Für seine Lumia-Telefone bietet Microsoft ein “Windows Phone Recovery Tool” an, mit dem man das Betriebssystem auf einen stabilen Stand zurücksetzen kann. Das ist nur in wenigen Ausnahmesituationen nötig, aber eine davon könnte derzeit aktuell sein: Man kann mit dem Programm nämlich auch die Preview-Version von Windows 10 wieder vom Telefon entfernen und zu Windows Phone 8.1 zurückkehren. Hier ein kleiner Überblick, wie das Werkzeug funktioniert.

Das Tool steht kostenlos bei Microsoft zum Download bereit:

http://go.microsoft.com/fwlink/p/?LinkId=522381

Die Installation ist unspektakulär. Auch danach ist der Ablauf eigentlich nicht spannend – nur dass man während der Zeit hofft, dass auch wirklich alles glattgeht.

Über die drei Punkte unten links kommt man in die Einstellungen. Die sind aber meist uninteressant: Man setzt damit die Bildschirmfarben für das Tool, den Proxy fürs Internet, oder man kann die Logdateien löschen oder exportieren.

Anmerkung: Sollte der Download abbrechen, so kann das Tool ihn an derselben Stelle fortsetzen.

Die heruntergeladenen Dateien liegen im ProgramData-Ordner:

Dieser Artikel erschien zuerst auf Dieters Blog.

Zertifikate benötigt man für verschiedene Zwecke. Zum Beispiel für Client- oder Benutzerauthentifizierung, für S/MIME oder natürlich für die Serverauthentifizierung. Dabei sind Zertifikate nicht nur auf Server und (Windows) Clients beschränkt, auch Smartphones benötigen je nach Szenario Zertifikate.

Selbstverständlich kann auch ein Windows Phone mit Zertifikaten umgehen, genauso auch wie iOS oder Android. Unter iOS kann man die installierten Zertifikate recht einfach unter Einstellungen –> Allgemein –> Profile anzeigen lassen. Dies könnte beispielsweise so aussehen:

Unter Windows Phone gab es bislang diese Möglichkeit leider nicht. Aber: das hat sich geändert.

Inzwischen gibt es für Windows Phone im Microsoft Store die kostenfreie App “Zertifikate” von MIcrosoft, die die installierten Zertifikate anzeigen kann:

Hier der Link zum Microsoft Store. Mein Windows Phone ist auf englische Sprache eingestellt, deswegen wird mir natürlich auch die App in englisch angezeigt.

Ist die App dann installiert, kann man sich alle installierten Zertifikate ansehen. Ähnlich wie am Windows Client gibt es persönliche Zertifikate sowie Zertifikate von Stamm- und Zwischen-Zertifizierungsstellen:

Folgende Details kann man sich dann noch pro individuellem Zertifikat anzeigen lassen:

Durch das eMail-Symbol unten Mitte kann man sich alle Zertifikatsinformationen in Textform zusenden. Das sieht dann am Beispiel dieses Zertifikates so aus:

Friendly name
USERTrust
Subject
AddTrust External CA Root
Subject alternative name
AddTrust External CA Root
Issued by
SE, AddTrust AB, AddTrust External TTP Network, AddTrust External CA Root
Issued to
SE, AddTrust AB, AddTrust External TTP Network, AddTrust External CA Root
Valid through
5/30/2000 5:48:38 to 5/30/2020 5:48:38
Intended purposes
Verify certificate signature
Verify offline revocation list
Enhanced usages
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
Secure Email (1.3.6.1.5.5.7.3.4)
Code Signing (1.3.6.1.5.5.7.3.3)
Time Stamping (1.3.6.1.5.5.7.3.8)
Encrypting File System (1.3.6.1.4.1.311.10.3.4)
IP security tunnel termination (1.3.6.1.5.5.7.3.6)
IP security user (1.3.6.1.5.5.7.3.7)
Private key
No
Hardware
No
Certification authority
Verified
Certificate path
– AddTrust External CA Root
Thumbprint algorithm
sha1
Thumbprint
02 FA F3 E2 91 43 54 68 60 78 57 69 4D F5 E4 5B 68 85 18 68

Durch diese App kann man endlich vernünftig sehen, welche Zertifikate auf dem Windows Phone vorhanden sind. Verwalten kann man sie dadurch allerdings noch nicht, sprich, man kann keine Zertifikate löschen….

Laut einem Artikel auf The Verge hat Microsoft gestern die finale Version von Windows 10 für die Produktion freigegeben (RTM, Release to Manufacturing):

Microsoft has now finalized Windows 10, ready for its release later this month. Sources familiar with Microsoft's plans tell The Verge that the software giant has selected build 10240 as the final release to manufacturing (RTM) copy, allowing PC makers to start loading the software onto new machines ready for release.

[Microsoft has finalized Windows 10 | The Verge]
http://www.theverge.com/2015/7/15/8950481/microsoft-windows-10-rtm-date

Ob diese Nachricht zutrifft, lässt sich derzeit nicht überprüfen. Fest steht allerdings, dass die Veröffentlichung von Windows 10 am 29. Juli 2015 stattfinden wird. An diesem Datum werden erste Hardware-Hersteller das Betriebssystem vorinstalliert ausliefern. Kunden können online aktualisieren, und Firmen werden (voraussichtlich) Datenträger zur Installation herunterladen können.

Der oben genannte Build 10240, angeblich der finale, steht seit gestern Abend bereits für das Windows-Insider-Programm zur Verfügung. Anders als bisher wird er bereits über die Windows-Update-Infrastruktur ausgeliefert, wie es auch für die produktiven Versionen sein wird.

Einige wichtige Fragen zu Windows 10 und dem Release beantwortet das folgende Video der Michael Wessel Informationstechnologie aus Hannover.

Eine neue Funktion in Windows 10, die sich vorrangig an Privatkunden wendet, könnte sich auch für „ernsthafte“ Zwecke als nützlich erweisen: Der „Game DVR“ in der XBOX-App. Dabei handelt es sich um einen Screen-Recorder, der eigentlich dafür gedacht ist, Spielabläufe aufzuzeichnen. In den letzten Jahren hat sich nämlich eine lebhafte Community entwickelt, in der ein Spieler ein Video aufnimmt, in dem er ein Spiel spielt, und andere diese Videos ansehen.

Dieser „Videorecorder“ lässt sich allerdings auch für andere Programme verwenden, und damit eignet er sich durchaus als günstige Lösung für das Screen-Recording. Natürlich kann er funktional nicht mit professionellen Lösungen wie Camtasia mithalten, aber als Bordmittel stellt er eine nützliche Option dar.

Der folgende Artikel beschreibt, wie man den Game DVR als allgemeinen Screen-Recorder zweckentfremdet und was man dabei beachten sollte.

http://techau.com.au/windows-10-has-hidden-a-screen-recorder-built-in/

Folgende Grafikkarten unterstützen diese Funktion derzeit:

• AMD: AMD Radeon – HD 7000-Serie, HD 7000M-Serie, HD 8000-Serie, HD 8000M-Serie, R9-Serie und R7-Serie
• NVIDIA: GeForce 600-Serie oder höher, GeForce 800M-Serie oder höher, Quadro Kxxx-Serie oder höher
• Intel: Intel HD Graphics 4000 oder höher, Intel Iris Graphics 5100 oder höher.

In Windows 10 findet ein bisher kaum im Einsatz befindliches Feature den Weg in den breiten Markt. Die Rede ist von WiFi-Sense; auf deutsch: WLAN-Optimierung. Einfach erklärt, handelt es sich bei dieser Funktion um die Möglichkeit, seine WLAN Zugangsdaten mit seinen Outlook.com-, Skype- oder Facebook- Kontakten zu teilen. Hierzu muss die Funktion WLAN-Optimierung entsprechend konfiguriert sein (nach derzeitigen Kenntnissen ist sie standardmäßig aktiv).

Warum das vielleicht keine gute Idee ist, beleuchte ich im Folgenden.

Die folgenden Abbildungen zeigen die WiFi-Sense-Einstellungen in Windows 10.

Abbildung 1: „schlecht"

Abbildung 2: „gut"

Wer seine Daten also nicht mit allen „seinen" Facebook-, Skype- usw. „Freunden" teilen will, sollte diese Funktion in seinem Windows deaktivieren. Dazu ein Zitat aus Microsofts FAQ:

Kann ich WLAN-Netzwerke gezielt für einzelne Kontakte freigeben?

Nein, die Freigabe ist nur für Gruppen von Kontakten möglich. Wenn Sie beispielsweise kennwortgeschützte WLAN-Netzwerke für Ihre Skype-Kontakte freigeben, können all diese Kontakte über die Netzwerke auf das Internet zugreifen. Es ist nicht möglich, einzelne Kontakte für die Freigabe auszuwählen.

Die Freigabe gilt nur für Ihre Kontakte, nicht aber für deren Kontakte. Die Kontakte Ihrer Kontakte können nicht auf die von Ihnen freigegebenen Netzwerke zugreifen. Um eines Ihrer Netzwerke für ihre Kontakte freizugeben, müssten Ihre Kontakte Ihr Kennwort tatsächlich kennen und es beim Anmelden eingeben.

Natürlich werden nicht einfach alle WLANs automatisch freigegen, sondern man muss diese auswählen und mit dem WLAN Kennwort “freigeben”. WLANs, die 802.1x verwenden, können nicht freigegeben werden. Ein Grund mehr, endlich einzusehen, dass WLANs mit WPA und WPA2 mit Pre-shared Keys nicht für Unternehmen geeignet sind.

Als Betreiber eines WLANs kann man ebenfalls etwas dagegen tun. Hierzu ist die WLAN-SSID zu ändern, indem man “einfach” _optout an den bestehenden SSID anhängt.

(Das Bild stammt von Microsoft.)

