In den Windows-Vorgängerversionen war es tatsächlich der DHCP-Client, der die dynamische Namensregistrierung in DNS vornahm (normalerweise innerhalb einer AD-Domäne). Das führte besonders auf Servern zu der unangenehmen Situation, dass Admins, die den DHCP-Client abschalteten – in der Annahme, auf einem Computer mit statischer IP-Adresse benötige man diesen nicht –, damit gleichzeitig die dynamische Namensregistrierung deaktivierten. In der Folge waren dann oft Servernamen nicht per DNS auflösbar, was erst nach langem Troubleshooting auffiel.

Dummerweise allerdings hat Microsoft vergessen, die Beschreibung der Dienste innerhalb von Windows anzupassen. Noch in Windows 7 heißt es beim DHCP-Client:

Beim DNS-Client hingegen findet sich durchaus ein Hinweis auf die neue Funktion – wodurch aber nicht eben Klarheit entsteht:

Es ist erfahrungsgemäß leider nicht damit zu rechnen, dass die Beschreibung für die aktuellen Betriebssysteme noch korrigiert wird. Ob es in Windows 8 richtig stehen wird, bleibt abzuwarten.

Verwandte Beiträge:

1. vSphere-Client auf Windows 7 installieren
   Der aktuelle vSphere-Client (früher: VI-Client) von VMware läuft nicht auf...
2. DHCP Failover in Windows Server “8”
   Eine kleine, aber feine Änderung wird der DHCP-Dienst (voraussichtlich) im...
3. Wie kann man einen DHCP-Server unter Windows ausfallsicher gestalten?
   Der erste Gedanke zielt an dieser Stelle meist in Richtung...

Es gibt sicher viele Wege, ein vergessenes Kennwort zurückzusetzen, aber diese hier ist glaube ich die Einfachste und funktioniert auch an Domänencontrollern mit dem Domänen-Administrator-Konto. Ein bisschen erschrocken war ich schon, aber zumindest wird jetzt hoffentlich auch noch dem letzten klar, dass physischer Zugriff zu einem Server absolut keine gute Idee ist…

• Man nehme eine original Windows Server DVD (getestet mit Server 2008 und 2008 R2) und boote davon.
• Sprache auswählen und weiter.
• “Repair your Computer”
• aktuelle Instanz auswählen und weiter
• als Recovery Option den Punkt “Command Prompt” auswählen
• am Command Prompt wechseln nach c:\Windows\system32

Jetzt kommt die Magie:

• Die Datei utilman.exe (das ist die Eingabehilfe) umbenennen
  (move Utilman.exe Utilman.exe.bak)
• eine Kopie der cmd.exe erstellen als utilman.exe
  (copy cmd.exe Utilman.exe)

Das war es auch schon. Fast unglaublich, oder? Jetzt nur noch DVD raus und rebooten. Nach dem normalen Start bei der Login-Aufforderung reicht jetzt ein “Windows-U”, und schon öffnet sich statt der Eingabehilfe ein CMD-Fenster. Was jetzt kommt, dürfte klar sein:

net user administrator N_eues!PW123

Und schon kann man sich als Administrator mit dem gerade gesetzten Passwort anmelden. Nicht vergessen, später die alte utilman.exe wieder zurück zu kopieren, wir wollen doch nicht, dass jemand den Rechner hackt, oder?

Und wer jetzt schimpft, wie man so eine Lücke lassen kann, der sei erinnert an den Eingangssatz: Physischer Zugang zum Server ist die Wurzel allen Übels!

Verwandte Beiträge:

1. UAC: Den Explorer mit Admin-Rechten starten
   Nach einer langen Phase der Kritik haben sich die meisten...
2. Kennwortänderungsaufforderung per Email mittels Password Reminder Pro
   Das Problem Stellen Sie sich vor, Sie sind der Administrator...
3. Maulkorb für den OU-Admin
   In vielen Active-Directory-Umgebungen wird die Möglichkeit genutzt, bestimmten Mitarbeitern Berechtigungen...

Dieser Artikel erschien zuerst auf Bents Blog.

Wer öfter Systeme aufsetzen muss (egal ob Server oder Client), weiß, welche Dinge dafür benötigt werden. Das neu einzurichtende Gerät wird ausgepackt, oftmals im Servicebereich der IT-Abteilung aufgebaut und verkabelt. Danach beginnt erfahrungsgemäß die Suche nach dem passenden Datenträger. Geht man von den aktuellen Betriebssystemen für Server (Windows Server 2008 und R2) und Clients (Windows Vista und Windows 7)  in den jeweiligen Sprachen (Deutsch, Englisch, …), Versionen (Standard, Enterprise, …) und Architekturen (x86 oder x64) aus, so kommt da schnell eine beträchtliche Anzahl zusammen. Doch es geht auch viel eleganter – mit Hilfe der Windows-Bereitstellungsdienste im eigenen Netzwerk.

Voraussetzung: Die Windows-Bereitstellungsdienste (WDS) arbeiten nach dem Client-Server-Prinzip. Der Client fragt den Server und erhält darauf eine Antwort. Das bedeutet allerdings auch, dass der Client eine bestimmte Sprache spricht, in diesem Fall PXE (Preboot Execution Environment), in Kombination mit DHCP (Dynamic Host Configuration Protocol) . Diese Funktion muss in der Netzwerkkarte des Clients integriert sein – bei heutigen Modellen ist dies fast immer der Fall. Ferner benötigt man einen Server mit aktuellem Betriebssystem – in meinem folgenden Beispiel einen Windows Server 2008 R2. Diese muss Mitglied einer Domäne (Active Directory) sein, DHCP und DNS muss ebenso verfügbar und funktional sein. Auf dem System selbst wird (abhängig von der Anzahl der Betriebssysteme) entsprechend Festplattenplatz benötigt, doch dazu später mehr. Mit Hilfe des Server-Managers kann man in wenigen Minuten die Rolle "Windows-Bereitstellungsdienste" installieren:

Konfiguration: Nach der Installation muss der Server noch konfiguriert werden, um auf PXE-Anfragen (Preboot Execution Environment) reagieren zu können:

Möchte man aus Sicherheitsgründen nicht allen Computern im Netzwerk (die via DHCP eine IP-Adresse empfangen haben) per PXE antworten, kann man diese Funktion auf bekannte Computer eingeschränkt werden. Diese Computer müssen dann erst in der Domäne vorab bereitgestellt werden:

Über die MMC Active Directory-Benutzer und -Computer muss das Computer-Objekt manuell erstellt werden und als "Verwalteter Computer" mit einer eigenen GUID versehen werden. Der WDS-Server behandelt dann dieses Objekt alsbekannten Clientcomputer.

