Softwareverteilung

HauptGPO kann auf Domaincontroler gespeichert werden und durch eigene GPO auf die
zugehörigen Mainserver verteilt werden welche dann die Software Verteilung für i8hre Clients
regeln

Aplication Lokcer wird im SW teil der GPO eingestellt (??)

Man kann auch Internetregeln zulassen um im LAN alles zuzuilassen und extern garnichts.

Applicationlocker hat 2 Modi:

Überwachen und Erzwingen

Wenn eine App erlaubt wird alles andere verboten, daher muss eine Whitelist erstellt werden
Programmfiles ist davon ausgenommen, normaler user darf hier nichts hineininstallieren können.

Wichtig das Startmode auf Automatisch gestellt ist.

Wenn dienst nicht Startet sind Regeln hinfällig (??)

Digitale Signaturen können auch über Stammzertifizierungsstelle als GPO ausgegeben werden.

Es ist nicht möglich Treiber in einer VM zu testen da VM's die HW nur Simmulieren

Windows 7 hat neue Features für VHDs da man eigene VHDs mounten kann und sie verwenden
kann wie eine Physische Festplatte

Weißes Buch 1-32

Lösungsansätze für Software Installations Probleme

Wenn sich Software nicht Installieren lässt überprüfen welche Kompatibilits einstellungen von
Nöten sind

IOnstallation von Sprachversionen:

Wenn es nicht geht version prüfen
geht nur bei Professional, Enterprise und Ultimate (???)

Wenn ein Filter nicht die Richtigen Filter anbringt

Prüfen ob WFI filter hinzugefügt.

Problemaufzeichnung
ausführen Schritte zur Reproduktions eines Problems Aufzeichnen

Durch GUID eingefügte MAC adresse kann man einen PC einen gewissen Benutzerkonto zuweisen.
MAC muss in {} stehen
Um einen Verwalteten Computer zu erstellen muss unter Features Tools für
Windowsbereitsellungsdienste installiert werden
unter: Features hinzufügen-> Remotserver Veraltungstools-> Rollenverwaltungstools -> ^

Mit 2 antworte dateien kann ich eine völlig unbeaufsichtige Installation durchführen

Einstellbar das nur Domänenbenutzer auf WDS zugreifen können durch AUTH system
installer account kann erstell werden um (mit entsprechenden rechten) benutzerkonnten zu
erstellen und installationabbilder zu definieren
dies ist pro image abänderbar.
WDS ermöglich die installation von mehreren computern durch multicast

in die MC verteilung können sich noch zusätzliche clients einhängen. Rechner werden eingetragen
im WDS server und wenn alle da sind wird installation per MC gestartet
Auch im nachhinein kann ein Client eingereiht werden, dem werden die verpassten daten im
nachhinein nachgesendet

3 Verschiedene Installationsgeschwindigkeiten. (aufgrund unterschiedlciher ethernet versionen)

Alles was man auf GUI von WDS einstellen kann ist auch per commandline des WDS einstellbar
(nonaned)

MS Deploymenttoolkit

Ebenfalls zum defnieren einer automatischen installation geeignet/verwendbar

Erweiterkeit von installationnsmöglichkeiten / wie zb gewisse software packages.
komplette images erstellbar oder builds (kombinations von komponenten verfügbar)

Beispiel (sind x möglich)

Abschnitt OS (zb W7x64 und W7x86)
Abschnitt Driver (Treibergruppe 1, TG2)
Packages (Sprachpack DE, EN)
Apps (App1, App2)

Build 1:
W7x64, TG1, DE, App1-12

Einzelne Komponenten kombiniert angewendet

Im Windows Deployment Toolkiit kann man OS und Anwendungen aus Windows Depolymet
servern holen, so können verschiedene Builds angepasst auf die Maschine werden
Für alle möglichen Firmenanwendungen kann das mitunter viel Zeit in anspruichen nehmen.

Litetouch installation:
Wenige Benutzer interaktion notwenidg, zB nur starten

Zero touch installation:

erfordert System Center Configuration Manager (SCM)

----> Vollkommene Autopmatisierung

Remote installation

nicht einfach zum einrichten

Kompatibilitätsmodus auch im laufenden zustand möglich (sinvoll?)

Windows XPmode
-->starten eine VM von XP namens XP.Vhd

--------------

Security Einstellungen können auf einen beliebigen Computer analysiert werden und dann lokal
anwenden
nun muss ein template eingestell werden was meine einstellungen sein sollen
bei abweichungen zum vergleich werdend ei einträge markiert

um dies zu importieren und ein eigenes bla zu erstelle

nach mmc neue einfügen von

"Systemkonf und analyse" und
Sicherheitsvorlagen

Zum impoortieren neuer sicherheits bla

Datenbank öffen, bei keienr vorhandenen neue erstellen
inf datei ist in windows security templates

Bei den sicherheits vor lagen muss der pfad C:Windows\security\templates inzugefügt werden

sigverif untersucht treiber nach signierten dateien

----------------------

USN Update Sequencenumber

bei duplizierter löschen kann die aktuelle USN der anderen sagen "he du bist schon gelöscht"
bei fehlerhaften löschungen kann über manuellen erhöhung der USN rückgängig gemacht werden
in diesem öschen wird nur der zugriff verweigert aber noch nicht wirklcih gelöscht
---
verifier
sucht nach nicht signierten treibern

-----------------

2-36

------------------------
Ereignisprotokolle

Komplezz überarbeitet seit W Vista

-------------------------

W2008
Servermanager
Diagnose -> Ereignis anzeige -> Windowsprotokolle
kann gefiltert werden

----------

Erstellen von Dienstkonto

unter AD Admins neuen Benutzer einfügen mit unänderbaren nicht ablaufenden kennwort

Abonements für DC bla

neues abonement hinzufügen domäne/username it zugehörigen passwort wählen und filter
oibjekte wählen

Kompatibilitätsprobleme mit der internen versionsnummer

viele kommerzielle programme sind nicht gelaufen mit version 7.x daher läuft windows7 mit
interner versionsnummer 6.1

NY-DC1
Adminkennwort Pa$$w0rd

Client in Domäne hängen

Client spiegeln
Client installieren von start

----------------------
Übung: 3-30

Von Client Zugrif auf Domänencontroler

Damit man namen inm netzwerk erkennt muss man am CLient einstellen das Namenserkennung
öffentlich an ist:
Netzwerk und Freigabe Center->Erweiterte Freigabeeinstellungen Ändern->Öffentlich->
Namenserkennung aktivieren

Übung 3
-->Powershell
getmac zeigt macadresse an
$NIC=Get-WmiObject win32_networkadapter | where-object {$_.MacAddress -eq 'MACADdresse
mit : statt -'}
fügt der Variable Nic den ausgewählten wert zu

Get-WmiObject win32_networkadapter | where-object {$_.MacAddress -eq 'MACADdresse mit :

statt -'}
alleine zeigt an ob man auf eine schnittstelle zugreifen kann

mit $nic.disable()
kann man nun diese Mac abschalten

wichtig dabei ist das man die PS als Admin ausführen, wenn man das vergist bei .disable
returnvalue 5
wenn alles passt returnvalue 0

mit .enable kann es wieder einschalten