Von Microsoft gibt es weiterführende Infos, die allerdings primär auf Benutzer und nicht auf technische Umsetzung abzielen.

http://windows.microsoft.com/de-de/windows-10/wi-fi-sense-faq

https://www.windowsphone.com/de-de/how-to/wp8/connectivity/wi-fi-sense-faq

https://www.windowsphone.com/de-de/how-to/wp8/connectivity/how-do-i-opt-my-network-out-of-wi-fi-sense

http://stadt-bremerhaven.de/windows10-wi-fi-sense/

Und wer schon mal beim Umbenennen seiner privaten SSID ist, kann das hier ja noch gleich mitberücksichtigen.
http://www.heise.de/netze/meldung/Google-Einfaches-WLAN-Opt-Out-aus-Geo-Datenbank-1379160.html

Eine Kombination aus _optout_nomap sollte also ebenfalls machbar sein. Wichtig dabei: Während „_optout" auch in der Mitte der SSID stehen kann, muss Googles „_nomap" am Ende sein.

Kommentar: Wer also nicht möchte, dass seine WLAN Zugangsdaten über bisher technisch nicht nachvollziehbare Art und Weise auf andere Geräte gelangen und dass dafür auch noch Facebook-Accounts genutzt werden, damit Microsoft auch gleich diese Verknüpfung noch kennt, der deaktiviert diese Funktion am besten auf seinen Geräten (Windows 10 und neuer, sowie Windows Phone 8.1). Und nein, eine Gruppenrichtlinie gibt es (derzeit) nicht dafür …

Die Zeitschrift iX hat eine gravierende Lücke im Sicherheitssystem von Windows 10 entdeckt. Demnach schlampt Microsofts neues Betriebssystem bei der Handhabung von Verschlüsselungs-Zertifikaten. Ausgerechnet im hochsensiblen Bereich der Daten, die Windows 10 in großem Stil von Benutzern abgreift.

Durch die Lücke ist es einem Angreifer möglich, Windows 10 ein gefälschtes Zertifikat unterzujubeln, das das Betriebssystem klaglos akzeptiert. In der Folge übermittelt das Betriebssystem dann kritische Informationen an den Angreifer – bis hin zu dem Kennwort von Bitlocker. Der Angriff ist nicht trivial, aber er beruht auf gängiger Technik, die in vielen Unternehmen bereits vorhanden ist und sich missbrauchen lässt.

Die Meldung zum Thema der Zeitschrift iX:

[Windows 10: Gefährlicher Zertifikats-Wirrwarr | iX]
http://www.heise.de/ix/meldung/Windows-10-Gefaehrlicher-Zertifikats-Wirrwarr-2776810.html

Vor einigen Tagen haben wir in einem Blog-Artikel auf einige Sicherheitsprobleme im Zusammenhang mit “WiFi-Sense” (zu deutsch: WLAN-Optimierung) in Windows 10 hingewiesen. Nun hat Microsoft einen Artikel veröffentlicht, der beschreibt, wie man die Funktion in einem Unternehmensnetzwerk zentral abschalten kann:

[How to configure Wi-Fi Sense on Windows 10 in an enterprise]
https://support.microsoft.com/en-us/kb/3085719

Aus diesem Artikel wird deutlich, dass es derzeit keine wirklich sinnvolle Funktion dazu gibt: Entweder man schaltet WiFi-Sense direkt bei der unbeaufsichtigten Installation ab. Oder man verteilt einen Registry-Key an bereits laufende Installationen. Offenbar hat man in Redmond vergessen, dafür eine Gruppenrichtlinien-Einstellung vorzusehen …

Das Upgrade auf Windows 10 bringt einen möglichen Rückweg zur vorherigen Betriebssysteminstallation mit. In der App „Einstellungen" unter „Update und Sicherheit", „Wiederherstellung" ist die Option zu finden. Neben der Einstellungen-App gibt es die Systemsteuerung, welche ebenfalls einen Punkt „Wiederherstellung" enthält. Das kann irritieren, denn dort sind erweiterte Wiederherstellungstools untergebracht, jedoch nicht die Möglichkeit der Rückkehr zur vorherigen Betriebssysteminstallation. Immerhin gibt es dort eine Verknüpfung in Textform zu den Einstellungen.

Innerhalb eines Monats nach der Aktualisierung auf Windows 10 sollte man sich für die Rückkehr zum alten System (beispielsweise Windows 7, Windows 8 oder Windows 8.1) oder endgültig für das neue Betriebssystem entscheiden.

„Diese Option ist nach dem Upgrade auf Windows 10 nur einen Monat verfügbar.", weist die Beschreibung auf den Ablauf dieser Möglichkeit hin.

Die zur Wiederherstellung des alten Betriebssystems erforderlichen Daten liegen im Dateiordner %SYSTEMDRIVE%\Windows.old und belegen dort einigen Speicherplatz, bei mir ca. 20 GB. Sicherlich ist es sinnvoll, diese Daten früher oder später loszuwerden.

Früher ist einfach: Der Ordner lässt sich natürlich manuell löschen. Um die Beseitigung der alten Installation jedoch etwas zu vertagen, kommen mehrere Varianten in Frage. Wahlweise sichert man den Ordner noch während des ablaufenden Monats an einen anderen Speicherort, oder man findet den automatischen Löschmechanismus und verhindert dessen Ausführung.

Letztere Option erscheint technisch spannender, um zu verstehen, auf welchem Weg Windows die Bereinigung durchführt. Vieles, was automatisch ausgeführt wird, passiert auf der Basis geplanter Tasks.

Der Kommandozeilen-Befehl schtasks.exe gibt alle geplanten Aufgaben aus. Der „SetupCleanupTasks" erscheint aufgrund seines Namens hinreichend verdächtig und wird nun näher betrachtet. Die Aufgabenplanung kann via Computerverwaltung oder z.B. direkt per taskschd.msc aufgerufen werden. In der Aufgabenplanungsbibliothek im Pfad Microsoft -> Windows -> Setup befindet sich die Aufgabe, deren Beschreibung den Volltreffer bestätigt:

„Löscht vorherige Windows-Installationsdateien einige Tage nach der Installation."

Als auslösendes Kriterium, den Trigger, ist ein Zeitplan hinterlegt. Der Start erfolgt alle 5 Tage.

Die etwas ungewöhnliche Aktion „Benutzerdefinierter Handler" wird von diesem Task ausgeführt.

Das Bearbeiten dieser Aktion ist in der Aufgabenplanung nicht möglich und wird mit einem Hinweis quittiert: „Dieser Aktionstyp kann in diesem Tool nicht bearbeitet werden."

Sowohl schtasks.exe als auch die Eigenschaften der geplanten Aufgabe in der GUI verweisen auf den Speicherort \Microsoft\Windows\Setup. Dieser befindet sich unter dem Stammverzeichnis für geplante Tasks, %SYSTEMROOT%\System32\Tasks und lässt sich von der mit administrativen Rechten ausgeführten Kommandozeile problemlos öffnen.

Die Datei SetupCleanupTask zeigt im XML-Inhalt, was die grafische Oberfläche nicht darstellen konnte. Eine Suche in der Registry nach der angegebenen ClassId bestätigte, dass die in der Description angegebene DLL aufgerufen wird.

<?xml version="1.0" encoding="UTF-16"?> 
<Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task"> 
  <RegistrationInfo> 
    <SecurityDescriptor>D:(A;;GA;;;BA)(A;;GA;;;SY)</SecurityDescriptor> 
    <Description>$(@%systemRoot%\System32\oobe\SetupCleanupTask.Dll,-102)</Description> 
    <URI>Microsoft\Windows\Setup\SetupCleanupTask</URI> 
  </RegistrationInfo> 
  <Principals> 
    <Principal id="System"> 
      <UserId>S-1-5-18</UserId> 
      <RunLevel>HighestAvailable</RunLevel> 
    </Principal> 
  </Principals> 
  <Settings> 
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries> 
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> 
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy> 
    <IdleSettings> 
      <StopOnIdleEnd>true</StopOnIdleEnd> 
      <RestartOnIdle>false</RestartOnIdle> 
    </IdleSettings> 
    <UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine> 
    <MaintenanceSettings> 
      <Period>P2D</Period> 
      <Deadline>P3D</Deadline> 
    </MaintenanceSettings> 
  </Settings> 
  <Triggers> 
    <TimeTrigger> 
      <StartBoundary>2004-01-02T06:00:00</StartBoundary> 
      <Repetition> 
        <Interval>P5D</Interval> 
      </Repetition> 
    </TimeTrigger> 
  </Triggers> 
  <Actions Context="System"> 
    <ComHandler> 
      <ClassId>{7C83C056-1D0D-4C8E-A6B0-89E79C213559}</ClassId> 
    </ComHandler> 
  </Actions> 
</Task> 

Nun geht es nicht darum, die geplante Ausführung z.B. durch das Umbenennen der DLL-Datei oder den Entzug der NTFS-Berechtigungen zu verhindern – schließlich könnten grundsätzlich auch andere Dienste oder Programme diese Datei benötigen.

Einfacher, sicherer und auch bequem rückgängig zu machen ist das Deaktivieren der geplanten Aufgabe per Aufgabenplanung oder Kommandozeile (mit administrativen Rechten):

schtasks.exe /change /disable /tn "\Microsoft\Windows\Setup\SetupCleanupTask" 

Sicherheitshinweis: Nach dieser Anpassung habe ich noch nicht den Monat seit der Umstellung verstreichen lassen, d.h. auch wenn es unwahrscheinlich erscheint, könnte ein anderer Mechanismus die Downgrade-Option dennoch außer Kraft setzen. Alle Angaben ohne Gewähr, Nutzung auf eigene Gefahr. Bitte immer, vor allem vor Änderungen am System, Datensicherungen durchführen. Spätestens das Upgrade des Betriebssystems sollte ohnehin Anlass genug sein, die eigene Datensicherungsstrategie zu überprüfen und eine Sicherung vor dem Upgrade zu erstellen.

Eine Shared-Nothing Live Migration kann schon mal ganz schön dauern. Das liegt daran, dass nicht nur der Arbeitsspeicher der VM von einem Host auf den anderen übertragen werden muss, sondern auch die virtuellen Festplatten.