Bei der oben ausgewählten Richtlinie antwortet der WDS-Server allen Clients – auch hier kann aber die Sicherheit erhöht werden. So kann bei unbekannten Computern eine Administratorgenehmigung erforderlich gemacht werden, erst wenn dieser den Client akzeptiert, kann der Computer das PXE-Abbild laden.

Soll der installierte Client automatisch einer Domäne hinzugefügt werden, kann über verschiedene Filter der zukünftige Name definiert werden. In meinem Beispiel verwende ich die MAC-Adresse der Netzwerkkarte, da diese eineindeutig ist. Die IP-Adresse des Clients findet man sehr schnell in den Adressleases des DHCP-Servers, welcher als eindeutige ID ebenfalls die MAC-Adresse auflistet. Zum Speicherort des Computerkontos muss ich keine weiteren Worte verlieren, die Optionen sind selbsterklärend.

Achtung: Aufgrund eines Fehlers in einer DLL-Datei des WDS Servers muss vor der Nutzung des %MAC Filters einPatch von Microsoft eingespielt werden, da sonst für die MAC-Adresse des Clients ein NULL-Wert generiert wird, der zu doppelten Namenseinträgen führen würde.

Im Register "Start" kann das Verhalten des Clients nach dem PXE-Start definiert werden. Wenn der Client via DHCP eine IP-Adresse erhalten hat, beginnt der PXE-Start. Wird in diesem Fall nicht innerhalb von 3 Sekunden die Taste F12gedrückt, bootet der Client nach der Reihenfolge seiner BIOS-Einstellungen. Diese Option macht aus meiner Sicht am meisten Sinn, da sonst immer das PXE-Abbild geladen werden würde.

Wer die Funktion benötigt, kann für die jeweilige Architektur die unbeaufsichtigte Installation aktivieren. Dafür wird das Windows Automated Installation Kit (WAIK) benötigt, mit dem die Unattend.xml Datei(en) erzeugt werden können. Den automatischen Beitritt des Computers zu einer Domäne habe ich deaktiviert, da ich diese diverse Kundensysteme nicht erst in unsere eigene Service-Domäne (Installationsumgebung) heben möchte.

Abhängig davon, ob der Server auch ein DHCP-Server ist, darf dieser den Port 67 nicht abhören. In meinem Fall habe ich einen eigenen DHCP-Server im Netz der Service-Domäne – soll der WDS Server auf dem DHCP Server funktionieren, müssen beide Haken gesetzt werden.

Alle weiteren Optionen spare ich mir hier – sie sind sowohl selbsterklärend als auch mehr oder weniger in speziellen Umgebungen nötig, wie beispielsweise die Multicast-Übertragungen zum gleichzeitigen "Betanken" mehrerer gleichartiger Clients.

Vorbereiten des Servers: Zunächst muss der gewillte Administrator die Installations- und Startabbilder dem WDS-Server hinzufügen.

Das Startabbild findet man auf dem Installationsmedium im Ordner \Sources, die Datei selber heißt Boot.wim. Für jede Architektur (x86 und x64) wird jeweils ein eigenes Startabbild benötigt. Für die Installationsabbilder empfiehlt es sich, vor dem Hinzufügen selbiger, Gruppen zu definieren. Danach kann das jeweilige Abbild (wiederum aus dem Ordner\Sources, Dateiname Install.wim) hinzugefügt werden. Das folgende Bild zeigt alle unterschiedlichen Versionen vonWindows 7 und Windows Server 2008 R2 (also Kernel 6.1.x):

Wie zu erkennen, lässt diese Liste einen relativ großen Bedarf an Speicherplatz vermuten – doch weit gefehlt. Der WDS-Server führt bei der Erstellung der Installationsabbilder eine Deduplizierung der Dateien durch, dass heißt: Identische Dateien innerhalb mehrerer Abbilder werden nur einmal gespeichert und dann nur noch intern mittels Zeiger verlinkt. Sehr clever und nützlich, da die obige Liste so gerade einmal 11 GByte Speicherplatz verbraucht.

Damit ist der WDS-Server prinzipiell einsatzbereit. Wer allerdings öfter ähnliche oder gleiche Systeme installieren möchte, kann für diese Systeme notwendige Treiber (Display, Netzwerkkarte, SCSI-Controller etc.) im WDS-Server hinterlegen und via Filter automatisch installieren lassen. Das macht beispielsweise für VMware Clients großen Sinn (die sich genau wie physische Server via WDS installieren lassen), da die Treiber für diese Systeme bei jeder Installation identisch sind. Dazu fügt man die gewünschten Treiber im WDS-Server hinzu:

Die einzelnen Treiberpakete können nun noch in Gruppen eingeordnet werden. Ob ein Treiber auf dem zu installierenden Client aktiviert wird, entscheiden Filter. Diese vergleichen die hinterlegten Werte mit denen des BIOS des Clients – im folgenden Beispiel werden nur die Treiber der Gruppe "VMware Treiber" installiert, wenn der Client vom Hersteller "VMware, Inc." stammt:

WDS im Einsatz: Wie verhält sich nun eine Installation durch einen WDS-Server auf einem jungfräulichen System? Wie schon erwähnt macht der Einsatz eines WDS-Servers nicht nur für physische sondern ebenso für virtuelle Clients im Netzwerk durchaus Sinn. Das folgende Beispiel zeigt aber einen physischen Server von Hewlett-Packard, die Screenshots wurden mit Hilfe der HP Integrated Remote Console gemacht:

Beim Starten des Servers kann man sehr oft via Tastendruck den Bootvorgang vom Netzwerk aktivieren (bei HP immer Taste F12). Danach wird das PXE-BIOS der Netzwerkkarte geladen, die (hier im Beispiel) via DHCP eine IP-Adresse vom DHCP-Server 10.0.0.1/24 empfängt:

Im Bild ist die GUID des Servers rot markiert, die man benötigen würde, wenn nur bekannte Clients vom WDS-Server bedient werden sollen und das Computer-Objekt vorher im Active Directory erstellt werden muss (siehe oben). Im Bild wurde der PXE-Boot abgebrochen, da ich nicht innerhalb 3 Sekunden F12 gedrückt hatte – die Netzwerkkarte startet aber wenige Sekunden später den Vorgang erneut.

