Rücksetzen des lokalen Administrators

Im Blog vom 15.05.2019 (Death man walking) hatte ich die Deaktivierung des lokalen Administrators empfohlen. Vergisst man nun einen alternativen Administrator an zu legen oder hat dessen Passwort beziehungsweise des lokalen Admins vergessen, kann der Zugriff auf das System nur noch über einen Umweg erfolgen.

Was wollen wir eigentlich machen?

Um den Administrator durch die Hintertür zu öffnen, verschaffen wir uns über eine Sitzung der CMD.EXE Zugriff, welche unter dem Local System Account des Betriebssystems läuft und über den Anmeldebildschirm (LogonUI.exe) gestartet wird.

Der Anmeldebildschirm (LogonUi.exe) bietet nämlich die Möglichkeit ein Hilfsprogramm, den Utility-Manager (Utilman.exe) über ein Icon zu starten.

image

Ersetzt man nun die Utilman.exe durch die CMD.EXE, öffnet sich anstatt des Utility-Managers die Eingabeaufforderung. Doch was ist dafür notwendig?

Hilfsmittel und Voraussetzungen

Als Hilfsmittel verwenden wir ein Windows 10 Installationsmedium, dass entweder von einer DVD, USB-Stick oder im Falle einer VM also ISO zum Start des Rechners / Systems verwendet wird.

Die Info, wie wir an ein Windows 10 ISO kommen habe ich in diesem Blog beschrieben.

Dazu muss unter Umständen im BIOS des Rechners die Startreihenfolge geändert werden, so das vom Windows 10 Installationsmedium gestartet werden kann. Einige Motherboards und Notebooks erlauben hier auch durch Drücken einer Taste, dass Startmedium aus zu wählen. Im Falle einer VM unter Hyper-V sieht das dann wie folgt aus.

clip_image004

Der Ablauf

Nach einem erfolgreichen Start erscheint auf dem Bildschirm der folgende Dialog, an dem wir lediglich das passende Layout für die Tastatur auswählen (man muss sich das Leben nicht immer schwerer machen, als es ist).

clip_image006

Nach einem Klick auf Next / Weiter öffnen wir im folgenden Dialog mit SHIFT+F10 eine Eingabeaufforderung. Es soll ja gar keine Installation erfolgen, sondern wir benötigen Zugriff auf das Experten-GUI (die Eingabeaufforderung, CMD.EXE) Smile

clip_image008

Typischer Weise liegt das Betriebssystem auf Laufwerk C, insofern keine vorhandenen USB-Sticks, externe Festplatten oder andere Geräte es auf einen anderen Bezeichner verschoben haben. Dann gilt es einfach danach zu suchen.

Das Ersetzen der Utilman.exe erfolgt mit den nun folgenden Schritten:

  1. Wechsel in das Laufwerk C: nach \Windows\System32
  2. Umbenennen von Utilman.exe nach Utilman.bak
  3. Kopieren der CMD.EXE nach Utilman.exe
  4. Rechner neu starten (und davor noch das Installationsmedium entfernen), dass kann auch mit shutdown /r erfolgen.

Die Abbildung unten zeigt zusammenfassend alle Schritte.

image

Nach dem erfolgten Neustart, erscheint bei einem Klick auf das Ease of Access Symbol rechts unten die Eingabeaufforderung. Von der wir schon aus dem Titel des Fensters sehen können das es sich um die als Utilman.exe umbenannte CMD.EXE handelt.

clip_image012

Die Eingabeaufforderung läuft wiederum unter dem Local System Account und hat damit das Recht den lokalen Administrator zu bearbeiten.

image

Falls der Administrator deaktiviert ist, kann dennoch das Passwort gesetzt und anschließend dieser aktiviert werden.

net user administrator 1n$Höllen?Schwieriges!Passw0rd
net user administrator /active:yes

Das sieht dann nochmals wie folgt aus …

clip_image014

Zum Schluss gilt es dann nochmals die Sache mit der umbenannten Utilman.exe wieder auf zu räumen.

