Windows Server

Erste Schritte nach der Installation eines Core-Servers

Umbenennen des Computers
netdom renamecomputer %computername% /newname:Core01
netdom renamecomputer "Desktop 12" /NewName:"Client 12" /User0 localAdmin /Password0 *
 /UserD DomainAdmin /PasswordD * /SecurePasswordPrompt /REBoot

Änderung des Passwortes vom Administrator
net user Administrator *
Das neue Passwort kann man am Prompt eingeben.

TCP/IP-Konfiguration (IPv4) anzeigen
netsh
int
ipv4
show int

Konfiguration der IP-Adresse (feste IP + primärer DNS-Server)
netsh interface ipv4 set address "LAN-Verbindung" static 192.168.1.12
 mask=255.255.255.0 gateway=192.168.1.254

netsh int ip set dns "LAN-Verbindung" static 192.168.1.10 primary

System-Neustart
shutdown -r -t 0
oder mit <Strg>+<Alt>+<Entf>

Kontrolle der Einstellungen TCP/IP
ipconfig -all

Serverkonfiguration für den Core-Server
sconfig

Anzeige der Serverrollen und Features auf dem Core-Server
oclist

Installation der IIS-Serverrolle
start /w ocsetup IIS-WebServerRole

Hinzufügen von Rollendiensten:
Statischer Inhalt
Verzeichnissuche
ASP.NET
FTP-Server

Deinstallation der IIS-Serverrolle
start /w ocsetup IIS-WebServerRole /uninstall

Servermanager
servermanager.msc
(nicht bei einem Core-Server)
ServerManagerCmd.exe
(am Prompt)

Anzeige der installierten Rollen und Features
ServerManagerCmd.exe -query

Installation von Rollen und Features
ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml
servermanagercmd -install Desktop-Experience
(für die Desktop-Darstellung bei einem Terminal-Server;
dafür muss man den englischen Begriff in eckiger Klammer verwenden;
siehe auch ocsetup)

PowerShell
Alle Programme, Zubehör, Windows PowerShell
Menü Verwaltung, PowerShell Modules oder
powershell

Datenträgerbereinigung
Ab Windows Server 2012 muss das Feature Desktopdarstellung installiert werden.
Explorer
Laufwerk C: mit der rechten Maustaste anklicken
Eigenschaften
Reiter Allgemein
Button Bereinigen

Desktop

Desktop-Symbole anzeigen
Systemsteuerung
Das Wort Desktop in die Such-Leiste eingeben
Gemeinsame Symbole auf dem Desktop ein- oder ausblenden
das Fenster zur Auswahl erscheint

Autologon

Automatisch anmelden
control userpasswords2
Haken entfernen bei:
Benutzer müssen beim Start des Computers Name und Kennwort eingeben

Sichere Anmeldung deaktivieren
Systemsteuerung
Verwaltung
Lokalen Sicherheitsrichtlinien
Lokale Richtlinien
Sicherheitsoptionen
Interaktive Anmeldung: Kein Strg+Alt+Entf erforderlich: aktivieren

regedit
Alle Einträge sind vom Typ Zeichenfolge REG_SZ.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon: 1
DefaultUserName: Benutzer
DefaultPassword: Kennwort
DefaultDomainName: Domäne oder Rechner, bei einem lokalen Benutzer

oder mit dem Tool autologon.exe von Sysinternals
(Das Kennwort wird verschlüsselt.)

MBR reparieren

Windows Server 2008: MBR reparieren
(siehe auch Windows 10 Abschnitt Booten)

vom Windows-Installationsdatenträger booten
im Windows Setup mit <Shift>+<F10> zum Prompt

diskpart
list disk
select disk <disk number>
list partition
select partition <partition number>
active
exit

c:
bootrec.exe /fixmbr
bootsect.exe /nt60 all /force
bootrec.exe /rebuildbcd

Windows Server 2003: MBR reparieren
vom Windows-Installationsdatenträger booten
im Windows Setup mit <Shift>+<F10> zum Prompt

c:
fixmbr
fixboot
bootcfg /rebuild

Internet Explorer

Verstärkte Sicherheitskonfiguration abschalten
bei Windows Server 2012:
Servermanager
Eigenschaften
nach rechts scrollen
Verstärkte Sicherheitskonfiguration für IE konfigurieren
auf Aus

bei Windows Server 2008:
Servermanager
Übersicht
Sicherheitsinformationen
Verstärkte Sicherheitskonfiguration für IE konfigurieren
Administratoren auf Aus

bei Windows Server 2003:
Systemsteuerung
Software
Windows-Komponenten hinzufügen/entfernen
Deinstallation von Verstärkte Sicherheitskonfiguration für Internet Explorer

Windows-Firewall

Windows-Firewall in allen Profilen abschalten
netsh advfirewall set allprofiles state off

Windows-Firewall in allen Profilen einschalten
netsh advfirewall set allprofiles state on

Aktive Regeln der Windows-Firewall anzeigen
netsh advfirewall firewall show rule name=all

Export der Einstellungen der Windows-Firewall
netsh advfirewall export "c:\ErwFirewallrichtlinie.wfw"

Import der Einstellungen der Windows-Firewall
netsh advfirewall import "c:\ErwFirewallrichtlinie.wfw"

Aktivierung des Antwortens auf ICMP-Anforderungen
(Internet Control Message Protocol; Protokoll für ping usw.)
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request"
 protocol=icmpv4:8,any dir=in action=allow

Lizenzierung, Aktivierung

Abfrage vom Lizenzstatus
cd %Systemroot%\System32
start /w slmgr.vbs -dli

Eingeben des Lizenzkeys
cd %Systemroot%\System32
cscript SLmgr.vbs -ipk Produktschlüssel mit Bindestrichen

Produktaktivierung
cd %Systemroot%\System32
start /w slmgr.vbs -ato
(setzt eine Internetverbindung voraus)

DISM /online /Set-Edition:ServerStandard /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula
(Edition und Produkt-Key anpassen)
Neustart
Systemsteuerung
System
Aktivieren über das Internet

Test-Zeitraum verlängern
cd %Systemroot%\System32
start /w slmgr.vbs -rearm

Hilfe zu Lizenz-Script
cd %Systemroot%\System32
slmgr.vbs -?

APIPA

APIPA deaktivieren
APIPA (Automatic Private IP Adressing) 169.254.x.x
CMD als Admin öffnen und den Befehl
netsh interface ipv4 show inter
eingeben.
Jetzt bekommt man eine Liste angezeigt,
wo alle Netzwerkinterfaces des Geräts aufgeführt sind.

Idx Met MTU State Name
1 50 4294967295 connected Loopback Pseudo-Interface 1
15 20 1500 connected LAN-Verbindung

Wichtig hier ist die idx-Nummer der NW-Karte im Bespiel 15.
Nun muss man den Counter der karte noch zurücksetzen:
netsh interface ipv4 set interface 15 dadtransmits=0 store=persistent

Danach den Server neu starten.
Die APIPA-Adresse wird mit ipconfig /all nicht mehr angezeigt und
der Server ist wieder unter seiner fest eingetragenen IP-adresse erreichbar.

DHCP

Installation der DHCP-Serverrolle
start /w ocsetup DHCPServerCore

manuelles Starten des DHCP-Dienstes
net start dhcpserver

Automatisches Starten des DHCP-Dienstes
sc config dhcpserver start= auto
(Achtung: mit einem Leerzeichen vor auto)

Core-Server als DHCP-Client
netsh interface ipv4 set address "LAN-Verbindung" dhcp
netsh int ip set dnsserver "LAN-Verbindung" dhcp
(ist Standard)

Aktivierung der statusbehafteten Ipv6-Konfiguration beim DHCP-Server
(Der Client erhält seine Adresse nicht mehr vom Router wie im statusfreien Modus.)
netsh interface ipv6 set address "LAN-Verbindung" managedaddress=enabled

Aktivierung der "anderen statusbehafteten" Ipv6-Konfiguration beim DHCP-Server
(Der Client erhält weitere Konfigurations-Optionen wie DNS, Gateway.)
netsh interface ipv6 set address "LAN-Verbindung" otherstateful=enabled

DHCP-Datenbank komprimieren
cd %systemroot%\system32\dhcp
net stop dhcpserver
jetpack dhcp.mdb tmp.mdb
net start dhcpserver

TCP/IP Version 6

TCP/IP-Konfiguration (IPv6)
netsh int ipv6 set address "LAN-Verbindung" fec0:0:0:fffe::2
netsh int ipv6 add dnsserver "LAN-Verbindung" fec0:0:0:fffe::1

netsh int ipv6 6to4
netsh int ipv6 isatap
netsh int ipv6 add v6v4tunnel

Anzeige der Hosts im lokalen IPv6-Subnetz
netsh int ipv6 show neighbors

Anzeige der IPv6-Adressen des eigenen Clients
netsh int ipv6 show address

Anzeige der IPv6-Standort-Kennungen
netsh int ipv6 show address level=verbose

Anzeige des IPv6-Ziel-Caches
netsh int ipv6 show destinationcache

Löschen des IPv6-Ziel-Caches
netsh int ipv6 delete destinationcache

Anzeige der IPv6-Routen
netsh int ipv6 show route

netsh int ipv6 set route
netsh int ipv6 add route
netsh int ipv6 delete route
(siehe auch DNS)

Deaktivierung von TCP/IPv6
regedit mittels neuem QWORD-Wert (32-Bit):
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents:FF

Zeitdienst

Anzeige des Status des Zeitdienstes
w32tm /query /status

Anzeigen der Zeitquelle
w32tm /query /source

Neustart des Zeitdienstes
net stop w32time
net start w32time

Zeit auf dem PDC-Emulator mit externer Zeitquelle synchronisieren
w32tm /config /syncfromflags:manual
 /manualpeerlist:ptbtime1.ptb.de oder IP-Nummer /reliable:YES

w32tm /config /update /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8
 3.pool.ntp.org,0x8" /syncfromflags:MANUAL

w32tm /config /update

net stop w32time && net start w32time

w32tm /resync /rediscover

oder
net time \\Server01 /setsntp:Zeitquelle
(Den Zeitdienst neu starten.)

