FAQ Übersicht

Im 64-bit Windows öffnet sich in der Systemsteuerung der 64-bit ODBC-Dialog und kennt nur 64-bit Treiber.
32-bit ODBC-Verwaltung: ..windows\syswow64\ODBCAD32.EXE

Siehe auch Windows Update funktioniert nicht

WSUS-Client UsoClient (Win10/Server2019):

Ohne große Information hat Microsoft WUAUCLT still gelegt und dafür UsoClient eingeführt.
USO ist die Abkürzung für „Update Orchestrator Service“ und ist der Dienst UsoSVC (Update Orchestrator Service) zum Verwalten der Windows Updates.

usoclient StartScan
usoclient StartDownload - startet den Download
usoclient StartInstall - startet Installation
usoclient RestartDevice - PC Neustart

Der Befehl „usoclient StartScan“ hat noch den Nebeneffekt, dass er einen evtl. vorhandenen WSUS Server über den aktuellen Patchstand der Windows Updates informiert und dieser dann gleich die korrekte Zahl anzeigt. Dies wurde vor Windows 10 mit dem Befehl „wuauclt /detectnow“ oder „wuauclt /resetauthorization /detectnow“ eingeleitet.

WSUS geht nicht für Windows 10:

https://www.windows-faq.de/2016/08/19/windows-10-anniversary-update-1607-ueber-wsus-korrekt-verteilen/

https://www.windows-faq.de/2016/08/24/windows-10-feature-updates-mit-wsus-verteilen-application-octet-stream/

http://www.zdnet.de/88283945/wsus-updates-fuer-windows-10-optimal-verteilen/?referrer=nl_de_zdnet&t=00b74d57daa296d52bfa609fe3616d1a1822199 

WSUS-Client WUAUCLT (alt):

wuauclt /detectnow: Windows Update prüft sofort, ob neue Updates vorliegen, ohne sich auf seinen Zwischenspeicher zu verlassen.
wuauclt /resetauthorization: Nur in Kombination mit einem Update-Server im lokalen Netz interessant. Bewirkt, dass die für die Auto-Updates zuständige Wuauclt.EXE die in einem Cookie gespeicherten Infos (z.Bsp. Gruppenmitgliedschaft) zurücksetzt und das Update erzwingt.
wuauclt /demoui: Testet, ob die Benachrichtigung über neue Downloads mit Hilfe des Symbols im Systray funktioniert.
wuauclt /ShowSettingsDialog: zeigt den Einstellungs-Dialog 'Automatische Updates' an.
wuauclt /reportnow - sendet Statusbericht an den WSUS.

Neue Clients: gpupdate /force und dann Wuauclt /reportnow /detectnow

Fehler: Updates lassen sich nicht freigeben

Nach Genehmigung der Updates erfolgt Fehlermeldung.
Lösung: Im ROOT-Verzeichnis des WSUS-Content- Laufwerkes und in /TEMP muß JEDER=Vollzugriff haben!

Links:

http://www.wintotal.de/updates-und-upgrades-unter-windows-10-im-griff/

PDF24 Creator - PDF-Drucker, Erstellen von PDF Dateien aus allen Anwendungen, Umsortieren, Zusammenfügen, Editieren, Spalten, Passwortschutz. Freeware.

CutePDF Writer - PDF-Drucker für alle Windows Versionen, Free for personal, commercial, gov or edu use.

Free eXPert PDF Reader -schlanker ressourcensparender Reader, Editierfunktionen, Freeware.

PDF-XChanger Editor -PDF-Reader mit guten Editierfunktionen, Freeware. Prof. ca. 35 EUR.

PDF Factory -PDF-Drucker, PDF zusammen setzen, Pro-Version auch PDF editieren, ca. 50-100 EUR.

• Kaspersky Free - gratis Echtzeitschutz, darf auch kommerziell eingesetzt werden. Gleiche Engine wie kommerzielles Produkt, natürlich mit eingeschränktem Funktionsumfang.
• Online-Virentests:
  www.f-secure.com FSecure Onlinescan
  www.virustotal.com - testet kostenlos fragwürdige Dateien mit verschiedenen Scannern.
  quickscan.bitdefender.com Bitdefender Onlinescan
  www.emsisoft.de Emisoft Onlinescan
  www.pandasecurity.com Panda Onlinescan
  security.symantec.com Symantec Onlinescan
  housecall.trendmicro.com Trendmicro Onlinescan
  www.microsoft.com Microsoft Safety Scanner
• Malware-Suche mit Sysinternals-Tool SYSMON -> Sysinternals Tools
• Kaspersky Rescue Disk: bootfähige Notfall-CD http://support.kaspersky.com/de/viruses/rescuedisk
• Kaspersky Removal Tool: kostenlos, für Windows http://support.kaspersky.com/de/viruses/kvrt2015
• Trojaner-Board: www.trojaner-board.de
• Die AntiVir Personal Edition ist für den privaten (individuellen, nicht-kommerziellen) Einsatz kostenfrei!
  Download und aktuelle Signaturen unter www.free-av.de.
• Sophos Home, kostenfrei bis max. 10 PCs, nicht kommerziell: https://www.sophos.com/de-de/lp/sophos-home.aspx
• MS Defender Offline (CD, USB, ISO)
• Ransomware Decryptor: https://noransom.kaspersky.com/ entschlüsselt diverse Ransomware

Adobe Flash Player: 
Für die MSI Files ist seit Okt. 2016 eine Registrierung bei Adobe erforderlich! ->individueller Link

Flash Player Uninstaller: http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe

ACHTUNG!  Prozess Firefox.exe beenden!

-------------------------------------------------

Oracle Java JRE:

Offline Download Java8: http://www.java.com/de/download/manual.jsp
http://www.oracle.com/technetwork/java/javase/downloads/index.html

http://www.oracle.com/technetwork/java/javase/downloads/index.html

Installation: jre-8u121-windows-i586.exe /s 
  -vorher iexplore.exe und jp2launcher.exe beenden
  - danach Java-Cache in allen Profilen löschen. (for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q)

Deinstallation: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180131F0} /quiet (Versionsnummer -131- anpassen!)
Info steht in Java "UninstallString" (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4EA42A62D9304AC4784BF2238110140F\InstallProperties)

Hilfe: http://www.java.com/de/download/help/silent_install.xml (drauf achten dass x86 / x64 stimmt)

MSI extrahieren: http://www.java.com/de/download/help/msi_install.xml

-------------------------------------------------
Adobe Reader: https://ictschule.com/2012/11/09/adobe-reader-11-verteilen/ (mit diesem Tutorial easy zu machen)
Download:

https://get.adobe.com/de/reader/enterprise
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows

Steps to extract the Adobe Reader MSI installation files from the compressed executable:
1. Obtain Adobe Reader from adobe.com: http://get.adobe.com/reader/ and save the file to your desktop.
2. Choose Start > Run.
3. In the Open text box, type: "%UserProfile%\Desktop\AdbeRdr80_en_US.exe" -nos_ne
4. Click OK.
5. When the Adobe Reader Setup screen clears, choose Start >  Run.
6. In the Open text box, type: %temp%
7. Drag the Adobe Reader folder to your desktop.
This folder contains AcroRead.msi and Data1.cab files needed for installation.

------------------------------------------------- 

Allgemeine Infos zu MSI: http://www.itninja.com/

Allgemeine Lösung zur Deinstallation:
1. Java-Schlüssel in Registry suchen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer

2. UninstallString (Registry: Werte=uninstall) suchen.
  Bsp. Java 1.8.0.45 deinst.: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Deinstallation aller Versionen per VB-Script: http://www.itninja.com/question/silent-uninstall-java-all-versions

- Veracrypt - Open Source Software auf Basis von Truecrypt. Potentieller Nachfolger von Truecrypt.
   Seit 08/2016 kann es auch komplette Windows-Partitions im UEFI-Mode verschlüsseln. (eingeschränkt bei Secure Boot)
   https://veracrypt.codeplex.com/

- Boxcryptor - bis auf Grundfunktionen kostenpflichtig
  - deutscher Hersteller
  - dateiweise Verschlüsselung, Einbindung als entschlüsseltes Laufwerk
  - Clients für Windows, Mac, Android, iOS, Windows Phone, WindowsRT, Blackberry.
  - für Cloud und PC geeignet

- 7-Zip - quelloffen
  - dateiweise oder ordnerweise Verschlüsselung
  - manuell, für Cloud und PC zu umständlich
  - für E-Mail gut geeignet
  - Tip: AES-256 auswählen

- CryptSync - quelloffen von Stefan Küng
  - praktische Oberfläche zum synchronisieren mit 7-Zip in die Cloud
  - Dateien können automat. mit CryptSync oder manuell mit 7-Zip entschlüsselt werden.

- Bitlocker - MS Bitlocker Festplattenverschlüsselung
  - Verschlüsselung per TPM-Modul, USB-Stick oder Passwort.
  - bei Defekt dieser Umgebung ist die Festplatte per Notfallschlüssel lesbar.
  - Lizenz ist in Windows 7 Ultimate oder Enterprise, Windows 8.1/10 ab Prof. und  Windows Server 2012 enthalten.
  - Bitlocker To Go ist geeignet für USB-Verschlüsselung unter Windows.
  - Bitlocker läßt sich für Reboots suspendieren und ermöglicht so Wartung und Updates (des Bootloaders)
siehe: Bitlocker

- Diskcryptor - schnell, geeignet für Festplatten (auch Systemlaufwerke), CD, USB.
  - keine Containerfunktion. Für Portable nicht tauglich. Treiber muß installiert werden.
  - letzte Version von 2014.

- Truecrypt - Freeware, altbewährt und sicher
  - Projekt wurde 2014 von der NSA angegriffen und von den Entwicklern eingestellt.
  -> zukünftige Betriebssysteme funktionieren ggf. nicht.
  - Verschlüsselung in einer Containerdatei, die als Laufwerk eingebunden werden kann.
  - Clients für Windows
  = für Cloud ungeeignet. Für Windows, CD, USB vorläufig gut.
Update 09/2015: eine gefährliche Sicherheitslücke wird im Windows-Treiber gefunden, mit deren Hilfe jeder Systemrechte erlangen kann. Der Hersteller patcht nicht mehr. Damit disqualifiziert sich Truecrypt für den weiteren Einsatz.

Gute JS-Doku's:

https://developer.mozilla.org/en-US/docs/Web/JavaScript

http://wiht.link/javascript-resources

Veeam Backup & Replication 10 (02/2020)

Leistungsstarkes, zuverlässiges Backup-Programm besonders für virtuelle Umgebungen.
- Kompression und Deduplizierung
- Backup, Restore, Replikation, Copy-Jobs
- Verfügbar als Kauf- oder Mietversion

• Sockel-Preis bis 50% höher (Dauerlizenz)
• VUL-Preis bis 33% niedriger (Subscription, Abo)
• Pro-Sockel-Kunden erhalten 1 VUL-Lizenz pro Sockel (bis zu 6) dauerhaft kostenfrei
• VUL haben generell Enterprise-Funktionsumfang
• Essentials-Version: Preis gilt für 1 Sockel, Mindestverkauf 2 Sockel
• gemietete Software ist inclusive Wartung und stellt 1 Monat nach Vertragsablauf die Funktion ein

Über 100 neue Funktionen wie:

• Objekt-Storage kann richtlinienbasiert ältere Daten auf andere Storages auslagern (S3-kompatibel)
• neues leistungsstarkes NAS-Backup auf kurzfristig / langfristig / sekundär Speicher
• Backup Kopie Spiegelung
• Instant Recovery auch von physischen Servern in VMWare

Veeam Backup Essentials

• enthält alle Features von Veeam Backup & Replication
• enthält alle Monitoring-, Reporting- und Kapazitätsplanungs-Tools von Veeam ONE
  Erhältlich sind unbefristete Lizenzen für 2 - 6 CPU-Sockel und ein- bis fünfjährige Abonnementlizenzen (Lizenzierung pro VM in 5-VM-Bundles) für bis zu 50 VMs. Die Essentials Lizenz ist limitiert auf 6 Sockel pro Firma.

