Archiv der Kategorie: Windows

Das Windows Feature „Mark of the Web“ (MotW) oder auch „Zone.Identifier“ im Dateisystem genannt, markiert aus einer unsicheren Quelle (z. B. aus dem Internet oder als E-Mail-Anhang) herunterladen Dateien.

Tecninsch: Im (NTFS- und ReFS-) Dateisystem werden Metadaten in einem Anhang namens „Zone.Identifier“ mit Dateien mitgespeichert. Das ist Applikationssache, aber praktisch alle Browser und E-Mail-Programme heute unterstützen diese Funktion.

Damit Dateien mit so einer Markierung ihre volle inhaltliche Wirkung entfalten können, müssen diese erst über das Kontextmenü > Eigenschaften „zugelassen“ werden.

Das gilt ärgerlicherweise auch für die Vorschau von PDF-Dateien. Man könnte heute vermuten, die Menschheit (einschliesslich der Erfinder des Formats) haben mittlerweile eine sichere Lösung erfunden – aber nein.

Lösung

Man kann MotW in einer Pro-Benutzer-Einstellung abschalten, aber grundsätzlich hat dieses Sicherheitsfeature einen sinnvollen Grund. Wir Admins mögen das auch.

Um nun mehrere Dateien in einem Verzeichnis zuzulassen, reicht ein PowerShell-Einzeiler:

Get-ChildItem "C:\EXAMPLE-RECHNUNGEN" -Filter *.pdf | Unblock-File

Je nach Anwendungsfall, lässt sich das Script rekursiv oder mit mehr oder weniger Filtern verwenden. Beispiel:

Get-ChildItem "$env:USERPROFILE\Downloads\Eingang" -Recurse -Filter *.pdf | Unblock-File

Somit haben sich hundert Klicks auf viele neue Dateien immerhin auf einen Doppelklick reduziert.

Wenn man die GPO-Einstellungen für Windows Updates zurücksetzen möchten, beispielsweise weil man endlich von WSUS seinem alten wegwechseln möchte, ist die Entfernung des gesamten zugehörigen Registry-Schlüssels der einfachste Weg dazu:

HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate

Dadurch wird Windows Update gezwungen, die Standardeinstellungen erneut zu laden und zu verwenden. Den Schlüssel erstellt Windows Update beim Neustart des Dienestes neu.

Lösung

Alles auf einmal Copypasty:

Remove-Item "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Force -Recurse
gpupdate /force
Restart-Service -name "Windows Update"

Wichtig: Das Entfernen einer GPO-Verknüpfung mit WSUS-Einstellungen, sowie das setzene auf „nicht konfiguriert“ entfernen die Einstellungen in diesem Schlüssel nicht.

Die Registry-Schlüssel (via GPO) ändern sich nicht von selbst, nur weil eine Grupenrichtlinie nicht mehr angewendet wird. Man könnte zwar die GPO für den WSUS-Serverstandort auf „Deaktiviert“ setzen, die GPO-Verteilung abwarten und sie dann auf „Nicht konfiguriert“ umstellen; angesichts der Systeme, die zum Zeitpunkt der Änderung keine GPO-Updates erhalten (z. B. Remote-Benutzer, Offline-Systeme), ist es jedoch durchaus möglich, dass einige Systeme nur den neuesten Status („Nicht konfiguriert“) übernehmen, während die Registry-Einträge, die das System auf den WSUS verweisen, bestehen bleiben.

Daher empfehlen wir: besser auf Nummer sicher.

Problem:

Trotz aktivierter „Erweiterter Features“ fehlt in manchen AD-Umgebungen der „Attribut-Editor“ Reiter in den Eigenschaften von Objekten im „Active Directory-Benutzer und -Computer“ MMC-SnapIn („Active Directory Users and Computers“ / ADUC / dsa.mmc)

Lösung:

Es gibt einige Sprach-abhängige Einstellungen. Mittels ADSI-Editor (adsiedit.msc) kann der Attribut-Editor hinzugefügt werden:

1. ADSI-Editor starten und eine neue Verbindung mit dem Bekannten Namenskontext „Konfiguration“ herstellen.

2. Diesen Pfad erweitern:
CN=Configuration,DC=<domain>,DC=<tld>
CN=DisplaySpecifiers
CN=<Sprach-ID>

Die passende Sprach-ID findet man in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NTDS\Language oder in dieser Tabelle: [MS-ADTS]: LCID-Locale Mapping Table | Microsoft Learn
Für Deutsch/Deutschland (de-DE) ist die Sprach-ID 407

3. Im rechten Bereich für die folgenden Elemente entsprechende Werte via Eigenschaften zum Attribut „adminPropertyPages“ hinzufügen:

CN=user-Display: 11,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
(für User-Objekte)

CN=computer-Display: 12,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
(für Computer-Objekte)

CN=default-Display: 4,{c7436f12-a27f-4cab-aaca-2bd27ed1b773}
(für andere Objekte)

Wenn die entsprechenden Werte hinzugefügt und übernommen sind, sollte beim nächsten start des ADUC-SnapIn der Attribut-Editor-Reiter angezeigt werden. (Die Ansichtsoption „Erweiterte Features“ muss natürlich trotzdem aktiviert sein.)