XML-Abfrage Ereignisanzeige
Die Filter für die Windows Ereignisanzeige (Eventlog) sind sehr mächtig geworden. Mit den standard Optionen in der grafischen Oberfläche kann man schon viel machen, aber leider nicht im Nachrichtentext filtern. Das geht auch mit XML Abfragen. Klicken Sie dazu zunächst einmal auf ein ähnliches Ereignis und klicken Sie dort die Detailansicht an. Dort wählen Sie XML View:
Dann erstellen Sie einen benutzerdefinierten Filter und wählen dort den Reiter XML. Setzen Sie das Häkchen bei Abfrage manuell bearbeiten. Wenn Sie bereits bei Filter Reiter Einstellungen gemacht haben, sind diese auch schon im XML hier vordefiniert. Haben Sie z.B. das Anwendungslog ausgewählt steht dort:
<QueryList>
<Query Id=“0″ Path=“Application“>
<Select Path=“Application“>*</Select>
</Query>
</QueryList>
Oben habe ich Sie den XML-View auswählen lassen. Warum? Dort sehen Sie, wie die jeweiligen Felder nach denen Sie suchen können benannt sind. Um nun also z.B. nach dem Benutzernamen zu suchen ergänzen Sie die XML Zeilen wie folgt:
<QueryList>
Id=“0″ Path=“Security“>
<Select Path=“Security“>*</Select>
*[EventData[Data[@Name=‘TargetUserName‚] and (Data=‘s‚)]]
</Select>
</Query>
</QueryList>
Selbstverständlich dürfen Sie das gerne weiter verkomplizieren:
*[EventData[Data[@Name=’SubjectUserName‘] and (Data=’abc‘ or Data=’123’)]]
Dies würde alle mit der Angabe abc oder 123 finden bei UserName finden.
Möchten Sie in mehreren Logs suchen:
<Select Path=“Security“>*[System[(EventID=’1234′)]]</Select>
<Select Path=“Application“>*[System[(EventID=’4321′)]]</Select>
Würde alle Ereignisse aus dem Eventlog Security mit der ID 1234 und alle Ereignisse aus dem Applicationlog mit der ID 4321 anzeigen.
Um die Filter in der PowerShell zu nutzen können Sie die XML-Abfrage genauso in einen String schreiben und mit Get-WinEvent abfragen:
$Query=@“
<QueryList>
Id=“0″ Path=“Security“>
<Select Path=“Security“>
*[EventData[Data[@Name=’TargetUserName‘] and (Data=’s‘)]]
</Select>
</Query>
</QueryList>
„@
$Evts=Get-WinEvent -log Security -FilterXPath $Query -maxevents 1000
Windows Update informiert über anstehende Updates, aber die Liste der zu installierenden Updates bleibt leer
Wenn Windows anzeigt, dass Updates vorhanden sind, aber die nachfolgend angezeigte Liste mit den zu installierenden Updates bleibt leer, dann liegt wahrscheinlich eine Inkonsistenz zwischen Dateien auf der Festplatte und der Registry vor. Die Updates lassen sich nicht installieren. Um das wieder gerade zu rücken können Sie bei Microsoft das Systemupdate-Vorbereitungstool installieren. Dies behebt die Probleme und die Updates lassen sich wieder wie gewohnt einspielen. Die Vista-Version gibt’s hier.
Windows 7 Firewall Control
Windows 7 Firewall Control erleichtert die Benutzung der Windows 7 Firewall vor allem wenn man auch die ausgehenden Verbindungen blockieren möchte. Das Programm erkennt einen neuen nicht zugelassenen Verbindungsversuch und fragt den Benutzer ob eine entsprechende Ausnahme eingetragen werden soll. Das Programm unterstützt auch Windows Vista und XP.
Zentrale Gruppenrichtlinienverwaltung ohne Active Directory
Gruppenrichtlinien sind ein mächtiges Werkzeug für die Verwaltung von Windowsstationen. Es soll aber tatsächlich einige Netzwerke geben, die entweder immer noch als Arbeitsgruppe eingerichtet sind oder mit einer Samba Domäne (Version < 4.0) arbeiten. Dort würde man vielleicht auch gerne Gruppenrichtlinien einmal erstellen und auf allen Stationen anwenden.
