Log on as Service via GPO

Gestern war ich bei einem unserer Kunden vor Ort um ein Update der CRM Software zu installieren.

In dieser neuen Version nutzt die Software einen “Update Service”(Windows Dienst der Upates automatisch installiert) der sich von einem Netzwerkshare die Hotfixes / Updates lädt und diese dann installiert. Da der Service Zugriff auf das Netzlaufwerk braucht kann er nicht als “SYSTEM” laufen, der User und das Passwort werden in einer INI-Datei des Dienstes (Passwort ist zwar verschlüsselt… aber naja) hinterlegt und der Dienst läuft dann im Kontext dieses Benutzers.

Dummerweise war dieses Konto aber gar nicht berechtigt sich als Dienst anzumelden. Diese Einstellung kann man ja über eine GPO verteilen… nach einer kurzen Prüfung stellte sich heraus, dass das nicht zufriedenstellend funkioniert. Die lokalen Einstellungen werden duch die GPO überschrieben und nicht ergänzt. Doch in meinem Hinterkopf machte sich ein Tool aus dem Windows Server 2003 Resource Kit bemerkbar:

ntrights.exe hieß das gute Stück. Mit diesem kann man einem Benutzerkonto ganz bestimmte Rechte zuweisen, auch unter Windows 7 ist dies kein Problem. (http://support.microsoft.com/kb/315276/)

Also habe ich ein Startup-Script für die betroffenen PCs per GPO verteilt in dem der Account entsprechend berechtigt wird:


@ECHO OFF
set log = %temp%\ntrights.log

if exist c:\support\flag.txt goto eof

if exist C:\support goto copy
echo create directory >> %$log%
md c:\support

:copy
if exist c:\support\ntrights.exe goto setrights
echo copy ntrights>> %$log%
robocopy \\domain.intern\SysVol\domain.intern\Policies\{29DF8DC2-9A6D-4549-BB1B-23E5A370FFB2}\Machine\Scripts\Startup\ c:\support ntrights.exe
echo %errorlevel% >> %$log%

:setrights
if exist c:\support\flag.txt goto eof
echo Setting rights >> %$log%
cd /d c:\support
c:\support\Ntrights.exe -u domain\cas_cl_inst +r SeServiceLogonRight

if %errorlevel% == 0 echo %errorlevel% > c:\support\flag.txt
echo Set rights successful >> %$log%

:eof
echo EOF >> %$log%
exit

Nach einem Neustart haben alle PCs angefangen sich das Update zu installieren. Durch die Nutzung der Flag-Datei wird der Befehl nicht bei jedem Start des PCs ausgeführt.

Zertifikat der Remotedesktop Verbindung ändern

Heute Stand ich ziemlich auf dem Schlauch, daher hier eine kleine Gedächtnisstütze an mich und euch ;). Ich wollte auf meinem Test-Terminalserver gerne das Selfsigned – Zertifikat für die RDP-Verbindung durch ein von meiner CA signiertes Zertifikat tauschen. Diese ewige Frage beim Verbinden nervt, und wenn nächste Woche mein IGEL-Client da ist soll alles fertig sein und rund laufen. Aber wo war das nochmal?

(mehr …)

RSS-Feed Reader

Nachdem Google den Dienst „Google Reader“ eingestellt hat mussten sich viele auf die Suche nach einer Alternative machen. Bei mir hat sich die Suche recht schnell erledigt, es gab ein paar Anforderungen und dafür einen Gewinner:

  1. Selbst gehosted
  2. Webbased
  3. MySQL DB Backend
  4. Ansprechendes Web UI, auch mobil
Gelandet bin ich bei selfoss, einer Open-Source Lösung auf PHP / MySQL Basis.
Sowohl die Oberfläche als auch die einfache Installation machen es zu einer idealen Alternative.

(mehr …)

Stille…

Wie ihr sicher gemerkt habt, ist hier länger nichts mehr passiert. Das hat gleich zwei Gründe:

  1. keine Zeit :(
  2. Fehler im Backend

Seitdem ich meinen Arbeitgeber gewechselt habe, habe ich viel mehr zu tun. Das ist gut, denn es macht mir wirklich viel Spaß, aber leider leiden darunter andere Projekte. Außerdem habe ich parallel dazu mehrere Projekte mit meiner eigenen Firma stemmen müssen, die auch mehr oder weniger zeit intensiv waren. Dazu dann noch unsere Theateraktivitäten und schon ist der ganze Tag voll.

Seit ca. 2 Monaten hatte ich folgendes Phänomen: immer wenn ich mich am Backend anmeldete, bekam ich eine weiße Seite. Heute habe ich mir die Zeit genommen, mal ins Logfile zu schauen, was da lost ist:

[Tue Jun 03 19:46:10 2014] [warn] [client 31.18.135.209] mod_fcgid: stderr: PHP Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 12288 bytes) in /home/blog/public_html/wp-admin/includes/class-wp-list-table.php on line 717, referer: http://blog.andreseck.de/wp-login.php

So einfach ist das, zu wenig Memory. Also mal fix das Limit von 128M auf 256M erhöht und schon läufts wieder. Das normale nutzen des Blogs war übrigens kein Problem, nur das Backend.