Um herauszufinden, wie weit der Prozess fortgeschritten ist, kann man per PowerShell eine WMI-Abfrage ausführen. Dazu startet man die PowerShell als Administrator (wichtig!) und führt dann folgendes Kommando aus:

Get-WmiObject -Namespace root\virtualization\v2 -Class Msvm_MigrationJob | fl Name, JobStatus, PercentComplete, VirtualSystemName

Was für ein blödes Problem, das hat mich etwa 4 Stunden gekostet, es genau auseinanderzunehmen und -zig Blog- und Foren-Einträge zu lesen. Auch dort war nicht immer eine genaue Lösung zu finden. Sondern immer nur Hinweise.

Ich wollte auf Windows 7 x64 auch den IE 11 installieren. Sicher ist sicher. Dabei gab es, nachdem alle Updates installiert waren, ein Problem mit dem IE 11. Zunächst half nichts: Weder das separate Paket zu installieren noch die Hinweise, dass es eine kaputte .Net 4 Installation sein könnte.

In den Windows-Funktionen war der IE 11 schon als aktiviert vermerkt. Tatsächlich gab es aber keinen IE 11, sondern nur den IE 8.

So ließ das Problem sich lösen:

Als erstes sollte man sich aller schon installierten IE-11-Pakete entledigen. Dies geht mit folgenden Befehl:

FORFILES /P %WINDIR%\servicing\Packages /M Microsoft-Windows-InternetExplorer-*11.*.mum /c “cmd /c echo Uninstalling package @fname && start /w pkgmgr /up:@fname /norestart”

Dabei werden alle Updates, die irgendwie zum IE 11 gehören, deinstalliert. Unter “Programme und Funktionen” ist danach wieder der IE 8 zu sehen. Ich habe zur Sicherheit noch einen Restart durchgeführt.
Danach klappte die Installation ohne weitere Probleme

Vor einigen Wochen hat der IT-Fachautor Thomas Joos auf dem IT-Portal “Datacenter Insider” einen Artikel mit dem Titel “3X3 Tipps für die Beschleunigung von Hyper-V-Server und VMs” veröffentlicht. Auf Xing hatte ich daraufhin angemerkt, dass ich dazu einige Einwände hätte. Im Lauf der Diskussion, die sich daraufhin entspann, kündigte ich einen Blogpost dazu an. Hier ist er nun.

Warum halte ich Thomas’ Tipps zum größeren Teil nicht für sinnvoll? Gehen wir sie im Einzelnen durch.

1. Physische Festplatten direkt an VMs anbinden?

Der erste Tipp schlägt vor, virtuellen Maschinen einzelne physische Festplatten des Hostservers zuzuweisen. In Hyper-V nennt sich dies “Pass-through Disk”, vSphere kennt dies als “Raw Device Mapping”. Warum ist das in aller Regel keine gute Idee?

Scheinbar lässt sich durch das Anbinden einer physischen Disk an eine VM die Leistungsfähigkeit des Volumes “ungeschmälert” verwenden, weil die Virtualisierungsschicht nicht dazwischensteht. Das mag rein rechnerisch zwar sein, doch ist dieser “Vorteil” teuer erkauft:

• Wer eine physische Festplatte an eine VM anbindet, koppelt die VM an den Host. Die VM kann weder per Live Migration noch per Failover auf einen anderen Host wechseln, denn dort ist die betreffende Platte ja nicht vorhanden.
• Eine Pass-through Disk steht der betreffenden VM exklusiv zur Verfügung – der gesamte Platz kann nur von der einen VM genutzt werden. Die Flexibilität einer VM-Umgebung schränkt man damit erheblich ein.
• Wer ein SAN-Volume (eine so genannte “LUN”) als Pass-through-Disk an eine VM anbindet, umgeht grundsätzlich das Problem, dass die VM an einen Host gebunden ist, denn auf ein SAN-Volume kann ja auch ein anderer Host zugreifen. Aber: Damit dies funktioniert, ist eine exakte Konfiguration des SANs und der Hosts erforderlich. Hier lauern gleich mehrere Fehlerquellen, die die Zuverlässigkeit des Gesamtsystems gefährden.
• Bestimmte Vorgänge einer VM funktionieren nicht mit Pass-through Disks. Dazu zählen etwa VM-Snapshots (im Hyper-V-Jargon als “Checkpoints” bezeichnet). Diese sollte man zwar ohnehin nur in Spezialfällen nutzen, doch Pass-through Disks können mögliche Probleme noch einmal erheblich verschärfen: Eine solche Disk wird ja nicht vom Hypervisor kontrolliert, sie erhöht damit das Risiko inkonsistenter Daten.

Vor allem aber ist der Performance-Vorteil einer Pass-through-Disk in aller Regel zu vernachlässigen. Schon mit dem VHD-Format für virtuelle Festplatten war der “Leistungsverlust” durch die Virtualisierung in der Praxis gering. Durch das neuere VHDX-Format sind virtuelle Platten noch einmal schneller geworden. Und schließlich bietet gerade das VHDX-Format sogar einige Optimierungen, die eine Pass-through-Disk nicht hat.

Fazit: Diesen Tipp sollte man nicht anwenden! Nur in sehr wenigen, speziellen Situationen können Pass-through Disks sinnvoll sein. Für den generellen Gebrauch raten eigentlich alle Experten von ihrem Einsatz ab.

2. SAN-Volumes an VMs anbinden?

Diesen Tipp hat Thomas leider sehr unklar formuliert. Er bezieht sich auf “Virtual Fibre Channel” (vFC) und empfiehlt, dieses einzusetzen, um SAN-Volumes direkt an VMs anzukoppeln.

Hier ist zunächst anzumerken, dass dieser Tipp ohnehin nur in Betracht kommt, wenn Fibre Channel für die Storage-Anbindung im Einsatz ist. Das ist gerade im Mittelstand eher selten der Fall. Selbst dann aber muss die SAN-Anbindung die Technik auch unterstützen – dazu wiederum sind spezielle Komponenten erforderlich (diese müssen das Protokoll NPIV unterstützen, das kein Standardfeature ist).

Selbst wenn man die nötigen Komponenten also hat, stellt sich aber immer noch die Frage, ob es überhaupt sinnvoll ist, SAN-Volumes direkt in eine VM umzuleiten. Dazu kommen wieder die Argumente von Punkt 1 ins Spiel: In den meisten Situationen hat man hier nicht nur keinen Vorteil, sondern schnell sogar handfeste Nachteile.

Fazit: Auch diesen Tipp sollte man in der Regel nicht anwenden. Die meisten werden ihn aber auch gar nicht anwenden können.

3. Host-Systemdaten und VMs trennen

Gut, diesem Tipp kann man sich ohne Vorbehalte anschließen. Die Standardpfade zur Dateiablage, die Hyper-V nach der Grundinstallation vorschlägt, sind in der Tat völlig unsinnig. Es ist sehr sinnvoll, für die VMs und die virtuellen Festplatten ein eigenes Volume vorzuhalten: Auf einem Einzel-Host eine eigene Platte (bzw. ein eigenes RAID-Volume), in einer Cluster-Umgebung natürlich das SAN (oder einen SOFS-Dateiserver).

Fazit: Im Großen und Ganzen okay. Hier ist mein Einwand nur, dass diese Konfiguration keine “Optimierung” ist, sondern zu den Grundlagen der Hyper-V-Einrichtung gehört.

4. Festplatten fester Größe und Dynamic Memory

In diesem Tipp verbergen sich eigentlich zwei Empfehlungen, die nichts miteinander zu tun haben.

Die erste betrifft die virtuellen Festplatten, für die Thomas Joos empfiehlt, sie auf “Fixed Size” zu setzen. Normalerweise erzeugt Hyper-V virtuelle Festplatten dynamischer Größe. Diese haben in der Tat ein paar Nachteile – die Performance gehört aber eher nicht dazu. Zwar ist es durchaus so, dass VHD(X)-Dateien fester Größe einen messbaren Leistungsvorteil gegenüber den dynamischen VHD(X)-Dateien haben. Spürbar ist dieser Unterschied aber so gut wie nie.

Die Gründe, Fixed-Size-Disks einzusetzen, sind meist andere. Zum einen gewähren Microsoft und andere Hersteller für manche ihrer Applikationen nur dann Support, wenn diese in Fixed-Size-Festplatten einer VM laufen. Zum anderen sind dynamische Festplatten tückisch: Die VM selbst “sieht” immer den gesamten Speicherplatz, aber die VHD(X)-Datei umfasst nur den Platz, der tatsächlich belegt ist. Passt man hier nicht auf, dann kann es passieren, dass die physische Platte des Hostservers nicht mehr genügend Platz hat, um die gesamte virtuelle Disk unterzubringen. Da die VM keine Möglichkeit hat, das rechtzeitig zu merken, laufen viele Admins hier in eine Falle: Die Host-Platte ist voll, die VM kann nichts mehr speichern, und die VM fällt daher aus.

Fazit 1: Ja, für kritische VM-Systeme sind virtuelle Festplatten mit fester Größe vorzuziehen.

Ergänzung: Wer dynamische VHD(X)-Dateien einsetzt, muss den physischen Plattenplatz des Hostservers laufend überwachen!

Die zweite Empfehlung betrifft “Dynamic Memory” und damit das RAM einer VM, nicht deren Plattenspeicher. Mit Dynamic Memory kann eine VM im laufenden Betrieb mehr RAM beim Host anfordern oder auch RAM wieder abgeben, wenn sie gerade weniger benötigt.

Klingt gut – was spricht dagegen? Das Problem mit Dynamic Memory ist, dass auch die Applikationen in den VMs damit umgehen können müssen. Die meisten Dienste des Betriebssystems können das. Gerade einige Applikationen, die viel RAM brauchen, können mit Dynamic Memory aber nichts anfangen. Exchange (alle Versionen) oder SQL Server in der Standard- und Express-Fassung kennen kein Dynamic Memory. Sie nutzen immer nur so viel RAM, wie sie beim Start ihrer Dienste vorgefunden haben. Stellt die VM im laufenden Betrieb mehr RAM bereit, so können die Applikationen nicht darauf zugreifen.

Für Exchange gilt daher, dass es gar nicht supported ist, wenn Dynamic Memory eingeschaltet ist!