Veeam Backup Community Edition

- kostenlos für privat und kommerzielle Nutzung
- bis zu 10 "Workloads": beliebigen Kombination aus VMs, Cloud-Instanzen, physischen Servern oder Workstations
- 1 Server
- Sicherung auf NAS, Tape, Bandbibliotheken
https://www.veeam.com/de/virtual-machine-backup-solution-free.html
Aufrüstung auf Starter-Edition: bis zu 20 Workstations

Veeam Agent for Microsoft Windows (4.0)

- sichert physische Maschinen, einzelne Laufwerke, Verzeichnisse oder Dateien ab Windows 7 / 2008R2 bis Windows 10 / Server 2019 auf Wechseldatenträger, Laufwerke, NAS oder Veeam Backup Repository.
- mit bootfähiger Wiederherstellungs-ISO, Bare Metal Recovery, Zuwachssicherung, Verschlüsselung
- Aufbewahrung nach Anzahl der Tage, Serverversion nach Anzahl der Widerherstellungspunkte
Veeam Agent für MS Windows gibt es als Free-, Workstation- und Serverversion.
Die Free-Edition sichert nicht in die Cloud und eingeschränkt in MS OneDrive.
Außerdem erlaubt sie nur einen Backup-Job sowie keine synthetischen Vollbackups.
Nur die Server-Version kann wöchentliche oder monatliche Backup-Pläne.
Mit der kostenpflichtigen Agent-Version läßt sich das Backup nicht nur vom Client, sondern in Verbindung mit Veeam B&R auch zentral steuern.
Das Backup eines physischen Servers mit der kostenlosen B&R Community-Edition ist ohne Agent-Lizenz möglich.
Die Oberfläche ist englisch.
Versionsübersicht: https://www.veeam.com/de/products-edition-comparison.html

Veeam One Free - no restrictions on the number of hosts, management servers and Failover Clusters you can monitor and report
http://www.veeam.com/virtual-server-management-one-free.html

Erklärung der Dateitypen:

-.vbk Vollbackup. Die wichtigste Sicherung von allen.
-.vib Incrementelle Sicherungen nach dem Vollbackup, die sich auf die vorherige .VBK Sicherung beziehen.
-.vrb Incrementelle Sicherungen vor dem Vollbackup, die sich auf die nachfolgende .VBK Sicherung beziehen.
-.vbm enthält Backup Metadaten und beschleunigt viele Operationen (z.Bsp. Import of backup files). Dateien sind nicht erforderlich für ein Restore.

Patche und Updates:
http://www.veeam.com/patches.html

Versionshistorie

Veeam B&R 9.5 U4 (01/2019)

• Plug-ins für SAP HANA und Oracle RMAN
• Veeam Cloud Tier: (Eine weitere Storage-Option im Rahmen des Scale-out-Repository, nutzt Amazon S3, Azure Blob Storage oder S3-kompatible Services für die Langezeit­archivierung)
• Veeam DataLabs: (Nachfolger für Virtual Labs zum Einrichten einer Testumgebung. Neue Funktionen für Workflow (Löschscripte für DS-Compilance) und Malware-Scanner in der abgeschotteten Rücksicherung gegen schlafende Ransomware.
• Veeam Cloud Mobility: (Erweiterung von Direct Restore to Microsoft Azure, unterstützt nun auch AWS und Azure Stack als Ziele, um Workloads wieder­herzustellen)
• Änderungen in der Lizenzierung:
  - statt Free Edition nun Community Edition
    -> FreeEdition hatte kein Limit der VMs, dafür war die Funktion eingeschränkt.
    -> Community Edition ist nahezu eine Standard-Edition mit Begrenzung auf 10 VMs.
• Backup for Office 365 mit neuen Funktionen und Free Edition
  - Möglichkeit, Sicherungen von Sharepoint und OneDrive for Business zu erstellen
  - FreeEdition: kann Exchange- und OneDrive-Backups für bis zu 10 User kostenfrei erstellen, sowie von SharePoint bis zu 1 TB

siehe auch: veeam-backup-95-u4a

Veeam Backup & Replication V.9.5 Update 3a (07/2018)

- Unterstützung für VMWare 6.7
- Unterstützung für Win10 1803 Clients

Veeam Backup & Replication V.9.5 Neuerungen

• Unterstützung für VMWare 6.5  ab Veeam 9.5 Update 1 (Q1/2017)!

Veeam Backup & Restore Free (V.9.5)
- gratis, auch kommerziell
- Backup von vSphere und Hyper-V -VMs, auch auf Tape
- VM backup, granular recovery, clone, copy, export...
Einschränkungen: kein Scheduler, kein Repository, immer Vollbackup
http://www.veeam.com/virtual-machine-backup-solution-free.html
(kein Key erforderlich, Version arbeitet 30 Tage als Vollversion, dann im "CommunityMode" mit o.g. Einschränkungen)

Veeam Agent for Microsoft Windows FREE (2.2), vorher Veeam Endpoint Backup Free (V.1.5) - gratis, auch für kommerzielle Nutzung
 - neu in Version 2.0: periodische Vollbackups
 - Einschränkungen: Programm muß im Client installiert sein, keine Deduplizierung bei mehreren Sicherungen, einfachster Scheduler.
 - Einbinden in Veeam Backup & Replication möglich! Dann wird Repository mit Deduplizierung unterstützt. Rücksicherung physischer PCs auf VM möglich.

Veeam Backup & Replication V.9 (Neuerungen):
- neue Oberfläche u.v.a.m.
- Bedienkonsole kann auf beliebigen andern PCs ausgeführt werden.
- deutliche WAN-Beschleunigung, integrierte Komprimierung und Deduplizierung
- BitLooker: trotz Image-Sicherung werden gelöschte Dateiblöcke ausgeschlossen, eigene Ordnerausschlüsse sind möglich.
- Veeam Cloud Connect-Replikation und inkrementelles Backup >NEU
- Veeam Explorer für Oracle 11/12 >NEU
- unbegrenztes Scale-out Backup Repository (Backup-Storage-Pool wird vom Backup flexibel genutzt) >NEU
- Backup von Storage Snapshots (EMC NEU, HP und NetApp)
- Veeam Explorer für Storage Snapshots (EMC NEU, HP und NetApp) für Exchange-Objekte, AD, MS SQL und Sharepoint) - nur in Veeam ENTERPRISE.

Advanced VPN-Client für Windows
IPSec VPN-Client von NCP für Windows, MacOS und Android.
Lancom, Bintec, Juniper u.a. kaufen dieses Produkt und passen es an. Unter Android gelegentlich kostenlos (Silber Edition).

ab Version 9.3: IKE V2 inklusive Mobility Extensions (MOBIKE), Mobile Broadband, neue Firewall-Features, Seamless Roaming

ab Version 3.10: Ab dieser Version ist für alle Major-Versionen eine Aktivierung bzw. Update-Installation mit altem Lizenzschlüssel nicht mehr möglich. Bitte beachten Sie folglich, ab Version 3.10 für die Aktivierung zwingend einen Lizenzschlüssel der gleichen Version (3) verwenden zu müssen.

ab Version 3: Unterstützung von Windows 10.
Update auf Version 3: Deinstallation der Vorversion erforderlich! (Vorher Profil sichern!)

ab Version 2.32 Build218: Kopieren der Lizenz bei Neuinstallation nicht mehr möglich!
- neue Funktion zum Deaktiveren der Lizenz im Programm nutzen.
Es werden die aktuellen Lizenzdaten angezeigt und per Mail zugesendet. Die sind für die Neuaktivierung erforderlich.

vor Version 2.32: Übernahme auf neuen PC: Verzeichnis Programme/Lancom sichern, ncp.db (Lizenzdatei) in neue Installation kopieren. Danach kommt Meldung: "Hardware geändert, neu aktivieren" . Das geht problemlos. Geht erst ab V2.2 unter Windows 7!

Versionen Kompatibilitätsliste (Win, macOS): https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=37457108
Aktuelle Versionen: bei NCP.

Updates zu Servicereleases sind kostenlos, Major Releases kostenpflichtig.
Neue Major Releases bis Version 10.1x wurden durch Änderung der ersten Nachkommastelle gekennzeichnet, z.B. 10.00 auf 10.10.
Ab Version 11 werden Major Releases durch Änderungen ganzer Zahlen gekennzeichnet, z.B. 11.x auf 12.x.

-------------------------------------------------------------------
Übernahme Telefonbuch: ncpphone.cfg  
Profil sichern: ncpphone.sav im Installationsverzeichnis des Clients.

Übernahme Android über Export / Import.
Die Bedienung ist alles andere als intuitiv, funktioniert aber. (Haken anwählen, dann bestätigen mit ZURÜCK-Button)

Android Konfiguration:
XAUTH: nicht gesetzt
IKE ID Type: FQUN
IKE: lokale Identität
Aggresive Mode IKE v1
PFS: DH-Group 2 (1024bit)
IKE DH Group: none
IKE Policy, IPSec Policy: automatic

Alternative VPN-Clients

Shrew Client - IKE v1 und v2 Client für Windows, Standard Edition ist free for commercial.
Leider Stand 2013, und bei jeder neuen LCOS-Version mit neuen Problemen.
Anleitung: https://alexanderschimpf.de/shrew-soft-vpn-client-lancom-vpn-router

Windows 10 - OS-Client kann eingeschränkt IKE v2.
  Win10 unterstützt kein IKEv2 mit PSK sondern hier nur EAP mit MsCHAPv2 oder mit Zertifikaten.
  Im LANCOM darf nicht PSK als Server und Client Identität genommen werden und für die Remote-Auth muss RSA gewählt werden (Authentifizierung mit Client-Zertifikaten).
Quellen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html#toc-10

Geniales, einfaches incrementelles Backup auf Basis von Hardlinks nach einer Idee von ct/Heise.
Jeder Backupsatz enthält alle Daten (bzw. einen Hardlink darauf).
Es wird kein spezielles Programm zum Restore benötigt. Nicht geeignet für System-Backups, aber für Daten-Backups eine Empfehlung.

Mirror-oder Move-Mode erlaubt kopieren/verschieben von Ordnern und Dateien mit dem Originaldatum.

Achtung! Wenn Dateien nachträglich manuell in einem Archiv gelöscht werden, muß die Index-Datei „index.hbi“ gelöscht werden, damit HardlinkBackup die Dateien erneut scannt und die Index-Datei neu erzeugt.

Backups auf anderen Datenträger verschieben: -> mit Luphino Hardlink Backup.
 (Mirror Modus, Innere Links behalten).

Link: http://lupinho.net/hardlinkbackup/

Tip:  Sysinternals Tools Hardlink: Anzeigen, setzen und löschen von Hardlinks.

Windows Explorer: GUI. Das dümmste aller Kopier-Tools.
 - bricht bei Fehler ab.
 - ist extrem langsam.
 - Ordnernamen bekommen das neue Datum.

XCopy: CMD. Boardmittel. Praktisch und schnell.
 + kann Berechtigungen und Dateidatum kopieren.
 - Ordnernamen bekommen das neue Datum.

Robocopy: CMD. seit Windows 7 Boardmittel. Sehr leistungsstark.
 + Copy, Move, Sync
 - Ordnernamen mit Original-Datum kopieren: ab Robocopy 26 mit /DCOPY:T
  Bsp: robocopy \\Servername\e$\it\ e:\it\ /E /COPYALL /DCOPY:DAT

XXCopy: CMD.
 + kann auch Ordner mit ihrem Originaldatum kopieren.
 - Freeware-Version kopiert keine ACLs.

Fastcopy: CMD/GUI. Schnell und sehr leistungsstark. 32-/64-bit, Portable-Version
 + kann Timestamps korrekt setzen.
 + Copy (+Compare), Move, Sync
 + kopiert ACLs, Junktions und Symlinks nach Benutzerwunsch.

Macrium Reflect Free: Empfehlung von CHIP. Disk Cloning, VSS, UEFI, GPT-Support.

DriveImage: kann keine GPT-Partition (Stand 9/2016)

Tip: Beim Kopieren ab Vista vorübergehend UAC aus schalten.

- automatische Erzeugung von List-Gruppen:
Listrechte müssen in der Konfigurationsoberfläche für jeden Fileserver einmal aktiviert werden.
Um Listrechte zu aktivieren, gehen Sie bitte in der Konfigurationsoberfläche zu „Scans“.
Dort wählen Sie den gewünschten Fileserver aus und aktivieren im letzten Satz den Assistenten für Listrechte.
8MAN Group Wizard verwenden, damit Listrechte automatisch gesetzt werden.

- Ablaufdatum für Berechtigungen setzen:
In der Active Directory-Ansicht suchen Sie z. B. einen Benutzer oder eine Gruppe die aus, die Sie gerne mit einem Ablaufdatum versehen möchten.
Machen Sie einen Rechtsklick auf das Objekt, wählen - > „Ändern der Gruppenmitgliedschaften“ und wählen in der Mitgliederliste das Objekt aus, welches Sie mit einem Ablaufdatum versehen möchten.
Nun wieder Rechtsklick auf den Benutzer oder die Gruppe und „Ablaufdatum setzen“ wählen.
Jetzt können Sie ein Ablaufdatum setzen.

