Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WDS unattended

Mitglied: LeeX01

LeeX01 (Level 1) - Jetzt verbinden

13.05.2019 um 15:52 Uhr, 1308 Aufrufe, 22 Kommentare, 1 Danke

Servus,

ich möchte mein Win10 Image im WDS gerne mit unattended File versehen, damit ich vor allem die nervigen Datenschutzfragen los werde aber auch sonst das ganze automatisiere. Klappt auch soweit aber leider joined er jetzt nicht mehr der domain. Im Netz habe ich enige gefunden die das gleiche Problem haben aber der einzige Workaround war ein PS Script ins Image einzubetten was den Join macht. Ich möchte aber nur ungern meine DomainAdmin Credentials in einem File speichern und ausliefern (selbst wenn es dann automatisch löschen lasse). Kennt jemand einen Weg das in der XML zu realisieren am besten mit den Anmeldeinformationen die beim PXE Boot eh schon mitgegeben wurden, so wie es ohne XML eben auch läuft.

Vielen Dank im Voraus!
Mitglied: Bem0815
13.05.2019 um 16:22 Uhr
Ich verstehe deinen Gedankenansatz zum Thema Sicherheit hier nicht wirklich.

Ob das ganze jetzt in einem PS Script ist oder in einer XML, in beiden Fällen sind die Credentials eines Admin Kontos in Klartext angeben.
Also keinerlei Sicherheitsgewinn wenn du von PS zu XML wechselst.

Und was meinst du denn mit Anmeldeinformationen beim PXE boot?
Beim PXE boot wird vom DHCP der PXE Server und die Imagefile auf einem TFTP übergeben sonst nichts.
Und von diesen Daten kann auch nichts übernommen werden.
Bitte warten ..
Mitglied: Penny.Cilin
13.05.2019 um 16:28 Uhr
Hm, soweit ich weiß kann man unter Powershell Passwortangaben verschlüsseln, sodass das Passwort NICHT im Klartext übermittelt wird.
Da kann ein Powershellexperte mehr dazusagen.

Gruss Penny.
Bitte warten ..
Mitglied: erikro
13.05.2019 um 16:42 Uhr
Moin,

in der PS kannst Du das Passwort verschlüsselt übergeben. Hier ein kleines Skript zum Erzeugen der Textdatei:

01.
# Skript zum Erzeugen einer verschlüsselten Passwortdatei
02.

03.
$Secure = Read-Host -AsSecureString -prompt "Password:"
04.
$encrypted = ConvertFrom-SecureString -SecureString $Secure -key (1..16)
05.
$encrypted | out-file Encrypted.txt
Das Ganze kannst Du dann in einem anderen Skript so benutzen:

01.
$pw = Get-Content Encrypted.txt | ConvertTo-SecureString -key (1..16)
02.

03.
$cred = New-Object System.Management.Automation.PSCredential("Benutername", $pw)
04.

05.
add-computer -computername local_machine -domainname ace.com -credential $cred -restart -force
Um das Ganze noch sicherer zu machen, lege ich die Rechner im AD immer vor dem Einbinden an und vergebe das Recht, die Rechner in die Domain einzufügen an einen eingeschränkten User, der ansonsten nichts darf. Das verhindert dann auch noch, dass man beim händischen Einfügen sich vertippt.

hth

Erik

P.S.: Bitte beachten, dass bei Skripts, die in einer anderen Umgebung laufen, absolute Pfade angesagt sind, damit das Skript die Dateien auch findet.
Bitte warten ..
Mitglied: LeeX01
13.05.2019 um 16:44 Uhr
Hallo Bem0815,

der WDS ist ein PXE Server von Microsoft welcher nach dem Start die Authentifizierung abfragt und diese Informationen im Normalfall benutzt um automatisch der Domäne beizutreten bei der Installation. Das funktioniert normalerweise auch aber leider nicht mit dem XML.

Ich möchte weder im XML File noch im Powershellscript die Anmeldeinformationen hinterlegen. Nicht als Securestring und schon zwei Mal nicht im Klartext. Aber selbst wenn wäre es besser die Informationen geschützt auf dem Server abzulegen (XML) als mit jedem Image (PS) auf die Clients zu pushen. Ich suche nach einer Möglichkeit um das Standardverhalten bei der Nutzung des XML Files in gang zu bekommen.
Bitte warten ..
Mitglied: Bem0815
13.05.2019, aktualisiert um 16:49 Uhr
Ist mir schon bekannt wie ein WDS über PXE bootet, das hat aber an der Stelle nichts mehr mit PXE boot zu tun ;)
Wenn diese Daten vom WDS übergeben werden sind wir schon längst im Image und über PXE hinaus.