Fazit 2: Dynamic Memory auf keinen Fall als Standard einschalten! Nur in bestimmten Situationen ist es nützlich. Besser ist es fast immer, den tatsächlichen RAM-Bedarf der VMs zu ermitteln und ihnen diesen Wert fest zuzuweisen.

5. Generation-2-VMs

Thomas empfiehlt die Nutzung von virtuellen Maschinen der Generation 2. Grundsätzlich ist dagegen nichts zu sagen – nur dass die Gen-2-VMs längst nicht so große Performance-Vorteile gegenüber ihren Generation-1-Vorgängern haben wie Thomas’ Artikel nahelegt. Dass die Generation 2 in ihrer Implementierung in Windows Server 2012 R2 auch einige Nachteile hat (z.B. der vermurkste Tastatur-Treiber bei der Installation oder der Verzicht auf virtuelle Grafikkarten), erwähnt Thomas nicht.

Die Daten-Deduplizierung, die Thomas am Ende dieses Tipps erwähnt, hat mit Generation-2-VMs nichts zu tun. Sie ist auch mit größter Vorsicht zu genießen!

Fazit: Generation-2-VMs sind längst nicht in jeder Situation zu empfehlen. Man sollte prüfen, ob sie im konkreten Anwendungsfall wirklich Vorteile bringen. Sie sind kein Performance-Renner im Vergleich zu den herkömmlichen Generation-1-VMs.

Und: Daten-Deduplizierung auf keinen Fall “einfach so” einschalten!

6. Host-Netzwerkadapter

Dass die Netzwerkverbindungen des Hostservers von denen der VMs getrennt werden sollten, ist eine der Grundlagen von Hyper-V – mit Performance-Optimierung, die die Einleitung des Artikels ankündigt, hat das wenig zu tun. Das ist so, als wolle man das Steuern eines Autos als Profi-Fahrertrick verkaufen.

Tatsächlich gehören die Netzwerkeinstellungen in Hyper-V-Systemen zu den Komponenten, bei denen Administratoren in der Praxis die meisten Schwierigkeiten haben und die meisten Fehler machen. Darauf geht Joos’ Artikel aber leider nicht ein.

Fazit: Ja, natürlich trennt man Host- und VM-Netzwerke. Genau an dieser Stelle gibt es aber noch einiges mehr zu tun!

7. Dedizierte NICs für iSCSI und für einzelne VMs

Der Empfehlung, für die iSCSI-Anbindung der Host-Umgebung eigene, dedizierte Netzwerkkarten zuzuweisen, kann ich nur vorbehaltlos zustimmen. Das sollte man niemals anders machen. iSCSI ist Storage-Verkehr, der nie mit anderem Traffic gemischt werden darf.

Diese Empfehlung kann man nur erweitern: Nicht nur eigene Netzwerkkarten für iSCSI, sondern ein eigenes Netzwerk-Segment (mindestens ein eigenes VLAN, besser – in großen Umgebungen – separate Switches) und auch ein eigenes IP-Segment. Ganz nebenbei, gehört dieser Tipp in dieselbe Kategorie wie die Nummer 6.

Die zweite Empfehlung hingegen, auch für einzelne VMs dedizierte Netzwerkkarten (und damit eigene vSwitches) vorzusehen, ist fast immer Unsinn. Praktisch alle Implementierungsversuche dieser Art, die ich in der freien Wildbahn gesehen habe, führten entweder zu Ressourcenverschwendung (weil die Anwendungen auf den VMs bei weitem kein Gigabit ausgelastet haben) oder in die Irre (weil die resultierende Komplexität der Konfiguration die Admins überfordert hat).

Der abschließende Verweis auf SR-IOV führt angesichts der typischen Zielgruppe des Artikels (eher Hyper-V-Einsteiger als erfahrene Profis) in die Irre: Nicht nur sind SR-IOV-Adapter sehr teuer, sondern sie bergen auch viele Stolperfallen in Konfiguration und Betrieb. Die Vorteile sind in den meisten Umgebungen nicht relevant. Also eher: Bleiben lassen.

Fazit: Gemischt. Für iSCSI auf jeden Fall separate Netzwerkkarten und ein separates Netzwerk-Segment. Anwenden! Für einzelne VMs in aller Regel bitte keine separaten Netzwerkkarten im Host – nicht anwenden!

8. Virenschutz auf dem Host

Ja – da die meisten Hyper-V-Hosts in der Praxis eben nicht ausschließlich als Hosts verwendet werden, sondern die Admins von dort aus auch mal den Browser aufrufen (um z.B. nach Treibern zu suchen) oder Dateien dorthin kopieren, ist ein lokaler Virenscanner auf dem Host erforderlich. Und dann muss man diesen auch richtig konfigurieren.

Hilfreicher als einzelne Prozesse zu benennen, wäre allerdings ein Verweis auf die Quellen des Herstellers:

[Hyper-V: Anti-Virus Exclusions for Hyper-V Hosts – TechNet Articles – United States (English) – TechNet Wiki]
http://social.technet.microsoft.com/wiki/contents/articles/2179.hyper-v-anti-virus-exclusions-for-hyper-v-hosts.aspx

Fazit: Ja, bitte anwenden, dann aber richtig. (Auch dies ist aber eine Grundlage und kein Optimierungs-Tipp.)

9. Monitoring mit “Freeware”

Ja, natürlich sollte eine Virtualisierungsumgebung überwacht werden. Dummerweise ist das Thema aber alles andere als trivial.

Das gilt auch für das Werkzeug “PAL”, das Thomas Joos erwähnt. Wer damit ernsthaft die Leistung seiner Umgebung prüfen und verbessern will, sollte sich schon ausführlich damit und mit den Grundlagen beschäftigen.

Fazit: Naja. Monitoring ist nicht einfach. Ein Werkzeug, das Einsteigern eine simple und zuverlässige Überwachung ermöglicht gibt es für Hyper-V so wenig wie für vSphere. Und alle fortgeschrittenen Tools sind schnell so komplex, dass sie sich nicht für die Zielgruppe des Artikels eignen. Es spricht nichts dagegen, sich die empfohlenen Werkzeuge anzusehen, aber sie sind keine “Lösung”.

Die Ausgangssituation zu diesem Problem war, dass bei einer Benutzerin in der Personalabteilung sich das Benutzerkonto permanent sperrte. Ein aktiviertes Server-Auditing zeigte eindeutig, dass es ihr primärer Rechner war, von dem die Sperrung kam. Mittels der ALTools.exe (aus den Account Lockout and Management Tool Suite von Microsoft) konnten der Zeitpunkt der Sperrung und der Auslöser eingegrenzt werden. Ein Passwort-Raten durch Dritte war damit ausgeschlossen.

Der Auslöser war die Personalsoftware. Jedes Mal, wenn über den Link auf dem Desktop die Anwendung am Server aufgerufen wurde, wurde dreimal ein falsches Passwort gesendet. Bei weiteren unvermeidlichen Arbeiten mit der Software wurde irgendwann der Schwellenwert zur Sperrung erreicht. Die erste Vermutung: ein gespeichertes Passwort, dass nach der letzten Passwortänderung tapfer weiter das alte Passwort sendet. Also wurde in der Anmeldeinformationsverwaltung der Systemsteuerung der Windows-Tresor überprüft. Doch dieser war leer und unbenutzt.

Als nächstes hat sich diese Benutzerin an einem anderen Rechner angemeldet. Die Software lief problemlos, und das Konto wurde nicht gesperrt. Dann hat sich ein anderer Benutzer am ersten Rechner angemeldet. Die Software lief problemlos und auch hier wurde das Konto nicht gesperrt.

Aus Erfahrung war jetzt das Benutzerprofil der Hauptverdächtige. Das alte Profil wurde ordnungsgemäß gesichert, entfernt und ein neues Profil angelegt. Das Problem blieb jedoch bestehen.

Mark Russinovich proklamiert an dieser Stelle stets: „when in doubt, run process monitor!" Der nächste Schritt war folglich, den Process Monitor aus der Sysinternals Suite anzuwerfen und einen tieferen Blick auf das Problem zu werfen. An dieser Stelle machte ich allerdings den Fehler, dass ich bereits vor Beginn des Monitorings schon einen Filter auf die Personalsoftware setzte. Diese verursachte schließlich den Fehler, also wollte ich auch nur diese im Logfile haben.

Ergebnis: nichts Ungewöhnliches. Die wirkliche Ursache blieb vorerst ungelöst. Das Problem war nach einer Neuinstallation des Rechners auch verschwunden. Weitere Energie sollte ich dafür nicht aufwenden.

Vor zwei Monaten tauchte das Problem dann bei zwei anderen Kolleginnen auf. Dieses Mal wurde gleich der Rechner getauscht und der alte stand für Tests dauerhaft zur Verfügung. Das Problem sollte nun ein für alle Mal gelöst werden. ALTool.exe, Prozess Monitor und Prozess Explorer scharrten mit den Füßen. Die Größe der Log-Dateien hielt sich in Grenzen, denn ich startet die Anwendungen und stoppte sofort nach Aufruf der Verknüpfung.

Ich wandte mich dem Process Monitor zu und da dieses Mal kein Filter gesetzt war, fanden sich auch außergewöhnliche Einträge unter den Ergebnissen. (Wer bisher wenig mit dem Process Monitor gearbeitet hat oder noch nie eine der „the case of"-Videos von Mark Russinovich gesehen hat: das fertige Log kann man schnell über „Tools – Count Occurrences…" auf Anzahl der Ergebnisbegriffe filtern. Einfach die Spalte auf „Results" umstellen und auf die Schaltfläche „Count" klicken.)

In diesem Fall waren es elf „Access Denied" und ein „Logon failure". Letzterer zeigte allerdings nicht auf die HR-Software, sondern auf den Dienst „btservice.exe". Dieser Dienst gehört zur Software „Powerbroker for Windows" von Beyond Trust. (Powerbroker ermöglicht es dem Administrator einer definierten Anwendung über eine Gruppenrichtlinie erhöhte Benutzerrechte zuzuweisen.)

Der Dienst wurde angehalten. Das Problem war weg. Der Dienst wurde gestartet. Das Problem war wieder da.