 Helpdesk: http://help.8man.com/de/index.html

Links:
http://www.aikux.com/videos/8man-enterprise/

- InfraRecorder Portable - schnell und einfach. (Data, Audio, Video, Image, Copy)
  http://infrarecorder.org/

Automatisation Studio:
Variablen in geschweifte Klammern setzen. {%ProgramFiles%}

Benutzermenue einrichten:
PING: ping {Client] -t
BMA Log: notepad.exe "{BMAPath}\bma.log"
Explorer LW C: explorer.exe \\{Client}\c$RDP: mstsc.exe /v:{Client}
Windows RemoteHilfe: C:\Windows\System32\msra.exe /offerra {Client}
RDP: mstsc.exe /f /v:{Client}

Shutdown-Job (interaktiv) schlägt ggf. fehl, wenn er mit InstallUser und nicht mit LocalSystem gestartet wird. Damit wird ggf, auch die automatische Anmeldung vermieden.

Firewall für WoL: Baramundi Relay: Port 7777 UDP, Baramundi Server: Port 10088 TCP eingehend.

Programmeinstellung korrigieren:
 - Konfig / Server / Grundeinstellungen / Kommunikation / bma-Installationsart= Push Transfer (über BMS)
 - Verbindungsmodus= Standard-Namensauflösung
 - Domäne / Installationsuser mit user@domain angeben!

Für Autologon muss ggf. Registry-Schreibschutz vom Antivirus (eScan!) deaktiviert werden.

Remote Desktop frei schalten: Remote Desktop und Remoteunterstützung zentral frei schalten

Remote Unterstützung frei schalten: Remoteunterstützung

Remote Standort:
- nur Management Center installieren
- Dienste baraDIP, baraDIPhttpd und Management Agent müssen laufen.

Freier Open Source Passwortmanager

Empfehlung:

- Firefox Passworte mit "PassItFox", "Firefox Passwort Importer" o.ä. in KeePass übernehmen.
- alle Passworte im Firefox löschen
- Passwortmanager im Firefox deaktivieren

Meine Strategie:

• Verschlüsselung mit sicherem Passwort ist flexibel und mobil nutzbar.
• Bindung an Key-File macht das Ganze noch sicherer.
• Bindung an Benutzerkonto ist unflexibel (kein Multiuser oder Mobil, Probleme bei Passwortwechsel oder Verlust des Benutzerkontos).

Haupt-PC:

• Original-DB liegt lokal am PC. Sie wird bei Programmstart und bei jeder Änderung per Trigger (aktive DB mit einer URL/Datei synchronisieren) mit dem Dropbox-Client in die Cloud synchronisiert und beim Beenden per PlugIn als Backup gesichert. (Bsp. 5 Kopien)

Sonstige Windows-Geräte:

• Drop-Box: DB-Ordner freigeben oder KeeAnywhere Plugin verwenden.
• KeePass2: Open URL  https://www.dropbox.com/xxxxxxx/xyz.kdbx?dl=0

Wichtige Plugins:

• Favicon Downloader - sieht schön aus und macht alles übersichtlicher.
• DataBaseBackup (DataBaseBackup-2.0.8.6) - lokales Backup.
• Firefox-Integration (Kee, bzw. KeeFox), damit man nicht von Hand Zugangsdaten für Internetseiten kopieren muss.
  KeeFox wird über die Firefox Add-Ons installiert und kopiert selbständig die PLGX-Datei in das KeePass-Verzeichnis.
  Kee benötigt KeePassRPC, welches manuell nach “C:\Program Files (x86)\KeePass Password Safe 2\Plugins\KeePassRPC.plgx” kopiert wird.
• Cloud-Zugriff: KeeAnywhere bindet Dropbox, Google Drive oder OneDrive in den Öffnen-Dialog ein.
• Cloud-Synchronisation, hier über Dropbox, damit man auf allen Geräten die gleichen Zugangsdaten verfügbar hat.
• Android-App (KeePass2Android), damit es auch mit dem Handy klappt.

Sprachpaket: German.lngx in Keepass-Programmverzeichnis kopieren.

Konfiguration wird in KeePass.config.xml im Programmverzeichnis abgelegt.
 Feste, unveränderliche Teile der Konfiguration: in KeePass.config.enforced.xml

<Application>
		<LanguageFile>German.lngx</LanguageFile>
		<Start>
			<CheckForUpdate>false</CheckForUpdate>
			<CheckForUpdateConfigured>true</CheckForUpdateConfigured>
		</Start>
</Application>

Weitere Tips unter http://keepass.info/help/base/configuration.html

Trigger: Synchronisiere lokale DB am Haupt-PC mit Cloud

Ereignis: speichern einer Änderung

Bedingung: keine.

Aktion: speichern in das Verzeichnis des Dropbox-Clients

RDP: Um automatisch mittels "Open URL" RDP Sessions aus KeePass starten zu können muss RDP unter URL Overrides eingetragen werden.

cmd://cmd /c "cmdkey /generic:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//} /user:{USERNAME} /pass:{T-REPLACE-RX:!{PASSWORD}!\&!^&!} && mstsc /v:{URL:RMVSCM}  && timeout /t 5 /nobreak && cmdkey /delete:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//}"

Diese Version funktioniert auch bei einem & im Passwort und bei Angabe eines Ports in der URL, der Host wird mittels T-REPLACE-RX ermittelt.

Der Aufruf aus KeePass (URL Eintrag) erfolgt dann mittels folgender URL: rdp:IP (z.B.: rdp:192.168.0.2)

Putty: Die Standard URL Einstellung für Putty haben aus Sicherheitsgründen kein Passwort konfiguriert, außerdem kann nicht auf gespeicherte Profile zugegriffen werden. Wer seine Puttyprofile also abgespeichert hat und diese automatisch anmelden möchte kann dies durch Hinzufügen der folgenden URL Override umsetzen:

cmd://putty.exe -load {URL:RMVSCM} -l {USERNAME} -pw {PASSWORD}

im nächsten Screenshot eine gespeicherte Putty Session:

der Zugriff aus KeePass erfolgt so: putty://atest

UNC: 

Um auf die Freigabe eines Server zuzugreifen, kann z.B. eine URL-Überschreibung mit folgendem Inhalt erstellt werden:

cmd://cmd /c "net use {URL:RMVSCM} /user:{USERNAME} {PASSWORD} && explorer {URL:RMVSCM}"

der Aufruf über einen Eintrag geht dann so:

Quelle: http://www.libe.net/index.php/KeePass

11/2015: Die Android-Version läuft (immer noch) nicht unter aktuellem Android 6.
Der Anbieter antwortet arrogant und reagiert sehr langsam. Es hat mehrere Jahre gedauert, bis überhaupt eine Android-Lösung kam. Wer eine funktionierende Lösung sucht, braucht einen Anbieter der am Produkt bleibt.
Ich bin deshalb zu KeePass 2 gewechselt.

Version 8 für Windows

- Windows 10 kompatibel
- Cloud: Dropbox + Google Drive
- Ordner der Datenbankablage kann per Klick im Explorer geöffnet werden.

Version 1 für Android (nicht Android 6)

100% daten-kompatibel zur Windows-Version 8.

Datenbank Version 7 ist nicht kompatibel!
- .OPW wird beim ersten Öffnen in .OP7 geändert. (Version 7)
- Version 8 erhält Endung .1PW.

A) Gather the Device ID of device(s) to exclude using the DevViewer tool:
1. Find the DevViewer.exe tool on the SEP 11.0.X CD2 in the CD2\Tools\DevViewer folder.
2. Plug in the device you want to gather the Device ID from.
3. Run the DevViewer.exe tool and browse to find the device. (Example, for a thumb drive, look under Disk drives)
4. Select the device, and on the right you will see information about the device.
5. Right click the [device id] and select Copy Device ID.
6. Exit the DevViewer Tool.
 

Note: Alternative way to find Device ID in case DevViewer is not available:

1. On the Windows taskbar, click Start > Settings > Control Panel > System.
2. On the Hardware tab, click Device Manager.
3. In the Device Manager list, double-click the device.
4. In the device's Properties dialog box, on the Details tab, select the Device ID (on Windows XP) or Device Instance Path (Windows Vista or 7).
5. Press Control+C to copy the ID string.

In case of difficulties in finding the correct 'Device ID' for building the rule, please remember that in DevViewer you may change 'View Style' to "View devices by connection", which may help, particularly when troubleshooting USB exclusions.

B) Add the Hardware Device into SEPM policy:
1. In the SEPM, select the Policies view.
2. In the upper left corner of the console, under the View Policies section, click on Policy Components to expand the sub-list.
3. Under Policy Components, select Hardware Devices.
4. Under Tasks, select Add a Hardware Device
5. Type in the Name you wish to call your device (example: Administrator's Thumb drive).
6. Select the Device ID option, click in the text box and use CTRL-V to paste the Device ID you copied from the DevViewer tool.
7. Click OK.

C) Add Disk Drives and the Hardware Device to allow to the Devices Excluded From Blocking list:
1. In the SEPM, Under View Policies, select Application and Device Control
2. Right click your Application and Device Control Policy and select Edit.
3. There are 2 ways to correctly implement a block and exclusion.
a. Either accomplish the blocking and exclusion via Device Control or Application Control.
b. Do not use a mix of the 2 methods to block and exclude devices.

D) To use Device Control:
1. Select the Device Control view.
2. Under the Blocked Devices section, click Add, select Disk Drives and click OK. (If Disk Drives isn't listed, it is already added as a Blocked Device).
3. Under Devices Excluded From Blocking, click Add.
4. Select the device you added in the previous section and click OK.
5. Click OK to the Application and Device Control policy window.

E) To use Application Control:
1. Select the Application Control view.
2. Select (Check Mark) "Make all removable devices read-only" (For example) and select Edit.
3. Select "Block writing to all files and folders", under "Do not apply to the following files and folders", select Add...
4. Under "File or Folder Name To Match" enter a * (An Asterisk).
5. Select (Check mark) "Only match on the following device id type", press Select.
6. Select (Highlight) the device added to the hardware list (The unique USB device added previously.) and press OK.
7. Press OK to close windows until at the "Application and Device Control Policies" window of the SEPM.

Select "Assign the Policy"
Select the group to assign the edited policy to.
Press "Assign"

Standard Class-IDs:

• Disk Drives - {4d36e967-e325-11ce-bfc1-08002be10318}
• Storage Volumes - {71a27cdd-812a-11d0-bec7-08002be2092f}
• USB devices - {36FC9E60-C465-11CF-8056-444553540000}
• DVD/CD-ROM - {4D36E965-E325-11CE-BFC1-08002BE10318}
• IDE - {4d36e96a-e325-11ce-bfc1-08002be10318}
• PCMCIA - {4d36e977-e325-11ce-bfc1-08002be10318}

Sinnvolle Praxisbeispiele mit wildcards:

Any USB Storage device

• USBSTOR*

Any USB Disk

• USBSTOR\DISK*

Any USB SanDisk drive

• USBSTOR\DISK&VEN_SANDISK*

Any USB SanDisk Micro Cruzer drive

• USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO*

A specific SanDisk device

• USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0

Link: https://support.symantec.com/en_US/article.TECH175220.html

Die kVASyStarter.msi nimmt für eine Batch-gesteuerte Installation folgende Parameter entgegen:
1. KVASYLAUNCHER_PROPERTIES_URL="<URL>" URL zur Starter-Konfigurationsdatei in der Form "file:////R:/ApplicationOrganizer/InhouseTest/kvasylauncher.properties". Benutze "/" anstatt "\". Als Protokoll kann auch das "http://"-Protokoll eingesetzt werden. Es muss sich hier um eine gültige URL handeln. Im Zweifelsfall kann diese im Browser getestet werden.
2. PROFILES_PATH="<Path>" Pfad zum kVASy5-Profilverzeichnis in der Form "D:\k5profiles". Default-Wert ist "#LOCALAPPDATA#\SIV.AG\kVASy\profiles". Netzwerkpfade sind möglich. Der User muß Schreibzugriff haben. Der Pfad darf auch Umgebungsvariablen enthalten, die erst zur Laufzeit vom Launcher aufgelöst werden. Diese müssen in Hashmarks (#) eingeschlossen sein. Beispiel: #USERPROFILE#\kvasy\profiles , D:\kVASy\profiles
3. WORKSPACES_PATH="<Path>" Pfad zum kVASy5-Workspace-Verzeichnis in der Form "H:\k5workspaces". Default-Wert ist "#USERPROFILE#\.sivag\kvasy\ao". Auch hier sind in Hashmarks eingeschlossene Umgebungsvariablen erlaubt.
4. CONFIGURATION_PATH="<Path>" Pfad, in dem der Starter interne Konfigurationsdateien ablegt. Es kann ein relativer Pfad (ausgehend vom Installationsverzeichnis) oder ein absoluter Pfad angegeben werden. Netzwerkpfade sind möglich. Schreibzugriff ist erforderlich. Hier sind keine Umgebungsvariablen erlaubt. ( D:\kVASy\configuration )
5. INSTALLDIR=<Pfad> Das Installationsverzeichnis. (Installation erfolgt als Administrator) ( C:\Programme\kVASyStarter )
6. /L*v <Log-Datei> Schaltet das Logging ein und kann zur Fehlersuche während der Installation verwendet werden.
7. /qn Silent-Mode - dieser Parameter muss immer der letzte sein.

