Tobi Tobsen Twitcht

Glaubt man es denn!

Da geht im ActiveDirectory von einem Server einfach so das Computerkonto kaputt und man kann sich mit dem beliebten Domänenadminkonto nicht mehr an dem Server anmelden.
(*g* war ja scheinbar meine Schuld…. Warum muss ich auch ne VM clonen und die eine herunterfahren und die andere ohne Parameter zu ändern hochfahren. Irgendwie mag das ein AD nicht )

So, was nun?

Nunja, das Problem ist ja bekannt, dass man bei der Meldung “Es kann keine Verbindung mit der Domäne hergestellt werden, da der Domänencontroller nicht verfügbar… ” sich nicht mehr an dem Server über die Domän authentifizieren kann. Abhilfe schafft da ein einfaches lokales Anmelden als Administrator, das ändern der Arbeitsgruppe, neustarten und anschließend wieder das hineinheben des Servers in die Domäne… fertig.

Was aber, wenn man das lokale Adminpasswort nicht zur Hand hat, vergessen hat oder einfach keine Ahnung hat, wie das bei der Maschine war?

In meinem Fall war die Maschine ein sysprep einer anderen Firma, so, dass ich gar nicht das lokale Adminpasswort kennen konnte oder mein Fehler: “Ich hatte es nirgends dokumentiert!”
Da ich aber telefonisch keinen erreichte und der Server extrem wichtig für das “scanning” im Lager war musste schnelle Abhilfe her.

Einzige Chance: “Passwort reset”

… aber wie? … ganz einfach:

Folgendes Tool funktioniert mit Windows 2000/XP/2003/Vista/2008/7-Installationen und ist wirklich einfach zu bedienen. Zuerst ladet euch das Tool herunter und brennt eine CD oder bindet das ISO direkt an eine VM ein. Ist der Download nicht mehr verfügbar einfach ne E-Mail an mich.

Hinweis ISO, VM, Bootreihenfolge:

Sollte nach erfolgreichem einbinden des ISO’s nicht davon gebootet werden hilft ein kleiner Haken bei “Force BIOS Setup” in den VM Einstellungen um in BIOS der VM zu kommen und dort die Bootreihenfolge zu verändern.

1. Nachdem das Tool erfolgreich gestartet ist, wählt im Step1 des Tools die Partition auf der Windows liegt.
2. Im Step2 wählt den Pfad zur registry
   Die ersten beiden Steps sollten eigentlich automatisch funktionieren, indem ihr einfach “ENTER” drückt
3. Jetzt wählt entweder Passwort reset oder Registry Edit
   Wir wollen ja nun das Passwort zurücksetzten also wählen wir “1+ENTER”
4. Im folgenden Bildschirm muss angegeben werden, was genau getan werden soll. Um das Passwort zu verändern hier erneut “1+ENTER” drücken
5. Nun werden alle Benutzeraccounts angezeigt. Wählt das Konto, bei dem das Passwort zurückgesetzt werden soll und drückt “ENTER”
6. Anschließend wird gefragt, ob ihr das Passwort löschen wollt oder ändern wollt. Der Hersteller des Tools rät es zu löschen, was auch am sinnvollsten ist. Drückt also “1+ENTER”
7. Das Programm gibt die Meldung Password cleared aus. Wer nun aber denkt ist alles fertig, der irrt!
8. Um die Änderungen auch zu speichern muss folgendes eingegeben werden:
9. zuerst ein “! + ENTER”
10. Nun wird gefragt, ob die Änderung wirklich gespeichert werden soll, was ihr mit “y+ENTER” bestätigt.
11. Nun drückt im folgenden Bildschirm “q+ENTER”
12. und im letzten Bildschirm tippt “y*ENTER” ein.
13. ISO-Laufwerk disconnecten/CD entfernen und neustarten über “STRG-ALT-ENTF”

Somit ist das Passwort für den lokalen Administrator nun “LEER”!

Wow, das ging schnell, oder? Jetzt kann man einfach die vorher genannten Schritte unternehmen um den Server wieder in die Domäne zu holen. Fertig!