Standardmäßig lief der Dienst unter dem Systemkonto. Also habe ich einen neuen lokalen Benutzer angelegt, diesen in die Gruppe der lokalen Administratoren aufgenommen und als Konto für den Dienst hinterlegt. Das Problem war weg. Das Systemkonto wieder eintragen. Das Problem war wieder da.

An dieser Stelle war ich erst einmal ratlos, wie sich das Systemkonto die Anmeldeinformationen merken konnte, wenn der Windows-Tresor leer ist. Bis zu diesem Zeitpunkt habe ich davon noch nie was gehört. (Was vermutlich bei vielen Dingen so ist, wenn man nicht mit der Nase draufgestoßen wird :-))

Somit stellte sich die Frage, wo man sieht, dass es ein gespeichertes Passwort für ein Domänenkonto gibt und wie man das abstellt. Der Eintrag auf http://serverfault.com/questions/375036/how-can-i-clear-cached-domain-credentials brachte schließlich die Lösung.

Wieder benötigt man ein Tool aus der Sysinternals Suite: psexec.exe. Mit den Parametern „psexec.exe -i -s regedit.exe" startet man die Registry als „System" und hat hier Zugriff auf den HKLM\System-Zweig. Unter „Cache" stehen die zwischengespeicherten Passwörter in verschlüsselter Form.

Bitte SO nicht nachmachen! Da es ein Test-Rechner war, habe ich direkt ohne mit der Wimper zu zucken alle Einträge gelöscht, die folgendes Format aufwiesen „NL$<Zahl>. Nach einen Rechner-Neustart wurde für den Dienst wieder das Systemkonto gesetzt und das Problem trat nicht mehr auf.

Für einen Rechner, der einem erhalten bleiben soll, empfiehlt sich allerdings es so zu lösen, wie es auf der o.a. Seite beschrieben ist: über die secpol.msc unter den Security Settings – Local Policies – Security Options kurzzeitig den Cache-Wert auf Null und danach wieder auf den Ausgangswert „10" zu setzen. Der Eintrag heißt auf Englisch: „Number of previous logons to cache (in case domain controller is not available)". Auf deutsch: „Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorherige Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)".

Die HR-Kollegin hat dann noch als abschließenden Test ihre Arbeiten mit dem alten System durchgeführt und die Sperrung war „Geschichte".

BGInfo, das nützliche Info-Tool für den Windows-Desktop, eignet sich am besten, wenn man es auf einem Rechner automatisch bei jeder Benutzeranmeldung ausführt. Eine simple Möglichkeit, das zu tun, besteht darin, es per Autostart aufzurufen.

In aktuellen Windows-Versionen ist das allerdings nicht ganz einfach, weil man an den Autostart-Ordner nicht so leicht herankommt. Daher habe ich ein kleines Skript geschrieben, das die Aufgabe erledigt: Es erzeugt einen Link auf BGInfo im Autostart-Ordner des All-Users-Profils. Dabei bindet es gleich eine BGI-Datei ein, die die Informationen für BGInfo vorgibt.

So geht’s:

• BGInfo herunterladen und in einem Ordner namens “BGInfo” entpacken.
• In denselben Ordner das Skript legen.
• Ebenfalls in denselben Ordner eine BGI-Datei legen (z.B. diejenige, die in unserem Download enthalten ist).
• Den ganzen Ordner BGInfo kopieren nach “Program Files (x86)” – etwa mit folgendem Kommando in einem CMD-Fenster das mit Adminrechten (!) läuft:
  robocopy „c:\MeinOrdner\BGInfo" „%ProgramFiles(x86)%\BGInfo"
• Das Skript als Administrator mit cscript ausführen – am besten aus demselben CMD-Fenster:
  cscript Create-BGInfoLaunchShortcut.vbs
• Fertig

Hier unser Skript mit der BGI-Datei:

Microsoft sieht leider keine offizielle Möglichkeit vor, eine App in Windows 10 per Kommandozeile zu starten. Damit lässt sich auch der neue Browser Edge nicht ohne Weiteres in dieser Form aufrufen, etwa per Batch.

Mit ein wenig Trickserei ist es aber möglich, wenn man es wirklich braucht. Die Edge-App startet man so:

start "shell:appsfolder\Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" "http://www.kaczenski.de"

Das Kommando “start” ist ein normaler Shell-Befehl, den es seit Windows 95 gibt. Er ruft ein Dokument mit der zugehörigen Anwendung auf. Hier gibt man den Pfad zur App an – und der ist leider alles andere als intuitiv. Ganz hinten kann man dann im Fall des Edge-Browsers noch den gewünschten URL als Parameter mitgeben. Weitere Schalter scheint Edge derzeit nicht zu unterstützen.

Um die “Aufruf-Namen” der vorhandenen Apps herauszufinden, gibt es hier eine mehrschrittige Lösung, die mit mehreren PowerShell-Skripten arbeitet:

[Launching Modern Applications from the Command Line | Precision Computing]
http://www.leeholmes.com/blog/2015/10/30/launching-modern-applications-from-the-command-line/

Braucht man nur eine bestimmte App, kann man sich dort ein wenig Code ausleihen. Folgenden Schnippsel kann man in den Skriptbereich der PowerShell ISE eingeben und dann mit F5 starten. Als Antwort bekommt man das start-Kommando zurück, mit dem sich die App aufrufen lassen sollte:

# in der folgenden Zeile den gesuchten Namensteil zwischen die Sternchen schreiben
$Name = '*edge*'
foreach($package in Get-AppxPackage)
{
  foreach($appId in ($package | Get-AppxPackageManifest).Package.Applications.Application.Id)
  {
    if(($package.Name -like $Name) -or ($appId -like $Name))
    {        "start ""shell:appsfolder\$($package.PackageFamilyName)!$appId"""
    }
  }
} 

Eine Ergänzung noch zum Aufruf des Edge-Browsers: Momentan kann man per Kommandozeile kein privates Fenster öffnen. Auf Uservoice gibt es eine Möglichkeit, diesen Wunsch an Microsoft zu unterstützen:

[inprivate command line switch – Dev Feedback on Windows Platform Development]
https://wpdev.uservoice.com/forums/257854-microsoft-edge-developer/suggestions/9245247-inprivate-command-line-switch

Die Remote Server Administration Tools gibt es seit dem November-Update für Windows 10 nun auch auf Deutsch. Die neue Version 1.1 (Release-Datum 19. November 2015) arbeitet mit der neuen Fassung zusammen; anders als bisherige Ausgaben muss man die Tools jetzt auch nach der Installation nicht mehr einzeln aktivieren.

[Download Remoteserver-Verwaltungstools für Windows 10 from Official Microsoft Download Center]
http://www.microsoft.com/de-DE/download/details.aspx?id=45520

​Gerade macht die Nachricht die Runde, dass Microsoft das Lizenzmodell für Windows Server 2016 verändern wird. Für einige Situationen kann das höhere Preise bedeuten.

Windows Server 2016 wird erst im kommenden Sommer erwartet, mittlerweile gilt die Einschätzung „zweite Jahreshälfte".

Kunden, die eine aktive Software Assurance (SA) für ihre Serverlizenzen haben, werden ohne Aufpreis auf die neue Version umsteigen können. Dadurch könnte die SA jetzt sehr attraktiv werden, wenn Kunden planen, in absehbarer Zeit auf 2016 zu setzen.

Das neue Lizenzmodell für die Serverlizenz wechselt von einer Pro-CPU- zu einer Pro-Core-Lizenzierung. Dabei sind 16 Cores (!) pro Server das Minimum, pro CPU müssen mindestens 8 Cores (!) lizenziert werden. Ergänzende Lizenzen für Server mit höherer CPU-/Core-Ausstattung gibt es dann wohl in Schritten zu je 2 Cores.

Bislang (Windows Server 2012 R2) gelten sowohl die Standard- als auch die Datacenter-Lizenz für je zwei physische CPUs. Diese Zuordnung ändert sich zu den oben angegebenen Cores. Auch weiterhin bleibt es bei einem Server-/CAL-Modell, also werden auch weiterhin zusätzlich CALs für die Endgeräte/Benutzer erforderlich sein.

Die Preise für die Core-Packs sollen so definiert sein, dass heute übliche Lizenzkosten nicht überstiegen werden. Wer also bislang eine Standard-Lizenz hat (deckt 2 CPUs ab) und künftig für denselben Servertyp die „kleinste" Standard-Lizenz für 16 Cores kauft, wird etwa dasselbe bezahlen müssen.

Auch weiterhin werden mit der Standard Edition zwei Windows-Server-VMs mitlizenziert sein*, hierbei muss die Lizenz aber alle Cores abdecken, die im Server stecken. Datacenter wird wohl auch künftig „beliebig viele" VMs lizenzieren. Die Feature-Parität von Standard und Datacenter, die mit 2012/R2 galt, wird wieder verschwinden: Datacenter enthält mit 2016 einige Funktionen, die in Standard fehlen. Dazu zählen leistungsfähige Netzwerk- und Storagetechniken (Storage Replica und die Hyperconverged-Funktion S2D gibt es nur mit Datacenter!).

Alle Angaben ohne Gewähr, sie beziehen sich auf ein nicht rechtsverbindliches FAQ-Dokument. Nähere und verlässliche Details sind ohnehin erst zum Marktstart im nächsten Sommer zu erwarten. Wichtig aber noch mal der Hinweis, dass Kunden, die jetzt neue Serverlizenzen für Windows Server 2012 R2 kaufen, noch mal genauer über Software Assurance nachdenken sollten.

Details:

[Windows Server 2016 | Microsoft]
http://www.microsoft.com/en-us/server-cloud/products/windows-server-2016/

FAQ: http://download.microsoft.com/download/7/2/9/7290EA05-DC56-4BED-9400-138C5701F174/WSSC2016LicensingFAQ.pdf

(* Eine VM innerhalb einer VM bei „Nested Virtualization" zählt als zwei VMs. Wer sowas bauen möchte, wird also von vornherein die Datacenter-Lizenz einplanen müssen.)