Zeitquelle auf Local CMOS Clock zurücksetzen
w32tm /config /syncfromflags:DOMHIER /manualpeerlist:server01 /reliable:YES
w32tm /config /update
(Den Zeitdienst neu starten.
regedit: HKLM\SYSTEM\CurrentControlSet\services\W32Time\Parameters\NTPServer)

Anzeigen der Konfiguration des Zeit-Servers
w32tm /query /configuration
(Standard: PDC-Emulator)

Anzeigen der Zeitzone
w32tm /tz

Zurücksetzen der Einstellungen
net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Remote-Verwaltung

Stoppen / Starten des Anmelde-Dienstes
sc stop netlogon
sc start netlogon

Aktivieren der Remote-Desktop-Verbindung
cd %Systemroot%\System32
cscript scregedit.wsf /ar 0
(für mstsc vom anderen Rechner)

Remote-Shell aktivieren
winrm quickconfig
WinRM-Dienst starten: y
Änderungen an Firewall durchführen: y

Remote-Shell auf entfernten Rechner ausführen
winrs -r:Rechnername dir
winrs -r:192.168.1.12 command
winrs -r:192.168.1.12 dir c:\windows

Remotesitzung in der Firewall freischalten
netsh advfirewall firewall
set rule group="Remoteverwaltung" new enable=yes
(Anzeigen: show rule all)
oder über
sconfig bei Core-Server

Verwaltung auf einem anderen Computer
mmc
Menü Datei, Snap-In hinzufügen: Computerverwaltung
Anderer Computer

Authentifizierungsdaten für einen anderen Rechner hinterlegen
cmdkey /add:192.168.1.12 /user:test\Administrator /pass:
cmdkey /add:Core01 /user:test\Administrator /pass:

Administrative Verwaltungstools
Adminpak.msi bei Windows Server 2003
Microsoft Remoteserver-Verwaltungstools (RSAT) bei Windows Server 2008

Automatische Updates

Automatische Updates einrichten
cd %Systemroot%\System32
cscript scregedit.wsf /AU 4

Einstellungen für automatische Updates überprüfen
cd %Systemroot%\System32
cscript scregedit.wsf /AU /v
(Wert 4 ist an.)

Updates vom Windows Server Update Services (WSUS) Server sofort holen
wuauclt /detectnow
(wuauclt.exe /a)

WSUS-Client sofort auf einem neu zugewiesenen WSUS-Server angezeigen
wuauclt /resetauthorization /detectnow

WSUS-Server Metadaten (keinen Inhalt) exportieren
wsusutil export

WSUS-Server Prüfen auf fehlende oder defekte Updatedateien
wsusutil reset

Client-Dienst für Windows Update stoppen
sc stop wuauserv

Client-Dienst für Windows Update starten
sc start wuauserv

WinSxS-Ordner verkleinern
Task
Aufgabenplanung
Aufgabenplanungsbibliothek (links)
Microsoft
Windows
Servicing
StartComponentCleaning (Mitte)
rechte Maustaste Ausführen

Branch-Cache

Konfiguration des Branch-Caches anzeigen
(ist Zwischenspeicher für Dateien z.B. in den Zweigstellen)
netsh branchcache show status detail=all

Branch-Cache-Server im Modus für gehostete Cacheserver
netsh branchcache Set Service Mode=HostedServer

Cache eines BranchCache-Clients oder BranchCache-Servers leeren
netsh branchcache flush

Drucken

Netzwerkdrucker installieren (ab Win 2012 R2)
printmanagement.msc
Neuen Anschluss erstellen
Standard TCP/IP Port

den Drucker hinzufügen
mit vorhandenem Anschluss
den Treiber installieren oder den vorhandenen verwenden.

Spooler-Dienst neu starten
net stop spooler
evtl. alle Druckdateien in C:\Windows\System32\spool\PRINTERS löschen.
net start spooler

Drucker-Tools
(in %Systemroot%\system32\Printing_Admin_Scripts\de-DE\)
PrnMngr.vbs (Hinzufügen und Löschen von Druckern)
PrnCnfg.vbs (Konfiguration von Druckern: Name, Berechtigungen)
PrnDrvr.vbs (Drucker-Treiber)
PrnJobs.vbs (Druck-Aufträge)
PrnPort.vbs (Drucker-Anschlüsse)
PrnQctl.vbs (Drucker-Warteschlange)
PubPrn.vbs (Drucker in AD)

cscript pubprn.vbs Server1 "LDAP://ou=AlleDrucker,dc=test,dc=global"

Druckserver-Migration am Prompt mit Export in eine Datei
cd %windir%\System32\Spool\Tools
Printbrm -s \\Server -b -f Server.printerExport

Druckserver-Migration am Prompt mit Import aus einer Datei
cd %windir%\System32\Spool\Tools
Printbrm -s \\Server -r -f Server.printerExport

Druckserver-Migration
(Für Windows 2003 von Windows 2008 aus.)
Start-Button, Verwaltung, Druckverwaltung
rechte Maustaste auf Druckverwaltung
Server hinzufügen/entfernen
Den Server mit den zu exportierenden Druckern hinzufügen
rechte Maustaste auf diesen Server unter dem Punkt Druckerserver
Drucker in Datei exportieren
Die Export-Datei Server.printerExport mit dem Assistent erzeugen.

Diese Datei auf dem Ziel-Server auf die gleiche Art und Weise importieren.

Server-Installation

Erzeugen einer Antwort-Datei für die automatisierte Installation
Windows System Image Manager (WIM)
ist im Windows Automated Installation Kit (WAIK) enthalten.
(separater Download)

Automatisierte Installation
setup /unattend:x:\autounattended.xml

Zeit bis ein gelöschtes Objekt endgültig aus dem AD entfernt wird
(mit ADSIEdit):
tombstoneLifetime-Attribut
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=test,DC=global
(Die Tombstone Lifetime gilt für den ganzen Forest und
kann nicht für jede Domäne separat eingestellt werden.
Entscheidend ist, wie der erste Domänen-Controller eines Forests installiert wurde.)

Installationsmedium für Domänencontroller erstellen
ntdsutil
activate instance ntds

create full C:\InstallationMedium
oder
create Sysvol full C:\InstallationMedium

bei RODC:
create rodc C:\InstallationMedium
oder
create Sysvol rodc C:\InstallationMedium
(/ReplicationSourcePath-Parameters bei einer unbeaufsichtigten Installation)

Windows-Bereitstellungsdienste
wdsutil
(ist eine Rolle zur Bereitstellung von Win2008, Win2008R2, Win7, Vista auf einem Client.
Auf einem Mitgliedsserver installieren.
Ein DHCP-Server muss vorhanden sein.
Wenn der Dienst auf einem DHCP-Server installiert ist:
im Register DHCP:
Einschalten von Port 67 nicht abhören.
Die DHCP-Option 60 konfigurieren.)

Installation der Server-Rolle Active Directory-Domänendienste
start /w ocsetup DirectoryServices-DomainController-ServerFoundation
(nicht bei einem Core-Server; wird durch dcpromo gemacht)

dcpromo mit Export der Einstellungen in eine Text-Datei,
dabei den Domänen-Namen mit der Endung: .global oder .local; nicht .de festlegen.

bei einem vorbereiteten Computer-Konto z.B. für RODC:
AD Benutzer und Computer;
rechte Maustaste auf Domain Controllers;
Konto für schreibgeschützten Domänencontroller vorbereiten
dcpromo /useexistingaccount:attach

mit der Erstellung eines Computerkontos für einen schreibgeschützten Domänencontroller:
dcpromo /CreateDCAccount

Installieren vom Active Directory auf einem Core-Server
mit der angepassten Antwort-Datei des ersten Domänen-Controllers;
bei einem RODC: ReplicaOrNewDomain=ReadOnlyReplica
dcpromo /unattend:c:\core01.txt

Update des AD von einer alten Version (Windows Server 2000 oder 2003)
Die 64-bit Version von adprep ist auf der Windows Server 2008 R2-DVD im Pfad \support\adprep.
(32-bit Version: adprep32.exe)
Die DVD in den alten Domänen-Controller einlegen.
Am Dos-Prompt:
cd LW:\support\adprep:
adprep mit entsprechendem Parameter ausführen:

Erster Domänen-Controller unter Windows Server 2008 in Gesamtstruktur
(von Windows Server 2000 und 2003):
adprep /forestprep
(auf dem Schemamaster der Gesamtstruktur)

Erster Domänen-Controller unter Windows Server 2008 in Domäne (von Windows Server 2000) nach /forestprep:
adprep /domainprep /gpprep

Erster Domänen-Controller unter Windows Server 2008 in Domäne (von Windows Server 2003) nach /forestprep:
adprep /domainprep
(auf dem Infrastrukturmaster der Domäne)

nur bei der Verwendung von RODCs:
adprep /rodcprep
(Gesamtstruktur mindestens Windows Server 2003; ein DC mindestens Windows Server 2008)

Danach die Replikation zu den anderen alten Domänen-Controllern abwarten oder erzwingen.
Danach Windows Server 2008 Server mit Updates als Upgrade installieren.
(auch bei einer Migration von Windows Server 2008 nach Windows Server 2008 R2)

Deinstallieren eines Domänen-Controllers
dcpromo /unattend /AdministratorPasswort:Passwort
(Das Passwort von der Installation, nicht des Domänen-Admins verwenden.
Auf die Betriebsmaster-Funktionen achten.)