Einen der beiden Tode wirst du aber sterben müssen. Mir ist keine alternative bekannt.
Am besten nutzt du die Verschlüsselung vom Passwort in PS wie es bereits vorgeschlagen wurde.
Bitte warten ..
Mitglied: Penny.Cilin
13.05.2019 um 16:49 Uhr
Zitat von LeeX01:

Hallo Bem0815,

der WDS ist ein PXE Server von Microsoft welcher nach dem Start die Authentifizierung abfragt und diese Informationen im Normalfall benutzt um automatisch der Domäne beizutreten bei der Installation. Das funktioniert normalerweise auch aber leider nicht mit dem XML.
Was heißt das jetzt genau? Machst Du PXE Boot aus der Cloud? Entschuldige, das klingt verworren.
Wenn Du einen WDS Server intern in der Domäne einsetzt, ist das doch egal. WDS und MDT kommen beide von Microsoft. Und es gibt große Unternehmen, welche MDT einsetzen.

Gruss Penny.
Bitte warten ..
Mitglied: LeeX01
13.05.2019 um 16:50 Uhr
Hi Erik,

das wird bei uns leider nicht funktionieren, da viele Leute mit unterschiednlichen Accounts arbeiten. Ich würde das Passwort nur sehr ungern als SecureString im Image ablegen. Das könnte man sehr leicht raus holen und missbrauchen oder es kann Probleme geben wenn das Passwort geändert wird.

Beste Grüße
Bitte warten ..
Mitglied: Penny.Cilin
13.05.2019 um 16:52 Uhr
Zitat von LeeX01:

Hi Erik,

das wird bei uns leider nicht funktionieren, da viele Leute mit unterschiednlichen Accounts arbeiten. Ich würde das Passwort nur sehr ungern als SecureString im Image ablegen. Das könnte man sehr leicht raus holen und missbrauchen
Nein kann man nicht. Mir ist jedenfalls KEINE Methode dazu bekannt. Mal sehen was ein Powershellexperte dazu schreibt.

Beste Grüße
Gruss Penny.
Bitte warten ..
Mitglied: LeeX01
13.05.2019 um 16:53 Uhr
Hallo Penny,

Ein WDS ist ein Server von Microsoft, welcher...
Unser WDS steht im Haus. MDT ist (bisher) nicht im Einsatz.

Grüße
Bitte warten ..
Mitglied: erikro
13.05.2019 um 16:55 Uhr
Moin,

Zitat von LeeX01:

Hi Erik,

das wird bei uns leider nicht funktionieren, da viele Leute mit unterschiednlichen Accounts arbeiten.

Was ich meinte, war ein User, der nur dafür da ist, Computer in die Domain einzubinden und sonst nichts in der Domain darf. Den kannst Du ja hart in das Skript schreiben.

Ich würde das Passwort nur sehr ungern als SecureString im Image ablegen. Das könnte man sehr leicht raus holen und missbrauchen

Nö.

oder es kann Probleme geben wenn das Passwort geändert wird.

Dann setze das Flag "Kann Passwort nicht ändern."


Liebe Grüße

Erik
Bitte warten ..
Mitglied: LeeX01
13.05.2019 um 16:57 Uhr
Zitat von Penny.Cilin:

Zitat von LeeX01:

Hi Erik,

das wird bei uns leider nicht funktionieren, da viele Leute mit unterschiednlichen Accounts arbeiten. Ich würde das Passwort nur sehr ungern als SecureString im Image ablegen. Das könnte man sehr leicht raus holen und missbrauchen
Nein kann man nicht. Mir ist jedenfalls KEINE Methode dazu bekannt. Mal sehen was ein Powershellexperte dazu schreibt.

Das ich das Passwort nicht zurück bekomme in Klartext ist klar aber wenn die Inforationen im Script sind kann ich das Script so abändern dass die Authentifizierungsinformationen einfach für etwas anderes benutzt werden.
Bitte warten ..
Mitglied: LeeX01
13.05.2019 um 17:00 Uhr
Was ich meinte, war ein User, der nur dafür da ist, Computer in die Domain einzubinden und sonst nichts in der Domain darf. Den kannst Du ja hart in das Skript schreiben.

