinweis: Die Eingabeaufforderung muss als „normaler“ Benutzer ausgeführt werden und nicht als Administrator!

Der Beitrag Azure Files – Hybrid AD-Authentifizierung für Azure File Shares erschien zuerst auf Daniel Gutermuth.

Dieser Beitrag beschäftigt sich bei Zeitproblemen von Windows Computern im Zusammenspiel mit VMware.

„Quick and Dirty“ – Im Notfall

Ist es sehr dringend und zeitkritisch, kann diese Lösung verwendet werden, bis eine vollständige Problemanalyse und Problembehebung durchgeführt wurde.

Dazu auf die Domänencontroller (bzw. gewünschten Server) aufschalten, die Eingabeaufforderung als Administrator starten und folgenden Befehl eingeben:

time XX:XX:XX AM

„XX XX XX“ durch die gewünschte Uhrzeit ersetzen und AM oder PM entsprechend anhängen.

Hinweis: Dies ist keine permanente Lösung bei Zeitproblemen. Nach einem Neustart können die gemachten Einstellungen ggf. wieder verworfen sein!

Lösung

VMware Zeitkonfiguration

Sicherstellen, dass in VMware (vCenter oder ESXI) die richtige Uhrzeit entweder manuell oder via NTP-Server konfiguriert ist. Ist kein NTP-Server angegeben, bezieht sich die manuelle Zeit im Standard auf die CMOS-Clock des jeweiligen Hosts. Die Uhrzeitkonfiguration des Hosts in VMware entspricht wiederum der CMOS-Clock der VMs.

Dazu via vCenter den entsprechenden Host auswählen und über den Reiter Konfiguration auf den Punkt System wechseln und dort Uhrzeitkonfiguration klicken. Ebenso prüfen, ob das vCenter an sich mit der korrekten Uhrzeit konfiguriert wurde (vCenter Server Appliance Management).

Alle VMs sollten, wenn möglich, mit der aktuellsten VMware-Tools Version ausgestattet sein.

Gruppenrichtlinie für die Domänencontroller erstellen und zuweisen

Bei aktivierter GPO wird die Zeit extern standardmäßig von time.windows.com aus dem Internet synchronisiert. Natürlich ist es auch möglich die Zeit ausschließlich lokal vom Computer zu beziehen (CMOS). Eine andere Möglichkeit wäre die Firewall oder das Internet-Gateway als Synchronisationspunkt zu verwenden. Das ist vor allem für diejenigen Interessant, die dem Computer keine Verbindung in das Internet gestatten wollen.

Hinweis: Computer innerhalb einer Domäne synchronisieren sich automatisch mit dem Zeitgeber (DC). Eine separate Gruppenrichtlinie ist nicht nötig, kann bei Bedarf aber erstellt und zugewiesen werden.

Windows Server Konfiguration

Anschließend auf die Domänencontroller aufschalten und folgende Befehle nacheinander als Administrator in die Eingabeaufforderung eingeben:

gpupdate /force
w32tm /config /reliable:yes
net stop w32time && net start w32time
w32tm /resync /rediscover

Nach kurzer Synchronisationzeit kann geprüft werden, ob die Uhrzeit des Servers mit den eingestellten Parametern übereinstimmt. Als Hilfe kann eine Website wie https://www.uhrzeit.org/atomuhr.php als Abgleich verwendet werden.

Hinweis: Durch die definierte Karenz in der Gruppenrichtlinie kann die Tatsächliche Uhrzeit von der Uhrzeit innerhalb des Netzwerkes ein paar Sekunden abweichen

Client-Systeme aktualisieren sich automatisch im konfiguriertem Intervall.

Manuell kann dieser Vorgang über die Eingabeaufforderung wie folgt angestoßen werden :

w32tm /resync

Der Beitrag Zeitprobleme in Windows & VMware Umgebungen erschien zuerst auf Daniel Gutermuth.

Dieser Beitrag soll einen groben Überblick in den Lizenzierungsdschungel geben und beschäftigt sich mit der allgemeinen Lizenzierung der Windows Server Standard und Windows Server Datacenter Edition. Die Windows Server Essential Edition wird hier nicht weiter erläutert.

Da jede IT-Umgebung einzigartig ist, muss sie auch so geplant werden. Eine Standardvorlage gibt es nicht. Daher bitte ich das Nachfolgende lediglich als unverbindliche Information zu betrachten.