Aufräumen

Nach erfolgter Anmeldung, als Administrator in das Verzeichnis C:\Windows\System32 wechseln und dort die Utilman.bak nach Utilman.exe kopieren oder umbenennen.

copy /b /v utilman.bak utilman.exe

Wichtig für das Umbenennen ist, dass Windows dazu neu gestartet wird. Da die Utilman.exe sonst im Zugriff ist.

Enjoy it, b!

Windows 10 Update 1903 und der Essentials Connector – Fix

Zumindest aus Sicht des Windows Server Essentials Connector ist jedes Update von Windows 10 spannend. Der seit gestern offiziell verfügbare Build 1903 für Windows 10 versäumt es beim Upgrade die für die Ausführung des Windows Server Essentials Connectors notwendigen Dienste (Services) zu migrieren. Diese sind nach dem Update einfach nicht mehr vorhanden.WSE-1903

Damit ist der Windows 10 Client nicht mehr in der Lage sich am Windows Server Essentials an zu melden um seinen Status zu kommunizieren oder eine Sicherung durch zu führen. Im Dashboard des Server erscheint der Client Offline.

image

Damit das wieder klappt, müssen die Services hergestellt werden. Das geht am einfachsten durch das folgende Script welches die Services in Form von REG-Dateien in die Registry importiert. Im Anschluss, nach einem Neustart funktioniert der Connector ohne Probleme.

<#     Disclaimer     The author isn't responsible or gives any warranties in cases of data loss or unwanted modifications!

#>

<#   .SYNOPSIS
Fix Windows Server Essentials Launchpad for Windows Build 1903 get the Windows Server Essentials Launchpad back working on an Upgraded Windows 10 1903 client.

.DESCRIPTION
Adds missing Registry Keys to enable the Windows Server Essentials Launchpad again.

.NOTES

File Name : Fix-WSELaunchpad-1903.ps1
Authors : Bernd Pfann (sbsland@outlook.de)
Version : 0.01.0 (24/05/2019)

.LINK
none

.EXAMPLE
Fix-WSELaunchpad-1903.ps1         Adds missing registry to bring Windows Server Essential Services back on the client.

#>

<#

History
0.01, initial version

#>

# Parameters

# Setting Debug Level

Set-PSDebug -Trace 0

# Variables
[string]$Log = $env:temp + "\Fix-WSELaunchpad-1903.log"
[string]$Msg = "Fixing Windows Server Essentials Launchpad on Windows 10 Client Build 1903, Copyright sbsland.me 2019"
[int]$Build = 1903

# Start of output logging and error handling
$ErrorActionPreference = "Continue"
Start-Transcript -Path $Log | Out-Null

# Header
Write-Output`n$msg`n

# Main Program
If ($Build -eq (Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name ReleaseID -ErrorAction Stop).ReleaseID) {     Write-Output " Windows 10 is running on build $Build ..."     Write-Output " Adding missing Registry Keys ..."     reg import .\ServiceProviderRegistry.reg     reg import .\WseClientMgmtSvc.reg     reg import .\WseClientMonitorSvc.reg     reg import .\WseHealthSvc.reg     reg import .\WseNtfSvc.reg     Write-Output " Registry Keys have been added, please reboot your Computer."
} Else {     Write-Output " Windows 10 isn't running on build $Build, no action is required."
}

Write-Output " Script finished!"
Stop-Transcript | Out-Null

# Resetting Debug Level
Set-PSDebug-Trace 0

Das Script und die dazu notwendigen REG-Dateien sind in der ZIP Datei als Download verfügbar. Für eventuelle Schäden lehne ich jegliche Haftung ab.

  • Die Ausführung des Scripts muss in einer PowerShell-Session als Administrator erfolgen
  • Script und REG-Dateien müssen zwingend im gleichen Verzeichnis liegen
  • Das Script prüft ob es sich um den Build 1903 handelt, nur dann werden die REG-Dateien in die lokale Registry des Rechners eingetragen

Möglicher Weise können Probleme mit der PowerShell Execution-Policy auftreten, dazu wende ich den folgenden Workaround an.

