Tipps & Tricks:
Linux, PowerShell, Active Directory
Linux, Powershell, Active Directory
1. Linux Windows-Subsystem for Linux
In Windows 10 lässt sich schon länger das Windows
Subsystem for Linux nutzen. Es stammt direkt von den Ubunu-Entwicklern. Mit Ubuntu Bash können Administratoren in Windows 10 ab dem Anniversary Update auch LinuxBefehle nutzen und müssen dazu nicht mehr in den Entwicklermodus wechseln. Aktivieren Sie das Windows-Subsystem in den optionalen Features. Danach sollten Sie außerdem alle aktuellen WindowsUpdates installieren. Dann steht in Befehlszeile und PowerShell der Befehl bash zur Verfügung. Microsoft geht im MSDN ( https://msdn.microsoft.com/commandline/ wsl/about) ausführlicher auf die Möglichkeiten ein.
2. Wordpress Multi-Faktor-Authenti zierung nutzen – Google und Rublon
Ebenso wie bei anderen Diensten im Netz ist MultiFaktor-Authenti zierung auch bei Wordpress sinnvoll. Hier können Sie zum Beispiel auf das Plugin WP Google Authenticator setzen ( https://wordpress.org/ plugins/wp-google-authenticator). Nachdem Sie das Plugin eingebunden haben, müssen sich Benutzer zusätzlich mit einem Einmal-Kennwort anmelden. Das Plugin setzt auf die Google Authenticator App auf, die auch für Smartphones zur Verfügung steht. Nachdem das Plugin installiert ist, verbinden Sie die Wordpress-Seite mit der App.
3. Automatische Patchverteilung Windows 10 an WSUS anbinden
Damit die Clients mit Windows 10 Updates von WSUS herunterladen und installieren, müssen diese so kon guriert sein, dass sie keine Patches aus dem Internet herunterladen. Das hat sich in Windows 10 im Vergleich zu den Vorgängern nicht verändert. WSUS verteilt die Patches nicht automatisch an die Clients, sondern lädt die Aktualisierungen nur aus dem Internet herunter und stellt diese bereit, sobald die Administratoren es genehmigen. Die Clients holen die Patches selbst vom WSUS-Server und installieren sie automatisch, abhängig von lokalen Einstellungen beziehungsweise denen der Gruppenrichtlinien. Die Kon guration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter Computerkon guration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor.
4. Windows-Updates Anbindung an WSUS überprüfen
Nur wenn Clientrechner mit dem WSUS-Server fehlerfrei kommunizieren können, ist eine automatische Verteilung von Patches möglich. Um zu überprüfen, ob ein Rechner erfolgreich an WSUS angebunden wurde und die Einstellungen in den Gruppenrichtlinien funktionieren, reicht das Ausführen von rsop.msc als Administrator auf dem Rechner. Die Einstellungen für die Gruppenrichtlinien werden im Fenster angezeigt. Nach der Kon guration der Richtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der WSUS-Administrationsober äche erscheinen. Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls wuauclt /detectnow eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch nicht angebunden, sollte in der Befehlszeile gpupdate /force und dann Wuauclt.exe /reportnow /detectnow eingegeben werden. Sobald ein Windows-10-Rechner ange-
bunden ist, erscheint der Link Suchen Sie online nach Updates von Microsoft Update in der lokalen Verwaltung der Updates. Dieser Link erscheint ohne die Anbindung an WSUS nicht, da hier die Installation von Updates ohnehin über das Internet erfolgt. Sie können auch in Windows 10 und Windows Server 2016 in der Eingabeaufforderung oder der PowerShell mit dem Tool wusa.exe Windows-Updates installieren und deinstallieren: Wusa.exe <MSU-Datei des Patches> /quiet /
norestart
Die Option /quiet installiert ohne Rückmeldung, durch die Option /norestart startet der Computer auch dann nicht neu, wenn der Patch das fordert. Mit der Option /uninstall deinstallieren Sie Updates: Wusa.exe /uninstall /kb:<Knowledgebase-
Nummer des Patches>
In der Eingabeaufforderung können Sie auch in Windows 10 und Windows Server 2016 die installierten Updates anzeigen lassen. Dazu wird der Befehl wmic qfe verwendet. Auch in der PowerShell lassen sich die installierten Updates anzeigen. Dazu wird das CMDlet get-hot x verwendet. Das CMDlet kann aber nicht nur Updates des lokalen Rechners anzeigen, sondern auch Updates, die auf Rechnern im Netzwerk installiert sind: Get-hotfix -computername <Name des Rechners>
5. Monitoring Systemprozesse und Dienste in der PowerShell steuern
Eine häu ge Administrationsaufgabe ist die Verwaltung der laufenden Prozesse auf einem Server. Über den Befehl Get-Process können Sie sich alle laufenden Prozesse eines Computers anzeigen. Wollen Sie aber zum Beispiel nur alle Prozesse mit dem Anfangsbuchstaben S angezeigt bekommen, geben Sie den Befehl Get-Process s* ein. Sollen die Prozesse zusätzlich noch sortiert werden, zum Beispiel absteigend nach der CPU-Zeit, geben Sie Get-Process s* gefolgt von der Pipe-Option |Sort-Object cpu -Descending ein. Dienste können Sie in der PowerShell mit Start-Service,Stop-Service,Get-Service und SetService starten und beenden.