Dazu müssen Sie lediglich auf einer der Windowssysteme die lokale Gruppenrichtlinienverwaltung gemäß Ihren Wünschen mittels gpedit.msc wie gewünscht konfigurieren. Auf dieser Station werden die Einstellungen dann im C:\Windows\System32\GroupPolicy Verzeichnis hinterlegt. Vorsicht! Nicht das Verzeichnis GroupPolicyUsers! Das werden Sie aber zunächst als einziges sehen. Erst wenn Sie im Explorer die versteckten und Systemdateien anzeigen lassen wird das GrouPolicy Verzeichnis sichtbar. Der Rest ist denkbar einfach! Lassen Sie auf eine Art Ihrer Wahl dieses Verzeichnis auf die anderen Computer kopieren – ggf. noch ein Reboot und fertig. Das war’s auch schon!
Wenn Sie mögen können Sie die Verteilung über ein einfaches *.bat Script erledigen lassen, dass Sie entweder durch doppelklick starten oder der Aufgabenplanung für regelmäßige Aktualisierungen übergeben.
GUI für ImageX
ImageX ist ein kommandozeilenbasiertes Werkzeug für die Verwaltung und Bearbeitung von WIM-Images. Wenn Sie keine Lust haben sich die ganzen Schalter zu merken können Sie sich kostenlos GImageX herunterladen. Dies bietet Ihnen eine mächtige grafische Oberfläche für die Benutzung von ImageX.
Bin ich Admin?
Seit Vista stellt sich man sich bei Windows oft die Frage, ob man denn nun gerade ein vollwertiger Administrator ist, oder nicht. Das kann man mit dem Befehl whoami /groups herausfinden. Das kann u.U. ein Weilchen dauern (das Längste was ich einmal gewartet hatte waren 20 Minuten)!! Normaler Weise der unterste Gruppeneintrag gibt Aufschluss über die sog. Verbindlichkeitsstufe. Als „normaler“ Benutzer hat man in der Regel die Verbindlichkeitsstufe Mittel mit der SID S-1-16-8192. Als Admin mit vollwertigen Systemrechten hingegen Hoch und der SID S-1-16-12288. Testen können Sie das, wenn Sie als normaler Benutzer angemeldet cmd und Enter im Suchfeld (nicht im Ausführen-Feld!) des Startmenüs eintippen und dann den o.g. Befehl eintippen. Parallel können Sie den Vorgang noch einmal wiederholen, aber dieses Mal bestätigen Sie cmd nicht einfach nur mit Enter, sonder drücken dazu noch Strg+Shift. Wenn Sie es richtig gemacht haben, sollte die UAC anspringen und um Bestätigung bitten. Wenn Sie den Befehl whoami nun hier eintippen sollte im Gegensatz zur 1. Eingabeaufforderung Hoch herauskommen.
Programme oder Program Files?
Seit Windows Vista, macht NTFS schon recht seltsame Dinge. Wenn man so ganz normal auf Laufwerk C: schaut, stellt man fest, dass es dort einen Ordner Benutzer gibt. Stellt man unter Extras/Ordneroptionen auch versteckte und Systemdateien zur Anzeige ein, tauchen auf einmal auch Dokumente und Einstellungen und Dokuments and Settings auf, die früheren Speicherorte für Benutzerprofile. Besonders lustig wird es, wenn man dann eine Kommandozeile auf macht und dir auf Laufwerk C: eintippt, denn dann nennt sich der Ordner wieder anders nämlich Users. Ich glaube dämlicher hätten Sie es wirklich nicht anfangen können!
Zum Teil ist dafür die desktop.ini im jeweiligen Verzeichnis verantwortlich. Die sieht man natürlich auch erst, wenn man System und versteckte Dateien anzeigen lässt. Benennen Sie die Datei doch einfach (voller Admin notwendig) einmal um und schauen Sie wie sich der Ordner dann auch in der normalen Ansicht repräsentiert. Ist die Datei versehentlich gelöscht worden, können Sie einfach auf einem anderen System mit einem Texteditor schauen was da normaler Weise drin steht und erneut auf dem System mit der fehlenden desktop.ini ein solche anlegen oder einfach rüber kopieren. Das weckt natürlich Begehrlichkeiten da nun selbst drin rum zu basteln…tun Sie’s nicht – es sei denn Sie wollen einen Kollegen vernichten ;-).
IPv6 Privacy Extensions
Die letzten 64 Bit der IPv6 Adresse sind die sogenannte Interface-ID. Diese Interface-ID wird aus der global eindeutigen MAC-Adresse einer Netzwerkkarte gebildet. Daher ist jeder PC und mehr oder weniger auch dessen Benutzer über IPv6 eindeutig im Internet anhand seiner Adresse zu identifizieren. Durch RFC 4941 kann man die „Privacy Extensions“ benutzen damit genau das nicht passiert.