Nach dem PXE-Boot präsentiert der WDS-Server (im Beispiel 10.0.0.2/24 ) eine Auswahl der erstellten Startabbilder. Der Client lädt anschließend die hinterlegte Boot.wim der auch eventuell benötigte Treiber (Netzwerkkarte) vom WDS-Server lädt:

Nachdem das Startabbild erfolgreich vom Client geladen wurde wird die Installation des Betriebssystems gestartet, alle folgenden Schritte sind auch von Installationen von DVD bekannt:

Fazit: Die Windows-Bereitstellungsdienste (WDS) bieten die Möglichkeit, im internen Netzwerk, Clients die PXE-fähig sind, schnell und unkompliziert mit einem neuen Betriebssystem zu versehen. Die Suche nach einem passenden Datenträger entfällt, wer die Automatisierung völlig ausreizen mag, kann automatische Antwortdateien für die Installationen definieren, Clients automatisch zur Domäne hinzufügen und mit aktuellen Treibern versehen – ein Rollout à la carte.

Verwandte Beiträge:

1. Verwaltung von Benutzerprofilen leicht gemacht mit Helges Profil-Toolkit
   Am vergangenen Wochenende stellte ich mein Benutzerprofil-Toolkit auf der E2E...
2. Installation von NT4-Druckertreibern auf Windows Server 2003
   Für die meisten Drucker gibt es auf der Windows Server...
3. SP1-Problem bei Windows 7 und 2008 R2: WSUS-Installation optimiert
   Ein Eintrag im WSUS-Teamblog weist darauf hin, dass das Service...

Seit Windows Server 2008 (also Kernel 6.0.x) ist die Komponente Windows Image Backup (Windows Server-Sicherungsfeatures) im Betriebssystem integriert. Dies gilt auch für die Client-Versionen Windows Vista und Windows 7. Während die Funktion bei den Client-Betriebssystemen bereits vorinstalliert ist (Windows-Sicherung), muss das Feature auf einem Server zwar erst installiert werden, gehört aber eben zum Lieferumfang. Das Programm ermöglicht die vollständige Sicherung des Systems auf einen externen Datenträger (bspw. eine USB-Festplatte) oder eine Freigabe im Netzwerk. Bandlaufwerke werden nicht unterstützt. Das Programm eignet sich eingeschränkt für eine regelmäßige Datensicherung – für Disaster-Recovery-Zwecke ist es aber nahezu perfekt. Auf einem Client-Betriebssystem – wie etwa Windows 7 – kann ich den Einsatz als Backup-Programm wiederum empfehlen, handelt es sich auf einem solchen System oftmals doch um geringere Datenmengen.

Installation

Wer das Feature installiert, sollte auch gleichzeitig die Befehlszeilentools auswählen. Dahinter verbirgt sich das Kommandozeilen-Tool wbadmin, mit dem eine Skript-basierte Sicherung möglich wird.

Nach der Installation kann man über die grafische Konsole (Start, Programme, Verwaltung, Windows Server-Sicherung) eine Einmalsicherung durchführen, einen Sicherungszeitplan erstellen oder Wiederherstellungsoptionen wählen. Die grafische Konsole und ihre Funktionen unterscheidet sich bei der Server- und der Client-Version, ich gehe hier nur auf die Server-Variante näher ein.

Backup

Voraussetzungen

Typischerweise existiert in einer Serverumgebung immer ein Backupserver, der alle zu sichernden Daten final auf ein Band schreibt – unabhängig von der verwendeten Backupsoftware. Auf diesem Backupserver richtet man auf einem Laufwerk mit entsprechend freier Kapazität einen neuen Ordner ein

[Volume]\Backup

und gibt diesen anschließend im Netzwerk frei (bspw. Freigabename "Sicherungen"). In den Berechtigungseinstellungen der Freigabe wird für den Benutzer "Jeder" der Vollzugriff gesetzt. Im Reiter Sicherheit des Ordners können nun (bspw. innerhalb einer Domäne) die entsprechenden Benutzer (oder Gruppen) mit den erforderlichen Schreibrechten hinzugefügt werden. Anschließend kann auf den zu sichernden Server(n) die neue Netzwerkfreigabe

\\Backupserver\Sicherungen

genutzt werden. Dadurch lassen sich schnell einfache, mehrstufige Sicherungen der Server einrichten.

Hinweis: Während der Erstellung dieses Artikels ist mir durch Hinweise verschiedener Leser (Danke an Nils und Tim) aufgefallen, dass es große Unterschiede zwischen den Versionen der Windows Server-Sicherung von Windows Server 2008 und R2 gibt. Bei Einsatz eines Windows Server 2008 R2 ist die Sicherung nämlich um ein Vielfaches einfacher, da diese einen wesentlich größeren Funktionsumfang bietet. Das Backup wird deswegen für beide Server-Versionen gesondert betrachtet.

Windows Server 2008

Bei der Einmalsicherung hat der Administrator mehrere Optionen zur Auswahl:

Die vollständige Sicherung sichert alle lokalen Laufwerke, während bei der benutzerdefinierten Auswahl Laufwerke ausgeschlossen werden können. Eine Sicherung einzelner Verzeichnisse oder Dateien ist nicht möglich, es werden nur komplette Laufwerke gesichert. Das Systemvolume wird immer dann gesichert, wenn die Option "Systemwiederherstellung aktivieren" genutzt wird. Als Ziel kann entweder ein weiterer Datenträger (kein weiteres Volume auf dem selben Datenträger auf dem sich das Systemvolume befindet) oder die oben beschriebene, neu erstellte Netzwerkfreigabe verwendet werden:

Der Vorteil der Sicherung besteht darin, dass die Betriebssystem-integrierten VSS-Funktionen (Volume Shadow Copy Services) genutzt werden.