Allgemeine Informationen

Serverlizenzierung:

Eine Lizenz = Ein Server? ➔ Leider nicht!

Die Lizenzierung erfolgt nach Anzahl der physischen Kerne des Hosts.

• Jeder physische Prozessor wird mit mindestens acht Kernen gewertet
• Jeder physische Server wird mit mindestens 16 Kernen gewertet
• Alle physischen und aktiven Kerne im Server müssen unter Berücksichtigung der Regeln 1 und 2 lizenziert werden
• Um mit der Standard Edition zwei weitere VM-Rechte zu erhalten, müssen alle physischen und aktiven Kerne erneut nach Regel 1 und 2 lizenziert werden

Hinweis: Betrachtet werden ausschließlich die physischen Kerne. CPU Funktionen wie Hyperthreading / SMT werden nicht berücksichtigt!

Auch wenn Host A nur 8 Kerne besitzt müssen aufgrund der Mindestanforderung trotzdem 16 Kerne lizenziert werden. Es würden so also 8 Kerne „verschenkt“ werden.

Zugriffslizenzen:

Jeder Benutzer (und/oder jedes Gerät) benötigt zum Zugriff auf einen Windows Server Dienst eine entsprechende Zugriffslizenz (CAL). Dieser Dienst kann beispielsweise DHCP, DNS oder auch das Active Directory sein.

• User-CALs: Ein bestimmter User ist berechtigt, mit unterschiedlichen Geräten auf die Windows Server Dienste zuzugreifen
  • Lizenzierung pro Benutzer
  • Empfohlene Lizenzierungsmethode für die meisten Anwendungsfälle

• Device-CALs: Ein einzelnes Gerät mit unterschiedlichen Benutzern ist berechtigt auf die Windows Server Dienste zuzugreifen.
  • Lizenzierung pro Gerät
  • Empfohlen wenn ein Gerät von vielen unterschiedlichen Benutzern verwendet wird (z. B. ein PC im Schichtbetrieb)

Hinweis: Auch externe Personen bzw. Geräte welche auf Dienste wie DHCP zugreifen, müssen lizenziert werden! Als Beispiel könnte hierfür ein Gäste-WLAN genannt werden. Meldet ich eine Person mit ihrem Gerät in das Gäste-WLAN ein und dieses erhält eine DHCP-Adresse durch einen Windows DHCP-Dienst, so muss für dieses Gerät eine CAL vorhanden sein.

Unterschied Windows Server Standard / Datacenter

Die Versionen Standard und Datacenter unterscheiden sich nicht nur in der Lizenzierung, sondern auch im erweiterten Funktionsumfang. Besonders bei der geplanten Verwendung als Hyper-V Host sind diese Unterschiede von Bedeutung.

Zusätzlich überwiegt mit fortschreitender Virtualisierung der Kostenvorteil der Datacenter-Lizenz im Gegensatz zur Standard-Lizenz. (Allgemeine Informationen beachten)

Das untere Beispiel beschreibt die Standard-Lizenzierung eines Hosts mit einem Sockel und 32 Kernen. Die Grundlizenzierung von 32 Kernen beinhaltet 2 OSEs (z. B. VMs). Für jedes weitere OSE-Paar muss nun zusätzlich der komplette Host nachlizenziert werden – also wieder 32 Kerne.

Kostenbeispiel

Anhand eines Beispiels wird schnell deutlich wie unterschiedlich die Lizenzkosten zwischen Standard und Datacenter sind. Ausgangspunkt ist eine gewünschte Abdeckung von insgesamt 240 Kernen.

Während die Standard-Lizenzierung hier mit über 1.000.000 € zu buche schlägt, sind es bei der Datacenter-Lizenzierung „nur“ knappe 70.000 €. Nicht zu vergessen, dass hier bereits eine unendliche Anzahl an OSEs lizenziert sind, während bei Standard jedes weitere OSE-Paar nachlizenziert werden muss!

Der Beitrag Microsoft Windows Server Lizenzierung erschien zuerst auf Daniel Gutermuth.

Die Konfiguration ist in Windows Server oder Windows 10 / Windows 11 möglich.

Hinweis: Auch wenn Schattenkopien eine super Sache sind, ersetzen sie keine klassischen Backups! Alles auf eigene Gefahr!

Lösung

Auf das entsprechende System aufschalten, einen Rechtsklick auf das zu konfigurierende Laufwerk machen und den Punkt Schattenkopien konfigurieren wählen.