Die Installation kann nur dann erfolgreich durchgeführt werden, wenn kein kVASy® Starter auf dem Installationsrechner noch ausgeführt wird. Es ist also vorher zu prüfen und sicherzustellen, dass keine launcher.exe noch ausgeführt wird.
Der Starter kann über folgenden Kommandozeilenaufruf deinstalliert werden:
msiexec /x kVASyStarter.msi 

• MS Office 2016 Download Links: https://www.heidoc.net/joomla/technology-science/microsoft/8-office-2016-direct-download-links

• Microsoft Windows and Office ISO Download Tool (Windows 7 / 8,1 / 10 / Office 2007 / 2010 / 2011 / 2013 / 2016)
Homepage (Phnom Penh, Cambodia): heidoc.net
Download Mirror: Windows ISO Downloader.exe
 ( Version: 5.10, Release Date: 10 August 2017 )

• MS Download Seite: https://www.microsoft.com/de-de/software-download/home

• Win10 Installation: https://uwe-kernchen.de/phpmyfaq/index.php?action=artikel&cat=14&id=243&artlang=de

04/2016: Zum Schutz vor Verschlüsselung durch Locky&Co. wurde in eScan "ebackup.exe" installiert. Damit wird standardmäßig nach c:\eScanBackup\ ein durch eScan geschütztes Archiv angelegt, in dem regelmäßig per Default alle Office-Dateien (doc, wps, pdf, csv...) gesichert werden. Beliebige Dateitypen möglich. Konfiguration mit c:\program files\eScan\ebackup.exe. Deinstallation der Funktion mit removebackup.exe.

WIKI und Support: http://support.mwti.net/

DOS-Konsole: c:\program files(x86)\escan\reload /s - Shutdown Antivirus

reload /l - Load Antivirus

instscan /nofw - Reinstall eScan mit Option "NoFirewall"

Logs: c:\ Progamm Files\escan\log\ 

Protokoll aller Aktivitäten in c:\windows\mwfs.log

Registry:

HKLM\Software\Wow6432Node\Microworld\eScan for Windows\MwMonitor\BlockFiles - Blocklist

Command Line Parameter für MWAV:

http://forum.da-s.com/viewtopic.php?f=12&t=83
mit /FS (Hintergrundbetrieb) beendet sich mwav.exe nach Ausführung.

eScan Firewall entfernen: http://forum.da-s.com/viewtopic.php?f=12&t=115

Lizenz:

C:\Program Files (x86)\eScan\License.ini - enthält alle Lic.-Schlüssel.
Datei kann in lokale Installation kopiert werden, damit diese unabhängig vom Server läuft!

Support-Forum:
http://forum.da-s.com/viewforum.php?f=12

Infra Recorder, auch portable http://infrarecorder.org/

Einfaches Tool zum CD brennen, erstellt auch ISO aus CD.

(Seit 2012 nicht mehr weiter entwickelt. Bis Windows 7 super)

Es ist kaum zu glauben, aber auch im Jahr 2017 gibt es bei Windows noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Papierkorb greift nur lokal.
Windows Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden.

Eine sehr praktische Software ist der Undelete Server von Condusive, der diese Lücke schließt und noch deutlich mehr bietet.
Jeder Druck auf den "Speichern"-Button am Client erzeugt eine Kopie im Undelete-Papierkorb auf dem Fileserver.
Der Papierkorb hat also eine Versionsverwaltung.
Man kann eine fehlerhafte Datei minutiös zurück rollen bis zum letzten fehlerfreien Stand.
Diesen Komfort bietet so kein Snapshot und kein Backup, und das macht die Software für mich zum unverzichtbaren Geheimtip.

Leider liegt die Priorität des Herstellers auf anderen Dingen und die Lizenzpolitik ist undurchsichtig.

Die aktuell auf der Herstellerseite und als Update angebotene Version 10 Build 7.0.202.26 ist von 2012 und unterstützt Windows 10 und Server 2016 nicht bzw. fehlerhaft.
Der Hersteller bietet aber eine Version 10 Build 7.0.205.0 von 2013 an (u.a. als Testversion), die die neuen Betriebssysteme fehlerfrei unterstützt. Beim Neuerwerb bekommt man auch diese Version. Offensichtlich wird es aber kein Update von Build 7.0.202.26 auf 7.0.205.0 geben.

Pimphony läßt sich im Benutzer nicht konfigurieren,
Fehlermeldung: Run-time-error '3204' Database already exists.

Behebung: Im Userprofil Verzeichnis: AppData/Roaming/Alcatel Pimphony/ löschen.

Mailstore ist eine deutsche, günstige, universelle und leistungsstarke Software zur E-Mail-Archivierung.
Das Mailarchiv ist verschlüsselt und wird dedupliziert.
Der Zugriff erfolgt über einen eigenen Client oder per WEB-Browser.
Neben Schnittstellen zu Exchange, G-Mail, Kerio, MDeamon, IceWarp beherrscht das Programm den POP3/IMAP-Abruf und hat für hartnäckige Fälle einen Mail-Proxy dabei.
Außerdem erlaubt es den direkten Zugriff auf die Postfächer der gängigsten Mailclients wie Outlook, Thunderbird, SeaMonkey, Windows Mail oder LiveMail.
Der Zugriff auf einzelne EML-, PST oder MBOX-Dateien ist ebenso möglich.
Mailarchiv kann nicht nur importieren, sondern exportiert die Nachrichten bei Bedarf auch wieder in allen genannten Formaten.
Damit ist das Programm auch als leistungsfähiger Konverter zwischen den gängigen Formaten einsetzbar. (Tip: kostenlose Version "Mailstore Home")

Die Benutzer des Mailarchiv können frei erstellt oder über diverse Schnittstellen eingelesen werden. (AD, LDAP, Office, MDeamon Userlist...)
Die Lizenzierung erfolgt pro aktiven Benutzern.

Version 10.1 (02/2020) archiviert bis 20% schneller
- hat verbessertes Outlook AddIn
- abgesicherter Mode, keine Jobs oder Profile, keine Useranmeldung (nur Admins)
- unterstützt kein MS Vista, Server 2008 und SmallBusiness 2008 mehr und damit auch kein Windows Mail.
- "Gateway" ersetzt den bisherigen Proxy, kostenloses und unabhängig von Mailstore nutzbar
- Compiliance: individuelle Aufbewahrungsregeln nach Betreff, Mailadresse u.a. definerbar,
  die "Aufbewahrungsdetails" sind an jeder Mail sichtbar.
- neu: "Letzte Ergebnisse" auf einen Blick.

Ab Version 10.0 gibt es einen Wiederherstellungsschlüssel.
- notwendig zum Rücksichern auf andere Hardware
- Verschlüsselung der gesamten Datenbank
- per Default ist das der Produktschlüssel.

Das Gateway ersetzt den bisherigen Mailstore Proxy und bietet ein Sammelpostfach (Journaling) für Office365, G-Suite u.a.
Gateway arbeitet als SMTP- und POP3 -Proxy.
Es unterstützt eigene Zertifikate oder Let´s Encrypt (Port 80!) für SSL.

(VERALTET) Das Proxy-Übergabeverzeichnis enthält .EML-Dateien (die eigentlichen Mails) und .MPR-Dateien. Letztere enthalten die Header-Informationen für die korrekte Zuordnung in ein Archivpostfach.
Achtung! Bei Catch-All wird hier eingehend nur der POP3-Recipient, also die zentrale Abrufadresse übergeben! (Stand Version 10.1.4.12522, 09/2017) Die Proxy-Variante ist also mit Catch-All nicht nutzbar bzw. kann die Mails nicht Usern zuweisen.
Bei ausgehenden Mails erfolgt die SMTP-Proxy-Zuordnung korrekt.
Bei der in den nächsten Jahren zu erwartenden Zunahme von Ende-zu-Ende verschlüsselten E-Mails ist die Proxy-Variante nicht mehr nutzbar und wird deshalb nicht mehr weiter entwickelt.

Für Tobit David ist die Archivierung über die IMAP-Schnittstelle geeignet.
Per IMAP-Sammelpostfach läßt sich beispielsweise das DUPLOG abgreifen und über die Mailadressen den ursprünglichen Benutzern im Archiv wieder zuordnen.
Interne Kommunikation wird dabei mit erfasst.

Das kostenlose Mailstore Home ist auf 2 Exchange-Postfächer beschränkt.
Sie besitzt keine Benutzerverwaltung, keine Rechteverwaltung und kein Logging.

Mailstore arbeitet auch ohne aktuelle Maintenance.
Allerdings gibt es dann keinen Support und keine Updates mehr. Auch Lizenzerweiterungen sind nur mit aktueller Maintenance möglich.

Tips:
- Verwaltung: SMTP konfigurieren
- Job anlegen: Statusbericht senden

- Compilance/Archiv-Zugriff/ freigeben-blockieren (Archiv-Zugriffe für Administrator ist per Default blockiert)

- Compilance/Aufbewahrungsrichtlinien (mehrschichtig, nach beliebigen Suchkriterien in den Nachrichten)
  - Richtlinien werden von oben nach unten abgearbeitet
  - kürzere Fristen nach oben, längere nach unten

- Neuinstallation mit Testlizenz durchführen. (30 Tage, 500 Benutzer!)
  Mit der Testlizenz lassen sich alle vorhandenen User archivieren, anschließend braucht man nur Volllizenzen für die aktiven User.
- 1 Userlizenz ist für öffentliche Ordner erforderlich, wenn mehrere User in das Archiv sehen können sollen.
  (ansonsten kann man den Ordner auch einem User zuordnen)
- ausgeschiedene Mitarbeiter werden im Mailstore gelöscht. Damit wird die Lizenz wieder frei. Das Archiv bleibt bestehen und kann einem anderen Mitarbeiter zugewiesen werden.

Technische Hinweise:
• Protokolle liegen in c:\ProgramData\Mailstore\Debug.log  (Fehlersuche nach "EXCEPTION")
• Antivirus: MS-Proxy und Datenbank von Echtzeit-Scan ausnehmen!

Rechtliches:
- Aufbewahrungsfristen gehen über Löschfristen.
- private E-Mails dürfen nicht in Firmenaccounts archiviert werden.
  -> Verbot der Privatnutzung
  -> explizierter Abtritt des Fernmeldegeheimnisses (Problem: Widerruf, Zustimmung der Gegenseite)

Links:
E-Mail-Archivierung von Tobit David.fx
Tobit Mail Access Server einrichten

- Azure AD-Synchronisation ist ungeeignet, wenn man keinen lokalen Exchange-Server betreibt!
  Konten und Eigenschaften können nur lokal bearbeitet werden und es existieren keine Tools zur Bearbeitung.
  Für kleinere Installationen ist es günstiger, die User separat in der Cloud zu pflegen.

- Mailstore sichert auch Exchange Online (Server: Outlook.office365.com, Home-Version max. 2 Postfächer).

Der Presurfer ist ein Tool zur Lizenzüberwachung der Bentley GIS -Lizenzen.

- auf dem GIS-Server läuft das eigentliche Programm.
- alle Zugriffe werden in einer SQL-Datenbank geloggt.
  - hängengebliebene Sitzungen suchen in Datenbank dbo.AquiredLicenses mit "where StopTime is NULL"

- auf jedem zu überwachenden Client läuft ein PreserverService.

- auf Server und allen Clients liegt unter ProgramData/Corporate Montage/Runner/ eine LOG-Datei für jeden Tag.
- wenn der Server nichts loggt, läuft der Dienst auf dem Client nicht
- LOG auf dem Client ist sehr informativ.

Der Adobe Reader wird auf dem Terminalserver nicht sauber beendet und belegt vor allem nach dem Druck so viel Speicher, dass er den Server nach einigen Ausdrucken zu 100% CPU auslastet.

Abhilfe:  "geschützten Mode" deaktivieren. (In AR11 unter Sicherheit -erweitert)

oder für alle User per Registry:

Find Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown

Create new DWORD32 Value:

          Value Name:  bProtectedMode

          Value Data:  0

Bei der E-Mail Verschlüsselung und Signatur unterscheidet man Client-basierende und Server-basierende Verschlüsselung.
Klassische Lösungen arbeiten Client-basiert. Das ist für Unternehmen zu unhandlich.