Active Directory deinstallieren
dcpromo /forceremoval

Allgemeine Aufgaben in der Domäne

Tool
netdom

Einer Domäne beitreten
netdom join <Computername> /Domain:<NetBIOS-Domänen-Namen>
 /UserD:<Domäne>\<Benutzernamen> /passwordd:  (Achtung: ZWEI d)

netdom join Core01 /Domain:test.global [/OU:"ou=Server,dc=test,dc=global"]
 /UserD:test\Administrator
 /passwordd: * /REBoot
 (für die Eingabe eines Passwortes)

Offline-Domänen-Beitritt (Offline Domain Join, ODJ)
auf einem Member-Server 2008 R2 oder für Win7 in der Domäne:
djoin /provision /domain test.global /machine ComputerName
 /machineOU "ou=Desktops,dc=test,dc=global"
 /savefile C:\ComputerName.txt
 (Die Datei ist keine Text-Datei; sondern eine verschlüsselte Blob-Datei.)

Diese Datei auf den Computer,
der beitreten soll und auf dem Win7 oder Server bereits installiert ist,
kopieren z.B. nach C:\

auf dem Ziel-Computer:
djoin /requestODJ /loadfile C:\ComputerName.txt /windowspath %SystemRoot% /localos
(windowspath kann auch Pfad zu Offline-Maschine sein z.B. D:\Windows,
wenn die virtuelle Maschine im Laufwerk D: läuft.)

AD-Objekte aus anderen Domänen übernehmen
Active Directory Migrations Tool 3.2 (separater Download)
admt.exe
(um Domänen aufzulösen; ab Windows Server 2008 R2, nicht auf RODC oder Core-Server)

Vertrauensstellung von Domänen überprüfen
netdom trust VertrauendeDomäne /domain:VertrauteDomäne /verify
(Die vertrauende Domäne stellt Ressourcen für Anwender aus vertrauter Domäne zur Verfügung.)

Domänen-Controller aus der automatischen Standort-Abdeckung herausnehmen
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Neuer DWORD-Eintrag: AutoSiteCoverage
Wert: 0

Offline-Defragmentierung, Komprimieren der AD-Datenbank
(c:\windows\NTDS\ntds.dit)
net stop ntds
(Stoppen des AD-Domänendienstes)
ntdsutil
Activate Instance ntds
files
Compact to C:\temp
(Das Verzeichnis wird bei Nichtvorhandensein erstellt.)
quit
quit

copy C:\temp\ntds.dit C:\Windows\NTDS\
del C:\Windows\NTDS\*.log

(Integritäts-Check im Pfad C:\Windows\NTDS\ durchführen:)
ntdsutil
Activate Instance ntds
files
integrity

quit
quit

net start ntds

Verschieben der AD-Datenbank und der Logs
net stop ntds
ntdsutil
Activate Instance ntds
files
Move DB to d:\NTDS
Move logs to d:\NTDS

info
integrity (am neuen Ort)

quit
quit

net start ntds

Administrative Rollen-Trennung
(auf einem Domänen-Controller oder RODC)
dsmgmt
local roles
list roles
add Maier Administratoren
show Role Administratoren
(Benutzer der Domäne wird lokaler Administrator; zum Updates installieren)

AD-Snap-In Schema für die mmc registrieren
regsvr32 schmmgmt.dll

AD-Schema anzeigen
mmc
Snap-In hinzufügen: Active Directory-Schema
auch für AD LDS

Betriebsmaster-Funktionen
Gesamtstruktur:
Domänennamen-Master
Schema-Master
(sollten auf dem gleichen DC liegen)
Domäne:
Relative Identifier-Master (RID-Master vergibt SIDs.)
Infrastruktur-Master
PDC-Emulator
(RID-Master und PDC-Emulator sollten auf dem gleichen DC liegen.
Der Infrastruktur-Master darf bei mehreren DCs nicht mit dem Global Katalog zusammen liegen,
wenn nicht alle DCs den Global Katalog besitzen.)

Anzeigen der Betriebsmaster-Funktionen
mmc
Snap-In: Schema
rechte Maustaste auf DC
Betriebsmaster
oder
ntdsutil
Roles
connections
Connect to server Server01.global.test
quit
select operation target
list roles for connected server
quit
quit
quit
oder
dcdiag /test:knowsofroleholders /v
oder
netdom query fsmo

Ändern der Betriebsmaster-Funktionen
ntdsutil
Roles
connections
Connect to server Server02.global.test
quit
Seize schema master
(Der Server02 wird Schema-Master.
Nur dort können Änderungen am AD-Schema vorgenommen werden.)

Seize domain naming master
Seize RID master
Seize PDC
Seize infrastructure master

quit
quit

Danach den alten DC vom Netzwerk entfernen
AD Deinstallieren: dcpromo /forceremoval
danach Meta-Daten im AD löschen:
ntdsutil
Metadata cleanup
connections
Connect to server Server01.global.test
quit
Select operation target
List domains
(Die Nummern der Domänen werden ausgegeben.)
Select domain 0
List sites
(Die Nummern der Standorte werden ausgegeben.)
Select site 0
List servers in site
(Die Nummern der Server werden ausgegeben.)
Select site 1
(Der Server mit der Nummer 1 wird aus dem AD entfernt.)
quit

Remove selected server

quit
quit
(Der Server wird auch aus der AD-Zone im DNS entfernt.)

Schemamaster ändern
nfdsutil
roles
connections
connect to server Server01
quit
?
Seize ..
quit
(nur wenn kein Restore des DC möglich ist)

Remote-Diagnose eines Domänen-Controllers
dcdiag /s:Server1

Ausführliche Diagnose des Domänen-Controllers
dcdiag /v

Diagnose des Domänen-Controllers (nur Fehler)
dcdiag /q

Diagnose aller Domänen-Controller am Standort
dcdiag /a

Diagnose aller Domänen-Controller in der Gesamtstruktur
dcdiag /e

Fehlerbehebung beim Domänen-Controller
dcdiag /RecreateMachineAccount
dcdiag /FixMachineAccount
dcdiag /fix

Replikation

Tool zur Diagnose der Replikation
AD Replication Status
(separater Download)

Anzeige aller Replikationsvorgänge
repadmin /showreps

Replikation des AD vom anderen Domänen-Controller erzwingen
repadmin /syncall andererDC
repadmin /syncall /A /e
oder
mit Konsole: Standorte und Dienste

Replikation einer Partition erzwingen
repadmin /replicate Ziel-DC Quell-DC NamePartition

Testen der Replikation am Domänen-Controller für alle Server
dcdiag /test:replications /a
(Weitere Tests: FrsEvent, DFSREvent, Intersite, KccEvent, Topology, VerifyReplicas)

Testen der Datei-Replikation am Domänen-Controller
dcdiag /test:FrsEvent /a

Infos über die Replikation
repadmin /replsummary

Anzeigen der Verbindungsobjekte des Domänen-Controllers
repadmin /showconn

Anzeigen der Replikations-Partner mit Status der Replikation
repadmin /showrepl Server02.test.global
repadmin /showrepl *

Anzeigen der Replikations-Zeiten zwischen den Standorten
repadmin /latency

Anzeigen der Brückenköpfe zwischen den Standorten
repadmin /bridgeheads

Neuberechnung der Replikations-Topologie
repadmin /kcc

Liste der Benutzerkonten,
die auf einem RODC authentifiziert wurden
repadmin /prp view rodc1.test.global reveal

Leeren der Liste der Benutzerkonten,
die auf einem RODC authentifiziert wurden
repadmin /prp delete rodc1.test.global /all

Überwachen der FRS-Replikation (File Replication Service)
ntfrsutl
ntfrsutl version
ntfrsutl ds
ntfrsutl forcerepl
ntfrsutl pull
(für ältere Windows-Versionen; der Dateireplikations-Dienst muss laufen.)

Migrieren der SYSVOL-Replikation (FRS) zu DFS-R
dfsrmig
(auf dem Domänencontroller mit der Betriebsmasterrolle PDC-Emulator;
für Domänen ab der Funktionsebene Windows Server 2008)

DNS

Hinzufügen eines A-Records für einen Rechner als static
dnscmd DNS-Server /RecordAdd Domäne Rechnername A TCP/IP-Nummer

Installation der DNS-Serverrolle auf einem Core-Server
start /w ocsetup DNS-Server-Core-Role
(Die Dienste werden automatisch gestartet.
Im DNS-Manager die Ansicht Erweitert einschalten.)

