Microsoft gliedert seine kostenlosen Sysinternals-Tools in verschiedene Kategorien, wir widmen jeder Kategorie einen eigenen Beitrag und stellen exemplarisch einige Programme praxisnah vor. Mit diesen Tools richtet sich Microsoft an IT-Professionals im Allgemeinen und Administratoren im Besonderen.
Die Werkzeuge sollen Admins die Verwaltung, Problembehebung und Diagnose von Windows-Systemen und -Anwendungen erleichtern. Diesmal geht es um ausgewählte Dienstprogramme, die bei der Konfiguration und Verwaltung der Systemsicherheit Unterstützung bieten können.
-
Sysinternals - Gratis-Tools für die Verwaltung von Dateien und Datenträgern
-
Sysinternals - mit Gratis-Tools Prozesse, Dienste und Ressourcen analysieren
Windows 7 - Klassische Anmeldung erzwingen
Windows 7 merkt sich für den Anmeldevorgang den Benutzernamen des zuletzt eingeloggten Anwenders und gibt diesen beim nächsten Login vor. Das kann aber aus Sicherheits- oder Diskretionsgründen unerwünscht sein. Sie können das Anmeldeverhalten aber über die lokalen Sicherheitsrichtlinien von Windows 7 einstellen.
Rufen Sie dazu secpol.msc auf (über Ausführen im Startmenü oder direkt in der Kommandozeile). Im Programm gehen Sie im Verzeichnisbaum über Lokale Richtlinien in Sicherheitsoptionen und Doppelklicken auf Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen. Hier setzen Sie die Checkbox auf Aktiviert und bestätigen mit OK.
Automatisches Anmelden mit Autologon
Das Anmelden mit einem Benutzerkonto ist nicht immer für die Sicherheit notwendig. Das ist zum Beispiel dann der Fall, wenn Sie am entsprechenden Rechner alleine arbeiten und kein anderer Anwender Zugriff hat. In diesem Fall ist die Anmeldung oft störend und wiegt den Vorteil auf, dass sie die Sicherheit erhöht. Microsoft bietet daher das Sysinternal-Tool Autologon an, mit dem Sie schnell und einfach eine automatische Anmeldung an Computern konfigurieren können. Autologon funktioniert auch unter Windows 8.
Das Tool verfügt über eine grafische Oberfläche. Nach dem Start erhalten Sie ein Fenster, in das Sie den Benutzernamen, das Kennwort und die Domäne eingeben, mit der künftig der Computer automatisch starten soll. Klicken Sie auf Enable, ist die automatische Anmeldung aktiviert. Wollen Sie diese wieder ausschalten, starten Sie das Tool erneut und klicken auf die Schaltfläche Disable.
Das Tool installiert keine Erweiterungen auf dem Computer, sondern ändert lediglich Einträge in der Registry. Das Kennwort verschlüsselt das Tool, es ist aus der Registry nicht auslesbar. Wollen Sie diese Konfiguration manuell vornehmen, können Sie die Einträge auch manuell erstellen, allerdings steht dann das Kennwort in Klartext in der Registry.
Halten Sie die Umschalttaste vor einer automatischen Anmeldung gedrückt, deaktiviert Windows die Autoanmeldung für diese Sitzung Sie können dem Tool den Benutzernamen, die Domäne und das Kennwort auch als Befehlszeilenargumente übergeben. Dazu verwenden Sie die Syntax:
Autologon <Benutzer> <Domäne> <Kennwort>
Automatisches Anmelden ohne Autologon
Wollen Sie die Einstellungen ohne das Tool manuell durchführen, gehen Sie folgendermaßen vor:
1. Öffnen Sie über den Befehl regedit im Suchfeld des Startmenüs die Verwaltung der Registrierungsdatenbank von Windows.
2. Navigieren Sie zum Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Auf der rechten Seite des Schlüssels sehen Sie jetzt verschiedene Werte.
3. Klicken Sie zunächst doppelt auf den REG_SZ-Wert AutoAdminLogon und setzen ihn von 0 auf 1. Wenn der Wert nicht vorhanden ist, erstellen Sie ihn einfach. Gehen Sie dazu genauso vor, wie im nächsten Schritt beschrieben.
4. Klicken Sie im Anschluss mit der rechten Maustaste auf den rechten Fensterbereich im Registrierungs-Editor und wählen Neu/Zeichenfolge. Geben Sie diesem neuen Zeichenfolgewert (REG_SZ) die Bezeichnung DefaultUserName. Achten Sie auf Groß- und Kleinschreibung.