Da mir das Design nicht mehr so zusagte habe ich mich dafür entschieden mir etwas anderes zuzulegen. Etwas schlichtes. Einfach nur S/W ohne Schnickschnack.

So, nun genug gejammert. In der Pipe ist ein Artikel über ein VPN zwischen einer Endian Community FW und einer Fritz!Box.

DCPROMO Fehler – Zugriff verweigert

Heute war ich extra früh aufgestanden um noch vor 7 Uhr einen Domaincontroller herunterzustufen. Nachdem das Ganze letzte Woche nicht geklappt hat, weil die Zertifikatsdienste noch auf dem Server installiert werden, hatte ich für heute Hoffnung. Aber es hat heute morgen natürlich auch nicht auf Anhieb geklappt.

(mehr …)

AKG K391NC

IMG_2965

Seit dem 01.06.2013 bin ich Pendler. Mit der Deutschen Bahn. In der Zeit im Zug höre ich viel Musik (entweder nur so oder nebenbei wenn ich was am Notebook arbeite).

Meine Kopfhörer waren bis 0815-in-Ear-Gelumpe von Mediamarkt. Mit der Zeit geht einem der “Sound” des Zuges und der umsitzenden Menschen dann aber doch auf den Keks. Also habe ich letzte Woche neue Kopfhörer bestellt: AKG K391NC.

Das besondere daran ist das NC, das steht für Noise Cancelling. Durch diese Technologie werden Umgebungsgeräusche aktiv unterdrückt. Das heißt, die Kopfhörer berechnen aus dem Umgebungsgeräuschen einen Ton der zusammen mit dem Umgebungsgeräusch eine “Null” ergibt und nicht hörbar ist. Hier eine Zeichnung dazu:

(mehr …)

Es steht ein Umzug an…

Server

Quelle: escapechen / pixelio.de

Anfang dieser Woche flatterte von unserem aktuellen Hoster eine E-Mail in mein Postfach, die mir leider mitteilte, dass er unseren Vertrag kündigt. Die Begründung war, dass er mit dem Geschäftsfeld Hosting keinen Gewinn macht. Gut, wenn man IP Adressen in unbegrenzter Zahl zu jedem Server anbietet – kostenlos – kann ich das verstehen.

Für uns natürlich ärgerlich, denn wir mussten uns fix nach einer neuen Heimat für unsere Server umgucken. Das Angebot an Unternehmen die den Betrieb eines ESXi erlauben (ohne erhebliche Mehrkosten) ist überschaubar.

Letztendlich viel unsere Wahl auf “manitu”. Der sehr freundliche E-Mail Support hat bestätigt, dass der Betrieb eines ESXi erlaubt und möglich ist. Wenn es Probleme mit der NIC geben sollte, hätte man genügend Intel Karten da um schnell nachzubessern. Na wenn das nicht mal Service vom feinsten ist :)

In den nächsten Tagen und Wochen werden daher unsere Dienste umziehen und auch ihre IP-Adresse wechseln. Daher bitte ich schon mal im Vorfeld um Verständnis für Probleme mit der Erreichbarkeit im September.

Die Astaro-Ära hat ein Ende…

Seit Verson 7 nutze ich die Astaro Security Gateway, bzw. inzwischen die Sophos UTM.

Die Astaros der Versionen 7 und 8 waren immer spitze, performant, leicht zu konfigurieren und trotzdem sehr funktional. Mit dem Upgrade auf Version 9 und somit dem Wechsel Sophos änderte sich das. Die Software wurde langsamer und nur für das betreiben der UTM brauchte es 4GB in der VM.

(mehr …)

Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 3

Nachdem ihr hier ein sicheres WLAN mit RADIUS Authentifizierung eingerichtet habt und sich eure Client dank der GPO selbstständig verbinden, bleibt bei mir nur noch das Handy:

Ich habe den Absprung immernoch nicht geschafft. Mein Handy ist kein iPhone, kein Android: es ist ein Blackberry. Und auch dieses sollte mit dem neuen WLAN verbunden werden. Leider ist der Weg hier etwas umständlicher als beim iPhone oder Android Gerät.

(mehr …)

Sicheres WLAN mit PEAP und WPA2-Enterprise – Teil 2

Hier soll es darum gehen, wie Gruppenrichtlinien dazu genutzt werden können Windows Clients über SSO mit einem WPA2 geschützten WLAN zu verbinden.

Voraussetzung ist, ihr habt Teil1 erfolgreich zu Ende geführt.

Wir starten mal direkt im Gruppenrichtlinien Client mit einer neuen GPO Namens “D_WLAN_CFG”. Diese ist bei mir auf das Domain-Root verknüpft:

(mehr …)