Zu den Unterschieden zwischen Transportverschlüsselung (TLS/SSL) und Inhaltsverschlüsselung (S/MIME, PGP..) siehe diesen Beitrag.

Die Inhalts-Verschlüsselung kann durch Key (Zertifikate) oder Passwort erfolgen.
Passwort-Verschlüsselung ist eine Notlösung, die keine Zertifikatsinfrastruktur erfordert und mit jedem Empfänger funktioniert.
Das ist lösbar mit automatischen Portallösungen oder ganz einfach mit verschlüsselten Anlagen im .ZIP oder .PDF-Format.

S/MIME

E-Mails werden mit dem öffentlichen Zertifikat des Empfängers verschlüsselt oder signiert.
Nur er hat den privaten Key und kann die E-Mails entschlüsseln.
Bei S/MIME werden die X.509-Zertifikate (SSL-Zertifikate) durch eine zentrale Zertifikatsstelle geprüft, signiert und verwaltet.
Zertifikate haben eine begrenzte Laufzeit. Alte Zertifikate sollten unbedingt aufbewahrt bzw. im System installiert bleiben, weil sonst alte verschlüsselte E-Mails nicht mehr geöffnet werden können.

Bei E-Mail-Signaturen benötigt jeder User ein User-Zertifikat nach dem Schema: user@domain.tld.
Gateway-Zertifikate bzw. Domain-Zertifikate sind gültig für alle E-Mail-Adressen unterhalb einer E-Mail-Domäne (@unternehmen.de).
Team-Zertifikate stellt man für Mailadressen aus, die nicht von einzelnen Personen verwaltet werden, wie z. B. info@unternehmen.de oder bewerbung@unternehmen.de.

Dateinamen und Content-Typen:
smime.p7m (signierte oder verschlüsselte Daten), smime.p7c (Zertifikat), smime.p7s (Signatur)

Formate:

PFX/P12/PKCS#12
• PCKS#12 oder PFX/P12 stellt ein binäres Format für die Aufbewahrung des Zertifikats (samt seinem Intermediate) mit dem privaten Schlüssel dar. Die Zertifikate und der private Schlüssel sind in der PFX-Datei mit einem Passwort geschützt.
• Die meistgenutzte Endung des Formates ist .pfx und .p12.
• PKCS#12 wird oft auf den Windows-Geräten für das Import und Export der Zertifikate zusammen mit dem privaten Schlüssel genutzt.
• Die in PFX gespeicherten Zertifikate dienen auch zum Signieren in Microsoft Authenticode.

Format P7B/PKCS#7
• Das Format PCKS#7 oder P7B repräsentiert ein oder mehrere Zertifikate im Base64 ASCII-Format, das in einer Datei mit der Endung .p7b oder .p7c gespeichert ist.
• Die Datei P7B enthält das Zertifikat und seine Kette (die Intermediate-Zertifikate), aber der private Schlüssel ist in ihr nicht vorhanden.
• Am häufigsten werden die P7B Dateien unter Windows und auf der Plattform Java Tomcat eingesetzt.

.DER-Binärformat (KEIN Textformat) zum Import in Anwendungen (Mail, Broser..)
• In DER können alle Zertifikatstypen und der private Schlüssel gespeichert sein.
• Die Endung der DER-Zertifikate ist meistens .cer oder .der.
• Private Schlüssel oder der Zertifizierungspfad können mit diesem Format nicht gespeichert werden.
• Das DER-Format wird auf den Java Plattformen genutzt.

.PEM - ASCII-Format
• ein in Base64 codiertes Format mit ASCII-Zeichen.
• Es kann neben dem reinen Zertifikat auch Intermediate-Zertifikate, Root-CAs und private Schlüssel beinhalten.
• Die Dateierweiterung .pem kommt meist zum Einsatz, wenn sowohl Zertifikate und der Privatschlüssel in einer Datei gespeichert werden.
• Für PEM- Zertifikate werden auch die Endungen .cer, .cert, .crt oder .key (für den privaten Schlüssel) genutzt.
• Von diesem Format gehen Apache und alle Server auf Unix/Linux OS aus.

CSR
• Ein Certificate Signing Request (deutsch: Zertifikatsignierungsanforderung) ist ein standardisiertes Format (PKCS#10)  zum Anfordern eines digitalen Zertifikats.
• CSR enthält den öffentlichen Schlüssel und weiteren Angaben über den Antragsteller des Zertifikats.
• Die Zertifizierungsanfrage kann anschließend von einer Zertifizierungsstelle (CA) signiert werden und man erhält ein digitales Zertifikat zurück.

Zertifikate konvertieren:

Mit Hilfe von OpenSSL lassen sich viele Formate schnell und einfach in ein anderes Format konvertieren.

LetsEncrypt Wildcard-Zertifikate müssen zwingend per DNS validiert werden.

Tobit David kann S/MIME Zertifikate zentral im Server oder lokal im Client verwalten.

 PGP

Auch PGP arbeitet mit unsymmetrischer Verschlüsselung, also mit einem öffentlichen und einem privaten Schlüssel.
Im Gegensatz zu S/MIME gibt es keine zentrale Zertifikatsinstanz,- jeder Nutzer sammelt also die öffentichen Zertifikate der Gegenseite selbst ein.
Damit ist das Verfahren nicht über die Zertifikatsstelle zu kompromittieren.
Das Einsammeln und Verwalten der öffentlichen Schlüssel ist aber entsprechend mühsam.

Mail-Gateway OpenSource: Ciphermail.
Hardware Appliance made in germany: Zertificon
Secure E-Mail Gateway: SeppMail

<#
   Name
   Get-IPv4

   Beschreibung
   Ermittelt die IPv4, zugehörige MAC-Adresse sowie den Adapternamen

   Benötigt
   PowerShell 3.0 (Windows6.1-KB2506143-x64)
   

   Version, Datum, Beschreibung, Autor 
   1.0 | 23.01.2017 | Initiale Version | Stefan Rehwald
   1.1 | 11.07.2017 | Clear-Variable hinzugefügt | Stefan Rehwald
   
#>

function Get-IPv4 ()
{
    $IPRaw = ipconfig /all

    $i=0
    Foreach($Row in $IPRaw)
    {
        #Get IPv4 (all), MAC and Adaptername
        If($Row -like "*IPv4*")
        {
            #MAC
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "*Phy*")
            $v4_MAC = $IPRaw[$j].Trim()

            #Adaptername
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "")
            $v4_Adaptername = $IPRaw[$j-1]
       
            #Data
            $v4_IPv4 = $Row.Split(":")[1].trim()
            $v4_MAC =  $v4_MAC.Split(":")[1].trim()
            $v4_Adaptername = $v4_Adaptername.Replace(":","")
            $IPData =@($v4_IPv4,$v4_MAC,$v4_Adaptername)
            
            #LOG
            Write-Host "$($v4_IPv4);$($v4_MAC);$($v4_Adaptername)" -F Green
          
            #Clearing
            Clear-Variable v4_*
        }
        $j=0
        $i++

    }
}

Get-Ipv4

<# Ausgabe #>

# 172.29.0.241(Bevorzugt);E4-B3-18-E6-B1-58;Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung
# 192.168.1.1(Bevorzugt);C8-5B-76-2B-28-7C;Ethernet-Adapter LAN-Verbindung

Einfache Ausgabe der IP, ermittelt aus dem Hostname:

$IPClient = Test-Connection $env:COMPUTERNAME -Count 1

#IPv4
$IPClient.IPV4Address.IPAddressToString

#IPv6
$IPClient.IPV6Address.IPAddressToString
<# Ausgabe #>
#IPv4
# 192.168.1.1 
#IPv6
# fe80::e6:bfe9:cc2c:7e1d%13

Quelle: https://blog.stefanrehwald.de/2017/01/31/powershell-14-ipv4v6-und-mac-ermitteln-ohne-zusaetzliche-cmdlets/

So gehts auch:

Get-Wmiobject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=true" | select Description,IPAddress

Audacity

Audacity ist ein freier Audioeditor und -rekorder bzw. eine Digital Audio Workstation.
Auf beliebig vielen Spuren können Audiodateien gemischt und bearbeitet werden.
Deutsch, VST-kompatibel.

https://www.audacity.de/
CT 14/2019 S. 134ff.

Bandlab Cakewalk

Professionelle Musik-Produktions-Software (ähnlich Steinberg Cubase)

- Sequenzer für beliebig viele MIDI- und Audio-Spuren

- üppig ausgestattetes virtuelles Mischpult
- alle gängigen Audio- und MIDI-Treiber werdewn unterstützt, alternativ: ASIO4All-Treiber
- VST 2/3-Schnittstelle für Effekte

Achtung: Anbieter lässt sich freie Vermaktung aller Daten in den AGB abnicken!
Programm läuft aber auch offline ohne Datenübertragung.

Herstellerseite: www.bandlab.com

Beschreibung: CT 11/2018 S. 62ff
Link zu guten kostenlosen VST-Plugins: ct.de/y3um

No 23 Recorder

Freeware zum Audiomitschnitt von der Soundkarte

Aktivitätenverwaltung
Dokumentiert Schulungen, Beratung, Berichte, Vor-Ort-Termine usw. und definiert (gerade für ext. DSB) vor Ort Standardentfernungen und -reisezeiten für einfache Abrechnungsgrundlagen.

Anfragen Betroffener
Anfragen können durchsucht und gefiltert werden.
Abgeschlossene Anfragen können in ein Archiv verlagert werden.
Anfragen lassen sich (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellen.

Auftragsverarbeitung
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.
- Eigene Vertragsgrundlagen können in den Vorlagentextbausteinen definiert werden. Neben AV-Vertrag gem. Art. 28 DS-GVO, EU-Standardvertragsklauseln, etc. können damit alle für Sie relevanten Vertragsarten abgebildet und Einträge danach gefiltert werden.
- "AV-Export" - exportiert das gesamte Verzeichnis als CSV.
- "Internes Verzeichnis" (Langform) und Behördliches Verzeichnis" - gibt die mit den Auftragsverarbeitungen verknüpften Verfahren aus.

Benutzer vs. Mitarbeiter
Benutzer melden sich im audatis an und haben einen eigenen Login + Benutzerrolle.
audatis lizenziert die Anzahl der Benutzer.
Mitarbeiter können beliebig viele erstellt werden und zu Organisationsstrukturen hinzu gefügt werden.
Benutzer können zukünftig der Dokumentations- und Nachweisverwaltung zugeordnet werden.

Online-AV-Verträge
können als elektronische Verträge direkt aus dem Programm generiert werden (kostenpflichtig).
Vertäge sind auch möglich für "Vereinbarungen für gemeinsam Verantwortliche", welche ein 1:1 Verhältnis innehaben.
Inhaltlich sind die Vereinbarungen identisch nutzbar, jedoch sprachlich etwas abgewandelt. Sie landen dann automatisch in der Übersicht der Gemeinsam Verantwortlichen und nicht in der Auftragsverarbeitung.

Berichtsverwaltung
Mächtiges Ausgabewerkzeug über fast alle Module.
* Bereiche: Internetseiten, Gemeinsam Verantwortliche, Datenschutz- und Sicherheitsvorfälle, Anfragen Betroffener, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungen, TOM lassen sich ausgeben
* je nach Bereich Ausgabe als Liste, Tortendiagramm oder Bericht möglich
* Gruppierung nach Unterpunkten möglich

Dateiablage
Zentrale Dateiablage besitz pro Ordner eigenständige Berechtigungen an Rollen oder einzelnen Benutzern.
"Shared-Ordner" lassen sich in der Group-Version über Mandanten hinweg benutzen.

Datenschutz-Vorfälle
können (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellt werden.
In Datenschutzvorfällen (Vorlagen) können Sofortmaßnahmen hinterlegt werden.

Fragebogenmanager

• Check-In Fragebogen
  Fragebogenverwaltung -> Check-In Fragebogen verwalten:
  -> Fragebogen wählen und Mandanten zuweisen
  - Fragebogen muß beim CheckIn ausgefüllt werden und läßt sich nur von Administratoren übergehen
  - erst nach Bearbeitung des Fragebogens kommt man wieder in den Mandant (!)
  - der fertig ausgefüllte Fragebogen liegt unveränderbar mit Abschlussdatum in der Fragebogenverwaltung -> Check-In Fragebogen verwalten.
  
  
• Audit Fragebogen
  - Modul Audit -> Audit erstellen: Benutzer und Fragebogen zuweisen
  - der ausgefüllte Fragebogen bleibt im Modul Audit. (Im Moment fehlt leider noch ein Ablagedatum)
  
  
• AV Selbstauskunft (nur Auftragnehmer-AN)
  - Auftragsverarbeitung -> Selbstauskunft -> Fragebogen wählen, Link generieren
  - Fragebogen kann extern ausgefüllt werden
  - Selbstauskunft wird komplett als Historie in der betr. Auftragsverarbeitung gespeichert.