5. Klicken Sie doppelt auf den erstellten Wert und geben in das Textfeld den Anmeldenamen Ihres Kontos ein. Achten Sie auf die Groß- und Kleinschreibung.
6. Erstellen Sie über Neu/Zeichenfolge einen weiteren REG_SZ-Wert mit der Bezeichnung DefaultPassword.
7. Weisen Sie diesem Wert das Kennwort im Klartext zu, das Sie bei der Anmeldung angegeben haben, in diesem Beispiel »hallo« (ohne die Anführungszeichen). Achten Sie auch hier auf Groß- und Kleinschreibung. Im Gegensatz zur Verwendung von Autologon steht so das Kennwort also in Klartext in der Registry.
8. Schließen Sie den Registrierungs-Editor und starten den Computer neu. Die Anmeldung müsste jetzt automatisch erfolgen. Funktioniert diese noch nicht, überprüfen Sie die Eingaben nochmals.
Autostartprogramm entdecken und entfernen - Autoruns
Automatisch startende Programme können der Quell für so manches Übel und ein langsam startendes Windows sein. Autoruns ist eines der effizientesten Werkzeuge, die es ermöglichen, alle automatisch startenden Programme in Windows zu entdecken und bei Bedarf zu deaktivieren oder Einträge zu löschen. Im Januar 2013 haben die Autoren eine aktualisierte Version des Klassikers online gestellt.Wenn Sie bei der Anmeldung die Shift-Taste gedrückt halten, startet Windows die Autostartprogramme nicht, die über Alle Programme/Autostart starten würden. Allerdings sind das die wenigsten. Die meisten Tools binden sich direkt in die Registry ein, um automatisch zu starten.
Bis Windows 7 können Sie durch Eingabe von msconfig im Suchfeld des Startmenüs die Systemkonfiguration starten. Hier sehen Sie auf der Registerkarte Systemstart ebenfalls Autostartprogramme und können diese deaktivieren oder ganz löschen. Sie sehen hier Autostartprogramme der verschiedenen Stellen in der Registry, aber erneut nicht alle Programme. Autoruns zeigt alle Autostartprogramme an, auch jene, die über die Registry starten. Wenn Sie diese manuell in der Registry aufspüren wollen, finden Sie die automatisch startenden Programme an folgenden Stellen:
Hkey_Local_Machine\System\CurrentControlSet\Services
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion
RunServicesOnce
RunServices
RunOnce\Setup
RunOnce
RunOnceEx
Run
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion
Run
RunOnce
RunServices
RunServicesOnce
Hkey_Current_User\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run
Load
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policiesxplorer\Run
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Policiesxplorer\Run
Hkey_Local_Machine\Software\Policies\Microsoft\Windows\System\Scripts
Hkey_Current_User\Software\Policies\Microsoft\Windows\System\Scripts
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Hkey_Local_Machine\System\CurrentControlSet\Control\Session Manager\BootExecute
Hkey_Current_User\Software\Microsoft\Windows NT\CurrentVersion\Windowsload
Manuell ist es sehr schwer, alle diese Einträge zu überprüfen. Genau hier setzt Autoruns an.
Zwar verfügt auch der neue Taskmanager über eine komfortable Möglichkeit, unter Windows 8 Autostart-Programme zu kontrollieren, aber Autoruns ist wesentlich leistungsfähiger.
Sie müssen das Tool nicht installieren, sondern können es direkt starten. Auf der Registerkarte Everything sehen Sie verschiedene Bereiche, über die Windows Programme startet. Wichtig ist auch die Registerkarte Logon. Hier sehen Sie die Einträge, die bei Benutzeranmeldungen starten.
Vor allem Verwaltungswerkzeuge für verschiedene Hardwaregeräte wie Grafikkarten, Soundkarten oder Tastaturen lassen sich meistens deaktivieren. Entfernen Sie zunächst nur das Häkchen, wenn Sie nicht gleich den ganzen Eintrag löschen wollen. Manche Geräte benötigen das Verwaltungsprogramm jeweils für bestimmte Spezialfunktionen. Entfernen Sie alle unnötigen Programme und Zusatz-Tools aus dem Autostart. Weitere Einträge können Sie leicht selbst erkennen, da Autoruns diese auch mit Symbolen anzeigt.
Autoruns einsetzen
Mit Options\Hide Windows Entries blenden Sie Systemeinträge direkt von Windows aus. Das verbessert deutlich die Übersicht und verhindert, dass Sie versehentlich Windows beeinträchtigen.