Die nächste Version von Hyper-V erscheint mit Windows Server 2016, das sich derzeit in einer technischen Preview-Phase befindet. Vor Kurzem hat Microsoft die Technical Preview 4 (TP4) bereitgestellt. Neben Neuerungen in der Container-Verwaltung hält damit eine neue Funktion Einzug, die für bestimmte Zwecke das “Durchreichen” von Hardware des Host-Servers an eine VM erlaubt: Discrete Device Assignment.

Diese Funktion erlaubt es, bestimmte PCIe-Geräte direkt einer VM zuzuweisen, sodass diese nicht mehr vom Host, sondern eben von der virtuellen Maschine verwaltet werden. Unter der Haube ist das dieselbe Technik, die auch für die hardwarebasierte Netzwerkvirtualisierung SR-IOV verwendet wird. Tatsächlich hatte Microsoft den Unterbau dieses Features schon mit den ersten Versionen von Hyper-V entwickelt. Da es damals aber nicht ohne Weiteres einzurichten war, tauchte es nicht im Produkt auf.

Discrete Device Assignment erlaubt es nun (leider) nicht, einfach beliebige Hardware an eine VM anzubinden. Es ist sogar nicht einmal geeignet, beliebige PCI-Express-Geräte (PCIe) an eine VM durchzureichen. Hier müssen nämlich eine ganze Reihe von Komponenten mitspielen, nicht zuletzt die Gerätetreiber. Als erstes und wichtigstes Szenario für diese Funktion nennt Microsoft NVMe-Speicherlaufwerke (Non-Volatile Memory Express), eine neue Klasse von SSD-artigen Laufwerken. Zukünftig soll es mit solchen Geräten auch möglich sein, sie zu partitionieren und als “hardware-virtualisierte” Geräte mehreren VMs zuzuweisen (was mit SR-IOV-Netzwerkkarten eben schon jetzt geht). Derzeit lassen sie sich aber nur exklusiv an eine VM anbinden, daher der Name “Discrete Device Assignment”.

Das zweite wichtige Einsatzszenario sind leistungsfähige GPUs (Grafikkarten), die sich mit der neuen Funktion ebenfalls direkt und exklusiv an eine VM weiterreichen lassen. Hier erwartet Microsoft aber in der Anfangsphase noch mehr Einschränkungen als bei NVMe-Laufwerken, sodass Experimente angesagt sind und der GPU-Hersteller in den Support eingebunden werden muss. Laut eigener Aussage haben die Entwickler in Redmond einen ganzen Blumenstrauß an weiteren Gerätetypen getestet, und einige davon ließen sich mit Discrete Device Assignment nutzen. Offiziellen Support wird es für solche Konstrukte (zunächst) aber nicht geben.

Auch für Linux-VMs ist die Funktion in Entwicklung, was zunächst zahlreiche Ergänzungen innerhalb von Hyper-V erforderte. Auch Linux selbst braucht Anpassungen, wobei derzeit noch unklar ist, ob und wann diese tatsächlich Einzug in den Linux-Kernel erhalten.

Eine Reihe lesenswerter Blog-Artikel von Jake Oshins, der die Funktionen maßgeblich mit entwickelt hat, beschreibt die neue Funktion, wie sie arbeitet und wie man sie ausprobiert:

[Discrete Device Assignment — Description and background – Windows Virtualization Team Blog – Site Home – TechNet Blogs]
http://blogs.technet.com/b/virtualization/archive/2015/11/19/discrete-device-assignment.aspx

[Discrete Device Assignment — Machines and devices – Windows Virtualization Team Blog – Site Home – TechNet Blogs]
http://blogs.technet.com/b/virtualization/archive/2015/11/20/discrete-device-assignment-machines-and-devices.aspx

[Discrete Device Assignment — GPUs – Windows Virtualization Team Blog – Site Home – TechNet Blogs]
http://blogs.technet.com/b/virtualization/archive/2015/11/23/discrete-device-assignment-gpus.aspx

[Discrete Device Assignment — Guests and Linux – Windows Virtualization Team Blog – Site Home – TechNet Blogs]
http://blogs.technet.com/b/virtualization/archive/2015/11/24/discrete-device-assignment-guests-and-linux.aspx

Die Benutzerkontensteuerung (User Account Control, UAC) sorgt seit Windows Vista und Windows Server 2008 für ein erhöhtes Sicherheitsniveau in einigen Standardsituationen. Dies erreicht sie, indem sie auch lokale Administratoren eines Windows-Systems so einschränkt, dass sie im Normalfall nur über Benutzer-Berechtigungen verfügen. Einige Hintergründe haben wir schon vor einigen Jahren in unserem Standard-Artikel beschrieben:

[Benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/

Ein wichtiges Thema behandelt unser damaliger Artikel aber nicht: Was muss man tun, um in einem Windows-System mit aktivierter UAC Berechtigungen auf Dateien und Ordner sinnvoll zu verwalten? Dies beleuchten wir im Folgenden.

Die Explorer-Falle

Das größte Problem bei der Berechtigungsverwaltung mit aktivierter UAC ist ausgerechnet der Windows-Explorer. Es handelt sich dabei um eins der einzigen Programme, die nicht mit der UAC umgehen können: Man kann es nämlich nicht als Administrator starten. Selbst wenn man das versucht, klappt es nicht: Der Explorer läuft immer als eingeschränkter Anwender.

Ja, so ganz zutreffend ist das nicht. Thorsten Butz hat einen Weg beschrieben, wie man den Explorer tatsächlich als Administrator ausführen kann. Da dieser Weg allerdings alles andere als einfach ist, bleiben wir für die Belange dieses Artikels bei der obigen Aussage. Hier Thorstens Artikel:

[Run Windows Explorer as administrator | www.thorsten-butz.de]
http://www.thorsten-butz.de/run-explorer-as-admin/

Da Microsoft das auch aufgefallen ist, hat man sich dort für einen sehr halbgaren Workaround entschieden: Der Explorer manipuliert einfach mal so die Berechtigungsliste, ohne darauf deutlich hinzuweisen. So sieht das dann aus:

1. Gegeben sei ein Ordner, auf den nur Administratoren zugreifen sollen. Da das ohne Spezialwerkzeuge nicht so einfach einzurichten ist, habe ich mich dazu als der vordefinierte “Administrator” angemeldet – der wird nämlich niemals durch UAC eingeschränkt.
   
   Nur Administratoren dürfen an diesen Ordner.
   
2. Jetzt melde ich mich mit einem anderen Konto an (hier: NilsAdmin). Dieses Konto ist Mitglied der lokalen Gruppe “Administratoren” des Servers.
   Ich versuche, den in Schritt 1 erzeugten Ordner zu öffnen. Geht nicht: Der Explorer meldet einen Berechtigungsfehler. Aber er bietet mir an, den Zugriff zu erhalten.
   
   Du darfst hier nicht rein. Nur wenn du höflich drum bittest.
   
3. Ich klicke also auf “Fortsetzen”, wie es die meisten Admins in dieser Situation tun. Und der Explorer lässt mich rein.
   Na also, geht doch!
   Die meisten Admins denken nun, das sei so eine typische “Sind Sie sicher”-Abfrage. Da mein Konto ja Administrator ist, darf es an den Ordner auch ran, und genau das habe ich bestätigt.

   Leider nicht ganz.

   In Wirklichkeit hat der Explorer im Hintergrund die Berechtigungsliste des Ordners manipuliert:
   
   Simsalabim: Der Admin steht nun drin.
   

Zweifellos erreicht dieses Verhalten das, was der geplagte Administrator vordergründig in diesem Moment erreichen wollte: Er hat Zugriff auf den Ordner, und zwar genau den Zugriff, der ihm als Administrator auch zusteht. Aber um welchen Preis? Der Explorer hat das Benutzerkonto als neuen Eintrag in die Berechtigungsliste aufgenommen. Warum ist das ein Problem?

Man stelle sich nun Folgendes vor:

• Der Arbeitsbereich von NilsAdmin ändert sich. Daher wird er aus der lokalen Gruppe “Administratoren” des Dateiservers herausgenommen, um dort nicht mehr mit Adminrechten zugreifen zu können.
  Da er aber dummerweise nun in diesem Ordner (und wer weiß in wie vielen noch) mit einer direkten Berechtigung drinsteht, kann er natürlich weiter zugreifen. Weiß nur keiner.
• In dem Unternehmen wird ein Security-Audit durchgeführt. Die Admins lehnen sich beruhigt zurück, weil ihr Berechtigungssystem ja gut gebaut ist.
  Ein paar Tage später hauen die Auditoren den Admins ihre Berechtigungen um die Ohren: In zahlreichen Ordnern sind Berechtigungen direkt für Benutzerkonten eingetragen, nicht für Gruppen. Und dann noch hohe und höchste Berechtigungen!

Der Hintergrund

UAC filtert aus dem Anmeldetoken des Benutzers einige vordefinierte Gruppen aus, die über hohe Berechtigungen verfügen. Die Mitgliedschaften in diesen Gruppen bleiben zwar sichtbar, sie sind aber nicht wirksam. Die wichtigste Gruppe, die dies betrifft, ist die Gruppe “Administratoren” des jeweiligen Systems, es gehören aber noch ein paar weitere dazu.

Das kann man auch zeigen: Ruft man in einem CMD-Fenster, das ein solcher Benutzer normal gestartet hat, “whoami /groups” auf, dann steht dort die Gruppe “Administratoren” drin, allerdings mit einem speziellen Hinweis. Zudem gibt es die Mitgliedschaft in der Pseudogruppe “Mittlere Verbindlichkeitsstufe”.

Die Ausgabe von whoami für einen Benutzer mit Adminrechten, durch UAC geschützt.

Startet derselbe User (der Mitglied in den “Administratoren” ist) das CMD-Fenster mit Admin-Rechten, so kommen andere Werte zurück: Die Gruppe “Administratoren” wird normal angezeigt, und er ist zudem Mitglied in “Hohe Verbindlichkeitsstufe”. In diesem Fenster sind die Adminrechte also wirksam.

Die Ausgabe von whoami ohne UAC-Schutz.