Eigene IP-Nummer als primärer DNS-Server auf die Netzwerk-Karte
netsh int ip set dns "LAN-Verbindung" static 192.168.1.12 primary
(Auf einem Domain-Controller: Verwaltung DNS; mit anderen DNS-Server verbinden;
evtl. Firewall anpassen)

DNS-Server-Cache löschen
dnscmd Server01 /clearcache

Stoppen / Starten des DNS-Client-Dienstes
sc stop dnscache
sc start dnscache

Stoppen / Starten des DNS-Server-Dienstes
net stop dns
net start dns

Neue primäre Zone
dnscmd /ZoneAdd test2.global /primary
(Datei *.dns)

Neue im Active Directory integrierte Zone
dnscmd /ZoneAdd test.global /dsprimary

Zonen auflisten
dnscmd /EnumZones

Infos über den DNS-Server
dnscmd /info

Infos über die Zone
dnscmd Server01 /ZoneInfo test.global

Änderungen an DNS-Server oder Zonen
dnscmd /config

Abrufen von Betriebs-Statistiken
dnscmd /statistics

Aktuellen Zeitpunkt als Zeitstempel für alle Einträge festlegen
dnscmd /AgeAllRecords
(Auch statische Einträge erhalten damit einen Zeitstempel.
Standard ist dann 7 Tage für den Aufräum-Vorgang.)

Starten des Aufräum-Vorgangs
dnscmd /StartScavenging

Exportieren einer AD-integrierten Zone
Dnscmd.exe /ZoneExport test.global TestGlobal.txt
(Die Datei wird in %systemroot%\system32 erzeugt.)

Exportieren der Konfiguration
dnscmd /exportsettings

Testen der DNS am Domänen-Controller
dcdiag /test:DNS

Diagnose bei DNS-Problemen
(separater Download)
dnslint /d (allgemein und bei einer langsamen Delegierung)
dnslint /ql (für benutzerdefinierte DNS-Datensätze auf mehreren DNS-Servern)
dnslint /ad (DNS für die Active Directory-Replikation)

Aktualisierung der sekundären Zone auf dem lokalen Server vom Master-Server
dnscmd Server02 /ZoneRefresh sekundaer.global

Aktualisierung der Zone auf dem Server mit den Zonen-Daten aus dem AD
dnscmd Server01 /ZoneUpdateFromDS test.global

Sekundäre Zone in eine Active Directory-integrierte Zone ändern
dnscmd Server02 /ZoneResetType test.global /Dsprimary

Änderung der Zonenreplikation auf allen Domänencontrollern der Domäne,
die auch als DNS-Server konfiguriert sind
dnscmd Server01 /ZoneChangeDirectoryPartition test.global /domain

Änderung der Zonenreplikation auf allen Domänencontrollern der Gesamtstruktur,
die auch als DNS-Server konfiguriert sind
dnscmd Server01 /ZoneChangeDirectoryPartition test.global /forest

Listen aller Einträge einer Zone auf einem Server
dnscmd Server01 /EnumRecords test.global @

Anzeige der IPv6-DNS-Server
netsh int ipv6 show dnsservers

Hinzufügen eines IPv6-DNS-Servers
netsh int ipv6 add dnsservers

Aktivierung der GlobalNames-Zone auf allen DNS-Servern der Gesamtstruktur
dnscmd Server01 /config /EnableGlobalNamessupport 1
dnscmd . /config /EnableGlobalNamessupport 1
Neustart des DNS-Serverdienstes

Erstellung der GlobalNames-Zone auf allen DNS-Servern der Gesamtstruktur
dnscmd Server01 /ZoneAdd GlobalNames /DsPrimary /DP /Forest

Erstellung der GlobalNames-Zone auf allen DNS-Servern der Domäne
dnscmd Server01 /ZoneAdd GlobalNames /DsPrimary /DP /Domain

Alias in die GlobalNames-Zone eintragen
dnscmd Server01 /recordadd globalnames Server05 cname Server05.test.global

A-Record für Server06 in eine Zone eintragen
dnscmd Server01 /recordadd test.global Server06 A 192.168.1.17

A-Record für Server06 in einer Zone ohne Nachfrage löschen
dnscmd Server01 /recorddelete test.global Server06 A 192.168.1.17 /f

Zeiger-Eintrag für IP-Nummer IP-Adresse 10.3.2.240 löschen
dnscmd /RecordDelete 2.3.10.in-addr.arpa 240 PTR

Einbinden der AD-Partitionen auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition DomainDNSZones.test.global

Einbinden der AD-Gesamtstruktur auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition ForrestDNSZones.test.global

Erstellen einer DNS-Anwendungsverzeichnis-Partition
auf dem Domänen-Controller:
dnscmd Server01 /createdirectorypartition subnet.test.global
(Zonenübertragung zulassen bei Nicht-AD)

oder im AD auch
ntdsutil
Activate Instance ntds
Partition Management
Create nc dc=AppPartition,dc=test,dc=global Server01.test.global
quit
quit

oder im AD auch
dsmgmt

Einbinden einer DNS-Anwendungsverzeichnis-Partition
auf einem weiteren Domänen-Controller
dnscmd Server02 /enlistdirectorypartition subnet.test.global

Erstellen der standardmäßigen DNS-Anwendungsverzeichnis-Partitionen des AD
dnscmd Server01 /CreateBuiltinDirectoryPartitions /Domain oder /Forest oder /AllDomains
beim Hinzufügen von weiteren DNS-Servern

Infos über die Partitionen
dnscmd Server01 /directorypartitioninfo test.global

Anzeigen der globalen Abfragensperrliste
dnscmd Server01 /info /globalqueryblocklist

Konfiguration der globalen Abfragensperrliste
dnscmd Server01 /config /globalqueryblocklist wpad isatap neuereintrag
(Die Einträge wpad und isatap sind bereits vorhanden.
Sie müssen wieder angegeben werden.)

Konfiguration der DNS-Cachesperrung
dnscmd Server01 /config /CacheLockingPercent nn

Anzeigen aller Service-Records der Domäne (Zone)
(Die Zonen-Übertragung am DNS-Server muss eingeschaltet sein.)
nslookup
ls -t srv test.global
ls -t srv test.global > srvrecords.txt
(Die Angabe eines Laufwerks ist hier nicht möglich.)

Anzeige der SOA-Einträge
nslookup
set type=SOA
test.global
mit der Ausgabe der Serial Number der Zone

Anzeige der Service-Records
nslookup
set type=SRV
_ldap._tcp.test.global

Anzeige des Global-Katalogs
nslookup
set type=SRV
_gc._tcp.test.global

Registrierung aller Dienstidentifizierungseinträge (SRV) im DNS erzwingen
net stop netlogon
net start netlogon
(Neustart des Anmelde-Dienstes)

Sicherung

Backup
ist ein Feature; mit der Option PowerShell installieren;
interaktiv mit der System-Wiederherstellung und vollständiger VSS-Sicherung

Installation von Backup auf einem Core-Server
ocsetup WindowsServerBackup

Backup von C: nach L:
wbadmin start backup -backupTarget:L: -include:C: -quiet
wbadmin start backup -backupTarget:\\Server01\Freigabe -include:C:,F:,G:
 -user:Benutzer -password:Kennwort (für die Anmeldung auf dem Ziel-Server)
wbadmin start backup -backupTarget:L: -vssfull -include:C: -quiet

Backup zeitgesteuert
wbadmin enable backup -addtarget:e: -include:c:,d: -schedule:08:00,12:00,17:00
wbadmin enable backup -addtarget:{757d66ca-0000-0000-0000-000000000000}
 -include:c:,d: -schedule:08:00,12:00,17:00
(Mit der ID wird der Sicherungsdatenträger erzeugt.
Dieser wird bei jeder Sicherung formatiert.
Der Laufwerks-Buchstabe ist bei geplanter Sicherung im Explorer nicht mehr zu sehen.)

Anzeige der verfügbaren Sicherungen
wbadmin get versions
wbadmin get versions -backupTarget:e: -machine:Server01

Anzeige der in der Sicherung enthaltenen Elemente
wbadmin get items

Restore eines Pfades
wbadmin start recovery -Version:10/29/2012-09:00
 -ItemType:File -Items:D:\Pfad -Overwrite -Recursive -Quiet

Vollständige Systemsicherung
wbadmin start backup -allcritical -backuptarget:e: -quiet

Backup des Systemstatus (AD)
wbadmin start systemstatebackup -backupTarget:e:
wbadmin start backup -backupTarget:e: -SystemState

Zurücksetzen des Passworts für den Verzeichnisdienste-Wiederherstellungsmodus
(Directory Services Recovery Mode, DSRM)
ntdsutil
set dsrm password
reset password on server Server01 (oder null für aktuellen Server)
Passwort eingeben
quit
quit

Notfall-Wiederherstellung
wbadmin start sysrecovery
(ab Windows Server 2008 R2)

Restore vom Systemstatus
wbadmin Start SystemStateRecovery -version:04/30/2005-09:00 -backupTarget:L:

Löschen des Sicherungs-Katalogs
wbadmin delete catalog

Wiederherstellen des Sicherungs-Katalogs
wbadmin restore catalog -backupTarget:L:

Restore vom Systemstatus (AD)
Start des DC im Verzeichnisdienst-Wiederherstellungsmodus:
bcdedit /set safeboot dsrepair

wbadmin start systemstaterecovery -version:04/30/2005-09:00
 -backupTarget:c: -machine:Server01 -quiet

Normaler Start des DC
bcdedit /deletevalue safeboot

Restore des kompletten Systems
Booten von der Installations-DVD
Computer reparieren
Systemwiederherstellungsoptionen
Eingabeaufforderung
diskpart
list vol
(für die Anzeige der LW-Buchstaben)
wbadmin get versions -backupTarget:e: -machine:Server01
wbadmin start sysrecovery -version:04/30/2005-09:00
 -backupTarget:c: -machine:server01 -quiet

Ermitteln der ID einer Platte
wbadmin get disks > hdid.txt

Inhalt der hdid.txt eines virtuellen Servers
wbadmin 1.0 - Sicherungs-Befehlszeilentool
(C) Copyright 2004 Microsoft Corp.