Hinweis: Schattenkopien könne nicht auf Ordnerebene konfiguriert werden, sondern immer nur auf Volumen/Laufwerk-Ebene! Weitere Informationen beim Punkt Ausnahmen.

Es öffnet sich nun das Menu zur Konfiguration der Schattenkopien.

Das Volumen auswählen und auf Einstellungen klicken. Dort muss zunächst das Speicherlimit gesetzt werden. Die Vorauswahl kann ggf. beibehalten werden. Kein Limit zu setzten ist nicht empfehlenswert!

Zuletzt sollte noch ein benutzerdefinierter Zeitplan erstellt werden, welcher die eigenen Anforderungen erfüllt.

Abschließend die Schattenkopien mit einem Klick auf Aktivieren starten.

Damit sind die Schattenkopien auch schon konfiguriert und einsatzbereit.

Möchte man nicht alle Dateien eines Laufwerkes mit Schattenkopien verwenden, so können Ausnahmen gesetzt werden. Diese Daten werden anschließend nicht von den Schattenkopien berücksichtigt.

Dazu Regedit starten und in folgenden Pfad wechseln:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Einen Rechtklick auf FilesNotToSnapshot tätigen und unter New den Punkt String Value wählen.

Dem String einen Namen vergeben und den Pfad zur auszuschließenden Datei mit der entsprechenden Syntax eintragen. Mit OK bestätigen.

Syntax

Mit der Wildcard * und dem Parameter /s (rekursiv) können Ordner und Dateien beliebig ausgeschlossen werden.

Beispiele:

Alle Dateien im Ordner, rekursiv:

 D:\div\*.* /s

Bestimmte Dateitypen in einem Ordner:

 D:\div\*.txt

Dateien mit bestimmten Namensmustern in einem Ordner, rekursiv :

 D:\div\datei*.* /s

Über die Variable $UserProfile$ oder $AllVolumes$  kann zusätzlich auf alle Userprofile und Volumes zugegriffen und Ausschlüsse gesetzt werden.

$UserProfile$\Downloads\*.* /s

$AllVolumes$\Temp\*.* /s

Damit wurden Schattenkopien unter Windows Server konfiguriert und Ausnahmen dazu gesetzt.

Der Beitrag Windows Server – Schattenkopien konfigurieren und Ausnahmen definieren erschien zuerst auf Daniel Gutermuth.

Im konkretem Beispiel (SQL 2019) stellte sich heraus, dass die dafür benötigte Datei „C:\Program Files (x86)\Microsoft SQL Server\110\Shared\sqlmgmproviderxpsp2up.mof“ nicht im Pfad enthalten ist und der Microsoft Standardweg keine Anwendung finden kann.

Hinweis: Als Vorbereitung hat es sich schon als hilfreich herausgestellt, wenn das SQL Management Studio in der jeweils aktuellen Version auf dem SQL-Server installiert wird.

Lösung

Via RDP auf den SQL-Server aufschalten (Administratorenberechtigungen werden benötigt).

Den Befehl zur passenden SQL-Server Version herauskopieren, in die Eingabeaufforderung einfügen und ausführen.

SQL Server 2005

mofcomp “%programfiles(x86)%\Microsoft SQL Server\90\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2008 / R2

mofcomp “%programfiles(x86)%\Microsoft SQL Server\100\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2012

mofcomp “%programfiles(x86)%\Microsoft SQL Server\110\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2014

mofcomp “%programfiles(x86)%\Microsoft SQL Server\120\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2016

mofcomp “%programfiles(x86)%\Microsoft SQL Server\130\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2017

mofcomp “%programfiles(x86)%\Microsoft SQL Server\140\Shared\sqlmgmproviderxpsp2up.mof”

SQL Server 2019

mofcomp “%programfiles(x86)%\Microsoft SQL Server\150\Shared\sqlmgmproviderxpsp2up.mof”

Im Beispiel handelt es sich um einen SQL Server 2019.

Mit dem Output Done wurde der Vorgang erfolgreich abgeschlossen.

Um den SQL Server Configuration Manager zu starten einfach die zur SQL-Server Version passende Zeile in die Windows-Suche des Servers einfügen und ausführen.

Anschließend ist der SQL Server Configuration Manager wieder verwendbar.