Protokollverwaltung
Erstellen einfacher Gesprächsprotokolle, um diese mit Tagesordnungspunkten (TOP) zu versehen.
Jedem TOP können dabei Aufgaben oder Maßnahmen für Benutzer zugeordnet werden.
Damit lässt sich direkt bei der Protokollerstellung auch die weitere Überwachung der Abarbeitung und Verteilung von Aufgaben erledigen. (Dieses Modul muss zunächst in der Benutzerverwaltung aktiviert werden).

TOM
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.

Vorlagenbausteine
Vorlagentextbausteine können direkt mehreren / allen Mandanten zugewiesen werden (Group-Version).

Zusammenarbeit mit Aufsichtsbehörden
Modul ist ähnlich aufgebaut wie Anfragen Betroffener.
Der Fokus liegt hier aber auf einer übersichtlichen Dokumentation aller Anfragen an und Anliegen von der Aufsichtsbehörde.
Hier können Beschwerden, Anfragen, Konsultationen in Zusammenhang mit der DSFA sowie Prüfungen durch die Aufsichtsbehörde dokumentiert und mit Fristen versehen zur Abarbeitung eingestellt werden.

Neuen Benutzer registrieren

Sofern Sie eine Einladung zur Registrierung als neuer Benutzer erhalten haben, können Sie über den entsprechenden Link einen neuen Benutzer festlegen.

1. Zunächst müssen Sie Angaben zu Ihrer Person (Name, Vorname, E-Mail-Adresse) machen und einen Benutzernamen definieren.

Die verwendete E-Mail-Adresse muss identisch zu der in der Einladungsmail angegebenen E-Mail-Adresse sein.
Das zu vergebene Passwort muss ausreichend komplex und sicher sein und ein weiteres Mal bestätigt werden.

Sie erhalten Hinweise welche Zeichen Sie verwenden dürfen und wie lang Benutzername und Passwort sein müssen!

2. Nun müssen Sie noch Ihren Freischaltcode eingeben, um die Registrierung zu verifizieren. Diesen erhalten Sie ebenfalls in der Einladungsmail.

3. Sie erhalten nun eine E-Mail mit einem Aktivierungslink, den Sie zunächst anklicken müssen, um die Registrierung abzuschließen. Anschließend können Sie sich mit Ihren Benutzerdaten anmelden.

4. Den Link zur Anmeldung finden Sie immer ganz oben rechts in der Kopfzeile.

Quelle: audatis FAQ

• Eine zentrale Gatewaylösung
• Verschlüsselung mit Hilfe von S/MIME, OpenPGP und PDF
• Automatische Ver- und Entschlüsselung von ein- und ausgehenden Emails
• Optionale Verschlüsselung auf Grund eines Triggers in der Betreff-Zeile
• Automatischer Import von Schlüsseln
• Basiert auf Java (Spring)
• Virtuelle Maschinen für VMware and Hyper-V verfügbar
• Installationspackete für Ubuntu, Debian, RedHat/CentOS
• Lizenziert nach AGPLv3, somit keine Lizenzkosten
• Open Source aus Amsterdam / EU

• Ciphermail-4.1.2-1-Ubuntu-16.04.zip laden und als VM installieren (min. 2GB, empfohlen: 4 GB RAM, 1 vCPU, 2 vCPUs recommended)
• SSH-Anmeldung: sa / sa

Links:
CipherMail Hersteller: https://www.ciphermail.com/
CipherMail dt.: https://www.ciphermail.info/
Cipher Installationsanleitung: https://www.net-cry.de/unix/automatische-e-mail-ver-und-entschluesselung-mit-djigzo

License Crawler von Martin Kliensmann - läuft auf Windows- 95 bis 10 und Server, findet viele Keys.

Magical Jelly Bean Keyfinder - findet Windows Key, manchmal auch mehr.

Software zur Datenschutz-Folgenabschätzung (PIA-Tool) des BayLfD
https://www.datenschutz-bayern.de/technik/pia-tool.html

Audatis Datenschutz-Manager
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1280

Windows 10: lokales Passwort zurück setzen mit Bordmitteln

Router und Webseiten auslesen(IE): RouterPassView von Nirsoft
Browserpassworte, Netzwerkshares, Windows, Mailaccounts, PST-Dateien, RDP-Connection, VNC bei Nirsoft

Mit entsprechenden Tools ist es möglich, das Handy als "Webcam" für Videokonferenzen am PC zu nutzen.

Android: DroidCam verwandelt das Android-Handy in eine WLAN/USB-Webcam mit der man über Skype, Zoom, Teams, JitsiMeet und andere Programme chatten kann. DroidCam kann auch netzwerkübergreifend als IP-Kamera mittels Webbrowser genutzt werden.
Das Gleiche gibt es auf der Webseite des Entwicklers für IOS, die entsprechenden Treiber für Windows und Linux.

Das Mobiltelefon läßt sich über WLAN oder USB (Debug- und Entwicklermode ON) an den PC anbinden.
Eine leichte Latenz ist spürbar.
Neben dem Bild läßt sich auch das Mikrophon des Handys nutzen. Das vermeidet Synchronisationsfehler von Ton und Bild und das Handy optimiert die Echounterdrückung.
Der Einsatz von Kopfhörern zur Echounterdrückung ist aber empfehlenswert.

Bei ernsthaftem Einsatz ist eine Handyhalterung etwa in Gesichtshöhe empfehlenswert.

Weitere Tools und Praxistips in CT 14/2020 S.92ff.

GIS verteilte Versionsverwaltung (lokal, zentral, verteilt)
GITHUB ist ein Anbieter von GIT.

GIT Bash Konfiguration:
- git config --list  - listet aktuelle Config
- git config --global user.name "Git-Username"
- git config --global user.email "mail@server.de"
- cd ... zum lokalen Datenverzeichnis
- git init  - erstellt (leeres) Repository

Quelle: HPI

GIT Bash Daten hinzu fügen:
- git add *.php  - Datei der Staging Area hinzu fügen und für Repository auswählen
- git commit  - Änderungen im Repository speichern. Ggf mit Kommentar: git commit -m "Kommentar"
- git commit --ammend  - ersetzt den letzten Commit mit dem Neuen (Fehlerkorrektur im Kommentar o.ä.)
- git remove  - Datei wieder aus Repository und Index entfernen
- git status  - zeigt Staging Cache und Repository

Online Repository
- git remote  - verwaltet alle verfolgten Repositorys
- git remote add <alias><url>  - synchronisiert lokalen Alias in Online-Repository
- git remote remove <alias>  - entfernt Repository online
- git clone <url><alias>  - clont vorhandenes Online-Repository in lokalen Alias

Lokale Änderungen online übertragen
- git push orgin/<branch>
- git push -u orgin master

Online Änderungen lokal übertragen
- git fetch origin
- git merge origin/<branch>
- git pull (=fetch+merge)

Master-Branche ist immer der aktuelle Branch.
- git branch <branchname> neuen Branch erstellen
- git checkout <branchname> Branch wechseln
- git checkeou -b <branchname> neuen Branch erstellen und gleich hin wechseln
- git merge <branchname>  Merged aktuellen Branch mit <branchname>

- git log  zeigt Versionshistorie des Repositorys

• Windows Media Player
  - CD auswählen
  - CD kopieren (vorher Kopiereinstellungen)

- bordeigenen Zuverlässigkeitsprüfung! im Suchfenster "Zuverlässigkeit"...

- listet Fehler und Warnungen des Ereignisprotokolls tageweise sehr übersichtlich ein.

Windows 8-10

Startmenue All Users: C:\ProgramData\Microsoft\Windows\Start Menu
Desktop All Users: C:\Users\Public\Desktop (Öffentlich/Öffentlicher Desktop)
  -> Tip: "dir /ad" löst die Links in den jeweiligen Verzeichnissen auf.
Startmenue [User]: Users/[User]/AppData/Roaming/Microsoft/Windows/Start Menu
Desktop [User]: Users/[User]/Desktop
Persönl.angeheftetes Startmenue: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
Persönl. Taskleise: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar   -> siehe unten!

SendTo: Users/[Benutzer]/AppData/Roaming/Microsoft/Windows/SendTo

-> direkter Sprung in den Ordner "Autostart All-Users": ausführen: "shell:startup"

Standardprofile: \\%systemroot%\Users\Default
Das Profil wird durch Hineinkopieren eines lokalen Profils angelegt. (keine Drucker!)
(ausgeblendete +geschützte Systemdateien sichtbar, JEDER=lesen, Kopieren alles ausser ntuser.dat, ntuser.dat.log, ntuser.ini)
Domänen Default Profil: //[Servername]/Netlogon/Default User.v2 / v4-Win7 / v5 -Win10
Domänen User Profil: muß in "AD Benutzer und Computer" definiert werden. Änderung für einzelnen PC im lokalen Profilmanager möglich.
//[Servername]/Profile/%username% (PROFILE muß eine Freigabe mit Vollzugriff sein)

Howto: http://www.dertechblog.de/2011/10/howto-angepasstes-windows-default-profile-bereitstellen/
Verbindliches Profil kann vom Benutzer nicht geändert werden. Änderungen werden beim Abmelden verworfen.
-> USER.DAT in USER.MAN umbenennen. Funktioniert für Userprofile und kann sogar im Default Profil definiert werden.

Standardprofile werden in Domänen zuerst unter \\\netlogon\Default User gesucht, danach lokal in \\%systemroot%\Dokumente..\Default User.

• Default Profil in Windows 10 erstellen: http://www.tenforums.com/tutorials/2110-default-user-profile-customize-windows-10-a.html
(erscheint plausibel. ich habe es noch nicht getestet)

Um Programme an die Taskleise zu pinnen genügt es nicht, eine Verknüpfung im o.g. Ordner "Persönliche Taskleiste" anzulegen. Die Info wird außerdem verschlüsselt unter HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband abgelegt. Lösbar ist das mit VB. (Beispiel kopiert Paint-Verknüpfung in die Taskbar.)

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Set objShell = CreateObject("Shell.Application")
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories")
Set objFolderItem = objFolder.ParseName("Paint.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
    If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next

Das geht genauso umgekehrt mit "Von Taskleiste lösen". 

betrifft: Win2008, Win2012, Win2016, WinVista, Win7, Win8, Win10

Wenn User-Ordner auf Netzfreigaben verschoben werden, zeigt Windows diese als "Eigene Dokumente" und nicht mit ihrem wirklichen Namen.
Abhilfe: für desktop.ini - Berechtigungen lesen verbieten.
http://support.microsoft.com/kb/947222/en-us

DOS-Box: "WBADMIN start systemstatebackup -backupTarget:e:"

Windows 8.1: DISM - Aufruf aus Wiederherstellungskonsole (CD, Stick), legt komprimierte WIM-Datei mit gesamtem Inhalt von LW: C: (ausser Wiederherstellungspunkte, Auslagerungsdateien, Papierkorb und OfflineCache) an.
Backup: dism /capture-image /imagefile:[Ziellaufwerk]:image.wim /capturedir:c: /scratchdir:[Ziel-/Templaufwerk]: /name:"Mein Image"
Restore: dism /apply-image /applydir:[Ziellaufwerk]: /imagefile:[Backuplaufwerk]:\image.wim /scratchdir:[Ziel-/Templaufwerk]: /index:1
Ausführliche Anleitung mit Exclusion-List in ct 17/2014 S.76ff.

Veeam Backup (auch free) siehe Backup: Veeam Backup

Acronis Backup & Recovery
- kann seit Version 11.5 Update 3 (Ende 2013) MS SQL, SharePoint und AD sichern und separat wieder herstellen.

Siehe auch meine allgemeine Backup-Betrachtung.

Mit der Tastenkombination <Shift>-<F10> kann während einer Reparaturinstallation eine WinPE Eingabeaufforderung (CMD.EXE) geöffnet werden.

Win 10:

Bootrecord reparieren:
- Erste aktive Partition ermitteln. Normalerweise "System-reserviert" oder "EFI-Systempartition", LW E:

bcdboot c:\windows /s e: /l de-de

Systemdateien überprüfen und automatisch vervollständigen:

sfc /scannow /offbootdir=e: /offwindir=c:\windows

Win10, Server 2019:

Dism /Online /Cleanup-Image /ScanHealth

Dism /Online /Cleanup-Image /CheckHealth

DISM /Online /Cleanup-Image /RestoreHealth

Windows 8:

Wiederherstellungskonsole kann:

- Windows in Auslieferungszustand zurück versetzen.
- Windows auf Systemwiederherstellungspunkt setzen.
- Eingabeaufforderung mit
  diskpart (Partitionierer),
  dism(Imager, ->Backup Betriebssystem),
  wpeinit (startet Netzwerk, danach Mappen mit NET USE)...