Das wäre eine Option
Bitte warten ..
Mitglied: erikro
13.05.2019 um 17:02 Uhr
Moin,

Zitat von Penny.Cilin:

Zitat von LeeX01:
das wird bei uns leider nicht funktionieren, da viele Leute mit unterschiednlichen Accounts arbeiten. Ich würde das Passwort nur sehr ungern als SecureString im Image ablegen. Das könnte man sehr leicht raus holen und missbrauchen
Nein kann man nicht. Mir ist jedenfalls KEINE Methode dazu bekannt. Mal sehen was ein Powershellexperte dazu schreibt.

Das Passwort zu entschlüsseln, dürfte unmöglich sein. Mir wäre auch nicht bekannt, dass das geknackt wurde. Allerdings besteht die Gefahr, dass jemand, der die Datei abfischt, diese nutzt, um sich ein Credential zu erzeugen und dann zum Beispiel so:

01.
New-PSDrive -Name x: -PSProvider FileSystem -Root unc-pfad -Credential $cred -persist -scope Global
Zugriff auf eine Freigabe zu verschaffen. Dazu muss er dann aber wissen, zu welchem User die Datei gehört.

Deshalb ja auch mein Vorschlag, die Computer nicht von einem Admin-Account, sondern von einem, der nur das darf, einbinden zu lassen. Dann ist die Gefahr auch vom Tisch. Selbst wenn jetzt jemand die Datei abfischt und herausfindet, welcher User dazu gehört, hat er nichts gewonnen.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: BlairChristopher
13.05.2019 um 17:04 Uhr
Hallo LeeX01,

wenn du mit den nervigen Datenschutzfragen die Express Settings (z.B. Positionsbestimmung, Handschrifterkennung,..) bei der installation meinst, das kannst du mit der Option ProtectYourPC "3" abschalten.

Im Windows System Image Magerer kann man bei den Eigenschaften von Password die Option PlainText auf false stellen, dann wird das Passort verschlüsselt abgespeichert. Die Passwörter in der Datei werden von Windows bei der Installation zusätzlich gelöscht. Keine Ahnung, wie sicher das ist.

Gruss Blair
Bitte warten ..
Mitglied: Dani
13.05.2019 um 21:44 Uhr
Moin,
Ich möchte aber nur ungern meine DomainAdmin Credentials in einem File speichern und ausliefern (selbst wenn es dann automatisch löschen lasse).
wenn ich diesen Satz schon lese, stellt es mir die Haare auf. Für solche Zwecke nutzt man einen separaten Servicebenutzer. Dieser hat keine weiteren Gruppenzugehörigkeiten als Domänen-Benutzer. Über eine Delegierung im Active Directory gibst du ihm die notwendigen Rechte um Computer in die Domäne aufzunehmen.


Gruß,
Dani
Bitte warten ..
Mitglied: erikro
14.05.2019 um 08:15 Uhr
Zitat von Dani:

Moin,
Ich möchte aber nur ungern meine DomainAdmin Credentials in einem File speichern und ausliefern (selbst wenn es dann automatisch löschen lasse).
wenn ich diesen Satz schon lese, stellt es mir die Haare auf. Für solche Zwecke nutzt man einen separaten Servicebenutzer.

Sach ich doch schon die ganze Zeit.
Bitte warten ..
Mitglied: Bem0815
14.05.2019 um 08:44 Uhr
Das wäre in der Tat die sinnvollste Variante.

Mit XML würde das soweit ich das mal gelesen haben in dieser Form mit Windows 10 auch nicht mehr korrekt funktionieren, aber schlagt mich nicht falls ich da falsch liege :D

Dabei ging es wohl um folgendes Problem in der Setuproutine:

Windows 10 generiert nach dem Sysprep in der Phase 7 (OOBE) noch einmal einen neuen Computernamen, obwohl in der Phase 4 (specialize) der Domain-Join bereits mit einem anderen Computernamen erfolgreich vollzogen wurde.

Sprich wenn das Setup dann durchgelaufen ist, ist der PC dennoch nicht in der Domäne, da der PC Name sich still und heimlich geändert hat ohne dass der DC davon etwas weiß.
Bitte warten ..
Mitglied: AnkhMorpork
26.09.2019, aktualisiert um 12:43 Uhr
Sorry, dass ich hier nochmal reingrätsche. Aber ein Passwort, das als SecureString abgelegt ist, kann locker in Klartext zurückgeholt werden:

01.
#verschlüsselte Passwortdatei erzeugen:
02.
$Secure = Read-Host -AsSecureString -prompt "Password:"
03.
$encrypted = ConvertFrom-SecureString -SecureString $Secure -key (1..16)
04.
$encrypted | out-file Encrypted.txt
05.