Dadurch wird zur Laufzeit ein konsistentes Backup erstellt, dass jederzeit für eine Systemwiederherstellung verwendet werden kann. Auf dem Backupserver wird durch die Sicherung die folgende Verzeichnisstruktur erstellt:

\\[Backupserver]\Backup\WindowsImageBackup\[Server]\Backup [Date][Time]

Der Servername ist dabei der Name des gesicherten Systems. In dem untersten Backup-Ordner befinden sich nach der Sicherung einige XML-Dateien (Konfigurationsdaten) und die Sicherung als VHD-Datei (Virtual Hard Disk). Bei der Sicherung mehrerer, verschiedener Systeme (durchaus auch zur gleichen Zeit) befinden sich unterhalb des Ordners WindowsImageBackup dann die entsprechenden Ordner mit den jeweiligen Servernamen. So gibt es eine zentrale Stelle aller Sicherungsabbilder, die zur Wiederherstellung genutzt und vom Backupserver auf Band gesichert werden können.

Leider lassen sich mit Hilfe des Sicherungszeitplanes beim Windows Server 2008 keine Sicherungen auf Netzlaufwerke planen, es können lediglich lokale Datenträger genutzt werden. Steht kein solcher zusätzlicher Datenträger zur Verfügung bricht die Einrichtung des Zeitplanes mit folgender Fehlermeldung ab:

Doch es gibt Abhilfe in Form eines Skriptes. Ich habe für diese Zwecke ein einfaches Batch (CMD-Datei) geschrieben (Voraussetzung sind die installierten Befehlszeilentools):

@echo off
set logfile=[LOGFILE]
echo Backup-Start: %DATE% um %TIME% Uhr > %logfile%
echo ———————————————————————- >> %logfile%
wbadmin start backup -backuptarget:\\[BACKUPSERVER]\[FREIGABE] -include:c:,d: -allcritical -quiet >> %logfile%
echo ———————————————————————- >> %logfile%
echo Backup-Ende:  %DATE% um %TIME% Uhr >> %logfile%

In dem Skript sind die Variablen [LOGFILE] durch den Pfad und Dateinamen der Protokolldatei zu ersetzten – sofern benötigt. Die Variablen [BACKUPSERVER] und [FREIGABE] müssen mit dem Namen des Zielservers und dessen Freigabe ersetzt werden. Außerdem müssen die Laufwerksbuchstaben nach der -include Option entsprechend dem jeweiligen System angepasst werden (Komma-getrennt). Der Schalter -allCritical bewirkt, dass automatisch alle Volumes in die Sicherung eingebunden werden, die für eine vollständige Wiederherstellung des Systems benötigt werden (Systemvolume). Das Skript kann nun als Task in der Aufgabenplanung des Servers verwendet werden, um die Systeme bspw. täglich in der Nacht zu sichern.

Windows Server 2008 R2

In der neuen Version der Windows Server-Sicherung des R2 hat sich einiges getan. Im Gegensatz zur alten Version können nun – sowohl bei der Einmalsicherung als auch mit Hilfe des Sicherungszeitplanes – fein granulierte Sicherungselemente ausgewählt werden. Wählt man den "Benutzerdefinierten Konfigurationstyp", so lassen sich in Elemente bis auf Dateiebene zur Sicherung hinzufügen:

Da der Sicherungszeitplan des Windows Server 2008 R2 nun als Zieltyp auch Netzwerkfreigaben unterstützt, wird das obige Skript nicht mehr benötigt. Stattdessen wählt man die zu sichernden Elemente, wie

• Bare-Metal-Recovery
• Systemstatus (wird bei Bare-Metal-Recovery automatisch gewählt)
• Systemvolume (wird bei Bare-Metal-Recovery automatisch gewählt)
• zusätzliche Ordner oder Dateien auf weiteren Volumes

aus. Unter den erweiterten Einstellungen lassen sich dann außerdem noch Ausschlüsse definieren (allerdings nur von Elementen auf zusätzlichen, nicht Bare-Metal-Recovery-relevanten Volumes) und VSS-Einstellungen konfigurieren. Danach kann eine tägliche Sicherungszeit oder auch mehrmalig pro Tag definiert werden:

Der Clou – und damit wesentlicher Vorteil und Unterschied zur Version vom Windows Server 2008 – ist aber, dass als Sicherungsziel nun ein freigegebener Netzwerkordner angegeben werden kann:

Nach der Eingabe der Benutzerauthentifizierung wird die Sicherung eingerichtet und im Hauptfenster des WDS angezeigt:

Windows Server 2008 und R2

Die Dauer einer (initialen) Sicherung ist abhängig von der Größe der Volumes und den installierten Anwendungen, den durchschnittlichen Änderungsdaten der zu sichernden Volumes, der Geschwindigkeit der Festplatten und des Netzwerkes – typischerweise benötigt sie mehrere Minuten. Beschleunigen lässt sich dieses Verhalten aber durch die Aktivierung der Funktion Schattenkopien auf dem bzw. den Quell-Laufwerk(en):

Wird diese Funktion aktiviert, werden diese Schattenkopien für die Sicherung verwendet. Abhängig von der Änderungsrate der Daten auf dem Quell-Laufwerk(en) dauert eine wiederholte Sicherung nur noch wenige Sekunden bis zu einigen Minuten. Eine akzeptable Zeit und eine super Funktion, wie ich finde.

Um Missverständnisse zu vermeiden, sei an dieser Stelle gesagt, dass mit dieser Variante – egal ob Windows Server 2008 oder 2008 R2 – KEINE inkrementellen Sicherungen erstellt werden. Das vorherige Backup wird immer durch die neue Sicherung ersetzt.