Unter Windows 8.1 kann man auch einfach einen Wiederherstellungs-Stick erstellen. ( Windows 8.1 Wiederherstellungslaufwerk erstellen)

Windows 7:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Systemdateien überprüfen:

sfc /scannow

- Windows identifiziert das Netzwerk anhand der MAC-Adresse des Standardgateways.
- PCs ohne gültiges Standardgateway landen unabänderlich im "Öffentlichen Netzwerk"! (Firewall dicht)
  Abhilfe: Standardgateway auf beliebiges Gerät im LAN definieren (Drucker, NAS, PC), dann kann das "unbekannte Netzwerk" einer Kategorie zugeordnet werden.
- Heimnetzwerke sind nur von PCs sichtbar, deren LAN als "Heimnetzwerk" eingestuft wurde.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\<Deine Profilnummer>
• Category Werte:
  • Öffentlich = 0
  • Privat = 1
  • Arbeitsplatz = 2

• DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net

• DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.

• Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.

• Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]
• Gruppenrichtlinien VORHER einrichten:
- Audit Policy aktivieren: Computerkonfig.\Windows Settings\Sicherheit\Local Policies\Überwachungsrichtlinie\
-- Anmeldeereignisse = überwachen
-- Kontenverwaltung = überwachen
-- Verzeichnisdienstzugriff = überwachen
-- Objektzugriffsversuche = überwachen
-- Richtlinienänderungen = überwachen
-- Systemereignisse = überwachen

• Systemüberprüfung ausführen und alle Systemfiles checken. (dism, sfc... )

Siehe Windows Systemreparatur
Siehe Windows Update-Service Tips

Manchmal hilft diese Lösung:

- NET STOP wuauserv (ggf. Systemdienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" (wuaserv, cryptSync, bits, msiserver))
- windows/SoftwareDistribution/Datastore/datastore.edb weg kopieren
  oder:  rd c:\windows\SoftwareDistribution /s /q  (enthält alle Updates + Statusinfos)
- NET START wuauserv

Unter Server 2016 hilft gelegentlich statt der GUI
das Kommandozeilentool SCONFIG. (Server 2012/2016/2019)
Updates konfigurieren und installieren

Oder Update manuell vom Software Catalog installieren:
https://www.catalog.update.microsoft.com/Search.aspx?q=Server+2016

„Windows Update PowerShell Module“ von Technet (gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc) herunter laden. Archiv öffnen und Ordner „PSWindowsUpdate“ in  Verzeichnis „%Windir%\System32\WindowsPowerShell\v1.0\Modules“ entpacken.

Suchen (Windows+Q) nach „PowerShell“, Suchtreffer „Windows PowerShell“ mit Rechtsklick als Administrator öffnen.

Zuerst Ausführen des Skripts mit dem Befehl erlauben:

Set-ExecutionPolicy RemoteSigned

Sicherheitsabfrage mit "Ja" bestätigen.

Zwei weitere Befehle importieren das Modul und starten die Installation der Updates:

Import-Module PSWindowsUpdate

Get-WUInstall

Nach der Eingabe von Get-WUInstall dauert es einige Zeit, dann erscheint ein Update-Dialog.

Fehlerhafte Updates von der Kommandozeile deinstallieren: wusa /uninstall /kb:xxxx

Windows Update neu registrieren:

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%System32Catroot2 old catrood2
net start cryptsvc
ren %systemroot%SoftwareDistribution Software Distribution.old
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wucltux.dll
regsvr32 wups2.dll
regsvr32 wups.dll
regsvr32 wuwebv.dll
net start bits
net start wuauserv


Verwalten der Intelligenten Hintergrund-Dateiübertragung: (Win7-10)
BITS kann Uploads und Downloads. Windows nutzt BITS intensiv (Update, Nachrichten, Live-Dienste). Aber auch andere Programme oder Malware kann BITS nutzen.
bitsadmin /list /allusers   - Liste aller laufenden oder anstehenden Aufträge

bitsadmin /monitor /referesh 2  - zeigt im Intervall (2 sek.) vorhandene Jobs

Klassischer Hardwareassistent, der auch Treiber ohne Hardwareerkennung installiert:
"hdwwiz" im Suchfeld eingeben und "Als Administrator ausführen"

Allgemeine Reg.-Daten:
- HKLM\SAM [Benutzer, Rechte] -> /windows/system32/config/SAM
- HKLM\SECURITY [Benutzer, Rechte] -> /windows/system32/config/SECURITY
- HKLM\SOFTWARE [allgemeine Softwareeinstellungen] -> /windows/system32/config/SOFTWARE
- HKLM\SYSTEM [Gerätetreiber] -> /windows/system32/config/SYSTEM
- HKU\DEFAULT [Standard-Benutzerprofil] -> /windows/system32/config/DEFAULT
Benutzerspezifische Reg.-Daten:
- HCU\ [persönl. Nutzerprofil] -> /Dokumente.../[user]/NTUSER.DAT
- USRCLASS.DAT [benutzerspez. Softwareeinstellungen] -> /Dokumente.. bzw. USERS/[user]/LokaleEinstellg./Anwendungsdat./Microsoft/Windows/
Kopie der Registry: befindet sich in /windows/repair/
Wiederherstellungspunkte: in /SystemVolumeInformation/_restore{GUID}/RP{x}/Snapshot/
(RP{x} steht für die einzelnen Wiederherstellungspunkte)

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.

 ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

Abkürzung:
HKLM\System\CurrentControlSet (gibt es nur lokal) = HKLM\System\Select verrät, welches ControlSet das aktuelle ist.
HKEY_CLASSES_ROOT = HKLM\SOFTWARE\Classes

* ganzen Schlüssel mit Unterschlüsseln löschen: [-Hkey_Local_Machine\Testschlüssel]
* einzelnen Wert löschen: [Hkey_Local_Machine\Test schlüssel] "Testwert"=-

Siehe auch -> Kopierprogramme.

Windows alle Versionen

MiniTool Partition Wizard
Partiongröße verändern, Partition oder Disk clonen, Partition Recovery.
Als Windows-Installation oder Boot-CD (nicht free) Download verfügbar.
Einschränkung der Free-Version: nicht kommerziell, keine Server, keine dynam. HD, GPT-Partition, kopiert keine Systempartition!, keine Boot-CD.

Windows 10

Macrium Reflect Free (siehe Kopierprogramme) oder MiniTool Partition Wizard (oben)

Windows 8.1

Boardmittel DISM.... Beschreibung unter  Backup Betriebssystem

Win XP - Win 8

xcopy [Quelle] [Ziel] /c /h /e /k /r /o /x .
Wie bei Win9x, außerdem werden aber auch Besitzer und ACLs mit kopiert. System per CD/Reparatur wiederherstellen. (ggf. Rettungsdisk anlegen!)

Einfacher: Acronis True Image Home (11): HD klonen.

WinNT - 2003

Neue HD parallel mit einbauen, im Festplattenmanager Plattenspiegelung aktivieren, nach erfolgter Spiegelung wieder deaktivieren.
Besser: spezielle Tools wie Acronis DiskImage.

Windows 9x:

Neue HD parallel mit einbauen, Daten im Windows (DOS-Box) kopieren mit xcopy c:\*.* [neue HD:] /c /h /e /k /r .
Anschließend neue HD als Master anklemmen, mit FDISK Partition aktivieren, von Bootdisk SYS C: ausführen, fertig !
Selbst Laufwerks-Freigaben und Papierkorbinhalt stimmen noch.

HDD RAW Copy (CT Notfall-Windows)
1:1 Kopie des Datenträgers

Unstoppable Copier (CT Notfall-Windows)
1:1 Kopie, besonders bei defekten Sektoren o.ä. (Kopierschutz, defekte CD)

CONVAR File Recovery -Datenrettungsprogramm, unterstützt FAT 12/16/32 und NTFS.
(voll funktionsfähige Freeware)

Recuva (CT Notfall-Windows)
Suche im Verzeichnis nach gelöschten Dateieinträgen.

Testdisk (CT Notfall-Windows)
Suche auf der Disk nach gelöschten Dateieinträgen.

PhotoRec / QPhotoRec - (CT Notfall Windows, letzteres mit GUI)
ggf. Letzte Rettung. Durchkämmt Datenträger und sucht nach Dateianfängen.

Server2016:
Reg-Eintrag (unten) ist nicht mehr vorhanden, aber per CMD geht es.

CMD: control userpasswords2

Getestet unter WinXP, Vista, Win2008, Win7, Win2012R2, Win10 (1909):

Eintrag in Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon :

ValueTypWert AutoAdminLogon REG_SZ 0x0 oder 0x1. Bei 0x1 erfolgt automat. Anmeldung.
DefaultPassword REG_SZ Kennwort
DefaultUserName REG_SZ Username

Das klappt nur, wenn man wirklich alle 3 Parameter angibt.

Diverse alternative Methoden beschreibt Deskmodder.

Win 2000 Prof:

Einfach in Systemsteuerung\Benutzer u. Kennwörter Häkchen bei "Benutzer müssen .. Benutzernamen eingeben.." bzw. "Vor Anmeldung CTRL-ALT-DEL.." raus.
Geht nicht bei der Serverversion.

1. Registry: HKLM
2. Registry: HKCU
3. autoexec.bat
4. Anmeldescript

für alle gängigen Systeme (DOS, LINUX, OS/2, WinXXXX, Win-Server..) gibt es bei bootdisk.de

Diese Tools gehören bei mir auf jeden PC:

• Classic Shell - ohne ist Windows 8, Server 2008, 2012 praktisch unbedienbar. http://www.classicshell.net/
• NetSpeedMonitor, zeigt Upload-/Download Traffic in Echtzeit in der Taskleiste an. (Windows 7, 8, bei Win10 im Kompatibilitätsmode installieren) http://winfuture.de/downloadvorschalt,3351.html
• Lanlights alternativ für die nicht so technik-affinen. Zeigt den Net-Speed als Blinkern im Netzwerksysmbol wie bei Win98. (Windows XP, 7, 8) http://www.paulmather.net/lanlight.asp
• BGInfo aus  Sysinternals Tools gehört auf jeden Server oder jede VM.
• F.Lux - passt Farbtemperatur und Helligkeit des Bildschirmes der Tageszeit an

Systemstart optimieren mit msconfig.
Verschafft Überblick über system.ini, win.ini, boot.ini incl. aller Parameter, laufend Dienste bzw. Nicht-MS-Dienste und Systemstart.
Tool ist nicht in Win2000 enthalten, läuft aber auch dort.

Systeminfo.exe  Sehr leistungsfähiges Tool, listet OS Version, Installationsdatum, Startzeit, Startvolume, Hotfixe u.a.
In Win7/8 enthalten.

sysinternals.com
Tools, Sourcen und Infos zu Windows
Die Tools sind so mächtig, dass ich ihnen einen eigenen Artikel gebe:  Sysinternals Tools

support.microsoft.com/fixit/
Microsoft Fix-It Supportcenter

Windirstat.info
Gutes Disknutzung- und Bereinigungs-Tool, free. Nur lokale Laufwerke.
Bei Speziiellen Anforderungen wie "Wo liegen die großen ZIP-Dateien" ist Treesize gefragt.

AllDup
Sucht doppelte Dateien, je nach Einstellung gleiche Dateinamen (schnell), ähnliche Dateinamen, ähnliche Bildinhalte, gleicher Dateiinhalt (entsprächend langsamer).

Treesize Professional
Geniales Disknutzung-Tool, kostenpflichtig

mythicsoft.com
"Agent Ransack" - Windows-Dateisuche, die auch funktioniert. Sehr schnell, auch im Netzwerk.

netzwerktotal.de
aktuelle Infos zum Thema Internet, Windows, Computer, Smartphone und Co.

Forum und Downloads

MiniTool Partition Wizard

Partiongröße verändern, Partition oder Disk clonen, Partition reparieren.
Als Boot-CD oder Windows-Installation.

eventid.net

MS Event-ID Suchmaschine, schneller und mehr Ergebnisse als nur MS KnowledgeBase

WinFaq.de

Tools und Infos zu Windows 9x .. 8

Nirsoft

Tools (Passwort, Netzwerk, Outlook....)

ShowKeyPlus

Liest installierten Windows Key aus sowie ggf. den in der Hardware hinterlegten OEM-Key oder den Original-Key vor einem Gratis-Win10-Update.

Klingt einfach, ist es aber leider nicht.

Feature nachinstallieren schlägt fehl.

