Windows 2019 Domainadmin hat keine Berechtigung für control.exe oder/und rundll32.exe

Problem : Bei einem frisch aufgesetzten Windows 2019 Server können als Domain Administrator diverse Einstellungen nicht vorgenommen werden. Ich konnte das bei den Desktop Icons und bei den Einstellungen für das Netzwerk beobachten
( Windows Icon -> Zahnrad -> Netzwerk und Internet -> Ethernet -> Adapteroptionen ändern )

control.exe BerechtigungGrund hierfür ist scheinbar die Default Einstellung der UAC

Lösung : Setzen einer GPO auf die Benutzerkontensteuerung

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto diesen Wert auf "Aktiviert" setzen

GPO UAC

terraform & timestamp

ich möchte in unseren automatisch Deployments immer das Datum des Vorgang in der virtuellen Kiste haben. Ich hab das erreicht indem ich Funktionen timestamp und formatdate von terraform verwende.

In den Variablen für cloud-init verwende ich :
vars = {
                hostname = "${var.vsphere_name}${var.vsphere_dom}"
                deploy_date = formatdate ("DD'.'MM'.'YYYY hh:mm ZZZ",timestamp())
        }
weiterführender Link : terraform & cloud-init & vmware
Quelle :
https://www.terraform.io/docs/configuration/functions/timestamp.html
https://www.terraform.io/docs/configuration/functions/formatdate.html

terraform & cloud-init : change root password

um bei einem automatischen deployment mit terraform & cloud-init das root passwort zu ändern einfach im cloud-init bereich chpasswd einfügen.

chpasswd:
  list: |
     root:$6$hNnmxD4HhIeX4IlB$pLkby1WsEbTIRnA9hg8UtSAhoG0Gd4eFF5HUxam8x5O4Ch4KgA62lW/4Ora12fkczq3OCXzMHdj7jnpzUTJDb/

zuvor den password hash mit python erstellen.
python3 -c 'import crypt,getpass; print(crypt.crypt(getpass.getpass(), crypt.mksalt(crypt.METHOD_SHA512)))'
Password:
$6$hNnmxD4HhIeX4IlB$pLkby1WsEbTIRnA9hg8UtSAhoG0Gd4eFF5HUxam8x5O4Ch4KgA62lW/4Ora12fkczq3OCXzMHdj7jnpzUTJDb/
weiterführender Link : terraform & cloud-init & vmware
Quelle : Red Hat - setting up cloud-init

ActiveDirectory: Clients in Domäne können keine biometrische Anmeldung einrichten (Fingerabdruck, Gesichtserkennung)

Problem:
Sobald ein Client der Domäne joined sind die Biometrie-Einstellugnen deaktiviert, außer man arbeitet mit Microsoft-Konto und Hello for Business! Der Benutzer kann keinen Fingerabdruck oder Gesichtserkennung zur Anmeldung aktivieren - Es kommt immer die Meldung: "Da hat etwas nicht geklappt" und der Button "Einrichten" ist ausgegraut.

Lösung:
Um die Biometrie-Anmeldung zu aktiviern muss man folgende vier Gruppenrichtlinien setze UND es darf keine "Hello for Business"-Richtlinei aktiv sein bze. aktiv gesetz werden:
1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen > aktivieren
2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen > aktivieren
4. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > Komfortable PIN-Anmeldung aktivieren > aktivieren

Nach Aktivierung dieser GPOs und einem Reboot konnte der Fingerabdruckssensor verwendet werden.
Quelle der Lösung:
Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

WSUS-Server: Content-Bereinigung und Optimierung - WSUS-Reset

Problem:
Ich habe versehentlich eine verraltete Kategorie im WSUS hinzugefügt und die Synchronisation hat dann alle Patches für diese Kategorie heruntergeladen und mir dabei auch noch die Platte vollgeschrieben. Da meine WSUS-Content NICHT Auf der Systemplatte liegt, war das für den Server kein Problem, aber ich wollte die überflüssigen Patches wieder von der Platte haben und gleichzeitig für die Zukunft das Problem lösen

Lösung:
Zuerst einmal musst der Content berreinigt werden. Das habe ich wie folgt gemacht:
- Als erstes alle unerwünschten Patches ablehnen bzw. nicht genehmigen
- In den Einstellungen unter "Dateien und Sprchen aktualisieren" wechseln
- Hier den Punkt "Updatedateien auf diesem Server nur herunterladen, wenn Updates genehmigt" aktivieren
- WSUS-Dienst stoppen
- Content-Ordner z.B. D:\WSUS\WsusContent\ leeren (nicht löschen)
- WSUS-Dienst wieder starten

Durch das vorherige Ablehnen der ungewünschten Patches und der Download-Einstellung nur für genehmigte Updates werden beim nachfolgenden Befehl nur noch die genehmigten Updates heruntergeladen (Die Einträge in der DB bleiben erhalten):

- Wechseln Sie in das Verzeichnis "C:\Program Files\Update Services\Tools\"
- Führen Sie hier den folgenden Befehl aus: WsusUtil.exe reset
- Nach eingien Minuten wird sich der Content-Ordner wieder mit Patches füllen

Mit dem RESET-Befehl prüft der WSUS-Dienst, welche Patches er haben sollte und verifiziert, ob er diese auf der Festplatte korrekt vorfindet. Wenn nicht, wird der Patch neu heruntergeladen.

HINWEIS:
Sollten sie Drittsoftware mittels Drittanbieter-Software über den WSUS verteilen (WSUS Package Publisher o.ä.), dann müssen Sie diese Patches ebenfalls noch mal neu erstellen, da diese ebenfalls im Content-Ordner liegen und gelsöcht wurden.
“Sicher ist, dass nichts sicher ist. Selbst das nicht.”
Joachim Ringelnatz