Die elegante Lösung

Der sinnvollste Weg, dieses Problem zu umgehen, besteht in einer gezielten Vergabe der Berechtigungen. Die Gruppe “Administratoren” sollte dabei in Berechtigungseinträgen nur als letzter Ausweg verwendet werden. Um die Administratoren des Dateiservers in die Lage zu versetzen, ohne weitere Klimmzüge mit dem Explorer Berechtigungen zu verwalten, sollte man eine eigene “Dateiserver-Admins”-Gruppe definieren und berechtigen. Eine solche selbstdefinierte Gruppe wird nicht durch UAC eingeschränkt. Arbeitet man hier mit der Berechtigungs-Vererbung, so ist dieses Prinzip recht einfach umzusetzen.

Eine eigene Gruppe zur Administration von Berechtigungen.

Diese Gruppe trägt man mit passender Berechtigung in die Ordner ein, deren Berechtigungen zu steuern sind.

Die Dateiserver-Admins erhalten Zugriff, der vererbt wird.

Die CMD-Methode

Ein anderer Weg geht über ein Programm, das immer an Bord ist und das sich einfach mit Adminrechten starten lässt: das CMD-Fenster.

Hier kann man Berechtigungen dann als Administrator verwalten. Dazu eignen sich die Bordmittel cacls und icacls – allerdings auch nur begrenzt. cacls ist sehr eingeschränkt und arbeitet in manchen Situationen fehlerhaft. icacls ist schwierig zu bedienen.

Der Industriestandard, um Windows-Berechtigungen auf der Kommandozeile zu verwalten, ist SetACL von Helge Klein.

Für viele Zwecke ist dieser Weg aber auch nicht besonders günstig, denn die Verwaltung von Berechtigungen per Kommandozeile ist umständlich und fehlerträchtig. Immerhin hat man so einen Weg, Berechtigungen auch zu skripten, um sie etwa auf einem Testsystem zu entwickeln und dann auf dem Produktionssystem umzusetzen.

Die Dateimanager-Methode

Ähnlich zur CMD-Methode kann man auch einen separaten Dateimanager einsetzen, der sich als Administrator aufrufen lässt. Nachteilig dabei ist, dass man eben ein separates Werkzeug braucht, das u.U. erst installiert werden muss. Und vielleicht werden dafür auch Lizenzkosten fällig.

Viele Administratoren schwören hier auf den Total Commander, der zwar Geld kostet, aber nur wenig. Er bietet auch zahlreiche Zusatzfunktionen.

Ein kostenloses Tool, das den Admin-Aufruf beherrscht, ist der FreeCommander. Dieses Programm gibt es sogar als Portable-Tool, es kommt also ohne Installation aus.

Der FreeCommander lässt sich als Admin starten.

Ebenfalls oft empfohlen wird der SpeedCommander (Shareware).

Die Luxus-Methode

Wer häufiger mit Berechtigungen in Windows-Systemen zu tun hat, sollte sich den großen Bruder von SetACL ansehen: SetACL Studio. Dieses grafische Werkzeug verwaltet praktisch alle Berechtigungen, die es in Windows gibt. Es kann nicht nur als Administrator laufen und so die UAC-Probleme vermeiden, sondern bietet auch darüber hinaus sehr fortgeschrittene Methoden für den tiefen Eingriff in die Berechtigungen.

Zum Zugriff auf Dateien und Ordner über das Netzwerk bietet Windows schon seit der ersten Version von Windows NT vor mehr als zwanzig Jahren gleich zwei Berechtigungssysteme. Das eine arbeitet auf der Ebene des Dateisystems, die Datei- und Ordnerberechtigungen (oft auch als NTFS-Berechtigungen bezeichnet). Das andere setzt die Mechanismen des SMB-Protokolls ein und funktioniert nur beim Zugriff über das Netzwerk auf eine Freigabe, daher spricht man hier auch von Freigabeberechtigungen.

In der Praxis lässt sich immer wieder feststellen, dass diese Berechtigungssysteme durcheinander gehen und damit nicht optimal wirken. Daher stellt dieser Artikel einige Hintergründe und Empfehlungen dar.

Datei- und Ordnerberechtigungen

Das Dateisystem NTFS bietet ein sehr ausgefeiltes System von Zugriffsberechtigungen, das mit Berechtigungslisten arbeitet (Access Control List, ACL). Diese Listen bestehen aus einem oder mehreren Berechtigungseinträgen (Access Control Entry, ACE), die Windows in den Metadaten einer Datei oder eines Ordners speichert. Vereinfacht gesagt besteht ein solcher Eintrag aus einem Konto (Benutzer, Gruppe oder Computer) und der zugehörigen Berechtigung (z.B. Lesen oder Schreiben). Jede Berechtigung kann man erteilen (Grant) oder verweigern (Deny). Da Verweigern-Einträge als kritischer gelten, stehen sie in der ACL immer ganz am Anfang, die Erlauben-Einträge folgen dahinter. In den meisten Situationen ist das Verweigern damit “stärker” als das Erteilen einer Berechtigung.

Die Berechtigungsstufen in NTFS sind sehr fein aufgeteilt. Theoretisch lassen sich damit sehr spezielle Berechtigungen einrichten. Zudem verfügt die gesamte ACL eines Objekts über Eigenschaften der Vererbung: Die ganze ACL kann man auf untergeordnete Dateien oder Ordner vererben. Dadurch übernimmt etwa eine Datei die Berechtigungen des übergeordneten Ordners (soweit diese auf Dateien anwendbar sind). Für jede ACL (also jede einzelne Datei oder jeden einzelnen Ordner) kann man diese Vererbung übersteuern, indem man zusätzliche Einträge ergänzt. Man kann die Vererbung auch abschalten und damit “Berechtigungs-Inseln” erzeugen.

Erweiterte Berechtigungssteuerung, hier unter Windows 10.

Es ist meistens allerdings nicht empfehlenswert, die Möglichkeiten der Berechtigungsvergabe auszureizen. Viele Kombinationen der Einzelrechte ergeben nur theoretisch ein sinnvolles Konstrukt, in der Praxis scheitern solche Ansätze aber oft. Das liegt daran, dass die Applikationen, mit denen man solche Dateien verarbeitet, auch mit den Berechtigungen umgehen können müssen. Das aber muss der Entwickler des Programms schon in dem Moment ermöglichen, in dem er den Programmcode schreibt. Exotische Rechtebündel führen daher schnell zu Fehlern in der Anwendung.

Sinnvoll ist es daher, immer oder möglichst weitgehend mit Standard-Berechtigungen zu arbeiten, wie sie Windows im “ersten” Berechtigungsfenster anzeigt. In den meisten Situationen reichen diese Berechtigungsstufen völlig aus.

Standard-Berechtigungen für Ordner.

Freigabeberechtigungen

Sobald ein Ordner für den Zugriff über das Netzwerk freigegeben ist, kommt eine zweite Berechtigungsebene hinzu. Diese wirkt nur beim Zugriff über das Netzwerk und über die betreffende Freigabe. Auf dieser Ebene sind die Berechtigungen wesentlich weniger abgestuft: Nur Vollzugriff, Ändern und Lesen stehen zur Verfügung.

Freigabeberechtigungen im Moment der Freigabe eines Ordners.

Es ist wichtig zu wissen, dass diese Freigabeberechtigungen stets für die gesamte Freigabe und alle ihre Inhalte gelten, aber nur wenn der Zugriff auch über diese Freigabe erfolgt. Gibt man etwa den Ordner C:\Daten als “Daten” frei und legt dort Berechtigungen fest, dann wirken diese für alle Anwender, die auf die Freigabe “Daten” zugreifen. Richtet man nun für C:\Daten\Projekt eine weitere Freigabe namens “Projekt” an und setzt dort andere Berechtigungen, so wirken die Berechtigungen für “Daten” nicht für Anwender, die direkt auf die Freigabe “Projekt” zugreifen.

NTFS- und Freigabeberechtigungen kombinieren

Sobald man also einen Ordner freigibt, gelten zwei Berechtigungsebenen: Die NTFS- und die Freigabeberechtigungen. Diese wirken tatsächlich parallel, keine von beiden Ebenen ist wirkungslos.

Das hat Folgen: Setzt man die Berechtigungen auf beiden Ebenen unterschiedlich, so lässt sich nicht immer auf Anhieb sagen, welcher Zugriff für einen Anwender denn nun tatsächlich möglich ist. Natürlich kann man das herausfinden, aber unter Umständen ist das nicht ganz einfach.

Hier kommt ein wichtiges Prinzip ins Spiel: Wenn Freigabe- und NTFS-Berechtigungen gleichzeitig wirken, dann gilt immer die stärkere Einschränkung – egal, ob diese in der Freigabe oder in NTFS definiert ist. Um herauszufinden, welches die stärkere Einschränkung ist, betrachtet man zunächst beide Ebenen separat. Dann vergleicht man das Ergebnis beider Ebenen.

Hier ein paar Beispiele. Wir gehen davon aus, dass der Ordner C:\Daten als “Daten” freigegeben ist. Ein Benutzer greift über die Freigabe auf den Ordner zu.

Das Gruppenkonzept

Für alle Berechtigungsebenen kommt ein weiteres Prinzip hinzu, nämlich das der Windows-Gruppen. Ein Benutzer kann in beliebig vielen Gruppen Mitglied sein. Jede dieser Gruppen kann Berechtigungen erhalten. Der Benutzer erhält dann die Kombination aller Einzelberechtigungen für jede dieser Gruppen – plus diejenigen, die seinem Konto direkt zugewiesen sind.

Auch hierzu ein Beispiel: Anke Fielmalz ist Mitglied der Gruppen Mitarbeiter, Vertrieb und Projekt21. Die folgende Liste zählt die Berechtigungen jedes Kontos für einen bestimmten Ordner auf.

• Anke: Lesen
• Mitarbeiter: keine Rechte definiert
• Vertrieb: Lesen und Schreiben
• Projekt21: Vollzugriff

Effektiv hat Anke also Vollzugriff auf den Ordner. Auch hier gilt wieder: Verweigern ist “stärker” – wenn also eine der Gruppen oder Anke selbst ein “Verweigern”-Recht hat, dann kann sie die zugehörige Aktion auf keinen Fall durchführen.

