Deskmodder.de

Verfasst: **30.03.2024, 00:58**

Hallo zusammen und Frohe Ostern erstmal,

hoffe ich poste im richtigen Bereich, da ich mit der Suche nichts gefunden habe. *ascheaufmeinhaupt*

Befasse mich seit knapp 2 Monaten mit PowerShell und Automation, und möchte ein Skript erstellen, das mir verschiedene VM in Hyper-V anlegt, die ISOs einbindet und ich die Installation manuell durchführe, im Anschluss soll dann, sofern ein Server angelegt wurde die Features und Rollen wie AD-DS, DHCP und DNS installiert werden. Der Server dann zum DC hochgestuft, DHCP Range eingestellt und der DNS Eintrag für die Firewall gemacht werden.
Wenn das alles abgearbeitet ist, geht es an die GPOs, Passwort Richtlinien, STRG-ALT-ENTF (DisableCAD) auf 0, DontDisplayLastUserName auf 1, Bildschirmschoner auf 5 Minuten und das PowerShell 7 auf allen Computern in der Domäne installiert werden soll, falls nicht vorhanden.

Hoffe das ist verständlich erklärt

Die VMs werden sauber erstellt, mit Abfragen von RAM, HDD, Switche und etc. Installation wird wie erwähnt manuell durchgeführt. Der Server wird zum DC hochgestuft, aber Die Registrierung des DHCP-Servers im Active Directory ist fehlgeschlagen. bei folgendem

Code: Alles auswählen

$scriptBlock = {
    param($DomainName, $TopLevelDomain, $StaticIP)
    Add-DhcpServerInDC -DnsName "$using:DomainName.$using:TopLevelDomain" -IPAddress $using:StaticIP
    if ($?) {
        Write-Host "Der Befehl wurde erfolgreich ausgeführt."

        # überprüft die Registrierung des DHCP-Servers im Active Directory
        $registeredServers = Get-DhcpServerInDC

        if ($registeredServers -contains "$using:DomainName.$using:TopLevelDomain") {
            Write-Host "Der DHCP-Server wurde erfolgreich im Active Directory registriert."
        } else {
            Write-Host "Die Registrierung des DHCP-Servers im Active Directory ist fehlgeschlagen."
        }
    } else {
        Write-Host "Es gab ein Problem bei der Ausführung des Befehls."
    }
}

kann aber trotzdem den Bereich, Leasedauer usw. angeben und funktioniert auch. (über dieses Problem mache ich mir später vllt Gedanken

)

Erstelle dann mit dem Skript einen Ersatz Admin, weise dem die nötigen Gruppen zu und deaktiviere den Standard Admin.

Code: Alles auswählen

               # Definieren der Passwortrichtlinie
                $PasswordPolicy = @{
                    ComplexityEnabled = $true
                    MinPasswordLength = 12
                    PasswordHistoryCount = 24
                    LockoutThreshold = 5
                    LockoutObservationWindow = (New-TimeSpan -Minutes 60)
                    LockoutDuration = (New-TimeSpan -Minutes 60)
                }
                
                # Einfügen des DN für die Domäne
                $DomainDN = "$using:DomainName.$using:TopLevelDomain"
                
                # Anwenden der Passwortrichtlinie
                Set-ADDefaultDomainPasswordPolicy -Identity $DomainDN @PasswordPolicy

ändert meine Passwort Richtlinien, was auch übernommen, und in der Domäne angewendet wird.
Und nun komme ich zu den GPOs die mir Sorgen machen.

Code: Alles auswählen

    # Setzen Sie die interaktive Anmeldung auf STRG+ALT+ENTF
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableCAD" -Value 0

    # Deaktivieren Sie die Anzeige des letzten Benutzers
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DontDisplayLastUserName" -Value 1

Diese beiden Befehle laufen anscheinend ins nichts, weder mit RPSS noch direkt auf dem Server, werden diese nicht übernommen.