Get-Content -Path .\Fix-WSeLaunchpad-1903.ps1 | PowerShell.exe -NoProfile -

image

Update 30.05.2019:
Inzwischen ist es mir gelungen, dass Microsoft dieses Problem als Bug (Fehler) betrachtet und an einem Fix arbeitet. Wie schnell damit zu rechnen ist, kann ich nicht sagen melde mich aber wenn ich weiteres weiß.

Update 15.07.2019
Das Script, und damit der Workaround funktionieren mit dem WSE 2016 und dem WSE 2012R2, dass mag im Blog nicht richtig rüber gekommen sein. Für die anderen Versionen (WSE 2011 und 2012) müsste man die Registry-Einträge des Connectors vergleichen.

Enjoy it, b!

WTF ist mein Amazon MP3 Download

Bei Amazon bekommt man zu einer Musik CD auch gleich die MP3s als Download dazu, diese Option nutze ich sehr gerne. Genau genommen sammle ich die CD nur aus nostalgischen Gründen, Musik liegt als MP3 auf einer Reihe von Endgeräten vor. Das ist aber nicht der Grund für diesen Blog, sondern die Suche nach meinem MP3 Download!

Das Problem

Mit Amazon Music, bietet Amazon eine App welche die bei Amazon erworbenen MP3s nicht nur Verwalten, sondern auch herunterladen kann.

image

Das Herunterladen ist für mich wichtig, da ich meine MP3s gerne im Auto oder auch offline auf dem Smartphone höre. Der Download selbst gestaltet sich unproblematisch, hat man einmal das Album gefunden lassen sich einzelne Titel oder das ganze Album problemlos in den folgenden Ordner herunterladen.

%USERPROFILE%\Music\Amazon MP3

Was für die Mäuseschubser unter uns, dieser Ordner ist.

image

Da der Ordner Music (oder Musik auf einem Windows mit deutscher Sprache) zum Benutzer-Profil gehört, kann dieser über eine Gruppenrichtlinie oder manuell umgeleitet werden, seine Position im Dateisystem damit verändert werden. Früher hatte ich alle Ordner auf den Server umgeleitet, habe das aber aufgrund von vielen Programmen (Adobe) welche mit umgeleiteten Applikationsdaten (AppData) Probleme haben auf die folgenden Ordner reduziert.

  • Videos
  • Music
  • Documents
  • Pictures

Meine MP3s von Amazon sollten also im Ordner Music landen, welcher hier auf den folgenden Server zeigt, dort waren sie aber nicht.

\\scotia\Folder Redirection\%USERNAME%\music

Lokal konnte ich einige MP3s finden, nur nicht das neu erworbene Album.

Wo zur Hölle sind also die MP3s? Zuerst hatte ich Amazon im Verdacht, vielleicht findet der Download nur noch in einen geschützten Container statt um die Dateien nicht mehr beliebig auf seinen Geräten abspielen zu können. So etwas würde aber Amazon bestimmt nicht tun, oder man bekommt solche Maßnahmen auf die eine oder andere Art mit.

Die Analyse

Damit blieb mir nur die Möglichkeit die Sache eingehend zu analysieren und dazu griff ich auf den Process Monitor von Sysinternals zurück. Der Download einer MP3 Datei war ausreichend, um dem Problem auf die Spur zu kommen.

Dazu waren die folgenden Schritte notwendig.

  1. Start des Process Monitors als Administrator und Rücksetzen aller Filter
  2. Start von Amazon Music unter den angemeldeten Benutzer und Auswahl eines Liedes zum Download
  3. Auswahl der Amazon Music App mit der Zielscheibe (Fadenkreuz) des Process Monitors

Ups, der Download erfolgt schon aber in einem Pfad, bzw. auf einen Server den es schon lange nicht mehr gibt.

image

Damit hat wohl auch Amazon Music seine Probleme mit der Umleitung von Ordnern, vor allem wenn irgendwann noch eine Migration dieser erfolgt ist.