Weiteres zum Gruppenkonzept findet sich in folgendem Artikel:

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Empfehlungen zur Berechtigungsvergabe

Schon aus dieser knappen Übersicht wird deutlich, dass man Berechtigungen in Windows nahezu beliebig komplex gestalten kann. Schnell tappt man dabei in verschiedene Fallen. Und ebenso schnell baut man Berechtigungen, die in der Praxis nicht funktionieren, weil die Applikationen, mit denen Anwender arbeiten, damit nicht klarkommen. Daher gelten folgende Empfehlungen.

• Keep it simple: Berechtigungen sollten möglichst einfach sein. Das bedeutet etwa:
  • keine exotischen Kombinationen, sondern nur Standard-Berechtigungen
  • keine zu starke Differenzierung durch Benutzer- und Gruppenberechtigungen für dasselbe Objekt
• Gruppen nutzen: Berechtigungen sollten nur an Gruppen und nicht direkt an Benutzerkonten vergeben werden. Auf diese Weise kann man einem neuen Benutzer schnell dieselben Zugriffsrechte geben wie einem anderen, indem man ihn in dieselben Gruppen aufnimmt. Damit ein Benutzer den Zugriff verliert, entfernt man ihn aus der betreffenden Gruppe.
• Freigabeberechtigungen weglassen: Oben haben wir das Prinzip erläutert, dass Freigabe- und NTFS-Berechtigungen parallel wirken und dass hier immer die stärkere Einschränkung gilt. Es ergibt also keinen Sinn, die NTFS-Berechtigungen in der Freigabe “nachzubauen”, wie viele Administratoren dies tun. Stattdessen sollte man in den Freigabeberechtigungen “Jeder: Vollzugriff” einstellen. Das wirkt zunächst vielleicht seltsam – doch aufgrund des Kombinationsprinzips ist damit sichergestellt, dass die NTFS-Berechtigungen immer zu 100 Prozent gelten. Der Vorteil: Es gibt nur noch eine Berechtigungs-Ebene, die man kontrollieren, verwalten und dokumentieren muss. Und: Das Gesamtkonstrukt ist wesentlich weniger komplex.
  Ein weiterer Vorteil: Es ist relativ einfach, Ordner mitsamt ihrer Berechtigungen an einen anderen Ort zu verschieben oder zu kopieren (etwa mit Robocopy), auch auf einen anderen Server. Die Freigabeberechtigungen hingegen lassen sich nur mit recht hohem Aufwand übertragen.
• Nur Ordnerberechtigungen: Zwar gestattet Windows, mit den NTFS-Berechtigungen auch Berechtigungen für einzelne Dateien zu vergeben. In der Praxis führt das aber schnell zu zahlreichen Problemen. Daher sollte man dies nicht nutzen und Berechtigungen ausschließlich auf Ordnerebene setzen. Eine passende Ordnerstruktur hilft hier mehr als ein zu stark differenziertes Berechtigungskonzept.
• Vererbung nutzen: Die Vererbung von Berechtigungen erleichtert es in vielen Situationen, eine sinnvolle Zugriffsstruktur zu schaffen. Ein simples Prinzip könnte etwa allen Mitgliedern einer Gruppe Leserechte auf einen übergeordneten Ordner erteilen und dann einzelnen Untergruppen zusätzliche Schreibrechte auf bestimmte Unterordner gewähren.
• Das Windows-Gruppenkonzept nutzen: Oben haben wir auf einen Artikel zum Windows-Gruppenkonzept verwiesen. Das dort beschriebene Prinzip erfordert durchaus einiges an Planung. Es hilft aber, strukturiert vorzugehen und den Überblick zu wahren. Sobald die Umgebung eine gewisse Größe übersteigt, ist dieses Prinzip daher sehr zu empfehlen.

Die eine Ausnahme: Benutzer sollen keine Berechtigungen ändern

Oben haben wir empfohlen, dass die Freigabeberechtigungen immer auf “Jeder: Vollzugriff” stehen sollten. Dadurch ist gewährleistet, dass die NTFS-Berechtigungen für Ordner (und Dateien) immer “eins zu eins” gelten.

In manchen Fällen sollen Anwender allerdings selbst nicht in die Berechtigungen eingreifen dürfen. Das ist auf der Ebene der NTFS-Berechtigungen unter Umständen nur schwierig (oder auch gar nicht) zu erreichen. Sobald nämlich ein Benutzer eine neue Datei anlegt, ist er Besitzer dieser Datei. Und der Besitzer hat immer volle Verfügungsgewalt über die Datei, darf also auch deren Berechtigungen ändern. So kann er etwa die Administratoren vom Zugriff aussperren – das ist zwar nicht dauerhaft wirksam (denn die Administratoren kann man in Windows nicht effektiv am Zugriff hindern), aber es führt zu unerwünschten Problemen, etwa bei der Datensicherung.

Eine Variante der Empfehlung “Nur Vollzugriff auf Freigabeebene” lautet daher: Administratoren des Dateiservers erhalten auf der Freigabe Vollzugriff. Die Gruppe “Benutzer” (oder “Authentifizierte Benutzer”) erhält auf der Freigabe nur “Ändern”-Berechtigung. Dadurch können die Benutzer alles tun, was man “üblicherweise” mit Dateien macht: Lesen, Schreiben, Erzeugen, Löschen – vorausgesetzt, die NTFS-Berechtigungen lassen dies zu. Sie können aber auf keinen Fall Berechtigungen ändern, auch dann nicht, wenn sie Besitzer einer Datei sind. Dies ist nämlich mit dem “Ändern”-Recht einer Freigabe nicht erlaubt.

Vorsicht aber: Auch diese Ausnahme sollte man nur da einsetzen, wo wirklich Bedarf besteht. Jede Ausnahme erhöht die Komplexität und erschwert die Fehlersuche.

Die Ausgangssituation stellte sich zunächst trivial dar: Es gab ein Servicedesk-Ticket, dass auf Server X auf der Freigabe der Ordner Y komplett zu löschen sei. Mein Kollege verband sich mit Administrationsrechten mit Server X, löschte Ordner Y und beendete das Ticket.

Kurze Zeit später meldete sich der Benutzer wieder und meldete, dass Ordner Y noch vorhanden sei. Da auf diesem Datenträger „Volume Shadow Copy" (= Vorgängerversionen) aktiv ist, dachte der Kollege an ein Zurückspielen der Daten durch Dritte. Er verband sich wieder auf den Server, aber Ordner Y war weder in dem Verzeichnis noch in den Vorgängerversionen zu finden. Damit entfiel auch die Möglichkeit, den Ordner zurückzuspielen und dann komplett zu löschen. Ein Benutzer-Wechsel zu einem Domänen-Administratoren-Konto zeigte keinen Unterschied. Er öffnete anschließend eine Remotesitzung auf den Client Rechner und Ordner Y war da zu sehen.

Die Versuche, den Ordner über die GUI vom Client Rechner zu löschen oder umzubenennen schlugen fehl. Stets gab es die Fehlermeldung „Dieser Vorgang kann nur ausgeführt werden, wenn Sie eine Verbindung mit dem Netzwerk hergestellt haben."

Bei Betrachtung der Ordner-Eigenschaften fehlte auch noch der Reiter „Sicherheit".

Da uns in der letzten Zeit immer dann die PowerShell aus der Klemme geholfen hatte, wenn die anderen bekannten Methoden versagt hatten, probierte der Kollege dann erfolglos die PowerShell mit wechselnden Berechtigungen aus. Nach einigen Tagen landete das Ticket dann bei mir.

Da der Benutzer in den nächsten Tagen neue Hardware bekommen sollte, wollte ich das Problem von seinem neuen Rechner aus lösen. Dabei hoffte ich genug Zeit zu haben, um die Problematik in Ruhe zu untersuchen, ohne dass ich den Benutzer von seinem PC fernhalte. Ich meldete mich gemeinsam mit diesem Benutzer am Laptop an: Ordner Y war weg. Damit sollte das Problem am alten Rechner sein. Wenn man die paar Tage bis zur Auslieferung des Laptops noch abwarten würde, dann wäre das Thema durch ;-). Aber es versprach interessant zu werden.

Ich habe mich mit dem Benutzer in Verbindung gesetzt und trotz der Vorarbeit meines Kollegen alles noch einmal selbst überprüft und gleich ein paar Screenshots angefertigt. Aus Gewohnheit ließ ich den Process Monitor während eines Löschversuchs mitlaufen. Währenddessen befragte ich die dicke Tante aus Mountain View im Internet zu der Fehlermeldung. Die Ergebnisse waren ziemlich mager und trafen auf den ersten Blick nicht einmal annähernd zu. Also warf ich einen Blick in die Log-Datei des Process Monitors. Über „Tools – Count Occurrences…" wurde auf Anzahl der Ergebnisbegriffe gefiltert. Da stach mit fünf Treffern das Ergebnis „0xC00002CC" prominent heraus. Auch der angegebene Pfad in diesen Ergebnissen zeigte genau auf den zickigen Ordner.

Die Suchmaschine war nun etwas auskunftsfreudiger. Viele der Treffer beschäftigten sich mit fehlerhaften Offline-Dateien.

Offline-Dateien?

Für gewöhnlich schalte ich die Offline-Option bei der Erstellung der Freigaben ab, aber just in diesem Moment konnte ich mich nicht erinnern, ob ich diese Freigabe „anno Röhrendeckel" überhaupt erzeugt hatte. Außerdem sind wir mit solchen Optionen und Informationen darüber den Benutzern gegenüber sehr sparsam. Ein kurzer Blick auf den Server bestätigte mir, dass Offline-Dateien auf der Freigabe aktiv waren. Bevor ich die Offline-Dateien am Server deaktiviere, wollte ich erst den Client-Cache löschen. Ich verband mich auf den Client-Rechner und deaktivierte im Sychronisationscenter die Offline-Dateien.

Nach einem erforderlichen Neustart war Ordner Y auf dem Client endlich weg. Mission erfüllt.

PS: Vermutlich hätte auch der KB-Artikel (https://support.microsoft.com/en-us/kb/942974) das gleiche Resultat erzielt, aber für mich was der Weg über das Sychronisationscenter der einfachere Weg.