Ab Windows Server 2008 lassen sich Systempartitionen problemlos mit Bordmitteln vergrößern. Dies kann wahlweise mit dem Kommandozeilenprogramm “diskpart” oder der Datenträgerverwaltung erfolgen. Unter Windows Server 2003 bzw. 2003 R2 ist das allerdings noch nicht möglich. Hier muss auf Drittanbieter-Tools zurückgegriffen werden. Ein großer Nachteil dabei ist, dass Partitionen nicht online vergrößert werden können und daher ein Neustart notwendig ist.

Abhilfe schafft das kleine Tool “ExtPart” von Dell. Damit ist es möglich, eine NTFS-Systempartition im laufenden Betrieb zu vergrößern. Damit das Tool ohne Fehler funktioniert, muss der freie Speicherplatz direkt hinter der Systempartition verfügbar sein.

Download ExtPart

In großen Active Directory Umgebungen kann sehr leicht der Überblick verloren gehen. Beispielsweise hört sich die Aufgabe, alle Benutzer innerhalb einer bestimmten AD-Gruppe aufzulisten, sehr einfach an. Enthält diese Gruppe aber viele weitere verschachtelte Gruppen, ist das Ganze nicht mehr so trivial. Mit Hilfe der PowerShell ist jedoch eine einfache und komfortable Lösung möglich.

Ausgangspunkt ist das Cmdlet “Get-ADGroupMember“. Folgender Befehl identifiziert alle Benutzer einer bestimmten Gruppe, die anschließend nach Namen sortiert aufgelistet werden:

Get-ADGroupMember -Identity GRUPPENNAME -recursive | sort -property name | ft name

Der nachfolgende Befehl listet alle Benutzer auf, die sich innerhalb einer angegebenen OU befinden. Der Befehl muss vor dem Einsatz noch an die eigenen Gegebenheiten angepasst werden.

Get-ADUser -Filter { Name -Like "*" -and Enabled -eq $true } -Searchbase "OU=accounts,OU=usa,DC=test,DC=com" | Where-Object {($_.name -notlike "test*") -and ($_.name -notlike "*_c1")} | sort name | ft name

Vor einigen Monaten habe ich bereits einen Artikel mit PowerShell Befehlen für Exchange 2010 veröffentlicht. Unter anderem habe ich zwei nützliche Cmdlets vorgestellt, die alle ActiveSync Geräte für ein bestimmtes Postfach bzw. alle Geräte, die jemals mit dem Exchange-Server verbunden waren, auflisten.

Ein Leser hat mich per Mail gefragt, ob es eine Möglichkeit gibt, alle Postfächer mit ActiveSync-Geräten aufzulisten und das Ergebnis in eine CSV-Datei zu exportieren. Da mit PowerShell so gut wie alles möglich ist, ist auch diese Anforderung kein Problem. Wie immer führen verschiedene Wege zum Ziel.

Zuerst eine schnelle Lösung, die alle verfügbaren Daten ausgibt, dadurch aber auch sehr unübersichtlich ist:

$output = "C:\Temp\output.csv"
$devices = @()
$mailboxes = Get-CASMailbox -ResultSize:Unlimited | Where-Object {$_.HasActiveSyncDevicePartnership -eq $true}
foreach ($data in $mailboxes) {
	$devices += Get-ActiveSyncDeviceStatistics -Mailbox $data.Samaccountname
}
$devices | Where-Object {$_} | Export-Csv $output

Das zweite Skript kann den eigenen Bedürfnissen angepasst werden und liefert eine deutlich übersichtlichere Liste.

$output = "C:\Temp\output.csv"

new-item $output -type file -force -value "User;DeviceType;DeviceModel;DeviceID;DeviceOS;DeviceUserAgent;FirstSyncTime;LastSyncTime`r`n"

$devices = Get-ActiveSyncDevice | Get-ActiveSyncDeviceStatistics

ForEach($device in $devices) {
	$Model = $device.DeviceModel
	$Type = $device.DeviceType
	$ID = $device.DeviceID
	$OS = $device.DeviceOS
	$FirstSyncTime = Get-Date $device.FirstSyncTime -Format 'dd.MM.yyyy HH:mm'
	$LastSyncTime = Get-Date $device.LastSuccessSync -Format 'dd.MM.yyyy HH:mm'
	$UserAgent = $device.DeviceUserAgent

	$User = $device.identity|out-string
	$User = $user.split("/")[-2]

	Add-Content -Path $output "$User;$Type;$Model;$OS;$ID;$UserAgent;$FirstSyncTime;$LastSyncTime"
}

Beide Skripte haben eine relativ lange Laufzeit, die natürlich von der verwendeten Exchange-Umgebung abhängig ist. Als ungefähre Richtzeit kann man eine Minute für 100 Postfächer rechnen.