Durch das Ergebnis neugierig geworden, wollte ich mir den Inhalt des CSC Ordners genauer anschauen, dieser wird aber von Windows besonders geschützt und verweigert per Default auch einem Admin den Zugriff. Lediglich der SYSTEM Account hat hier die notwendigen Berechtigungen. Eine Eingabeaufforderung für eben diesen, kann aber recht einfach mit PsExec, ebenfalls aus der Sysinternals Suite gestartet werden.

c:\Windows> "\Program Files (x86)\Windows Sysinternals Tools\psexec.exe" -s cmd.exe

image

Damit ist ein Zugang zum CSC Ordner möglich, in dem sich zwei Namespaces befinden. Neben dem aktuellen auch der im Process Monitor angezeigte alte.

image

Der sich darin befindliche Ordner Music zeigte auch das Datum und die Uhrzeit des ersten Downloads …

Mittels eines weiteren Tools aus der Sysinternals Suite konnte ich die Verwendung des Ordners durch die Amazon Music App weiter analysieren. Handle zeigt, dass Amazon Music einige Ordner und Dateien verwendet.

C:\Windows\CSC\v2.0.6\namespace> "\Program Files (x86)\Windows Sysinternals Tools\handle.exe" -nobanner -accepteula cardhu

image

Der Aufruf von Handle erfolgte innerhalb der über PsExec gestarteten Eingabeaufforderung.

Meine Absicht war nun, den Ordner dort einfach zu löschen. Durch das Schließen von Amazon Music waren nur noch fünf Handles offen, aber ein Löschen des Verzeichnisses eben wegen dieser, immer noch nicht möglich.

image

Während dem Windows Explorer noch mit einer Terminierung beizukommen wäre, lässt sich der System Prozess von Windows nicht stoppen.

Die Amazon Music App zeigte sich zudem unbeeindruckt und wählte nach einem Neustart eben genau dieses Verzeichnis zum wiederholten Download.

Die Lösung

Die Lösung des Problems war nun das folgende Vorgehen.

  1. Löschen des CSC\v2.0.6\namespace Ordners über ein Windows 10 Installations Medium (USB Stick oder DVD)
  2. Deinstallation der Amazon App, löschen aller Fragmente und Neuinstallation über den Windows Store.

Nach dem Start des PCs mit einem Windows 10 ISO, kann über die Kombination SHIFT+F10 eine Eingabeaufforderung geöffnet werden Smile mit deren Hilfe sich das Verzeichnis ohne Probleme löschen läßt.

Untitled

C:\Windows\CSC\v2.0.6\namespace> rd <Youf-F...-Namespace> /s /q

Nach der Deinstallation von Amazon Music, habe ich an den folgenden Stellen im Betriebssystem nach Fragmenten gesucht.

Windows Registry:

image

Im Dateisystem:

C:\Temp> dir %USERPROFILE%\Appdata\Roaming

C:\Temp> dir %USERPROFILE%\AppdataLocal

C:\Temp> dir %ProgramFiles%

C:\Temp> dir %ProgramFiles(x86)%

C:\Temp> dir %ProgramData%

Amazon Music muss nicht zwingend an allen Stellen Informationen ablegen. Da auf dem Rechner noch Reste einer alten Installation vorhanden, habe ich alle Einträge gelöscht und danach aus dem WIndows Store Amazon Music erneut installiert.

Die neu installierte App war dann zwar der Meinung, dass C.\Windows\System32\Amazon Music der richtige Download Ordner wäre, was man aber in den Preferences/Einstellungen korrigieren kann.

image

Damit ist sogar die Speicherung in einem um geleiten Ordner möglich.

image

So, alles gut.

Enjoy it, b!

Windows 10 und ein gelbes Warnzeichen am Laufwerk C

Eigentlich gehen Lenovo Notebooks nicht so einfach kaputt, es sei denn sie fallen herunter, was unglücklicher Weise passieren kann.

Nachdem das Gerät aus der Reparatur zurückgekommen war, zeigte Windows 10 ein gelbes Warnzeichen am Laufwerk C.

image

Das Erscheinen bedeutet nicht, dass das Laufwerk ein Problem hat. Die Warnung weist darauf hin, dass möglicher Weise etwas mit der Bitlocker Konfiguration nicht stimmt.