Der Beitrag SQL Server – SQL Server Configuration Manager WMI Provider erschien zuerst auf Daniel Gutermuth.

Lösung

Die Anwendung File Server Resource Manager auf dem Storage Server starten.

Über den Punkt Quota Management auf Quota Template mit einem Rechtsklick Create Quota Template auswählen.

Hier muss zunächst ein Vorlagenname vergeben werden.

Anschließend das Kontingentlimit definieren. Im Beispiel werden 50GB als Limit angegeben.

Quota-Typ:

• Hard Quota = Das Limit kann nicht überschritten werden
• Soft Quota = Das Limit kann überschritten werden (Für Monitoring)

Für das Hinzufügen von Benachrichtigungen auf Add klicken.

Die Bedingung für das Triggern der Benachrichtigung wird in Prozent angegeben. Als Standardwert sind 85% hinterlegt. Sind also 85% der festgelegten Quota belegt, wird die Benachrichtigung ausgelöst.

Um die E-Mail-Benachrichtigung zu aktivieren, muss im Reiter E-Mail Message der Punkt Send e-mail to the following administrators aktiviert werden. Zuletzt mit OK bestätigen.

Als Parameter ist hier [Admin Email] hinterlegt. Wurde die allgemeine E-Mail Konfiguration wie hier durchgeführt, wird die E-Mail-Adresse aus dem dort ausgeführten Script verwendet.

Natürlich kann auch eine andere E-Mail-Adresse in das Feld eingegeben, sowie der E-Mail Text verändert werden.

Hinweis: Weitere Einstellungen stehen in den anderen Reitern zur Verfügung.

Weitere Benachrichtigungen können einfach mit Add hinzugefügt werden. Abschließend mit OK beenden.

Nun muss das Quota erstellt werden. Dazu in Quota Management einen Rechtsklick auf Quotas machen und Create Quota wählen.

Den Pfad zum zu erstellenden Quota eintragen.

• Create quota on path = Quota gilt geamt für den Ordner und seine Unterordner im Pfad
• Auto apply template and create quotas on existing and new define custom = Quota gilt für jeden Unterordner im Pfad (z. B. verschiedene Benutzerordner)

Bei der Quota Konfiguration die zuvor erstellte Vorlage auswählen und mit create abschließen.

Unter Quota sind nun Informationen dazu zu finden.

Der Beitrag Windows Storage Server – Quota erstellen und einbinden erschien zuerst auf Daniel Gutermuth.

Damit diese Funktionalität genutzt werden kann, muss diese zuvor konfiguriert werden.

Lösung

Auf dem Storage Server das PowerShell ISE als Administrator starten.

Das unten stehende Script hineinkopieren und die Parameter anpassen.

#   Setting FSRM email options
$MHT = @{
  SmtpServer        = 'SMTP.Contoso.Com'  
  FromEmailAddress  = 'FSRM@RContoso.Com'
  AdminEmailAddress = 'FSAdmin@Contoso.com'
}
Set-FsrmSetting @MHT

#   Sending a test email to check the setup
$MHT = @{
  ToEmailAddress = 'JerryG@Contoso.Com'
  Confirm        = $false
}
Send-FsrmTestEmail @MHT

Sobald alles angepasst wurde, muss das Script ausgeführt werden. Dabei werden die E-Mail Einstellungen gesetzt und eine Test-E-Mail an das im Script definierte Konto gesendet.

Mit der ankommenden E-Mail kann die Richtigkeit der Konfiguration verifiziert werden.

Damit ist die E-Mail Konfiguration zum Erhalt bzw. Versand von Benachrichtigung abgeschlossen und kann in Quota eingesetzt werden.

Der Beitrag Windows Storage Server – E-Mail Konfiguration für Benachrichtigungen erschien zuerst auf Daniel Gutermuth.

Hier geht es nun um die Log4j Erkennung und Benachrichtigung bei allgemeinen Anwendungen im Falle eines Treffers. Als Beispiel wird eine Methode erläutert, welche einfach realisierbar ist.

Eine weitere Möglichkeit findet sich hier.

Hinweis: Alles auf eigene Gefahr!

Lösung

Zuerst auf die Seite von Canary Tokens gehen und ein entsprechendes (kostenloses) Token für Log4Shell generieren. Hierzu wird eine E-Mail-Adresse benötigt, da an diese eine Nachricht versendet wird, falls das Token getriggert wurde.