Zusätzlich enthält der Download auch das Befehlszeilen-Tool Autorunsc, mit dem Sie Einträge in der Befehlszeile überwachen können. Wie für die meisten Sysinternal-Tools gibt es auch für Autoruns ein eigenes Forum.
Über das Kontextmenü von Einträgen können Sie durch Auswahl von Search Online direkt eine Suche im Internet starten, die den Autostarteintrag betrifft. Mit Jump To springen Sie direkt in das Windows-Programm, das den Startvorgang durchführt. Über den Menüpunkt User lassen Sie sich Autostarteinträge der anderen Benutzerkonten anzeigen, die sich am Computer anmelden. Per Skript können Sie mit autorunssc.exe ebenfalls Einträge in der Befehlszeile abrufen. Dazu stehen Ihnen folgende Optionen zur Verfügung:
autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [Benutzer]
Die wichtigsten Optionen sind:
• -a - Alle Einträge anzeigen.
• -b - Ausführung beim Systemstart.
• -c - Druckausgabe als CSV.
• -i - Internet Explorer-Add-Ons.
• -m - Signierte Microsoft-Einträge ausblenden.
• -t - Geplante Aufgaben.
• -w - Winlogon-Einträge.
• -User - AutoRuns für das angegebene Benutzerkonto sichern.
Programme über das Netzwerk starten - PsExec
Administratoren müssen oft auf Computern im Netzwerk remote Programme starten. Dazu sind keine teuren Zusatzwerkzeuge notwendig, sondern Sie können das kostenlose Sysinternal-Tool PsExec verwenden. Die Bedienung ist recht einfach:
psexec.exe \\<Remotecomputer> -u <Benutzername> -p <Kennwort> <Programm>
PsExec funktioniert als Telnet-Ersatz und kann remote Anwendungen starten. Das Tool benötigt keinen Client-Agenten auf dem Remote-Computer und kann auch interaktive Eingabeaufforderungen starten. Achten Sie beim Einsatz des Tools darauf, dass einige Virenscanner die PSTools als Viren erkennt. Hierbei handelt es sich um Fehlalarme, die ausgelöst werden, wenn Sie das Tool direkt bei Microsoft herunterladen. Kopieren Sie PsExec am besten direkt in das Windows-Verzeichnis, damit es immer zur Verfügung steht. Auf dem Remote-System muss das Tool nicht installiert oder kopiert werden. PsExec funktioniert prinzipiell auch unter Windows 8, jedoch reichen die Zugriffrechte für das Tool möglicherweise nicht.
Wenn Sie keinen Namen eingeben, startet PsExec die Anwendung auf dem lokalen System. Verwenden Sie als Namen "\\*", startet das Tool das entsprechende Programm auf allen Computern in der Domäne. Wollen Sie auf den Remote-Computern einen Befehl ausführen, der mehrere Optionen enthält, können Sie diesen auch in eine Textdatei schreiben und diese dem Tool mitgeben. Die Syntax dazu ist:
Psexec [\\<Computer>| @<Datei> -u <Benutzername> -p <Kennwort>
Folgende Optionen stehen zusätzlich zur Verfügung, um die Arbeit zu erleichtern:
• -c - Kopiert das angegebene Programm zur Ausführung auf den Computer. Verwenden Sie diese Option nicht, muss sich das Programm bereits auf dem Computer befinden, auf dem Sie es ausführen.
• -d - Beenden des Programms nicht abwarten
• -f - Kopiert die Anwendung auch dann, wenn diese bereits auf dem Remote-System verfügbar ist.
• -i - Führt das Programm so aus, dass es mit dem Desktop interagiert.
PsExec einsetzen
Damit das Remote-Programm Zugriff auf das Netzwerk hat, müssen Sie es mit einem Benutzernamen starten, der Rechte auf dem Remote-System hat.
Das Tool verschlüsselt den Datenverkehr nicht, das heißt, Benutzernamen und Kennwort werden im Klartext über das Netzwerk gesendet. Mit dem Tool können Sie zum Beispiel auch problemlos eine Befehlszeile öffnen, die im Kontext des Rechners über das Netzwerk funktioniert. Dies funktioniert auch auf Computern, die nicht Bestandteil der Domäne sind.