Klar, nach kurzem Nachdenken … in der Reparatur hatte das Teil ein neues Mainboard bekommen und damit auch einen neuen TPM Chip.

In einem ersten Schritt habe ich mit PowerShell den Status von Bitlocker abgefragt und dabei festgestellt, dass die Verschlüsselung ausgeschaltet ist.

image

Die spontane Idee, Bitlocker einfach wieder zu aktivieren endete in der oben rot dargestellten Fehlermeldung.

Eine Abfrage des Status von Bitlocker mit Manage-Bde.exe ergab, dass der Key Protector, also der TPM erst gar nicht angezeigt wurde. Das ist soweit verständlich, da wenn das Mainboard und damit der TPM gewechselt wird, dieser nicht einfach von Bitlocker akzeptiert wird. Darum habe ich den neuen TPM zum hinzugefügt und konnte damit im Anschluss die Verschlüsselung wieder aktivieren.

image

Auch das Betriebssystem zeigte sich nach dieser Maßnahme zufrieden und die Warnung war verschwunden.

image

Wenn man sich der Konsequenzen eines Mainboard-Wechselns bewusst ist und dadurch an der richtigen Stelle zu suchen beginnt, ist die Reparatur nicht besonders schwierig.

Enjoy it, b!

Aktivierung von Windows 10 Enterprise Evaluation

Eigentlich bietet Windows die Möglichkeit, auf die nächst größeren Versionen eine Aktualisierung durch zu führen. So ist es möglich von Windows 10 Home Edition auf die Windows 10 Professional Edition zu aktualisieren ohne Anwendungen neu zu installieren oder seine Daten sichern zu müssen. An dieser Stelle möchte ich aber dennoch anmerken, dass eine Sicherung der lokalen Daten im Rahmen eines Upgrades immer sinnvoll ist.
Nicht ganz in dieses Schema passt hier die Windows 10 Enterprise Edition Evaluation, diese Version kann eigentlich auf die Windows 10 Enterprise Edition nur im Rahmen einer Neuinstallation aktualisiert werden. Sprich die Daten und Anwendungen sind weg. Die Evaluationsversion der Windows 10 Enterprise Edition verweigert auch die Aktivierung durch einen VL-Key.

image

Hat man nun eine Evaluierung hinter sich und möchte diese Version inklusive aller Anwendungen und Daten auf eine Vollversion ändern, bleibt einem nur der schmutzige Weg über die Registry.
Die Version von Windows ist an drei stellen in der Registry hinterlegt und wenn diese dort geändert werden, dann ist ein anschließendes Upgrade mit dem ISO der Enterprise Edition möglich. Dazu sind die folgenden Schritte durch zu führen.
Änderungen in der Registry:

 

image

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
CompositionEdition = Enterprise
EditionID = Enterprise
ProductName = Windows 10 Enterprise

Danach KEINEN Neustart durchführen, sondern die setup.exe aus dem Windows 10 Enterprise Edition ISO starten und das Setup durchführen. Dabei das richtige Image auswählen …

image

… und die Anwendungen und Eigenen Dateien natürlich mit übernehmen!
Nach der Aktualisierung und dem anschließenden Neustart funktioniert auch die Aktivierung und alle Anwendungen und Daten sind vorhanden.

image

Wir haben nun eine vollständige und aktivierte Windows 10 Enterprise Edition. An dieser Stelle möchte ich noch darauf hinweisen, dass Microsoft diesen Upgrade-Pfad nicht supported … aber wenn man keine andere Wahl hat …

Enjoy it, b!

Windows 10 Ultimate Performance Mode

Mit dem April Update 2018 (Build 1803) wurde Windows 10 ein Modus spendiert, der die Bereitstellung von maximaler System-Leistung ermöglicht. Der Modus kann über eine Eingabeaufforderung (cmd.exe), die als Administrator ausgeführt wird, aktiviert werden.