Datenträgername: VMware, VMware Virtual S SCSI Disk Device
Datenträgernummer: 0
Datenträger-ID: {757d66ca-0000-0000-0000-000000000000}
Gesamter Speicher: 40.00 GB
Verwendeter Speicher: 17.50 GB
Volumes: <nicht bereitgestellt>[System-reserviert],C:[(ohne Volumebezeichnung)]

Datenträgername: VMware, VMware Virtual S SCSI Disk Device
Datenträgernummer: 1
Datenträger-ID: {00000000-0001-0000-0000-000000000000}
Gesamter Speicher: 40.00 GB
Verwendeter Speicher: 0 bytes
Volumes: Auf dem Datenträger befinden sich keine Volumes, oder es konnten keine
Volumeinformationen abgerufen werden.

Autorisierte Wiederherstellung
gelöschte Objekte im AD wiederherstellen; autorisiert wegen der Replikation
Boot-Menü anpassen für Verzeichnisdienst-Wiederherstellung (oder <F8> beim Systemstart):
bcdedit /set safeboot dsrepair
Neustart: shutdown -r -t 0
Anmelden mit lokalen Benutzer: .\Administrator
wbadmin get versions -backupTarget:e: -machine:Server01
(Die Versions-IDs werden angezeigt.)
wbadmin start systemstaterecovery -version:04/30/2005-09:00
(kein Neustart wegen der Autorisierung)
Autorisierung:
ntdsutil
Activate Instance ntds
Authoritative restore
für gelöschte OU:
Restore subtree "ou=Stuttgart, dc=test,dc=global"
oder für gelöschtes Objekt (User)
restore object "cn=Hermann Maier,cn=Users,dc=test,dc=global"
für alle Daten:
restore object database
quit
quit
Boot-Menü des Servers wieder auf normalen Start umstellen:
bcdedit /deletevalue safeboot
Neustart: shutdown -r -t 0
repadmin /syncall Server01 /a /d /A /P /q
cd \Users\Administrator.Server01
dir
Eine ldf-Datei wurde erstellt und muss importiert werden.
Der Import muss in jeder Domäne erfolgen,
wo das wiederhergestellte Objekt in einer GPO enthalten ist:
ldifde -i -k -f *.ldf

Snapshot der AD-Datenbank erstellen
ntdsutil
Snapshot
Activate Instance ntds
list all
(Die Nummern der Snapshots werden gelistet, auch die der Sicherungen.)
Create
(Ein neuer Snapshot wird erzeugt.)
list all
Mount 1
(Der Mount-Pfad wird angezeigt: C:\$SNAP_YYYYMMDDHHMM_VOLUMEC$)

Offline-Browser der AD-Datenbank
dsamain -dbpath C:\$SNAP_YYYYMMDDHHMM_VOLUMEC$\Windows\NTDS\ntds.dit
 -ldapport 51389
Das Fenster muss für nachfolgende Schritte offen bleiben.

Konsole: Active Directory-Benutzer und Computer
oder
ldp (ist LDAP Reader mit Auswahl der SSL-Verschlüsselung):
Domänen-Controller ändern
Verzeichnisservername:Port hier eingeben
Server01.test.global:51389

lpd
Menü Remotedesktopverbindung
Verbinden
Gebunden

Menü Optionen
Steuerelemente
Vordefiniert laden
Return deleted objects

Menü Ansicht
Struktur

Doppelklick auf gelöschte Objekte

Objekt suchen
rechte Maustaste: Ändern

Attribut: isdeleted
Vorgang: Löschen

Attribut: distinguishedName
Werte: aus Snapshot Atttribut-Editor übernehmen
Vorgang: Ersetzen
Synchron und Erweitert
Ausführen

Volumeschattenkopie

VSS-Dienst neu starten
net stop vss
net start vss

Status der Writer anzeigen
vssadmin list writers

Schattenkopien anzeigen
vssadmin list shadows

Schattenkopie vom Laufwerk C: erzeugen
vssadmin create shadow /For=C:

Alle Schattenkopien löschen
vssadmin delete shadows /all

Fortschritt der Wiederherstellungsaktionen anzeigen
vssadmin Query Reverts

Verzeichnisdienst

Überwachung von Verzeichnisdienst-Änderungen
auditpol

Anzeige der Kategorien der Überwachungungsrichtlinien
auditpol /list /category

Anzeige der Einstellungen der Kategorien und Unterkategorien
auditpol /get /category:*
auditpol /get /category:Objektzugriff
(Es ist die Überwachung für den Fehlerfall eingestellt.)
auditpol /get /category:"An-/Abmeldung"

Umstellen der Überwachung des Objektzugriffs auf Erfolg und Fehler
auditpol /set /category:Objektzugriff /success:enable
(alle Unterkategorien werden geändert.)

Aktivieren der Überwachung von Verzeichnisdienst-Änderungen
auditpol /set /subcategory:Verzeichnisdienständerungen /success:enable

auditpol /set /subcategory:dateisystem /failure:disable
(nur bei Erfolg)

DFS

DFS-Stamm
dfsutil
dfscmd (Volumes)
dfsdiag
dfsrdiag (für die Diagnose der Replikation)
dfsradmin.exe Health (zur Überwachung der Replikation in die Aufgaben-Planung eintragen)

Installation von Datei-Server, DFS, Windows-Suche und Sicherungs-Feature
servermanagercmd -install FS-Fileserver FS-DFS FS-Search-Service backup-features

Neuanlegen des Namespaces
dfsutil root adddom \\server\namespace v2

Namespace in eine Datei exportieren
z.B. bei der Migration der alter Version
dfsutil root export \\domain\namespace path\filename.xml

Namespace aus der Exportdatei importieren
dfsutil root import merge path\filename.xml \\domain\namespace

Hinzufügen aller verbleibenden Namespace-Server zum Namespace
dfsutil target add \\server\share

Namespace löschen
dfsutil root remove \\domain\namespace

Aktivieren der zugriffsbasierten Auflistung für einen Namespace
dfsutil property abe enable \\<namespace_root>
(Nur die Pfade mit Berechtigung des Users werden angezeigt.)

Abfrage von Konfigurationsänderungen vom primären Replikationsserver
dfsrdiag PollAD /Member:DOMAIN\Server01

Verwaltung von Objekten im Active Directory

Active Directory-Benutzer und -Computer
Dsa.msc

Attribute von AD-Objekten
Menü Verwaltung; ADSI-Editor
oder
adsiedit.msc

Objekte im AD suchen
rundll32 dsquery,OpenQueryWindow
dsquery user
dsquery user -name "Herb*"
dsquery user "ou=Administratoren,dc=test,dc=global" -name "Lin*"

dsquery computer
dsquery group
dsquery ou

Benutzer

Anzeige der Informationen eines Benutzers
net user Benutzer /domain
letzte Anmeldung, Anmelde-Skript, Profil, Basisverzeichnis, Gruppen

Anzeige der SID des angemeldeten Benutzers und der Informationen zu den Gruppen
whoami /all

Liste der neu erstellten Benutzer
dsquery * "cn=Users,dc=test,dc=global"
 -filter "(&(objectClass=User)(objectCategory=Person)(whenCreated>=20120716000000.0Z))"
 -attr distinguishedName displayName sAMAccountName whenCreated -Limit 0
 > D:\NeueBenutzer.txt

Suchen der Benutzer mit anpassbaren Filter
dsquery * domainroot -filter "(&(Objectcategory=Person)(ObjectClass=User))"
dsquery * domainroot -filter "(&(ObjectClass=User)(department=Einkauf)"

Anzeige der gesperrten Benutzer
ldifde -f c:\gesperrteUser.txt -r "(BadPWDCount>=1)"
(Anmeldeversuche falsch; in Datei auch als Batch)

Anzeige der Berechtigungen der OU Users
dsacls "cn=Users,dc=test,dc=global"

Zurücksetzen der Berechtigungen der OU auf Schema-Standard
dsacls "cn=Users,dc=test,dc=global" /resetDefaultDACL

Standard-OU für neue Benutzer festlegen
redirusr "ou=AlleAnwender,dc=test,dc=global"

Neuanlage eines Benutzers
dsadd user "cn=Hermann Maier,cn=Users,dc=test,dc=global"
 -samid Hermann.Maier -fn Herrman -ln Maier -display "Hermann Maier"
 -pwd * oder Passwort -mustchpwd yes -email Herrmann.Maier@test.global
 -company Test -desc "Leiter IT" -profile xxxx

Löschen eines Benutzers
dsrm user "cn=Hermann Maier,cn=Users,dc=test,dc=global"

Ändern eines Attributs des Benutzers
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -office="Stuttgart"

Zurücksetzen des Passwortes eines Benutzers
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global"
 -pwd neuesPasswort -mustchpwd yes

Aktivierung eines Benutzer-Kontos
dsmod user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -disabled yes

Verschieben eines Benutzer-Kontos
dsmod "cn=Hermann Maier,cn=Users,dc=test,dc=global"
 -newparent "ou=Stuttgart,cn=Users,dc=test,dc=global"
 (ohne den Parameter user)

Neue Kennwortrichtlinie für einzelne Benutzer oder Gruppen
Kennworteinstellungsobjekt (PSO) mit ADSI-Editor neu erstellen:
"cn=Password Settings Container,cn=System,dc= dc=test,dc=global"
Neu Objekt
msDS-PasswordSettings

abschließend Benutzer oder Gruppen hinzufügen:
Attribut msDS-PSOAppliesTo
oder
ldifde

Zuweisen der Benutzer-Verzeichnisse für mehrere Benutzer
dsquery user "cn=Users,dc=test,dc=global" |
 dsmod user -hmdir "\\Server01\users\$username$\documents" -hmdriv "U:"
 (Achtung: nicht %UserName%; Der Parameter -hmdir ist nicht bei dsadd möglich.)