Die Version und die Art der Verwendung eines erstellten Backups für die Wiederherstellung kann mit Hilfe des Befehls

wbadmin get version -machine:[Server] -backuptarget:\\[Backupserver]\[Freigabe]

überprüft werden. Die Verwendung des -allcritical Schalters bei der Sicherung bewirkt, dass die Sicherung für ein "Bare-Metal-Recovery" verwendet werden kann:

Recovery

Leider wird – viel zu oft – die Wiederherstellung (in unterschiedlichen Szenarien) von Daten vernachlässigt oder erst gar nicht betrachtet. Dabei bedeutet eine funktionierende Datensicherung nicht, dass im Worst Case ein System innerhalb kürzester Zeit auch wieder betriebsbereit ist. Hier sind ebenfalls mehrstufige Konzepte notwendig und vor allen Dingen zu testen. Für die Windows Server-Sicherung betrachte ich hier den Fall, dass der Server vollständig wiederhergestellt werden muss (Start from scratch oder auch Bare Metal Recovery).

Zu Beginn benötigt man den Installationsdatenträger des ehemals installierten Betriebssystems. Experten können sich auch mit Hilfe des WAIK (Windows Automated Installation Kit) ein eigenes Startabbild erstellen und dieses auf einem WDS-Server via PXE bereitstellen – was den Vorgang deutlich komfortabler und schneller macht. Beim Booten vom Installations-Datenträger muss im Installationsmenü der Punkt Computerreparaturoptionen ausgewählt werden:

Im folgenden Fenster kann man für das betreffende System eventuell benötigte Treiber (bspw. Netzwerk) laden (USB wird unterstützt), um Zugriff auf das Sicherungsabbild im Netzwerk zu erhalten. Da das System "jungfräulich" ist, wird hier logischerweise kein installiertes Betriebssystem angezeigt.

Anschließend ist die Windows-Complete PC-Wiederherstellung zu starten:

Die erste Warnmeldung kann ignoriert und abgebrochen werden:

Danach wählt man den Punkt "Andere Sicherung wiederherstellen" und wählt unter "Erweitert" den Punkt "Im Netzwerk nach einer Sicherung suchen" aus:

Danach wird das Netzwerk gestartet und eine IP Adresse vom DHCP Server (erforderlich!) empfangen. Anschließend kann das Verzeichnis auf dem Backupserver angegeben werden:

Nun muss man sich noch authentifizieren um Zugriff auf die Sicherung zu erhalten und bekommt im folgenden Fenster die existierenden Sicherungen angezeigt.

Im nächsten Schritt muss noch das (oder die) entsprechende Volume(s) ausgewählt werden, die wiederhergestellt werden sollen.

Zum Abschluss kann man noch entscheiden, ob ein (Ziel-)Datenträger von der Wiederherstellung ausgeschlossen, zusätzliche Treiber installiert, der Computer nach der Wiederherstellung neu gestartet oder ein CHKDSK ausgeführt werden soll.

Achtung: Um böse Überraschung zu vermeiden, eine wichtige Information zur Größe des Zieldatenträgers. Der Datenträger, auf dem die Volumes (System und evtl. weitere) wiederhergestellt werden sollen, darf nicht kleiner sein als der ursprüngliche Datenträger – die Wiederherstellung kann sonst die Partitionsdaten nicht einrichten und meldet einen Fehler. Der umgekehrte Fall funktioniert problemlos.

Die Wiederherstellung dauert abhängig von der Netzwerkgeschwindigkeit und der Größe der Sicherung einige Minuten.

Das System wird im Anschluss neu gestartet. Je nach Einsatz des Servers sind evtl. noch weitere Rücksicherungsschritte notwendig (bspw. durch Backuplösung auf Dateiebene), das System ist aber sofort – mit seiner ursprünglichen Konfiguration – einsatzbereit und nutzbar.

Fazit

Wie schon erwähnt, nutze ich das Feature nur als automatisierte Recovery Option, sie ersetzt keinesfalls eine Backuplösung zum Zwecke der Wiederherstellung einzelner Dateien oder deren Stände. Auf Grund der Möglichkeit der Sicherung eines Systems zur Laufzeit, sowie der extrem schnellen Aktualisierungs-Sicherungen und der Integration im Betriebssystem (Sicherung und Wiederherstellung) bin ich von dem Produkt begeistert. Die Integration in einem mehrstufigen Sicherungskonzept, ist aus meiner Sicht deshalb sinnvoll und funktional. So sichern wir typischerweise Serversysteme immer mehrfach: mit Hilfe der Windows Server-Sicherung zu Recovery-Zwecken und zusätzlich auf Datei-Ebene mit einem weiteren Backup-Produkt. Man sollte immer bedenken: Eine Wiederherstellung kann immer nur dann zügig funktionieren, wenn bereits im Vorfeld verschiedene Faktoren beachtet und getestet wurden.

Verwandte Beiträge:

1. Windows Server Backup verstehen und nutzen
   Windows Server Backup ist das Werkzeug, das seit Windows Server...
2. Windows Server Backup: Einmalsicherung ungleich Sicherungszeitplan
   In Windows Server Backup hat man unter Windows Server 2008...
3. Exchange Server 2007 SP1 und Remote Streaming Backup
   Um eine Exchange Server Datenbank zu sichern, wird in den...

Natürlich gibt es dabei auch einige Dinge, die weniger befriedigend sind. Dazu zählt die Arbeit mit dem Windows-Explorer, wenn man Dateien in geschützten Systembereichen bearbeiten muss. Der Explorer ist nämlich der erste Anwenderprozess, den das System bei der Anmeldung startet, denn er stellt die Benutzeroberfläche dar. Alle weiteren Explorer-Fenster sind dann “Kind-Prozesse” und erben somit die Berechtigungen des “Ur-Explorer”. Die Folge: Aus dem Explorer kann man keine Prozesse mit erhöhten Rechten starten.