Code: Alles auswählen

    # Setzen Sie den Bildschirmschoner-Timeout auf 5 Minuten
    Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "ScreenSaveTimeOut" -Value 300

ebenso dieser Befehl wird nicht angewandt.

was wieder funktioniert, ist die Verteilung von PS7 mit der Abfrage ob schon installiert oder nicht

Code: Alles auswählen

# Überprüfen, ob der Zielordner vorhanden ist
    $TargetFolder = "C:\Software"
    if (-not (Test-Path -Path $TargetFolder)) {
        # Wenn der Ordner nicht vorhanden ist, wird die Installation der PowerShell 7 MSI-Datei ausgeführt
        $PowerShell7MSIPath = Join-Path -Path $Server -ChildPath "\Software\PowerShell7.msi"
        Invoke-Command -Session $Session -ScriptBlock {
            Start-Process -FilePath "msiexec.exe" -ArgumentList "/i $using:PowerShell7MSIPath /qn" -Wait
        }

So jetzt hab ich fast meine Lebensgeschichte verfasst

aber hoffe dennoch Ihr könnt mir vllt weiterhelfen.

Wünsche Euch frohe Ostern und viel Spaß bei der Eiersuche

Gruß Mike

Verfasst: **30.03.2024, 05:39**

Sehr interessantes Projekt. Da ich ähnliches mache (Automatisierung von Installation, viel mit PS), kann ich ja mal versuchen zu helfen.

Code: Alles auswählen

    # Setzen Sie die interaktive Anmeldung auf STRG+ALT+ENTF
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableCAD" -Value 0

    # Deaktivieren Sie die Anzeige des letzten Benutzers
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DontDisplayLastUserName" -Value 1

Sieht eigentlich richtig aus. Da HKLM, wird das vermutlich erst nach einem Neustart wirksam. Wurde ein Neustart durchgeführt?

Bildschirm-Timeout setze ich so:

Code: Alles auswählen

# Funktion zum Deaktivieren des Bildschirmtimeouts beim Anschluss an das Netzstromnetz
function DeactivateScreenTimeoutOnAC {
    powercfg -change /monitor-timeout-ac 0 | Out-Null
}

Verfasst: **30.03.2024, 10:30**

Würde mich ja einbringen. Aber dann bitte das komplette Projekt mit ganzem / allen Scripten hier vorstellen. Dann haben alle etwas davon und man kann es selbst nachvollziehen.
Wie @g-force schon schrieb: es kommt auch auf das Timing an.

Verfasst: **30.03.2024, 19:38**

Guten Abend zusammen,

hört sich super an und im Anhang befindet sich die Datei, einfach .txt entfernen und dann sollte die ps1 funktionieren, falls nicht bitte Info, dann speicher ich die direkt als .txt ab.

Habe heute noch nichts im Skript gemacht, da die beiden Enkelinnen da sind und Opa muss auch mal langsam machen

Ich will, sofern dass mit den GPOs läuft, das Skript noch erweitern, was Hardening angeht, also PS2 deaktivieren und deinstallieren, automatische Updates deaktivieren usw.
Da dies auch teilweise mit GPOs bzw. Registry funktioniert, möchte ich allerdings dass das restliche Skript erstmal funktionstüchtig ist.

Vielleicht habt Ihr auch noch Vorschläge was das Skript angeht.

Danke vorab

VG Mike

VMProjekt.ps1.txt

Verfasst: **30.03.2024, 19:47**

g-force hat geschrieben: 30.03.2024, 05:39 Sehr interessantes Projekt. Da ich ähnliches mache (Automatisierung von Installation, viel mit PS), kann ich ja mal versuchen zu helfen.

Sieht eigentlich richtig aus. Da HKLM, wird das vermutlich erst nach einem Neustart wirksam. Wurde ein Neustart durchgeführt?

Ja sogar mehrmals, und es ist egal ob ich mit RPSS arbeite, oder direkt am Server mit PS arbeite.