Exportieren der Domänen-Objekte in eine csv-Datei
csvde -f dom.csv

Exportieren der Domänen-Objekte in eine ldf-Datei
(LDAP Data Interchange Format Directory Exchange: ldifde.exe)
ldifde -f c:\domain.ldf
ldifde -f anton.ldf -r "(Name=Anton Atom)"
ldifde -f zwei.ldf -r "(|(Name=Anton Atom)(Name=Herrmann Maier))"
(andere Attribute: GivenName, displayName)

Exportieren einer LDAP-Instanz in eine ldf-Datei
ldifde -f c:\ldap.ldf -s Server03:31389 -m -b Administrator Domäne * oder Passwort

Importieren von Benutzern aus csv-Datei
csvde -i -k -f benutzer.csv
(Es sind keine Änderungen an bestehenden Konten möglich.)

Importieren von Benutzern aus ldf-Datei
ldifde -i -f benutzer.ldf
(Es sind Änderungen an bestehenden Konten möglich.)

Importieren einer LDAP-Instanz aus ldf-Datei
ldifde -i -f c:\ldap.ldf -s Server03:31389 -m -b Administrator Domäne * oder Passwort

Anzeige der Gruppen-Mitgliedschaft eines Benutzers
dsget user "cn=Hermann Maier,cn=Users,dc=test,dc=global" -memberof -expand

Gruppen

Neuanlage einer globalen Sicherheits-Gruppe
dsadd group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -secgrp yes -scope g -samid "GG S Personal" -desc "Personalabteilung Stuttgart"
 -members Mitglieder
 -memberof Gruppe ist Mitglied in
(Der Löschschutz wird nicht gesetzt nur in der graphischen Oberfläche oder mit PowerShell.)

Umwandlung des Typs einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -secgrp yes oder no -scope g oder l oder u
(Auf Konflikte bei den Mitgliedern achten.)

Anzeigen der Mitglieder einer Gruppe
dsget group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -members -expand

Hinzufügen eines Mitglieds zu einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -addmbr "cn=Hermann Maier,cn=Users,dc=test,dc=global"

Hinzufügen von Mitgliedern aus verschiedenen OUs zu einer Gruppe
dsquery * domainroot -filter "(&(ObjectClass=User)(department=Einkauf)" |
 dsmod group "cn=GG ZenralEinkauf,ou=Gruppen,dc=test,dc=global" -addmbr

Löschen eines Mitglieds aus einer Gruppe
dsmod group "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -rmmbr "cn=Hermann Maier,cn=Users,dc=test,dc=global"

Verschieben und Umbenennen einer Gruppe
dsmove "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 -newname NeuerName -newparent NeuesZiel

Löschen einer Gruppe
dsrm "cn=GG S Personal,ou=Gruppen,ou=Stuttgart,dc=test,dc=global"
 [-subtree -exclude -noprompt -c]

Organizational Unit

Erstellen einer Organizational Unit (OU)
dsadd ou "ou=Frankfurt,dc=test,dc=global"
dsadd ou " ou=Gruppen,ou=Frankfurt,dc=test,dc=global"
(Der Löschschutz wird nicht gesetzt nur in der graphischen Oberfläche.)

Erstellen einer Organizational Unit mit vbscript
Set objDom = GetObject ("LDAP://dc=test,dc=global")
Set objOU = objDom.Create("OrganizationalUnit",ou="Berlin")
objOU.SetInfo

Computer

Standard-OU für neue PCs festlegen
redircmp "ou=Desktops,dc=test,dc=global"

Erstellen eines Computer-Kontos
dsadd computer "CN=Desktop12,ou=Desktops,dc=test,dc=global"
 -samid "Desktop12" -desc "PC Nummer 12" -loc "Stuttgart"
oder
netdom add "Desktop 12" /domain test.global /ou: ou=Desktops,dc=test,dc=global

Verschieben eines Computer-Kontos
dsmove "CN=Desktop12,ou=Desktops,dc=test,dc=global"
 -newparent "ou=Clients,dc=test,dc=global"

Zurücksetzen eines Computer-Kontos
dsmod computer "CN=Desktop12,ou=Desktops,dc=test,dc=global" -reset
(Auch bei Austausch der Hardware mit gleichen Computernamen bleibt die SID erhalten.)

Sicheren Kanal nach Domäne auf Client abfragen
nltest /SC_QUERY:test.global

Zurücksetzen des sicheren Kanals
(Wenn der Computer längere Zeit nicht in der Domäne angemeldet war.
Die SID des Computers bleibt erhalten.)

netdom reset "Desktop 12" /domain test.global /User0 localAdmin /Password0 *
oder
nltest /Server:"Desktop 12" /SC_Reset:test\Server01
(Der Client muss online sein.)

De-/Aktivieren eines Computer-Kontos
dsmod computer "CN=Desktop12,ou=Desktops,dc=test,dc=global" -disabled yes oder no

Löschen eines Computer-Kontos
dsrm "CN=Desktop12,ou=Desktops,dc=test,dc=global"

Active Directory Lightweight-Verzeichnisdienst

Installation vom Active Directory Lightweight-Verzeichnisdienst auf einem Core-Server
start /w ocsetup DirectoryServices-ADAM-ServerCore

Verwaltungstool für den Active Directory Lightweight-Verzeichnisdienst
DSDBUtil
(ntfsutil ist für AD auf einem DC; sollte aber nicht bei AD LDS verwendet werden.)

Unbeaufsichtigte Installation einer AD LDS Instanz
%systemroot%\ADAM\adaminstall.exe /answer:C:\temp\Antwortdatei.txt

Aktivieren des Papierkorbs im Active Directory Lightweight-Verzeichnisdienst
cd %SystemRoot%\ADAM
ldifde -i -f MS-ADAM-Upgrade-2.kdf -s Server:Port -b Administrator Domäne *
(ist Aktualisierung des Schemas; unmittelbar nach Installation der Rolle)

Import ist vor dem Bearbeiten des Active Directory Lightweight-Verzeichnisdienstes
in der Konsole AD-Standorte und Dienste notwendig:
cd %SystemRoot%\ADAM
ldifde -i -f MS-ADLDS-DisplaySpecifiers.ldf -s Server:Port -b Administrator Domäne *

Recht zu einer OU einer Gruppe zuweisen bei AD LDS
dsacls \\Server03:31389\OU=Anwendung1,DC=ACME,DC=Local
 /G "CN=UserVerwalten,CN=Roles,OU=Anwendung1,DC=ACME,DC=Local":GR
(/G ist Gewähren; GR ist Leserecht)

dsacls \\Server03:31389\CN=Users,OU=Anwendung1,DC=ACME,DC=Local
 /G "CN=UserVerwalten,CN=Roles,OU=Anwendung1,DC=ACME,DC=Local":GA
(GA ist Vollzugriff)
Schema-Anpassung für Synchronisierung der AD LDS unter Windows Server 2008:
cd %SystemRoot%\ADAM
ldifde -i -u -f ms-adamschemaw2k8.ldf -s Server01:31389 -j . -c "cn=Configuration,dc=X"
ldifde -i -f MS-AdamSyncMetadata.LDF -s Server01:31389 -b username domain password
 -j . -c "cn=Configuration,dc=X"
(Den Container "cn=Configuration,dc=X" nicht anpassen.)

Für die Synchronisation von AD LDS zu AD
Anpassen der Datei MS-AdamSyncConf.XML:
Ersetzen von dc=fabrikam,dc=com durch dc=test,dc=global
<source-ad-name>test.global</source-ad-name>
<source-ad-partition>dc=test,dc=global</source-ad-partition>
<source-ad-account>Administrator</source-ad-account>
<account-domain> test.global </account-domain>
<target-dn>ou=Anwendung1,dc=test,dc=local</target-dn>
<query>
<base-dn>ou=Sync,dc=test,dc=global</base-dn>

Speichern unter Sync.XML
(Die OU Sync im AD wird später unter der OU Anwendung1 im AD LDS synchronisiert.)

adamsync /install Server01:31389 .\Sync.XML
adamsync /sync Server01:31389 ou=Anwendung1,dc=test,dc=local /log SyncLog.txt

Sicherung einer Instanz vom AD LDS
Die Instanzen liegen unter "%ProgramFiles%\Microsoft ADAM" in separaten Pfaden.
dsbdutil
Activate Instance InstanzName
IFM
Create Full C:\LDSBackup\InstanzName
quit
quit

Rücksicherung einer kompletten Instanz vom AD LDS
net stop adam_InstanzName
copy C:\LDSBackup\InstanzName\adamntds.dit
 "%ProgramFiles%\Microsoft ADAM\InstanzName\data"
net start adam_InstanzName

Autorisierte Wiederherstellung von Objekten des AD LDS
wegen der Replikation
net stop adam_InstanzName
copy C:\LDSBackup\InstanzName\adamntds.dit
 "%ProgramFiles%\Microsoft ADAM\InstanzName\data"
dsbdutil
Activate Instance InstanzName
Authoritative restore
für die gelöschte OU:
Restore subtree "ou=Stuttgart, dc=test,dc=local"
oder für gelöschtes Objekt (User)
restore object "cn=Hermann Maier,cn=Users,dc=test,dc=local"
quit
quit
net start adam_InstanzName

Snapshot der AD LDS erstellen
Der Dienst Volumeschattenkopie muss mindestens auf Manuell starten eingerichtet sein.