Die eingebaute Abhilfe ist wenig überzeugend: Versucht man, als Administrator unter UAC-Schutz auf einen geschützten Speicherbereich (wie etwa das System- oder das Programme-Verzeichnis) zuzugreifen, so bietet der Explorer an, höhere Rechte bereitzustellen. Im Hintergrund erledigt er das aber auf unerwartete Weise, denn er fügt das gerade angemeldete Benutzerkonto mit vollen Zugriffsrechten der Berechtigungsliste des Ordners bzw. der Datei hinzu. Das führt schnell zu unübersichtlichen Rechtestrukturen und liegt i.d.R. nicht in der Absicht des Admins.

Wenn man nun versucht, den Explorer per Rechtsklick ausdrücklich als Administrator zu starten, erhält man zwar eine UAC-Abfrage, aber der Vorgang ist wirkungslos. Auch ein derart gestartetes Explorer-Fenster ist in Wirklichkeit nämlich ein “Kind-Prozess” des ersten Explorers, der nun mal ohne Adminrechte läuft.

Thomas Vuylsteke hat nun eine Methode vorgestellt, mit der sich das Problem umgehen lässt. Es ist allerdings normalerweise nicht für Client-Rechner geeignet, sondern zielt eher auf Server, an denen Admins direkt etwas durchführen müssen. Auch dort hat das Vorgehen seine Schattenseiten, die man kennen sollte.

Windows bietet schon lange die Möglichkeit, Explorer-Fenster in einem eigenen Prozess zu starten. Sie verbirgt sich in den “Ordner- und Suchoptionen” des Explorers:

Wer dies allerdings aktiviert und nun erwartet, einzelne Explorer-Fenster mit Administratorrechten starten zu können, sieht sich getäuscht. Denn diese Einstellung funktioniert anders, als viele es erwarten. Es ist eine Grundsatzeinstellung, die im Wesentlichen den “Ur-Explorer” (also den Explorer-Prozess, der bei der Anmeldung die Bedienoberfläche darstellt) einerseits und alle danach geöffneten Explorer-Fenster andererseits voneinander trennt. In der Folge gibt es dann genau zwei Explorer-Prozesse: Der erste stellt das GUI dar und läuft ohne Adminrechte. Den zweiten Prozess erzeugt Windows, wenn der Anwender nach der Anmeldung das allererste Mal ein Explorer-Fenster öffnet. Alle danach folgenden Explorer-Instanzen leiten sich dann von diesem ersten manuell gestarteten Explorer ab und übernehmen dessen Prozessberechtigungen.

Wer also diese Einstellung setzt, muss danach zuerst alle offenen Explorer-Fenster schließen. Dann kann er per Rechtklick einen neuen Prozess mit Adminrechten starten – und siehe da, alle folgenden Explorer haben nun auch Adminrechte.

Vorsicht aber: Das bedeutet, dass auch alle Prozesse, die man von diesem Admin-Explorer aus startet, über volle Adminrechte verfügen! Effektiv bedeutet das, dass man auf diese Weise sehr weitgehend auf den Schutz durch UAC verzichtet. Als Standard-Maßnahme ist dies also nicht geeignet!

Für ein bestimmtes Einsatz-Szenario ist diese Technik aber eben gut geeignet: Für Administratoren, die auf Dateiservern Berechtigungen ändern müssen. Um den Vorgang für diesen Fall zu erleichtern, hat Thomas ein pfiffiges Verfahren entwickelt, das mit Hilfe von Group Policy Preferences die Voreinstellung automatisch ausrollt. Näheres siehe in seinem Posting:

[Using Windows Explorer together with UAC | ADdict]
http://setspn.blogspot.com/2010/11/using-windows-explorer-together-with.html

Verwandte Beiträge:

1. Admin-Kennwort ganz einfach zurücksetzen
   Dieser Beitrag erschien zuerst auf Ralfs Blog. Es gibt sicher...
2. Explorer in Windows 7: Einige Hinweise
   Mit jedem neuen Windows gibt es auch einen neuen Dateimanager....
3. Der Internet Explorer 9 kommt am 15. März
   Das Windows-Blog hat es gestern verkündet: Der Internet Explorer 9...

Es gibt mit den Group Policy Preferences eine sehr effiziente Methode, BGInfo automatisch auf alle Server ab Windows Server 2003 zu installieren und die Ausführung zu automatisieren.

Der Trick besteht darin, dass man die BGInfo-Dateien (BGInfo.exe und eine Konfigurationsdatei) zentral auf einem internen Server ablegt. Per Group Policy Preferences  (GPP) kopiert man sie dann lokal auf die Server und sorgt für die Ausführung. Hierzu erzeugt man – ebenfalls über GPP – zunächst den Zielordner und abschließend den Link im Startmenü/Autostart, der BGInfo dann bei der Anmeldung mit der passenden Konfigurationsdatei ausführt.

Dabei ist es praktisch, dass man die Vorgaben für solche Group Policy Preferences sehr einfach ex- und importieren kann. Näheres dazu hat Florian Frommherz in folgendem Artikel beschrieben:

[Importieren und Exportieren von Group Policy Preferences - Aktives Verzeichnis Blog]
http://blogs.technet.com/b/deds/archive/2009/03/25/importieren-und-exportieren-von-group-policy-preferences.aspx

Update 15. November 2010: In der vorherigen Fassung der XML-Dateien war ein kleiner Fehler enthalten. Dort war die Aktion für die zu verteilenden Dateien auf “Aktualisieren” gesetzt. Sie muss allerdings auf “Ersetzen” stehen, damit die Dateien, wenn man sie auf dem Dateiserver aktualisiert, auch tatsächlich auf allen von den GPP betroffenen Servern ausgetauscht werden. Die heute erneuerte Fassung der Download-Datei berücksichtigt dies. (Danke für den Hinweis an Matthias Zoss!)

Folgendermaßen kann man vorgehen:

1. Download einer Vorlage für GPP von unserer Seite (inklusive Konfigurationsdatei):
   Note: There is a file embedded within this post, please visit this post to download the file.
2. Anpassen der Pfade in den XML-Dateien:
   Im Wesentlichen reicht es aus, die Datei “Files BGInfo.xml” aus dem Zip-Archiv mit Notepad zu öffnen und an zwei Stellen den Pfad “\\server\share\BGInfo\” an die lokalen Gegebenheiten anzupassen. Speichern, fertig.
3. Erzeugen eines GPO-Objektes, das später an die OU mit den Servern gekoppelt wird.
4. Öffnen des GPO, dort dann den Ordner Computerkonfiguration/Einstellungen/Windows-Einstellungen/Dateien erweitern.
   