Verfasst: **30.03.2024, 20:40**

also die genannten PS Befehle funktionieren soweit alle. Daran liegt es schon mal nicht.
evtl. also ein Timing Problem. Zu dem Zeitpunkt noch kein Zugriff o.ä.
In cmd Batch löse ich so etwas gerne mit RunOnce Befehlen, damit die Befehle bei nächsten Login ausgeführt werden. Wäre das eine Lösung?
Sieht in cmd-Batch so beispielsweise aus; müßte dann für PS etwas umgeschrieben werden:

Code: Alles auswählen

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "Openshell" /t REG_SZ /d "reg import C:\Windows\Openshell.reg" /f

oder

Code: Alles auswählen

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "Deprovisioned" /t REG_SZ /d "reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deprovisioned\Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe /f" /f

müßte man für PS entsprechend umschreiben.
Wegen der Screensaver Geschichte:
reicht denn der eine Wert in der Registry überhaupt?
Muss da nicht auch ein Screensaver festgelegt werden? Sind sonst immer diese Befehle zusammen:

Code: Alles auswählen

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d C:\Windows\System32\scrnsave.scr /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d 1 /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveTimeOut /t REG_SZ /d 300 /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaverIsSecure /t REG_SZ /d 1 /f

Verfasst: **31.03.2024, 19:58**

so; habe die 3 GPOs mal so umgeschrieben, dass sie als Runonce (erst) nach einem Neustart ausgeführt werden:

Code: Alles auswählen

Set-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name 'DISABLECAD' -Value "powershell Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name 'DisableCAD' -Value 0"
Set-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name 'DontDisplayLastUserName' -Value "powershell Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name 'DontDisplayLastUserName' -Value 1"
Set-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" -Name 'ScreenSaveTimeOut' -Value "powershell Set-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaveTimeOut' -Value 300"

funktioniert mit Powershell as Admin

Das mit dem Bildschirmschoner habe ich jetzt nicht weiter ausgeführt, da sich der TE hier noch nicht weiter dazu geäußert hat. M.M.n. fehlen da ja noch zusätzliche Einträge in der REG, damit der richtige Bildschirmschoner ausgewählt wird (mit den richtigen Einstellungen, wie z.B. Passwortgeschützt ja/nein).
Hier noch eine Quelle zu Runonce mit Powershell:
https://cmatskas.com/configure-a-runonc ... n-windows/

Interessant dort:

If you want to ensure that a RunOnce key is deleted only if its task is run successfully, you can prepend the key name value with an exclamation mark '!'.

In addition, if you want the RunOnce command to run even in Safe Mode, you can prepend the key name value with an asterisk '*'.

Bitte mal testen und mitteilen, ob es jetzt funktioniert.
Das Script selbst ist schon cool! Wofür genau wird das gebraucht? Schule? VHS?

Verfasst: **01.04.2024, 19:59**

Einen wunderschönen, sry dass ich über Ostern nicht online war, aber als "alter" Mann mit Enkelkindern ist das nicht so einfach

New-GPO -Name "ScreenSaverTimeOut" -Comment "Sets the time to 900 seconds"

Code: Alles auswählen

Set-GPRegistryValue `
-Name "ScreenSaverTimeOut" `
-Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" `
-ValueName ScreenSaveTimeOut -Type String -Value 900

New-GPLink -Name "ScreenSaverTimeOut" -Target "ou=people,dc=...,dc=..."

war eine Vorlage von Udemy, auch mit Beispiele von Vererbung usw.

Da wird eine neue GPO erstellt, was allerdings nur aufm dem Server direkt funktioniert und nicht mit RPSS.

Das Script selbst ist schon cool! Wofür genau wird das gebraucht? Schule? VHS?

mach mit meinem Alter noch eine Weiterbildung für Cyber Security und PS war nur zwei Wochen just4fun.
Nur dadurch dass mich das Thema an sich sehr interessiert, und wir ja ein Projekt abliefern müssen, dachte ich in der Richtung war bisher noch nichts dabei und wieso sollte ich nicht den Anfang machen

Hab seit Mitte Februar einige PS Kurse bei Udemy absolviert und viel getestet was Hyper-V mit dem Skript angeht. Bin jetzt bei Version 23 und hab die Funktionen eingebaut, damit die Abfrage erfolgt was überhaupt erstellt werden soll, da ich am Anfang einfach alle drei VMs erstellen lies.