6. Diagnose in der Shell Die PowerShell mit Active Directory nutzen
Mit der PowerShell können Sie prüfen, ob ein Server kompatibel mit Active Directory ist. Außerdem können Sie Active Directory über die PowerShell installieren und nach der Installation diese und die Replikation prüfen. Dabei helfen einige effektive CMDlets.
In der PowerShell testen Sie Domänencontroller mit den Cmdlets Test-ADDSDomainControllerInstallation,T est-ADDSDomainControllerUninstallation, Test-ADDSDomainInstallation,T est-ADDSForestInstallation und Test-ADDSReadOnlyDomainControllerAccountCreation. Um die Tests auzuführen, müssen Sie noch Benutzername und Kennwörter eingeben. Die akzeptiert das entsprechende Cmdlet nur als sichere Eingabe. Ein Beispiel für den Befehl ist: Test-ADDSDomainControllerInstallation -Domainname <DNS-Name der Domäne> -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)
7. Skripting Druckerverwaltung mit PowerShell
Mit dem CmdLet Get-WmiObject lesen Sie Druckerinformationen zur Problembehebung aus. Dazu verwenden Sie folgende Erweiterungen: Win32_Printer – Druckerwarteschlangen Win32_PrintJob – Druckjobs Win32_PrinterDriver – alle Treiber, die installiert sind Win32_TCPIPPrinterPort – IP-Ports Win32_PrinterCon guration – Druckerkon guration Win32_PrinterSetting – Druckerinformationen zu allen Druckern Win32_PrinterShare – Freigaben der Drucker Win32_PrinterDriverDll – installierte DLLs Auf diesem Weg erhalten Sie also schnell wichtige Informationen zu den Druckern, Warteschlangen und den installierten Treibern und Kon gurationen.
8. Troubleshooting Namensau ösung in der PowerShell testen
Ein wichtiger Befehl zur Au ösung von Rechnernamen ist resolve-dnsname (bit.ly/2g3actG). Der steht ab Windows 8.1 und Server 2012 R2 zur Verfügung. Wollen Sie eine Namensau ösung für einen Server mit allen notwendigen Host-Einträgen, TTL und IPAdressen durchführen, geben Sie resolve-dnsname <Name des Rechners> ein. Resolve-DnsName -type all <DNS-Zone> zeigt Informationen zur eigentlichen DNS-Zone an. Um den Namen eines Computers auf Basis der IP-Adresse aufzulösen, verwenden Sie resolve-dnsname <IP-Adresse>. Anschließend zeigt die PowerShell die gefundenen Rechner sowie deren Reverse-Lookup-Zone an.
9. Active Directory Skripte in Gruppenrichtlinien nutzen
Skripte zur Automatisierung von Windows-Aufgaben (z.B. die An- und Abmeldung von Benutzern oder das Starten und Herunterfahren von Computern) lassen sich auch in Gruppenrichtlinien integrieren. Dadurch wird sichergestellt, dass die gewünschten Aufgaben regelmäßig durchgeführt werden. Skripts für Computer zum Starten und Herunterfahren werden über Computerkon guration/Richtlinien/Windows-Einstellungen/Skripts gesteuert, Skripts für Anwender beim An- oder Abmelden über Benutzerkon guration/Richtlinien/WindowsEinstellungen/Skripts. Legen Sie die entsprechende Gruppenrichtlinie an und verknüpfen Sie sie mit der Domäne oder den gewünschten Organisationseinheiten. Öffnen Sie die Bearbeitung der Gruppenrichtlinie und navigieren Sie zu dem Bereich, für den Sie das Skript hinterlegen wollen. Klicken Sie doppelt auf den jeweiligen Eintrag. Klicken Sie auf die Schalt äche Dateien anzeigen. Es öffnet sich ein ExplorerFenster, in dem das Verzeichnis der Gruppenrichtlinie geöffnet wird. In diesem Verzeichnis müssen die Skript-Dateien gespeichert sein. Klicken Sie anschließend auf die Schalt äche Hinzufügen und wählen Sie das Skript aus. Thomas Joos/whs