5. Die XML-Datei “Files BGInfo.xml” aus dem Explorer kopieren (per Zwischenablage). In den Detailbereich des GPO wechseln, Rechtsklick, Einfügen. Es sollten nun zwei Einträge dort stehen.
   
6. Nun den Ordner “Ordner” im GPO öffnen. Die Datei “Folders BGInfo.xml” im Explorer in die Zwischenablage kopieren und wie zuvor in den Detailbereich des GPO unter “Ordner” einfügen. Dort sollte dann ein Eintrag stehen.
   
7. Schließlich in den Ordner “Verknüpfungen” auf dieselbe Weise die Datei “Links BGInfo.xml” einfügen.
   
8. Ablegen der Dateien BGInfo.exe und der BGI-Konfigurationsdatei auf dem Server in der Freigabe, die man in Schritt 2 in die XML-Datei eingetragen hat.
9. Das war’s.

Das so entstandene GPO nun mit der OU verküpfen, in der die Computerkonten der Server gespeichert sind. Von da an sollten alle Server beim nächsten Logon das BGInfo-Hintergrundbild anzeigen. Für Server unter Windows Server 2003 muss man ggf. noch die CSEs für GPP hinzufügen, die neueren Systeme enthalten dies bereits.

Wer die BGI-Datei bearbeiten möchte, kann sie direkt mit BGInfo.exe öffnen. Dort kann man z.B. auch Skripte einbinden, die zusätzliche Informationen erzeugen. Die nötigen Skriptdateien legt man dann auch auf dem Server ab und bindet sie unter "Dateien" im GPP ein.

x86: [Download details: Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)]
http://www.microsoft.com/downloads/en/details.aspx?FamilyId=BFE775F9-5C34-44D0-8A94-44E47DB35ADD&displaylang=en

x64: [Download details: Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)]
http://www.microsoft.com/downloads/en/details.aspx?FamilyId=29E83503-7686-49F3-B42D-8E5ED23D5D79&displaylang=en

[BgInfo]
http://technet.microsoft.com/de-de/sysinternals/bb897557.aspx

[faq-o-matic.net » BGInfo um eigene Datenfelder erweitern]
http://www.faq-o-matic.net/2007/09/05/bginfo-um-eigene-datenfelder-erweitern/

Verwandte Beiträge:

1. Gruppenrichtlinien für Office 2010
   Bereits seit zwei Wochen sind die ADM- und ADMX-Dateien verfügbar,...
2. Gruppenrichtlinien per Skript lesen und schreiben
   ReadPol.vbs liest und schreibt (!) registry.pol-Dateien, die in Gruppenrichtlinien verwendet...
3. Einstellungen für Gruppenrichtlinien finden
   Und wieder ein Hinweis auf interessanten Lesestoff: Auf dem Blog...

Natürlich kann man diese Adresse nachträglich ändern, nur leider ist der Weg dahin etwas versteckt. Man öffnet dazu im Server-Manager (oder im Cluster-Manager) den Eintrag des Clusters. Im mittleren Teil des Fensters recht weit unten findet sich dann der Eintrag “Hauptressourcen des Clusters” (im Original: “Cluster Core Resources”). Er ist zugeklappt und daher leicht zu übersehen.

Man öffne ihn und die darunter liegenden Einträge – und siehe da, dort ist die Cluster-IP-Adresse. Nachdem man die korrekte Adresse und Netzwerkverbindung zugewiesen hat, starte man alle Clusterknoten einmal neu. Abschließend vergewissere man sich, dass IP-Adresse und Name korrekt in DNS eingetragen sind und dass alle administrativen Arbeiten funktionieren.

Verwandte Beiträge:

1. Hyper-V, Cluster und VMM: Ein paar Detailhinweise zur Installation
   Bei der Einrichtung des Demo-Netzwerks für mein iX-Seminar zu Hyper-V...
2. Exchange 2010 als virtueller Cluster
   Wer Exchange Server 2010 in einer virtualisierten Umgebung einsetzen möchte,...
3. Virtual Machine Manager 2012 Beta
   Erstaunlich heimlich hat Microsoft eine öffentliche Beta-Version des System Center...

[Datenschutz: Backup-Grundlagen für Windows Server 2008 R2 | TechNet Magazine]
http://technet.microsoft.com/de-de/magazine/ff625293.aspx

Verwandte Beiträge:

1. Windows Server Backup: Einmalsicherung ungleich Sicherungszeitplan
   In Windows Server Backup hat man unter Windows Server 2008...
2. Windows Image Backup: Server-Sicherung zur Laufzeit und Wiederherstellung
   Dieser Artikel erschien zuerst auf Bents Blog. Seit Windows Server...
3. Service Pack 1 für Windows 7 und Server 2008 R2 ist RTM!
   Ich zitiere Michael Kleef vom TechNet-Blog: Windows Server 2008 R2...

Gehört man nun zu denen, die regelmäßig unterschiedliche Betriebssysteme installieren, bei Kunden, in Schulungsräumen, zuhause, in Testumgebungen etc., dann ist es sicherlich interessant, auf einem USB Stick mehr als nur die eine Version zu hinterlegen. Dieser Artikel beschreibt es für Windows 7 und Server 2008, Vista und PE lassen sich über den gleichen Weg integrieren, selbst Linux ist möglich. Was noch ein interessantes Szenario für diverse Datenrecovery und auch Datenshredder bietet.

Kleiner Wermutstropfen: Man muss innerhalb der Systemarchitektur bleiben, also entweder nur x86 oder nur x64.

Benötigte Werkzeuge: cmd.exe, diskpart.exe, bcdedit.exe

1. USB Stick vorbereiten – Teil 1, Shorttrack

USB Stick partitionieren, aktivieren, mit Fat32 formatieren

cmd -> diskpart öffnen
list disk
select disk X (Nr. USB Drive)
clean
create partition primary
select partition 1
active
format fs=fat32 quick

2. Copy der Windows 7 DVD 1zu1 auf die CD

… fertig. Damit ist der Stick bootfähig und kann die Windows 7 Installation starten.