Nachdem das Token generiert wurde, erhält man ein Snippet. Dieses kann nun für Tests auf Systemen verwendet werden.

Sobald dieser Code von einer anfälligen Log4J Bibliothek verarbeitet wurde, sendet Canary eine E-Mail an die im Token hinterlegte E-Mail-Adresse mit Angabe des entsprechenden Hostnamens. Auch wenn im Snippet ein Eintrag mit ldap zu finden ist, so wird die Erkennung mit hoher Wahrscheinlichkeit durch DNS realisiert.

Hinweis: Es können mehrere Tokens erstellt werden. Besonders bei vielen Systemen erhält man dadurch eine bessere Übersicht, falls der Hostname nicht korrekt ausgegeben wurde.

Ein einfacher Weg potentiell anfällige Webanwendungen zu testen, ist die Verwendung eines Internet Browsers und eines benutzerdefinierten User-Agents.

Dazu im Browser (in diesem Beispiel Google Chrome) auf einer beliebigen Internetseite einen Rechtsklick machen und Untersuchen wählen.

Im öffnenden Teilfenster oben rechts auf den Doppelpunkt klicken und über Weitere Tools den Punkt Netzwerkbedingungen auswählen.

Im Reiter Netzwerkbedingungen nun zum Punkt User-Agent navigieren und den Haken bei Browserstandard verwenden entfernen. Im Dropdownmenü Benutzerdefiniert wählen und in das Textfeld das vorher erstellte Snippet einfügen.

Navigiert man nun über den Internet-Browser auf eine Webanwendung mit anfälliger Log4j Bibliothek und diese verarbeitet das Snippet, erhält man eine E-Mail von Canary mit Angaben zum betreffenden System.

Zur Wiederherstellung des standardmäßigen User-Agents, einfach die benutzerdefinierte Zeile löschen und den Haken bei Browserstandard verwenden wieder setzen.

Es sei nochmals erwähnt , dass das generierte Snippet nicht ausschließlich mit dem Browser verwendet werden muss. Dieses Beispiel ist eines von vielen Möglichkeiten.

Der Beitrag Log4j / Log4Shell – Erkennung und Benachrichtigung bei Schwachstellen in Anwendungen erschien zuerst auf Daniel Gutermuth.

In diesem Beitrag wird mit dem Bearbeiten der Offline-Registry ein weiterer DISM Anwendungsfall gezeigt.

Voraussetzungen

• Windows ISO
• Windows ADK

Für Informationen und Erklärungen bitte diesen Beitrag beachten. Die dort gezeigten Schritte werden im weiteren Verlauf vorausgesetzt!

Lösung

Eine PowerShell-Sitzung als Administrator starten.

Anschließend die Install.WIM mounten, um damit arbeiten zu können.

Hinweis: Der Befehl ist an dieses Beispiel angepasst. Die Pfade und der Index müssen dementsprechend geändert werden.

sdism /mount-wim /wimfile:C:\temp\WIM\install.wim /mountdir:C:\temp\Mount /index:3

Der Vorgang kann einen kurzen Moment dauern. Nach Abschluss ist die Arbeitsumgebung vorbereitet.

Damit die Registry des Offline Images geladen werden kann, muss ein entsprechender Befehl in der PowerShell ausgeführt werden. Hier ist es notwendig, einen Teil des Pfades individuell anzupassen.

Es besteht die Auswahl zwischen SOFTWARE, DEFAULT, DRIVERS, SAM und SYSTEM, welche jeweils im Befehl anzugeben sind.

reg load HKLM\OFFLINE MOUNTPFAD\Windows\System32\Config\Software
reg load HKLM\OFFLINE MOUNTPFAD\Windows\System32\Config\Default
reg load HKLM\OFFLINE MOUNTPFAD\Windows\System32\Config\Drivers
reg load HKLM\OFFLINE MOUNTPFAD\Windows\System32\Config\Sam
reg load HKLM\OFFLINE MOUNTPFAD\Windows\System32\Config\System

In diesem Beispiel wird SOFTWARE geladen.

Nun über die Windows-Suche die Registry mit regedit öffnen und über Computer\HKEY_LOCAL_MACHINE\OFFLINE in die geladene Offline-Registry navigieren und dort gewünschte Änderungen vornehmen.