Weitere Infos:

Die Tool-Webseite ist hier: http://pogostick.net/~pnh/ntpasswd/
Wer eine detailliertere Anleitung benötigt zu dem Tool wird hier fündig: http://www.wintotal.de/artikel/artikel-2005/33.html

Arbeit, Windows passwort zurücksetzten, Windows, Windows Server 2003

Jeder kennt das… man möchte einfach eine Datei löschen, ein Softwareupdate installieren oder eine neue Software installieren, aber der Vorgang bricht ab, weil irgendeine Datei im Lese-Schreibzugriff durch irgendwen oder irgendwas blockiert wird.

Eh man nun verzweifelt sucht, alle möglichen Mitarbieter informiert die Software zu schließen oder aber gar Server neustartet oder Netzlaufwerke trennt um den Ursacher komplett zu kicken und wieder Lese-Schreibzugriff zu haben, gibt es einen einfacheren Weg.

• Man klicke mit der rechten Maustaste auf das Desktopsymbol Arbeitsplatz oder Computer, je nach Windows Version
• Anschließend den Submenüpunkt Verwaltung wählen
• Nun klickt man auf System/Freigegebene Ordner/Geöffnete Dateien und…
• … man erhält eine schöne Liste aller Dateien die gearde in Verwendung sind, inkl. dem Bneutzer.

Hinweis:

Sollte man in einer Netzfreigabe suchen, wer die Datei blockiert muss man die Computerverwaltung natürlich des verwaltenden Serevrs aufrufen

Arbeit, Windows Win7, Windows, Windows Server 2003, windows Server 2008, Windows Vista, Windows XP

Wenn man einen Windows Server 2003 DC mit GPO nutzt und seine ersten WIN7 Rechner ins Netz bringen will, so gibt es einige lustige Effekte.

Einige GPO’s funktionieren dann nämlich nicht so, wie Sie unter XP oder Vista funktionierten. So auch die GPO zum automatischen Setzten des Desktophintergrund.
Leider funktioniert das diese GPO nicht wie gewünscht bei WIN7 und durch die “Ändern-des-Desktophintergrund-GPO-Sperre” hebelt man sich dann gleich komplett aus .

Hier ein kleiner Workaround, wie man trotz GPO den Desktophintergrund bei WIN7 ändern kann.

Dazu einfach einen Wert in der registry ändern:

1. Start klicken
2. Im Suchfeld “regedit” eingeben
3. Navigieren zu HKEY_CURRENT_USER\Software\Mircosoft\Windows\CurrentVersion\Policies\ActiveDesktop
4. Den Wert “NoChangingWallPaper” auf “0″ ändern
5. fertig…

Arbeit, Windows Desktophintergrund, Win7, Windows Server 2003

Seit letzter Woche bekommt jeder EU-Windows Rechner per “automatisches Update” die kleine Software mit, in der der Benutzer selbst auswählen kann, welchen Browser er benutzen möchte. In der Auswahl sind bis zu 12 Browser vertreten. Die EU Kommission forderte Ende letzten Jahres diese Auswahlmöglichkeit um die Vormachtstellung des Konzerns zu brechen. Ihnen wurde der Marktabteil des IE (europaweit hat MS ca. 90% Marktanteil an PC und Laptops), wohl zu viel.

Verstehen kann ich diesen Schritt der EU-Kommission überhaupt nicht! Wenn die schon so anfangen, dann muss es solch eine Auswahl auf dem iPhone, unter Linux und vor allem bei Mac OS auch geben.

Als ob die Windows- Nutzer nicht selbst wüssten, wie sie einen weiteren Browser installieren und nutzen könnten. Und das nur wegen den nervenden “FireFox, Opera und Chrome“- Herstellern, die sich lauthals beschwert haben, dass sie keien Schnitte bekommen, weil der IE vorinstalliert ist… *Armutszeugnis!*.
Bringt doch (… ihr anderen Browser-Hersteller…) euer eigenes Betriebssystem auf den Markt und packt da euren Browser als Standardbrowser drauf (Google hat es mit Chrome OS versucht), dann habt ihr doch das was ihr wollt…

Noch ein letztes Wort zu den Leuten, die jetzt meinen, der IE wäre zu unsicher/unkomfortabel:

Schaut euch doch mal die Meldungen der letzten Wochen an. Andauernd heißt es Sicherheitslücke bei FireFox und Opera… Was sagt ihr nun?