Replikation einer AD LDS-Instanz auf einen Testcomputer
Rolle AD LDS installieren
Menü Verwaltung
Setup-Assistent für Active Directory Lightweight Directory
Setupoptionen: Ein Replikat einer vorhandenen Instanz installieren

Hinzufügen einer weiteren Anwendungsverzeichnispartition
zu einer vorhandenen AD LDS-Instanz
ldp
Verbindung und eine Bindung mit einer AD LDS-Instanz
Menü Durchsuchen
Untergeordnetes Objekt hinzufügen
Definierter Name: Name für die Anwendungspartition
Eingabe bearbeiten:
im Feld Attribut das Attribut ObjectClass und
im Feld Werte den Wert Container
auf Eingabe klicken
auf Ausführen klicken

Unter Eingabe bearbeiten im Feld Attribut das Attribut instanceType eingeben,
im Feld Werte den Wert 5 eingeben und
auf Eingabe klicken

Entfernen einer AD LDS-Instanz
Systemsteuerung
Programme und Funktionen

Gruppenrichtlinien

Gruppenrichtlinien-Verwaltung
gpedit.msc (ab Windows Server 2008)
gpmc.msc (bis Windows Server 2003)

Geänderte Gruppenrichtlinien sofort anwenden
gpupdate /force
gpupdate /Target:Computer oder User /force /Logoff oder /Boot
(Benutzer werden nur abgemeldet bzw. Computer neu gestartet,
wenn das für die Anwendung der GPO notwendig ist.)

Gruppenrichtlinien-Ergebnis-Assistent
gpresult /R
gpresult /Z
gpresult /Scope Computer /H C:\Bericht.html
gpresult /S Computer /USER Benutzer
 /scope computer oder user /Z
 /X:Dateiname oder /H:"%UserProfile%\Documents\RSOP.html
(für das XML- oder HTML-Format; evtl. die Firewall des Ziels anpassen.)

Gruppenrichtlinien-Ergebnissatz
rsop

Gruppenrichtlinien auf Standard zurücksetzen
dcgpofix /target:Domain (für die Default Domain Policy)
dcgpofix /target:DC (für die Default Domain Controllers Policy)
dcgpofix /target:Both

Gruppen-Richtlinien-Vorlagen
ADM, ADL, ADMX, ADML zum Beispiel für MS Office downloadbar
auf den DC (PDC-Emulator) kopieren:
copy %systemroot%\PolicyDefinitions\*
 %logonserver%\Sysvol\%userdnsdomain%\policies\Policydefinitions\

Auch noch die Sprachunterverzeichnisse wie de-DE kopieren.
Die Variable %userdnsdomain% enthält den Domänen-Namen mit Endung.

ADMX-Migrator
zur Migration von ADM nach ADMX; separater Download

Gruppenrichtlinienobjekt WMI-Filter für Computer mit der Zeitzone MEZ
Root\cimv2 ; Select * from win32_timezone where bias = 60

WMI-Filter für das Betriebssystem Windows XP SP2
SELECT Version FROM Win32_OperatingSystem WHERE Version = "5.1.2600"

Überprüfen von GPOs
gpotool
(separater Download)

Sicherheitskonfiguration
secedit

Konfiguration eines Computers mit eigener Vorlage Basis
cd %userprofile%\Security\Templates
secedit /configure /db Basis.sdb /cfg Basis.inf /log Basis.log /overwrite
inf-Datei: mmc; Snap-In: Sicherheitsvorlagen;
Kontrolle: mmc; Snap-In: Sicherheitskonfiguration und -analyse

Erstellen einer Rollbackvorlage für die Vorlage Basis
cd %userprofile%\Security\Templates
secedit /generaterollback /cfg Basis.inf /rbk BasisRollback.inf /log BasisRollback.log
(Vorlage zum Zurücksetzen der durch die Richtlinie gemachten Änderungen
außer Regkey, NTFS usw.)

Anwenden der Rollbackvorlage
secedit /configure /db Basis.sdb /cfg BasisRollback.inf /log BasisRollback.log /overwrite

Sicherheitskonfigurations-Assistent
scwcmd (am Prompt)
scw (hat eine graphische Oberfläche; auch im Menü Verwaltung)
(XML-Datei im Pfad %SystemRoot%\Security\Msscw\Policies)

Anzeigen der XML-Datei
cd %SystemRoot%\Security\Msscw\policies
scwcmd view /x:Sicherheit.xml

Umwandlung einer Sicherheitsrichtlinie in ein GPO
scwcmd transform /p:"Sicherheit.xml" /g:"Sicherheits-GPO"
(wird in der Gruppenrichtlinienverwaltung aktiviert, muss noch zugewiesen werden.)

Zentralisieren der Konfigurations-Datenbank
Dateien aus %SystemRoot%\Security\Msscw\Kbs auf ein Netzwerk-LW: kopieren
Diesen Ordner freigeben als scwkb
scw /kb \\Server01\scwkb
(Die Konfigurations-Datenbank ist nicht die Sicherheitskonfigurations-Datenbank.)

Zertifikate

Zertifikate verwalten
certutil.exe

Zertifikate unter Computerkonto, Vertrauenswürdige Stammzertifizierungsstellen
anzeigen
certutil -store root

Zertifikat unter Computerkonto, Vertrauenswürdige Stammzertifizierungsstellen
importieren mit Überschreiben
C:\Windows\System32\Certutil.exe -f -addstore root "LW:\Pfad\Zertifikat.cer"

PKI-Verwaltung (am Prompt)
pkiview

Automatische Registrierung für die Benutzerzertifikate des Clients
certutil -pulse

Gültigkeits-Prüfung für ein Zertifikat
certutil -verify
(auch für eine Zertifikats-Sperrliste (CRL) oder eine Zertifizierungsstellenkette)

Überschneidungszeitraum für die Zertifikats-Sperrliste (24 Stunden)
certutil -setreg ca\CRLOverlapUnits 24
certutil -setreg ca\CRLOverlapPeriod hours
(Der Dienst muss neu gestartet werden.)

Überschneidungszeitraum für die Delta-Zertifikats-Sperrliste (12 Stunden)
certutil -setreg ca\CRLDeltaOverlapUnits 12
certutil -setreg ca\CRLDeltaOverlapPeriod hours
(Der Dienst muss neu gestartet werden.)

Veröffentlichen einer neuen Zertifikats-Sperrliste (CRL) oder
einer Delta-Zertifikats-Sperrliste
certutil -CRL

Veröffentlichen eines Zertifikats oder einer Zertifikats-Sperrliste
im Active Directory
certutil -dsPublish

Zertifikat inklusive des privaten Schlüssels als PFX-Datei
mit einem Kennwortschutz exportieren
certutil.exe -privatekey -p Passwort -exportpfx [CN-Name] Zertifikat1.pfx

Sicherung der Zertifizierungsstelle in einen Pfad
certutil -backup -p Passwort c:\Backup

Sicherung der Datenbank der Active Directory-Zertifikatdienste
certutil -backupDB

Wiederherstellung eines Zertifikates auf dem CA-DC
Der Administrator braucht dort ein Schlüssel-Wiederherstellungs-Zertifikat.
certutil -getkey SeriennummerZertifikat outputblob
(outputblob ist der Dateiname.)
certutil -recoverkey outputblob Name.pfx

Erneutes Einlesen der verfügbaren Zertifikatvorlagen
beim Zertifikatregistrierungs-Webdienst
iisreset.exe /restart
(Neustart der Internetinformationsdienste)

Registrierungsdienst für Netzwerkgeräte den Hashalgorithmus ändern
regedit:
HKLM\Software\Microsoft\Cryptography\MSCEP\HashAlgorithm\HashAlgorithm

Verbunddienste

Installation von AD FS (AD Verbunddienste) 2.0
adfssetup /quiet
(separater Download)

Konfiguration einer Datenbank für AD FS im SQL-Server
fsconfig

Active Directory-Verbunddienste (AD FS) 2.0-Konfigurationsassistent
fsconfigwizard
(für die Konfiguration der internen Windows Datenbank)

Kontrolle von AD FS im Ereignis-Anzeige Anwendungsprotokoll
Ereignis 674: Alles ohne Fehler
Ereignis 684: Fehler mit dem Zertifikat der Verbunddienste-Website

Rechteverwaltung

Active Directory-Rechteverwaltungsdienste-Client
AD RMS-Client unter WinXP, Vista
vor dem Abschluss der Installation den temporären Installations-Ordner sichern
für weitere Installationen oder Software-Verteilung per GPO: *.msi
(separater Download)

AD RMS Lizenzserver auf einem Client mit MS Office 2007 eintragen
regedit:
HKLM\Software\Microsoft\Office\12.0\Common\DRM
Neuer Schlüssel
Zeichenkette:
CorpLicenseServer
Wert:
https://rms.test.global/_WMCS/licensing