Dazu sind insgsamt zwei Schrite notwendig:

  1. Bereitstellung mit PowerCfg.exe
  2. Aktivierung des Ultimated Performance Modus in den Energieeinstellungen
powercfg -duplicatescheme e9a42b02-d5df-448d-aa00-03f14749eb61

Da PowerCfg.exe KEIN PowerShell Befehl ist, reicht in diesem Fall wirklich eine “elevated”, also eine mit Administrator Rechten gestartete Eingabeaufforderung (cmd.exe).

Das sieht dann wie folgt aus.

image

Eine erfolgreiche Ausführung des Befehls meldet Windows wie folgt zurück:

c:\Temp> powercfg -duplicatescheme e9a42b02-d5df-448d-aa00-03f14749eb61

Power Scheme GUID: 1fc19729-d7b8-4c29-8e54-4f8370268411  (Ultimate Performance)

Danach kann in den Energieeinstellungen (Powersettings) der Modus ausgewählt aktiviert werden.

image

Ja, der Modus bringt wirklich eine Verbesserung der Systemleistung. Mein RAW-Konverter zur Entwicklung von Bildern läuft beim Erstellen von Panoramen schneller und flüssiger.

Wie eigentlich immer, ist die Leistungssteigerung nicht umsomst und wird mit einer kürzeren Akku-Laufzeit bezahlt. Ist das einem bewusst, kann man einfach manuell zwischen den beiden Plänen wechseln.

:: Alle verfügbaren Energiepläne

PowerCfg -l

Existing Power Schemes (* Active)
-----------------------------------
Power Scheme GUID: 030f2430-8358-4f38-b059-8b023a93de32  (Ultimate Performance) *
Power Scheme GUID: 381b4222-f694-41f0-9685-ff5bb260df2e  (Balanced)
Power Scheme GUID: 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c  (High performance)
Power Scheme GUID: a1841308-3541-4fab-bc81-f71556f20b4a  (Power saver)

:: Wechsel in einen anderen Energieplan

PowerCfg -s 381b4222-f694-41f0-9685-ff5bb260df2e

PowerCfg -l

Existing Power Schemes (* Active)
-----------------------------------
Power Scheme GUID: 030f2430-8358-4f38-b059-8b023a93de32  (Ultimate Performance)
Power Scheme GUID: 381b4222-f694-41f0-9685-ff5bb260df2e  (Balanced) *
Power Scheme GUID: 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c  (High performance)
Power Scheme GUID: a1841308-3541-4fab-bc81-f71556f20b4a  (Power saver)

Den jeweils aktiven Energieplan zeigt Windows 10 immer mit einen * an.

image

Enjoy it, b!

Hardcopies unter Windows 10

Das Erstellen von Screenshots unter Windows war nie besonders schwer, auf die Tastenkombinationen dazu, hatte ich schon mal in diesem Blog verwiesen. OK, ohne den Umweg über den Blog geht es hier direkt zu Microsoft Smile

https://docs.microsoft.com/de-de/windows/desktop/TermServ/terminal-services-shortcut-keys

Die Screenshots können mit den entsprechenden Tastenkombinationen von einem Fenster oder vom gesamten Desktop erstellt werden. Braucht man irgendetwas dazwischen, musste man sich mit Paint oder einem anderen Programm behelfen und den Screenshot entsprechend zuschneiden.

Seit dem Windows 10 Creator Update 1703 hat Microsoft eine zusätzliche Tastenkombination eingeführt, welche die Auswahl eines Bildschirmausschnittes ermöglicht.

WINDOWS + SHIFT + S

Das Drücken dieser Tastenkombination ermöglicht (egal ob in einer RDP-Session oder nicht) den Ausschnitt und das automatische Kopieren in die Zwischenablage.

image

Microsoft exponiert damit eine Teilfunktion des Snipping-Tools über die Tastenkombination, also nichts neues aber für Leute die oft mit Screenshots hantieren sehr hilfreich – Danke!

Eine vollständige Übersicht aller Windows Tastaturbefehle in Windows ist bei Microsoft zu finden.

Enjoy it, b!