… und welcher “Otto-Normal-Surfer” braucht schon ne Wahnsinns Plugin-Verwaltung wie bei FireFox? Das nutzen doch nur wirklich die SEO’s, Webmaster usw.

Ich glaube der Marktanteil des IE’s wird nicht extrem schrumpfen. Ich werde das mal beobachten und hier ein paar Zahlen in den nächsten Wochen veröffentlichen.

PS: Opera profitiert bis jetzt am meisten vom Windows Browserauswahlmenü. Beim norwegischen Softwarehersteller stiegen die Downloads um 328 Prozent.

Windows Internet Explorer, Windows, Windows Server 2003, Windows Vista, Windows XP

Es kommt schon recht häufig vor, dass man mal auf einen Server oder Client per RDP zugreifen muss um dort Einstellungen zu tätigen. Bei den fast 40 Windows Servern habe ich das mittlerweile schon eingestellt, dass ich dort per Remote drauf zugreifen kann. Allerdings wenn man mal auf einen Client zugreifen will, kann dieser Haken unter Systemeigenschaften auf dem Reiter Remote schon einmal fehlen… was nun? Verzweifeln oder Twitch fragen?

Neulich, als ich in Holland bei unserer neuen Niederlassung/Firma war, kam dieser Fall mal wieder vor, dass ich an einen Rechner musste um dort Benutzerprofile zu editieren.
… einige sagen jetzt bestimmt, dann nutz doch Teamviewer oder Netviewer. Das ist in einigen Fällen aber so nicht brauchbar, gerade, wenn man sich als Domänenadmin anmelden müsste um Benutzerprofile zu bearbeiten. Ich geb so ungern den Leuten das Admin-Passwort…
Jedenfalls hatte dieser Rechner keinen besagten Haken bei “Remoteunterstützung zulassen” gesetzt, so dass ich mich nicht als Domänenadmin anmelden konnte. Mit folgendem schnellen Trick kann man diesen Haken aber auch aus der Ferne (Remote) setzen ohne direkt am Rechner sitzen zu müssen … was mir die Fahrtzeit von NL nach DE und wieder zurück ersparte .

Wie fast alles bei Windowseinstellungen, findet man diesen Haken auch in der Registry. Das lustige ist, dass man auch auf die Registry entfernter Rechner einer Domäne zugreifen kann. wos? a hacker?!

So kann man RDP remote aktivieren:

1. Starten von Regedit über Start, Ausführen und eintippen von “regedit”
2. Verbinden mit Netzwerkregistrierung (hier den jeweiligen Client oder Server eingeben)
   
3. Folgenden Eintrag suchen: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
4. Setzen des Wertes vom Schlüssel  ”fDenyTSConnections” auf “0″ (NULL)

Mit Hilfe vom RDP kann man sich nun mit dem Client/Server verbinden. 
Dazu klickt auf Start/Ausführen. Tippt “mstsc /v [COMPUTERNAME] /console” ein und Enter.
Die erste Anmeldung muss eventuell als Admin der Domäne/ des Rechners erfolgen, damit man anschließend weitere Benutzer hinzufügen/bearbeiten kann.
Ich hatte auch schon einmal das Phänomen, dass trotz setzten des Hakens per Remote ein Neustart erforderlich war, damit der Remotezugriff funktionierte. Das Boardmittel für einen Remote-Neustart eines Rechners ist “shutdown -m \\[COMPUTERNAME] -r”

PS: Um dies bei Clients zu nutzen ist mindestens Win XP Pro oder Vista/Win7 Business erforderlich.

Arbeit, Windows RDP, regedit, Windows, Windows Server 2003, Windows Vista