ActiveDirectory: OU definieren für neue Computer-Objekte

Problem:
Wenn wir neue Computer in die AD aufnehmen und diese nicht in die richtige OU Verschieben, dann wirken die ganzen GPOs nicht auf den jeweiligen Rechner (Software, Einstellungen, Admins etc.). Ich wollte eine Benachrichtigung beim Anmelden bekommen, wenn der Computer sich noch in der Default-OU befindet. Da die OU "Computers" keine GPOS zulässt, wollte ich neue Computer in einer eigenen OU Erstellen und hier eine Inital-GPO wirken lassen mit Benachrichtigungstext beim Anmelden.


Lösung:
Die Voraussetzungen für die nachstehende Lösung ist eine Domänenlevel mindestens "Windows Server 2003".

Folgende Vorgehensweise um die neue Default-OU für Computer zu erstellen:

1.) Erstellen Sie eine neue OU (z.B. "NewComputers") und schützen Sie diese vor unabsichtlichen Löschen!

2.) Geben Sie auf einem DC folgenden Befehl in einer CMD mit Admin-Rechten ein:
redircmp OU=NewComputers,DC=domain,dc=tld
(z.B. in der Domäne demo.local würde der Befehl wie folgt heißen: redircmp OU=NewComputers,DC=demo,dc=local)

3.) Testen der neuen Einstellung, in dem man einen Computer der Domäne hinzufügt!


Quelle:IT Pro Central: How to define an OU as default location for new Computer objects

Server 2003: Windows Remote Management Dienst startet nicht mehr (WinRM)

Problem:
Der Windows Remote Management Dienst starte nicht mehr. Versucht man Ihn manuell zu starten, wird er sofort wieder beendet.
Ein Blick ins Ereignisprotokoll zeigt den Fehler 1300 für WinRM:


Lösung:
Nach kurzer Suche im Netz habe ich auch gleich eine Lösung gefunden. Damit der Dienst starten kann benötigt der Dienst-Benutzer das Recht zum "Generieren von Sicherheitsüberwachungen". Ich wollte dies mittels "secpol.msc" anpassen auf dem Server, aber da war das Hinzufügen ausgegraut. Nach kurzer Suche, war mir klar warum...es handelt sich hierbei um einen Domänencontroller und somit war die Änderung dieser Einstellung nur über die "Default Domain Controller Domain Controllers Policy" möglich. Hier habe ich folgendes angepasst:

- Navigieren zu "Richtlinie" -> "Windows-Einstellungen" -> "Sicherheitsrichtlinien" -> "Zuweisen von Benutzerrechten" -> "Generieren von Sicherheitsüberwachungen"

- Hier den zusätzlichen Benutzer eintragen (bei mir der Netzwerkdienst)

- Policy schließen und "gpupdate" auf dem DC ausführen

- WinRM-Dienst starten -> Fertig!

HINWEIS: Bei Member-Servern (Nicht-DCs), kann die Änderung auch über "Secpol.msc" durchgeführt werden.

Quelle zur Lösungsfindung:
XenDesktop 5.6 – The WinRM service is unable to start.

Adobe Acrobat Reader: Geschützer Modus (Protected Mode) per Registry oder GPO abschalten

Problem:
Sie möchten den "Geschützen Modus" im Acrobat Reader abschalten.
Ich hatte Probleme mit manchen Druckertreiber, die mir nur ASCII-Zeichen gedruckt haben, wenn der Modus aktiv war.

Lösung:
Es gibt einen Registry-Key, der die Funktion dauerhaft für diesen Benutzer abschaltet.
Bitte wie folgt vorgehen:

- Regedit öffnen
- Navigieren Sie zu: [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\1x.0\Privileged]
- Hier legen Sie ein neues DWORD an namens "bProtectedMode"
- Die Werte hierfür können 0 = geschützter Modus AUS und 1 = geschützter Modus EIN sein

Man kann diese Einstellung auch per GPO einfach verteilen, wenn man eine ActiveDirectory hat.
Klappt bei mir ganz gut!