Naja jetzt bin ich soweit und mit meinem Latein am Ende, und will, wie schon erwähnt das Hardening noch implementieren und wenn alles läuft Ablaufplan, Präsentation und Dokumentation schreiben.

Verfasst: **01.04.2024, 21:00**

hast du denn / wirst du denn die Vorschläge noch testen (z.B. mit Runonce; Screensaver mit mehr Einstellungen)?
das hier war/ist mein Project bzgl. Hyper-V und PS:
viewtopic.php?t=25114

Verfasst: **02.04.2024, 18:58**

Holgi hat geschrieben: 01.04.2024, 21:00 hast du denn / wirst du denn die Vorschläge noch testen (z.B. mit Runonce; Screensaver mit mehr Einstellungen)?

Nabend, bin eben dabei das komplette Skript zu testen, also dass die Switche erstellt werden und alle drei VMs, dann kann ich darüber ein Feedback geben, ob die GPOs übernommen werden.

das hier war/ist mein Project bzgl. Hyper-V und PS:
viewtopic.php?t=25114

hab mir eben die 7 Seite durchgelesen, wollte anfangs auch mit wim und autounattend.xml arbeiten. Mein Problem ist nur, dass das Skript auch Leute ausführen müssen, die nur die Originalen Iso's von MS haben, somit für mich nicht umsetzbar.

Verfasst: **02.04.2024, 20:03**

Screenshot 2024-04-02 195312.png

also die PW Richtlinien und PS7 werden übernommen, aber die anderen leider nicht, auch nicht nachm Restart

und der übliche Fehler
Die Registrierung des DHCP-Servers im Active Directory ist fehlgeschlagen.

Ansonsten läuft das Skript sauber durch, die Abfragen, Erstellung der Switche mit IP Einstellung, VMs, DHCP, DNS alles i.O.

Verfasst: **02.04.2024, 20:25**

vlt. solltest du mal einen "Pause" Befehl zwischen den in Frage kommenden Übeltätern machen, um an der entscheidenden Stelle zu sehen, wie/ob der Befehl umgesetzt wird, bzw. die Fehlermeldung in der Konsole ausschaut. So mache ich das jedenfalls, um Fehler zu finden und auszumerzen.

Verfasst: **02.04.2024, 20:29**

Holgi, wenn ich den Server neu starte, kommt ganz kurz ein PS Fenster, roter Text und dann geht das Fenster wieder zu, auch im EventViewer is nichts geloggt kein Plan wieso.
Und das komische ist, dass wenn ich mit PS aufm Server die Befehle ausführe passiert nichts, die GPOs werden nicht umgesetzt.

Verfasst: **02.04.2024, 20:37**

"Und das komische ist, dass wenn ich mit PS aufm Server die Befehle ausführe passiert nichts, die GPOs werden nicht umgesetzt."
Woran machst du das fest? Schaust du dann anschl. in die Registry, um zu schauen, ob die Einträge vorhanden sind?
Wenn es mit PS nicht geht:
geht es denn mit einem reg.exe ADD "HKLM ....." Befehl ( reg.exe ADD "HKCU)?
Dann würde es ja an Powershell liegen und das bedeutet, dass PS nicht richtig implementiert ist.

Verfasst: **02.04.2024, 20:53**

Das muss ich testen, aber der Server is ja jungfräulich frisch aufgesetzt.

Was mich eben seit Wochen frustriert, dass einer unserer Dozenten meinte das kann nie funktionieren und ich bin eben der Meinung es hat bisher nur keiner so lange getüftelt bis es klappt.

Naja werd mir jetzt mal den Kopf mit etwas Mukke freiballern vllt. geht ja dann noch was.

VG Mike

Deskmodder.de

Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs

Re: Probleme mit Remot-PowerShell-Sitzung wegen GPOs