06.

07.
#Passwort extrahieren:
08.
$password = Get-Content "Encrypted.txt" | ConvertTo-SecureString -key (1..16)
09.
$cred = New-Object -Typename System.Management.Automation.PSCredential -Argumentlist "AnyGuy",$password
10.
$cred.GetNetworkCredential().password
Glück auf

Ankh
Bitte warten ..
Mitglied: 140913
26.09.2019, aktualisiert um 13:00 Uhr
Aber ein Passwort, das als SecureString abgelegt ist, kann locker in Klartext zurückgeholt werden:
Aber nur mit dem Account mit dem der Secure-String auch erstellt wurde . Denn die Verschlüsselung basiert auf einem Token das in einem sicheren Bereich des Useraccounts des Users abgelegt wird der den Secure-String als Plaintext erstellt hat.

Hiermit geht das Extrahieren übrigens auch direkt
[System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR((ConvertTo-SecureString -String (Get-Content "C:\encrypted.txt" -raw))))
Bitte warten ..
Mitglied: AnkhMorpork
26.09.2019 um 13:08 Uhr
Aber nur mit dem Account mit dem der Secure-String auch erstellt wurde . Denn die Verschlüsselung basiert auf einem Token das in einem sicheren Bereich des Useraccounts des Users abgelegt wird der den Secure-String als Plaintext erstellt hat.


Richtig! Danke für die Ergänzung.

Das läßt sich m.W. aber mit der Zugabe von -Key / -SecureKey ändern.
Bitte warten ..
Mitglied: 140913
26.09.2019, aktualisiert um 13:45 Uhr
Das läßt sich m.W. aber mit der Zugabe von -Key / -SecureKey ändern.
Das führt das ganze dann aber adabsurdum, da kannst du dann auch gleich das Passwort mit ins Skript schreiben .
Bitte warten ..
Mitglied: AnkhMorpork
26.09.2019, aktualisiert um 16:20 Uhr
Zitat von 140913:
Das führt das ganze dann aber adsabsurdum, da kannst du dann auch gleich das Passwort mit ins Skript schreiben .

Was wieder einmal beweist, dass Scriptsprachen und Passwörter nicht in den selben Topf gehören.
Bitte warten ..
Ähnliche Inhalte
Windows Installation

Windows 10, WDS Unattended und System-reserviert Partition

gelöst Frage von spec1reWindows Installation2 Kommentare

Hallo, kriege es einfach nicht hin, dass die Windows 10 Installation mit dem WDS die System-reserviert Partition erstellt. Hier ...

Windows Installation

WDS 2012 - Start via USB Stick und Fortführung der Unattended Installation über WDS Server

Frage von nutzloser-userWindows Installation1 Kommentar

Hallo Community, ich versuche derzeit die Installation unserer Clients zu automatisieren. Die Installation der Unattended Installation klappt auch wunderbar ...

Windows Installation

WDS unattended Windows 10 1709 funktioniert bei BIOS und nicht bei UEFI

gelöst Frage von Freak-On-SiliconWindows Installation8 Kommentare

Servus; Kurzfassung. Server 2016 WDS Server 2016 Domäne Windows 10 1709 Bei PCs bzw VMs mit BIOS funktioniert die ...

Windows Server

WDS Antwortdatei

Frage von djasupportWindows Server3 Kommentare

Hallo Ihr lieben, Ich befasse mich zurzeit mit dem WDS Server. Ich hab jetzt nur das Problem das ich ...

Neue Wissensbeiträge
Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 18 StundenSicherheit11 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 1 TagViren und Trojaner1 Kommentar

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 1 TagViren und Trojaner6 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 1 TagSicherheit2 Kommentare

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...

Windows 10
Win10 Remote Desktop User anders
Frage von ludibubiWindows 1014 Kommentare

Folgende Situation: Auf meinem Rechner (Win10) in der Firma (Domänen-Netzwerk) starte ich abends bevor ich gehe einen Newsletterversand. Damit ...

Switche und Hubs
Kein DHCP hinter neuen Switch
Frage von mwormerSwitche und Hubs12 Kommentare

Hallo zusammen, bin gerade ein wenig ratlos. Wir haben vorgestern unseren alten Zyxel GS-1548 gegen einen TP-Link SG1024DE getauscht. ...

Entwicklung
Programmiersprache für Server
gelöst Frage von MondeosEntwicklung11 Kommentare

Ich bin relativ neu im Gebiet der Programmierung etc.(mache das auch nur als Hobby bin noch Schüler), und wollte ...