AD RMS für die Kerberos-Authentifizierung konfigurieren
cd %windir%\system32\inetsrv
appcmd.exe set config -section:system.webServer/security/authentication
 /windowsAuthentication -useAppPoolCredentials:true

setspn -a HTTP/[Servername] [Dienstkontodomäne]\[Dienstkonto]
(wobei [Servername] der Name des Servers,
[Dienstkontodomäne] der Name der Domäne mit dem AD RMS-Dienstkonto und
[Dienstkonto] der Name des AD RMS-Dienstkontos ist)


setspn -a HTTP/[ServerFQDN] [Dienstkontodomäne]\[Dienstkonto]
(wobei [ServerFQDN] der vollqualifizierte Domänenname (FQDN) des Servers ist)

setspn -a HTTP/[Clustername] [Dienstkontodomäne]\[Dienstkonto]
(wobei [Clustername] der Name des AD RMS-Clusters ist)

setspn -a HTTP/[ClusterFQDN] [Dienstkontodomäne]\[Dienstkonto]
(wobei [ClusterFQDN] der vollqualifizierte Domänenname (FQDN) des Clusters ist)

Überwachung / Ereignisse

Datenträger-Kontingente
dirquota quota add /Path:C:\Shared /Limit:100MB /Type:Hard
dirquota quota add /Path:C:\Shared /SourceTemplate:"200 MB-Grenze mit Bericht an Benutzer"

Datei-Prüfung
FileScrn

Windows-Leistungsüberwachung
perfmon.exe /Report
(Systemdienste, Autostartprogramme, Hardwarekonfiguration,
aktuelle Auslastung für CPU, Netzwerk, Datenträger und RAM)

Zuverlässigkeits-Überwachung
perfmon.exe /rel

Ressourcenmonitor
resmon.exe

Überwachung der TCP/IP-Verbindungen
TCPView
(separater Download bei Sysinternals)

Microsoft Network Monitor
nmcap
(Konfigurieren von Sammlungsfiltern; separater Download)

Aus der erzeugten Datei die DNS-Daten in eine neue Datei exportieren
nmcap.exe /inputcapture data.cap /capture DNS /file DNSdata.cap

LDAP bezogenen Datenverkehr für 11 Stunden in Datei speichern
nmcap.exe /networks * /capture LDAP /file e:\Data.cap /stopwhen /timeafter 11hours

Erzeugen eines Ereignisses vom Typ Fehler
eventcreate /t error /id 100 /l application /d "Ereignis in Anwendungsprotokoll erstellen"

Installieren des Features SNMP-Dienst und
Ermöglichen des Sendens von Ereignismeldungen
dism /online /enable-feature /featurename:snmp-sc

Erstellen und Verwalten von Abonnements für Ereignisse
(Der eigene Computer sammelt Ereignisse von einem Quell-Computer.)
wecutil qc

auf dem Quell-Computer: Eigenes Computer-Konto in die lokale Gruppe der Administratoren einfügen.
oder
net localgroup "Ereignisprotokollleser" Client01$@test.global /add
(Die Gruppe "Ereignisprotokollleser" ist eine builtin-Group.)

auf dem Quell-Computer: winrm quickconfig
(Die Firewall wird für eingehende Pakete angepasst.)

Abonnement des Windows Event Collectors
Windows Sammlungsdienst
mit einer vorher erzeugten Konfigurationsdatei:
wecutil cs subscription.xml

Optimierung der Ereignisübermittlung
wecutil /cm:Custom

Anzeigen und Verwalten von Ereignisprotokollen auf dem Sammlungs-Computer
wevtutil.exe

Exportieren von einem Ereignisprotokoll in eine Datei
wevtutil epl LogName FileName.evtx
(Zur Ansicht der archivierten Datei ist diese in die Konsole Ereignisanzeige zu laden.)

Erstellen eines Leistungs-Sammlungssatzes
logman create counter perf_log -c "\Processor(_Total)\% Processor Time"

Starten eines Sammlungssatzes
logman start perf_log

Stoppen eines Sammlungssatzes
logman stop perf_log

Anzeigen eines Sammlungssatzes
logman query perf_log

Löschen eines Sammlungssatzes
logman delete perf_log

Erstellen einer Ereignisablaufverfolgungs-Sammlung
logman create trace trace_log -o c:\trace_log_file

Erstellen einer Konfigurations-Sammlung
logman create cfg cfg_log

Erstellen einer Warnungs-Sammlung
logman create alert meine_warnung -th "\Processor(_Total)\% Processor Time>90"
(bei einer Prozessor-Auslastung über 90 Prozent)

Remote-Überwachung des Anlegens von Benutzern im AD
Gruppen-Richtlinienverwaltung auf Remote-Computer (DC)
Gesamtstruktur
Domäne
Domain Controller
Default Domain Controller Policy
Bearbeiten

Computerkonfiguration
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinien
Überwachung
Kontenverwaltung überwachen
Diese Richtlinie bearbeiten: Erfolgreich + Fehlgeschlagen

gpupdate /force
winrm quickconfig

Neuen User anlegen
Ereignisanzeige
Windows-Protokolle
Sicherheit

auf Sammel-Computer:
Ereignisanzeige
Abonnements
Windows-Ereignissammlungsdienst starten und automatisch starten: Ja

rechte Maustaste auf Abonnements
Abonnements erstellen
Aboname
Beschreibung
Zielprotokoll: Weitergeleitete Ereignisse
Sammlungsinitiiert
Computer auswählen

Ereignisse auswählen:
Protokolliert: Jederzeit
Ereignisebene: Informationen
Protokoll: Windows-Protokolle; Sicherheit
Ereignis-ID: 4720-4729

RAS

Aufnahme eines RAS-Servers in die Sicherheitsgruppe RAS- und IAS-Server
netsh ras add registeredserver

Zurücksetzen der Konfiguration eines RAS-Servers
netsh ras set conf confstate=disabled
net stop "Routing und RAS"

NAP-Status des Clientcomputers
netsh NAP Client Show State

Direct Access: URL des Netzwerk-Adressenservers anzeigen
netsh Namespace Show Policy

Cluster

Cluster-Verwaltung
Failovercluster-Manager
Clustermigrationstool
cluster.exe
clusprep.exe

Cluster-Knoten anhalten
cluster TEST-CLUSTER node SERVER01 /pause

Cluster-Knoten fortsetzen
cluster TEST-CLUSTER node SERVER01 /resume

Terminal-Server

Installation
die Rolle Remotedesktopdienst hinzufügen

gpedit.msc
Computer Konfiguration
Administrative Vorlagen
Windows Komponenten
Remotedesktopdienste
Remotedesktopsitzungs-Host
Lizenzierung

Angegebenen Remotedesktop-Lizenzserver verwenden
Aktiviert
zu verwendende Lizenzserver: Servername

Remotedesktop Lizenzierungsmodus
Aktiviert
Pro Gerät

Installation-Modus des Terminal-Servers anzeigen
change user /query

Installation-Modus des Terminal-Servers aktivieren
change user /install

Installation-Modus des Terminal-Servers wieder deaktivieren
change user /execute

Anmelde-Status bei einem Terminal-Server anzeigen
change logon /query

Anmeldungen am Terminal-Server deaktivieren
change logon /disable

neue Anmeldungen am Terminal-Server deaktivieren
Verbindungen auf vorhandene Sitzungen sind möglich.
change logon /drain

neue Anmeldungen am Terminal-Server bis zum Neustart deaktivieren
Verbindungen auf vorhandene Sitzungen sind möglich.
change logon /drainuntilrestart

Anmeldungen am Terminal-Server aktivieren
change logon /enable

Remote-Sitzungen anzeigen
qwinsta /Server:Servername

Session-Id anzeigen
taskmgr im Fenster: Benutzer

Auf eine Benutzer-Sitzung schalten
shadow.exe session-id /server:Server05

Geöffnete Dateien der Benutzer schließen
Start
Verwaltung
Freigabe- und Speicherverwaltung
Geöffnete Dateien verwalten

Hyper-V Autorisierungs-Manager
AzMan.msc

Windows 10

Verknüpfung zu einer Freigabe auf einem Windows 2003 Server
auf dem Windows 10-Client
Systemsteuerung
Programme und Features
Windows Features
Unterstützung für die SMB 1.0/CICS-Dateifreigabe:
SMB 1.0/CICS automatisch entfernen: ein
SMB 1.0/CICS-Client: ein

Sonstiges

Aktivierung einer Klassen-ID auf dem Client
Der Client erhält spezielle Konfigurations-Optionen wie WINS, DNS, Gateway.
ipconfig /setclassid "LAN-Verbindung" SampleID

Globale TCP-Parameter anzeigen
netsh int tcp show global

TCP direkten Cache aktivieren
netsh int tcp set global dca=enabled
(auch ab Windows 7 möglich)

TCP NetDMA aktivieren
netsh int tcp set global netdma=enabled
(auch ab Windows 7 möglich)

TCP IPv6-Autotuning deaktivieren
netsh int tcp set global autotuning level=disabled
(wenn IPv6 nicht verwendet wird, IPv4 wird schneller;
auch ab Windows 7 möglich)

Neue statische Route
route -p add IP des Ziel-Netzwerks mask des Ziel-Netzwerks IP des eigenen Routers
route -p add 10.2.2.0 mask 255.255.255.0 192.168.1.15
(nicht für das Standard-Gateway; Anzeigen mit route print)