Sobald die Arbeiten beendet sind, die Registry schließen und über PowerShell entladen.

reg unload HKLM\OFFLINE

Am Beispiel:

Zum Schluss müssen die gemachten Änderungen übernommen und das Image ausgebunden werden. Dazu einen letzten, angepassten PowerShell-Befehl eingeben und bestätigen.

Hinweis: Wenn man es sich doch anders überlegt hat, dann /Commit mit /Discard tauschen. Dadurch werden alle Änderungen verworfen.

dism /Unmount-Image /MountDir:C:\temp\Mount /Commit

Unmount anhand des Beispiels:

Anschließend kann die bearbeitete Install.WIM in Windows-Installationsdatenträgern eingebunden werden.

Der Beitrag Windows – Mit DISM die Registry eines Offline Images bearbeiten erschien zuerst auf Daniel Gutermuth.

Bei Unternehmen sieht das schon wieder ganz anders aus. Hier kann es durchaus vorkommen, dass regelmäßig PC aufgesetzt und bereitgestellt werden müssen. Eine Standard-Windows-ISO ist hierbei eher mit Mehrarbeit verbunden und kann damit nicht eingesetzt werden.

Für diese Zwecke gibt es das Tool DISM (Deployment Image Servicing and Management). Mit Hilfe dieses Tools können Windows Images beliebig angepasst werden. So ist es u. a. möglich vorinstallierte Apps zu entfernen, Windows-Features zu aktivieren oder zu deaktivieren, Windows-Updates hinzuzufügen und vieles mehr. Ziel ist es ein „Golden Image“ zu erstellen, welches als Basisvorlage für alle weiteren Bereitstellungen dient und den Arbeitsaufwand verringert.

In diesem Beitrag werden die Installation und Konfiguration der Bereitstellungstools, sowie die Funktionsweise und einige Möglichkeiten erläutert.

Hinweis: Alles auf eigene Gefahr!

Lösung

Zuerst wird eine Windows 10 oder Windows 11 ISO benötigt.

• Windows 10: Download
• Windows 11: Download

Hinweis: Windows Server wäre ebenfalls möglich. Der Fokus hier liegt aber auf Clients.

Anschließend das Windows Assessment and Deployment Kit (Windows ADK) herunterladen und installieren.

• Windows ADK: Download

Den Lizenzvertrag annehmen.

Die Feature-Auswahl auf Standard belassen und Installieren klicken.

Hinweis: Es müssen nicht alle Tools installiert werden! Die Bereitstellungstools würden hier auch ausreichen.

Nach Abschluss der Installation den Setup mit Schließen beenden.

Im nächsten Schritt empfehle ich drei Ordner anzulegen:

• WIM: Hier wird die Install.WIM aus der Windows ISO hineinkopiert
  • Die Install.WIM ist in der Windows ISO im Ordner Sources zu finden.

• ISO: Hier wird die komplette Windows-ISO entpackt.
• Mount: Hier wird die WIM gemountet („Arbeitsumgebung“).

Die Ordner WIM und ISO befüllen.

Eine PowerShell-Sitzung als Administrator starten.

Bevor es losgehen kann, muss der Index der zu verwendeten Windows-Version herausgefunden werden.

Für Unterhemen wäre das Windows Pro oder Windows Enterprise. In diesem Beispiel dient die Enterprise-Version als Basis.

Herausgefunden werden kann dies mit folgendem PowerShell-Befehl:

dism.exe /get-imageinfo /imagefile:PfadZurInstallWIM

Der Output sieht ungefähr wie im unteren Bild aus. Da in diesem Bespiel mit Windows Enterprise gearbeitet werden soll, muss Index 3 „gemerkt“ werden.

Jetzt ist es an der Zeit die Install.WIM zu mounten, um damit arbeiten zu können. Vereinfacht gesagt, wird hier der Arbeitsbereich eingerichtet.

Dazu wieder in die PowerShell wechseln und mit folgendem Befehl die Install.WIM aus dem WIM-Ordner mit Index 3 in den Ordner Mount anhängen.

Hinweis: Der Befehl ist an dieses Beispiel angepasst. Die Pfade und der Index müssen dementsprechend geändert werden.

sdism /mount-wim /wimfile:C:\temp\WIM\install.wim /mountdir:C:\temp\Mount /index:3

Der Vorgang kann einen kurzen Moment dauern.

Damit ist die Arbeitsumgebung vorbereitet und die Arbeit kann beginnen.