Hinweis: Das x im Registry-Key kann für 10 oder 11 stehen. ich habe diese Einstellung in beiden Versionen verwendet.

Quelle:
faq-o-matic: Terminalserver: Den Protected Mode des Adobe Reader X abschalten

Acrobat Reader X: Sharepoint-Integration deaktivieren

Problem:
Wenn man mit Acrobat Reader X eine PDF-Datei von einem Sharepoint-Server anschauen will, dann erhält man jedesmal den Hinweis, ob man das Dokument Öffnen oder Auschecken & Öffnen will.
Man möchte aber nur die PDF-Datei öffnen ohne lästige Abfrage!

Lösung:
Seit Acrobar Reader Version X(10) sind bestimmt Sharepoint-Features aktiv um den Zugriff auf Dokumente zu "erleichtern".
Man kann dieses Feature über die Registry abschalten:

Hierzu bitte wie folgt vorgehen:

1.) In der Registry zu folgendem Pfad navigieren: HKLM\SOFTWARE\Policies\Adobe\FeatureLockDown
2.) Hier einen Schlüssel namens "cSharePoint" erstellen
3.) In diesem Schlüssel einen DWORD-Wert erstellen namens "bDisableSharePointFeatures"
4.) Den Wert auf "1" setzen
5.) Rechner neu starten - Fertig!

Alternativ habe ich auch eine ADM-Datei hierfür erstellt, damit die Einstellung per Gruppenrichtlinie zugewiesen werden kann.

1.) Erstellen Sie eine ADM-Datei mit folgendem Inhalt:
CLASS MACHINE

CATEGORY !!AcrobatReader

POLICY !!DisableSharepointFeatures
KEYNAME "SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cSharePoint"
EXPLAIN !!DisableSharepointFeatures_Help
VALUENAME "bDisableSharePointFeatures"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY

END CATEGORY

[strings]
AcrobatReader="Acrobat Reader X"
DisableSharepointFeatures="Sharepoint-Features abschalten"
DisableSharepointFeatures_Help="Deaktiviert die Sharepoint-Features von acrobat Reader X. Dadurch werden die Auscheck-Dialoge unterbunden."

2.) Fügen Sie die ADM-Datei einer Gruppenrichtlinie hinzu
3.) Aktiviern Sie die Gruppenrichtlinie - Fertig!

Windows 7: Falsche Miniaturansicht/Vorschau von Bilder/Videos

Problem:
Wenn man einige Fotos in einem Ordner unter Windows 7 hat, dann kann es passieren, dass die Vorschau ein anderes Bild zeigt, als das Bild wirklich ist.

Lösung:
Hierzu gibt es eine quick&dirty-Lösung und auch die Möglichkeit das ganze per GPO abzuschalten:

Quick'n'Ditry Schnelllösung
Diese sieht so aus, dass man einfach den Ordner löscht, in dem die Vorschau-Datenbank liegt.
Diesen findet man unter:
C:\Users\Benutzername\AppData\Local\Microsoft\Windows\Explorer

Wobei Benutzername für den Namen des Windowsbenutzers steht und individuell angepaßt werden muß.


GPO-Lösung
Hier kann man per Gruppenrichtlinie das Cachen der Voransicht generell abschalten und umgeht somit diesen Fehler.
Leider verliert man damit auch in kleines Stück Systemleistung, da die Voransicht dann immer in Realtime erstellt werden muß!
Die Einstellung findet man unter:
Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten/Windows-Explorer

Zwischenspeicherung von Bildern in Miniaturansicht deaktivieren = Aktivieren
Zwischenspeicherung von Miniaturansichten in versteckten "thumbs.db"-Dateien deaktivieren = Aktivieren
“Die Organisationen stecken Millionen von Dollars in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: Die Anwender und Systemadministratoren.”
Kevin Mitnick