Handys:
Bei iPhone, als auch Android Handys kann man die IPv6 Privacy Extensions nicht aktivieren (Stand heute: iOS 4 und Android bis 2.x und 3 wohl auch nicht.
Windows:
Bei Windows Clients ab XP sind die Privacy-Extensions automatisch aktiviert, nur bei Servern ab 2003 nicht. Für ältere Betriebssysteme stellt sich die Frage mangels IPv6 Unterstützung sowieso nicht. Daher haben Sie sich vielleicht schon immer gewundert, warum Sie nicht die MAC-Adresse in Ihrer IPv6-Adresse wieder finden, wenn das doch überall so geschrieben steht. Um bei Windows den Privacy Status abzufragen geben Sie an einer administrativen Kommandozeile (Im Suchfeld des Startmenüs cmd tippen und Strg+Shift+Enter bestätigen!):
netsh interface ipv6 show privacy
ein.
Mit den zwei Befehlsketten:
netsh interface ipv6 set global randomizeidentifiers=disabled
und
netsh interface ipv6 set privacy state=disabled
können Sie die Privacy Extensions ausschalten und bekommen demzufolge dauerhaft die MAC-Adresse im suffix der IPv6 Adresse. Raten Sie doch einmal was state=enabled macht ;-). Gerne können Sie auch die Mac gegen die IPv6 Adresse einmal mit ipconfig /all überprüfen.
Wenn jemand eine Idee hat, wie man das über Gruppenrichtlinien oder über die grafische Oberfläche regeln kann bitte einen Kommentar schreiben.
Linux:
Auf die Schnelle:
sysctl net.ipv6.conf.eth0.use_tempaddr=2; ifdown eth0; ifup eth0
Dauerhaft:
Am Ende der Datei /etc/udev/rules.d/70-persistent-net.rules tragen Sie die folgenden Zeilen ein:
SUBSYSTEM==“net“, ACTION==“add“, DRIVERS==“?*“, ATTR{dev_id}==“0x0″, ATTR{type}==“1″, KERNEL==“eth*“, RUN+=“sysctl net.ipv6.conf.eth0.use_tempaddr=2″
Sollten Sie noch eine WLAN0 Schnittstelle haben machen Sie dafür genau dasselbe, nur statt eth0 tragen Sie wlan0 beim jeweiligen Befehl ein.
IP-Einstellungen zurücksetzen
Hat wieder einmal so ein „tolles“ Tuningtool bei Ihnen gewerkelt und nun geht’s noch langsamer als vorher oder gar nicht mehr und selbst die Deinstallation nutzt nichts? Windows ist da gar nicht so nachtragend. Mit der folgenden Lösung in der Eingabeaufforderung können Sie alles wieder gut machen.
Bei Windows-Vista an aufwärts:
netsh interface ipv4 reset (Für IP Version 4)
netsh interface ipv6 reset (Falls Sie auch schon IP Version 6 nutzen)
Beim alten XP:
netsh interface ip reset resetlog.txt (Die resetlog.txt würde protokollieren was er beim reseten so treibt)
Auf einem Vista Rechner Platz frei geben
Sie können auf einem Vista-Rechner Platz auf der Festplatte frei geben. Dies funktioniert ausschließlich unter Vista und nicht unter XP oder Windows 7. Unter XP können Sie die eingespielten Patches löschen indem Sie im Windows Verzeichnis die Unterverzeichnisse „$NtUninstallKBabc$“ löschen ($hf_mig$ bitte nicht!) mit dem unangenehmen Nebeneffekt, dass diese sich nicht mehr deinstallieren lassen. Anstatt nun selbst die Verzeichnisse (die es unter Vista nicht mehr gibt) zu löschen, öffnen Sie eine administrative Console (Im Suchfeld des Startmenüs „cmd“ tippen und mit „Strg+Shift+Enter“ bestätigen). Im Windows\System32 Verzeichnis finden Sie compcln.exe. Eintippen, bestätigen und schwupps, haben Sie auch alte Dateien gelöscht (Patches können nicht mehr deinstalliert werden) dabei werden zwischen 1-2 GB auf der Festplatte frei. Unter Windows 7 können Sie lange nach compcln suchen – hier gibt es das bereits nicht mehr.