Wie bringe ich nun mehr als eine DVD auf den Stick?

Hier mal am Beispiel von Windows 7 und Windows Server 2008 als Erweiterung.

3. USB Stick vorbereiten – Teil 2, Shorttrack

Kleine Änderungen an der Verzeichnisstruktur zu Übersichtlichkeit
Definition von zwei Verzeichnissen, in denen das Installations-Image (install.wim) zu finden ist.

a) Rename \sources in \sources7
b) Copy \sources der 2008 DVD nach \sources2008R2 auf dem Stick
c) Copy der anderen Ordner der 2008 CD zB nach \CD-Win2008R2, denn adprep etc braucht man schon mal.

4. Bootmanager konfigurieren – Shorttrack

• Anschauen der aktuellen Boot Konfiguration
• kopieren des {default} Bootmenü Eintrags (2mal) mit Definition Namenseintrag
• löschen des {default} eintrags
• Eintragen der beiden kopierten EInträge anhand ihrer erzeugten GUID
• und Angabe des Pfades zur BOOT.WIM

In meinem Beispiel hat der USB-Stick den Buchstaben H:, und ich verwende die Ordner \sources7 und \sources2008R2. Achtet darauf, dass ihr die richtigen GUIDs dem passenden Pfad zuordnet.

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
default                 {default}
displayorder            {default}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {default}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows Setup
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

H:\>bcdedit /store H:\BOOT\BCD /copy {default} /d Windows7-Enterprise
Der Eintrag wurde erfolgreich in {6d1a4c09-124f-11df-a634-0013773cb55d} kopiert. 

H:\>bcdedit /store H:\BOOT\BCD /copy {default} /d Windows2008-R2
Der Eintrag wurde erfolgreich in {744a4cdf-124f-11df-a634-0013773cb55d} kopiert. 

H:\>bcdedit /store H:\BOOT\BCD /delete {default}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
displayorder            {6d1a4c09-124f-11df-a634-0013773cb55d}
                        {744a4cdf-124f-11df-a634-0013773cb55d}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {6d1a4c09-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows7-Enterprise
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

Windows-Startladeprogramm
-------------------------
Bezeichner              {744a4cdf-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows2008-R2
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

H:\>bcdedit /store H:\BOOT\BCD /set {744a4cdf-124f-11df-a634-0013773cb55d} device ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {744a4cdf-124f-11df-a634-0013773cb55d} osdevice ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {6d1a4c09-124f-11df-a634-0013773cb55d} device ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD /set {6d1a4c09-124f-11df-a634-0013773cb55d} osdevice ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
Der Vorgang wurde erfolgreich beendet. 

H:\>bcdedit /store H:\BOOT\BCD 

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
description             Windows Boot Manager
locale                  en-US
inherit                 {globalsettings}
displayorder            {6d1a4c09-124f-11df-a634-0013773cb55d}
                        {744a4cdf-124f-11df-a634-0013773cb55d}
toolsdisplayorder       {memdiag}
timeout                 30 

Windows-Startladeprogramm
-------------------------
Bezeichner              {6d1a4c09-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
path                    \windows\system32\boot\winload.exe
description             Windows7-Enterprise
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources7\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes 

Windows-Startladeprogramm
-------------------------
Bezeichner              {744a4cdf-124f-11df-a634-0013773cb55d}
device                  ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f} 

path                    \windows\system32\boot\winload.exe
description             Windows2008-R2
locale                  en-US
inherit                 {bootloadersettings}
osdevice                ramdisk=[boot]\sources2008R2\boot.wim,{7619dcc8-fafe-11d9-b411-000476eba25f} 

systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes

Verwandte Beiträge:

1. Windows Server 2008 und Vista SP1 sind fertig!
   Mittlerweile pfeifen es schon viele Spatzen von den Dächern: Seit...
2. Terminal Server 2008 einrichten
   Als Grundlage eines TS 2008 dient in diesem Beispiel ein...
3. Dynamische DNS-Updates seit Vista nicht mehr per DHCP-Client
   Gerade machte Yusuf Dikmenoglu auf ein Detail aufmerksam, das ich...

Der von Microsoft vorgesehene Weg geht “zu Fuß” über ADSI Edit oder einen Text-Import – die entsprechende Fehlerwahrscheinlichkeit gibt’s gratis dazu. Unser Autor Frank Röder hat das vor einiger Zeit hier dargestellt:

[faq-o-matic.net » Mehrere Kennwortrichtlinien in einer Domäne]
http://www.faq-o-matic.net/2007/05/21/mehrere-kennwortrichtlinien-in-einer-domaene/

Es gibt allerdings Abhilfe. Die Firma Parhelia Tools stellt ein kostenloses grafisches Werkzeug bereit, mit dem sich die “Password Settings Objects” komfortabel erzeugen und verwalten lassen.

Der “Password Policy Manager” kann Folgendes:

• PSOs erzeugen, bearbeiten und löschen
• PSOs auf Benutzer oder Gruppen anwenden oder entfernen
• PSOs suchen
• PSO-Einstellungen auflisten
• PSOs nach LDIF exportieren (z.B. zum Übertragen aus der Test- in die Produktionsumgebung)
• Und: Das Werkzeug ist Freeware!

Download:

[Parhelia Tools - Password Policy Manager]
http://www.parhelia-tools.com/products/ppm/ppm.aspx

Verwandte Beiträge:

1. Mehrere Kennwortrichtlinien in einer Domäne
   Endlich ist es soweit! Unterschiedliche Kennwortrichtlinien können innerhalb einer Domäne...
2. Flexible Kennwortrichtlinien
   In vielen Firmen ist die Situation hinsichtlich der Kennwortsicherheit leider...
3. TechNet-Foren jetzt endlich auf Deutsch!
   Vor wenigen Tagen hat Microsoft endlich seine neuen TechNet-Foren auch...