Wollen Sie zum Beispiel von einem Computer eine Befehlszeile als Administrator auf einem Domänencontroller oder einem Server mit Small Business Server 2011 starten, geben Sie folgenden Befehl ein:
psexec \\sbs02 -u woodgroove\joost -p geheimeskennwort cmd
Der Befehl verbindet sich mit dem Server sbs02 und übergibt die Anmeldung woodgroove\joost sowie das Kennwort geheimeskennwort. Anschließend startet es eine Befehlszeile. Alle Befehle, die Sie jetzt in der Befehlszeile eingeben, führt das Tool auf dem Remote-Server, also dem SBS, aus.
Sie können in der Befehlszeile jetzt jeden Befehl verwenden. Als Daten erhalten Sie immer die Daten des Remote-Systems, zum Beispiel auch mit nslookup oder ipconfig.exe.
PsGetSid - SecurityID von Domänencomputern anzeigen
Die Security-ID (SID) von Domänencomputern ist in Domänen immer einzigartig und ein wichtiger Punkt bei der Bereitstellung von Windows beziehungsweise beim Überprüfen von Rechten. In manchen Fällen, vor allem beim Klonen, kann es passieren, dass doppelte SIDs im Netzwerk vorhanden sind.
Hier hilft das Sysinternal-Tools PsGetSid, das in der Befehlszeile die SID von Computern anzeigen kann. Sie müssen dazu lediglich PsGetSid eingeben. PsGetSid funktioniert auch unter Windows 8.
Für die Erstellung der SIDs von Benutzern und Computern in Windows-Netzwerken ist vor allem der RID-Master in Domänen zuständig. Die Rolle des RID-Masters erhält der erste installierte Domänencontroller einer Domäne. Sie können diese Rolle aber, wie alle anderen FSMO-Rollen auch, im Netzwerk verschieben. Den RID-Master gibt es einmal in jeder Domäne einer Gesamtstruktur. Die Aufgabe des RID-Masters ist es, den anderen Domänencontrollern einer Domäne relative Bezeichner (Relative Identifiers, RIDs) zuzuweisen.
Erstellen Sie ein neues Objekt in der Domäne, also ein Computerkonto, einen Benutzer oder eine Gruppe, wird diesem Objekt eine eindeutige Sicherheits-ID (SID) zugewiesen. Diese SID erstellt der jeweilige Domänencontroller aus einer domänenspezifischen SID in Verbindung mit einer RID aus seinem RID-Pool. Ist der RID-Pool eines Domänencontrollers aufgebraucht, wird der Bestand vom RID-Master wieder aufgefüllt.
RID, SIDs und Benutzerkonten
Steht der RID-Master nicht mehr zur Verfügung und bekommen die Domänencontroller damit keine RIDs mehr, können Sie keine neuen Objekte in dieser Domäne erstellen. Jeder Domänencontroller erhält zunächst einen Pool von 500 RIDs. Stehen nur noch 100 RIDs zur Verfügung, fordert er neue RIDs vom RID-Master an. Steht der RID-Master nicht mehr zur Verfügung, können also pro Domänencontroller der Domäne immerhin noch bis zu 100 neue Objekte erstellt werden.
Um den Domänencontroller anzuzeigen, der die Rolle des RID-Masters verwaltet, öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, klicken mit der rechten Maustaste auf Domäne und wählen im Kontextmenü den Eintrag Betriebsmaster aus. Wechseln Sie auf die Registerkarte RID.
Sie können sich den RID-Master auch mit dem Befehl
dsquery server -hasfsmo rid
in der Befehlszeile anzeigen lassen. Außerdem können Sie sich die erfolgreiche Verbindung und den Status des RID-Pools ausgeben lassen. Geben Sie in der Befehlszeile den Befehl
dcdiag /v /test:ridmanager
ein. Suchen Sie dann den Bereich Starting test RidManager.
* Available RID Pool for the Domain is 1600 to 1073741823
* dc01.contoso.com is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1100 to 1599
* rIDPreviousAllocationPool is 1100 to 1599
* rIDNextRID: 1102
......................... DC01 hat den Test RidManager bestanden.
Tritt an dieser Stelle ein Fehler auf, sollten Sie am besten den RID-Master auf einen anderen Server transferieren oder verschieben. PsGetSid liest die SID von Computern ohne große Umwege aus und funktioniert auch im Netzwerk. Das heißt, Sie können mit dem Tool die SIDs von Remote-Computern auslesen.
PsGetSid kann ebenso SIDs von Benutzerkonten und aus SIDs Namen auslesen. Wollen Sie die SID eines Computers anzeigen, geben Sie den Namen als Argument an; das funktioniert auch für Benutzernamen. Um die SID in einen Namen zu übersetzen, geben Sie sie als Argument ein. (mje/mec)