Standardmäßig läuft der Windows Explorer immer mit Benutzerrechten. Doch damit lassen sich nicht alle Aufgaben erledigen, insbesondere wenn die Benutzerkontensteuerung (UAC) deaktiviert ist. Die Bearbeitung von Systemdateien oder Änderungen im Programme-Verzeichnis ist in solch einem Fall nicht ohne Weiteres möglich. Bei aktiver Benutzerkontensteuerung erscheint in solchen Fällen ein Dialogfeld, welches nach einer administrativen Berechtigung fragt. Sofern diese Abfrage bestätigt wird, werden in den betreffenden NTFS-Objekten die Zugriffsrechte für das aktuelle Benutzerkonto eingetragen. Diese Vorgehensweise ist jedoch auch nicht sehr schön, da die Zugriffsberechtigungen permanent geändert werden und es außerdem zu unübersichtlichen Rechtestrukturen führt.

Ein offensichtlicher Ausweg wäre den Explorer ausdrücklich mit Adminrechten (“Als Administrator ausführen”) bzw. als Administrator (“Als anderer Benutzer ausführen”) zu starten. Diese Möglichkeit funktioniert aber nicht, da die DCOM-Anwendung “Elevated-Unelevated Explorer Factory” dieses Vorhaben unterbindet.

Lösungsmöglichkeiten

Eine einfache Lösung für das oben beschriebene Problem ist die Verwendung eines alternativen Dateimanagers (FreeCommander, Total Commander, Explorer++, usw.). Dieser kann problemlos über das Kontextmenü als Administrator gestartet werden.

Die zweite Lösung bezieht sich auf den Windows Explorer, bedingt aber eine Änderung in der Registry. Dadurch wird die Admin-Überwachung des Windows Explorers in Form der DCOM-Anwendung modifiziert. Allerdings ist anzumerken, dass dadurch das Sicherheitskonzept von Windows teilweise ausgehebelt wird.

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
2. Anschließend zu folgendem Pfad navigieren:

   HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}

3. Zunächst müssen die Berechtigungen des Schlüssels angepasst werden. Im ersten Schritt muss der gewünschte Benutzer zum Besitzer des Schlüssels gemacht werden. Anschließend kann die Berechtigung “Vollzugriff” vergeben werden.
4. In der rechten Fensterseite muss anschließend die Zeichenfolge “RunAs” gelöscht bzw. der Name geändert werden.

Jetzt ist die Admin-Überwachung in Form der DCOM-Anwendung “Elevated-Unelevated Explorer Factory” deaktiviert und der Windows Explorer kann als Administrator gestartet werden.

Quellen

1. http://www.borncity.com/blog/2011/04/29/explorer-als-administrator-ausfhren/
2. http://www.borncity.com/blog/2014/01/28/dateimanager-mit-administrativen-rechten-ausfhren/
3. http://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechten-starten/
4. http://www.heise.de/ct/hotline/Explorer-mit-Administratorrechten-1258468.html
5. http://www.winvistaside.de/forum/index.php?showtopic=3352
6. http://www.thorsten-butz.de/run-explorer-as-admin/

Unter Windows werden standardmäßig administrative Netzwerkfreigaben erzeugt, die in jedem Windows vorhanden sind. Dazu gehören die vorhandenen Festplattenlaufwerke und die Freigabe “Admin$”. Diese Freigaben lassen sich zwar löschen, werden nach einem Neustart aber wieder automatisch erzeugt.

Mit einer kleinen Änderung in der Registry kann dies jedoch verhindert werden.

1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
2. Anschließend zu folgendem Pfad navigieren:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

3. Dort muss ein neuer “DWORD-Wert (32-Bit)” mit dem Wert “0” erstellt werden. Bei Windows Server muss der Name “AutoShareServer” lauten, ansonsten “AutoShareWks“.
4. Die Änderungen werden nach einem Neustart übernommen.

Wenn die administrativen Standardfreigaben wieder aktiviert werden sollen muss der jeweilige Wert auf “1” gesetzt bzw. gelöscht werden.

Zur einfacheren Umsetzung biete ich euch eine Registrierungsdatei an. Damit könnt ihr euch die manuelle Änderung in der Registry ersparen.