Windows wird bekanntermaßen mit allerlei Apps ausgeliefert, welche in Unternehmensumgebungen eher keine Verwendung finden und daher entfernt werden sollten.

Um einen Überblick der vorhandenen Apps zu erhalten, wieder in die PowerShell gehen und wie folgt ausführen:

dism.exe /image:C:\temp\Mount /Get-ProvisionedAppxPackages > C:\temp\software.txt

Hinweis: Der Befehl schreibt den Output in eine Textdatei namens Software.txt und legt diese im definierten Pfad C:\temp\software.txt ab. Für mich ist das übersichtlicher, als den kompletten Output in einem PowerShell-Fenster zu haben. Natürlich kann man es auch weglassen. Dafür muss alles nach Get-ProvisionedAppxPackages entfernt werden.

Der Output sieht ungefähr so aus:

Aus dieser Liste nun den PackageName jeder App heraussuchen die entfernt werden soll.

Hinweis: Leider kann nicht jede App entfernt werden. Dazu gehören Microsoft Edge, Cortana und ein paar andere Apps. Des Weiteren gibt es Apps die zwar entfernt werden könnten, aber nicht unbedingt sollten. Als Beispiel sei hier der Microsoft Store erwähnt. Dieser sollte lieber per GPO deaktiviert werden, da er ggf. später einmal benötigt werden könnte.

Eine Beispielliste an zu entfernenden Apps:

Um diese Apps zu entfernen, muss in PowerShell gewechselt werden und folgender Befehl mit dem entsprechenden PackageName abgesetzt werden:

(Als Beispiel mit der oberen App-Liste)

dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.Microsoft3DViewer_6.1908.2042.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.MicrosoftOfficeHub_18.1903.1152.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.MicrosoftSolitaireCollection_4.4.8204.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.MixedReality.Portal_2000.19081.1301.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.People_2019.305.632.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.SkypeApp_14.53.77.0_neutral_~_kzf8qxf38zg5c
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.Wallet_2.4.18324.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.WindowsAlarms_2019.807.41.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.WindowsMaps_2019.716.2316.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.Xbox.TCUI_1.23.28002.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.XboxApp_48.49.31001.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.XboxGameOverlay_1.46.11001.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.XboxGamingOverlay_2.34.28001.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.XboxIdentityProvider_12.50.6001.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.XboxSpeechToTextOverlay_1.17.29001.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.YourPhone_2019.430.2026.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.ZuneMusic_2019.19071.19011.0_neutral_~_8wekyb3d8bbwe
dism.exe /image:C:\temp\Mount /Remove-ProvisionedAppxPackage /PackageName:Microsoft.ZuneVideo_2019.19071.19011.0_neutral_~_8wekyb3d8bbwe

Auch hier kann es eine Weile dauern, bis der Vorgang abgeschlossen ist.

Optional können auch Windows Features aktiviert oder deaktiviert werden.

In diesem Beispiel deaktiviere ich das unsichere SMB1-Protokoll.

dism.exe /image:C:\temp\Mount /disable-feature /featurename:smb1protocol

Ebenso ist es möglich dem Image Windows-Updates hinzuzufügen.

Dafür müssen die entsprechenden Updates vom Microsoft Update Katalog heruntergeladen, der individuelle Pfad im PowerShell-Befehl angegeben und dieser anschließend ausgeführt werden:

Dism /Add-Package /Image:C:\temp\Mount /PackagePath=C:\temp\windows10.0-kb4456655-x64_fca3f0c885da48efc6f9699b0c1eaf424e779434.msu

Zum Schluss müssen die gemachten Änderungen noch übernommen werden. Auch hierzu gibt es einen PowerShell-Befehl:

Hinweis: Möchte man die Schritte rückgängig machen, so einfach den Befehl mit /discard statt /commit ausführen.

dism.exe /unmount-wim /mountdir:C:\temp\Mount /commit

Nach Abschluss kann das PowerShell-Fenster geschlossen werden.

Im letzten Schritt muss die ursprüngliche Install.WIM im ISO-Ordner mit der bearbeiteten Install.WIM aus dem WIM-Ordner überschrieben werden.

Anschließend sind die Daten im ISO-Ordner bereit auf einem Windows-installationsdatenträger bereitgestellt zu werden.

Weitere Informationen sind direkt bei Microsoft zu finden.

Der Beitrag Windows 10 / 11 – Angepasstes Image mit DISM erstellen erschien zuerst auf Daniel Gutermuth.