Lösung beim Server: alternativen Datenpfad angeben: CD:\sources\sxs\

Lösung bei Windows 10: Download oder DISM

oder (Source-Verzeichnis zur CD entsprechend anpassen):

dism /online /enable-feature /featurename:netfx3 /all /source:d:\x64\sources\sxs /limitaccess

Bei Win10 Version 1903 funktioniert die Installation aus dem Source-Verzeichnis nicht.
Abhilfe: 1809-CD.

Windows Server 2008, Server 2012: ISO muß lokal liegen, nur dann geht es.

Das Problem hat Windows 8 übrigens auch.

Bei Windows 10 geht auch das Mounten von ISOs im Netzwerk.

Windows 7 kann keine ISO mounten. Abhilfe: WinCDEmu, bei WinXP, Win7, Win2008,.... sogar als Portable.

- es kann (betriebsrat-konform) der Bildschirm des entfernten Users gezeigt oder gesteuert werden.
- man arbeitet im Berechtigungskontext des entfernten Users. "Als Administrator ausführen" geht nicht.

 
Ab Server 2008 bzw. Windows XP:
C:\Windows\System32\msra.exe /offerRA {Client}

Server: Feature "Remoteunterstützung" muß installiert sein.

Firewall:
Eingehende Regel: Remoteunterstützung aktivieren!
Portausnahme:
 135:TCP:192.168.128.0/21:enabled:Port 135
Programmausnahme:
 %systemroot%\System32\raserver.exe:192.168.128.0/21:enabled:Remoteassistance
 %systemroot%\System32\msra.exe:192.168.128.0/21:enabled:Remoteassistance anbieten

Gruppenrichtlinie:
Remoteunterstützung (Einladung per Mail) aktivieren:
Richtlinie -> Computerkonfiguration\Administratve Vorlagen\(Windows-Komponenten)\System\Remoteunterstützung\Angeforderte Remoteunterstützung: aktiviert (und dann konfigurieren)
Remoteunterstützung (Helfer kann Steuerung anbieten) aktivieren:
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Remoteunterstützung anbieten = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Helfer:
RU-Helper

Microsoft Download-Seite nach Eingabe der Seriennummer:
https://www.microsoft.com/de-de/software-download/home

Microsoft stellt die Win8 ISO (alle Sprachen, 32-bit/64-bit/Standard/N/Prof.) zum freien Download bereit für USB, DVD oder Onlineinstallation.

http://windows.microsoft.com/en-us/windows-8/create-reset-refresh-media

Siehe auch MS Software ISO Downloads (Windows, Office)

Standardmäßig blendet der Gerätemanager alle Geräte aus, die nicht mehr vorhanden oder angeschlossen sind. Zum Anzeigen folgende Variablen setzen:

 -> Systemsteuerung -> System, Tabreiter "Erweitert" -> "Umgebungsvariablen".

Systemvariablen hinzu fügen:

Das Gleiche geht auch über die Registry unter
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Session Manager\ Environment

oder kurz und schmerzlos aus der DOS-Box mit SET.

set devmgr_show_details=1
set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Die Windows Dateisuche (wie auch die Kopierfunktion des Explorers) war schon immer grottig und das wird sich wohl auch nicht ändern.

Es gibt eine Menge Alternativen, die es besser können.

Gute, (nichtkommerziell!) kostenlose Alternative: FileLocator Lite bzw. Agent Ransack von https://mythicsoft.com/
Klein, schnell, erfolgreich, auch in Netzlaufwerken und UNC-Pfaden. Durchsucht PDF und Office-Files. Ideal auch für Portable.

Leistungsstark: FindIt.
Shareware, 30 Tage Test, dann 29 EUR. Durchsucht Office, PDF, Powerpoint, HTML, PHP, E-Mail EML, DBF und mehr. Ohne Index, auch Netzlaufwerke.

Kostenlose Alternative: NeoSearch
Das Programm indiziert alle Ziele, auch Netzlaufwerke. Dynamische Ergebnisse ab Tippen des ersten Buchstaben. Keine PDF- und Office-Suche.

echo  Timestamp ermitteln ..
if "%date:~2,1%" == "." goto :Kurzform

:Langform
set ukdate=%date:~9,4%-%date:~6,2%-%date:~3,2%
goto :weiter

:Kurzform
set ukdate=%date:~6,4%-%date:~3,2%-%date:~0,2%

:weiter

per GPO:

* Netzwerkverbindungen –> Windows Firewall –> Domänenprofile: "Windows Firewall: Eingehende Remotedesktopausnahmen zulassen”

* Computerkonfiguration –> Richtlinien –>  Administrative Vorlagen –> Windows-Komponenten –> Remotedesktopdienste –> Remotedesktopsitzungs-Host –> Verbindungen: “Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen." = aktivieren.

* Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Windows-Komponenten –> Terminaldienste – Remoteverbindungen für Benutzer mithilfe der Terminaldienste zulasssen” aktivieren.
 

Andere Methode per WMI:

* wmic /node:<IP-Adresse> RDToggle get AllowTSConnections - gibt Status der RDP-Verbindung aus. (1= erlaubt, 0= verboten)

* wmic /node:<Name-des-PCs> RDToggle where ServerName="<Name-des-PCs>" call SetAllowTSConnections 1, 1 - setzt RDP-Freigabe (Die erste 1 erlaubt RDP, 0 würde verbieten. Die zweite 1 passt Firewallregel an.)

Java-Cache in allen Profilen löschen:

for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q

(Im CMD-Fenster nur ein "%" setzen!)

Diese Orte durchsucht Windows nach Autostart-Einträgen:

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal

o  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

o  HKLM\System\CurrentControlSet\Control\Terminal Server

o  HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers                      

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects                                      

o  HKLM\System\CurrentControlSet\Services

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Einträge über MS-Config:
o  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Sehr cool: die aktuelle Online-Version läßt sich direkt auf dem PC mappen:
net use * http://live.sysinternals.com
oder direkt über den Link: http://live.sysinternals.com

• Autoruns (autoruns.exe)
Problem: Autostart-Prozesse identifizieren.
Lösung: "Autoruns" starten, File: "Run-as-Administrator", auch hier lassen sich alle Prozesse auf Viren prüfen mit "Scan Options: Check VirusTotal".

• BGInfo - der universelle, informative Dektophintergrund.

• Prozess Monitor (procmon.exe)
Problem: REG-Einstellung für spezielles Problem finden.
Lösung: "Prozessmonitor" starten, mit "Lupe" Aufzeichnung stoppen, mit "Radiergummi" alles löschen, "Fadenkreuz" auf zu überwachenden Prozess klicken, alle Kategorien außer REGISTRY im Schnellfilter deaktivieren.
Nun mit "Lupe" Aufzeichnung starten, schnell die zu überwachende Aktion ausführen, Aufzeichnung stoppen.
Operation "RegSetValue" suchen, mit Rechtsklick "Highlighten" oder besser alle anderen Operationen "Excluden".
Rechtsklick auf das Ergebnis, "Jump to" springt direkt in die Registry auf den gewünschten Wert.

Problem: Bootprobleme identifizieren.
Lösung: "Prozessmonitor". Options: "Enable Boot Logging". "Profiling-Einträge" auswählen, wenn man Timingprobleme sucht.
Windows neu starten (Ruhezustand reicht NICHT). Procmon umgehend neu starten (sonst protokolliert es weiter), Ereinisse speichern und auswerten.

• Prozess Explorer (procexp.exe)
Problem: Unbekanntes Programm bringt Fehlermeldung.
Lösung: "Prozess Explorer" starten, Menue: Fadenkreuz-Symbol starten, Fadenkreuz mit gedrückter linker Maustaste auf die Fehlermeldung ziehen, Prozess Explorer meldet den zugehörigen Prozess.

Problem: Prozesse auf Viren prüfen.
Lösung: "Prozess Explorer" starten, File: "Show Details for all Processes" (startet als Admin), Options: VirusTotal.com="Check VirusTotal.com", prüft alle laufenden Prozesse bei Virustotal.

• SYSMON
Problem: Malware erkennen.
Lösung: Sysinternals "SYSMON". Installiert einen Dienst, loggt u.a. jeden Prozessstart mit kompletter Befehlszeile + Vaterprozess, Netzwerkaktivitäten usw.

• Disk2vhd
Das Programm erstellt virtuelle .vhd oder .vhdx -Festplatten von physischen Festplatten
und eignet sich damit zum Virtualisieren physischer PCs für HyperV, VMWare Workstation oder Virtual Box.
Images bootfähig machen siehe CT 06/2020 S.158 ff.

• TCPView bzw. Kommandozeilenversion TCPVCON.EXE
Überwacht Netzwerkaktivitäten mit Angabe von auf Anfrage wartenden Prozessen, Protokoll, lokale und remote IP mit Hostname und WHOIS, Prozess-ID, Datenvolumen, Pfad und Dateiname des Prozesses.

SLEEP.CMD anlegen.

ping 127.0.0.1 -n %1 -w 1000>NUL

Aufrufen mit "call sleep 5" wartet 5 Sekunden.

Natürlich geht auch der Direktaufruf von
ping 127.0.0.1 -n 5 -w 1000>NUL

Meine Grundeinstellung:

• Windows Installation und Download
• WoL aktivieren (BIOS und Windows Netzwerkkarte).
• Windows Home siehe Windows Home / Windows S
• Remote Desktop frei schalten Remote Desktop frei schalten.
• Remote Unterstützung erlauben Remoteunterstützung.
• Explorer Ordneroptionen / Ansicht: Erweiterung von Dateitypen anzeigen, vollständigen Pfad zeigen, Ordner/Navigation erweitern.
• Explorer Ordneroptionen / Allgemein: Explorer öffnen für  "Dieser PC"
• Windows 8: Windows 8: Charms Bar deaktivieren
• Energiesparoptionen (je nach Firmenrichtlinie) ein-/abschalten.
• Windows 10: Schnellstart (Hybridmodus) deaktivieren
• Windows 10: ggf. Startkacheln anpassen
• Windows 10: Werbung ausschalten
• Windows 10: Onedrive deinstallieren OneDrive deinstallieren
• Windows 10: ggf. Windows Store deaktivieren, Apps anpassen
• Windows 10: Cortana deaktivieren
• Server2016: ggf. Defender deinstallieren
• Windows 8/10: Telemetrie/Datenschutz/Übermittelte Daten einschränken
• Windows 10: ggf. Upgrades zurück stellen. (Feature Upgrades kommen bis 8 Monate später)
  GPO: (Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update > Updates und Upgrades zurückstellen)
  Branch-Niveau von "Semi-Annual Channel (targeted)" auf "Semi-Annual Channel" umschalten.
• Windows 10: Numlock dauerhaft aktivieren. REGEDIT -> HKU\.Default\Control Panel\Keyboard -> InitialKeyboardIndicators = 2147483650 (Numlock aus= 2147483648)
• Windows 10: "Computerschutz" aktivieren (2..5% Festplattenplatz).
• Desktop-Symbole des Installationsbenutzers in ALL-USER verschieben.
• Userprofil des Installationsbenutzers in DEFAULT kopieren.

Einfach und genial: Rufus

Partitionschema und Dateisystem wählen, ISO-Datei auswählen (Windows, Linux, DOS),

Boot-Stick erstellen. Einfach und gut.

Multiboot-USB-Stick unter Windows erstellen:

YUMI – Multiboot USB Creator

(Anleitung in CT 2013/3 S. 154 f.)

ISO-Image bearbeiten:
kostenlos mit WinISO 5.3 (bis 700 MB!!)
oder mit ISO Workshop (privat free)

Dateien aus Windows Install.WIM entfernen oder hinzufügen:
kostenlos mit NLite free

( Anleitung: Wintotal )

Microsoft SmartScreen ist ein Phishing- und Malware Filter und ist implementiert in verschiedenen Microsoft Produkten wie Internet Explorer, Microsoft Edge, Outlook.com und Windows Operating System.
Und SmartScreen wird auch an diesen unterschiedlichen Stellen einzeln verwaltet.

Alle Links werden vor dem Öffnen mit einer Datenbank bei MS verglichen und ggf. geblockt. Das ist natürlich nicht fehlerfrei und blockt gelegentlich auch erwünschte Anwendungen.

Windows 10: Unter Datenschutz / Allgemein kann man SmartScreen für Apps aus dem Microsoft Store ein/ausschalten.

Für IE7 aufwärts oder Edge wird es im jeweiligen Browser unter "Sicherheit" eingestellt.

Unter Windows 8 geht man in die „Systemsteuerung“ -> „System und Sicherheit“ -> „Wartungscenter“ ->  „Windows SmartScreen-Einstellungen ändern".

Mehrschirmbetrieb ist keine besondere Herausforderung,
Doch die Tücken liegen im Detail.

Unter VMWare ESXi 6 kann man jeder VM bis zu 4 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.
Bei entsprechender Grafik-Hardware im Host geht auch mehr.
Unter VMWare ESXi 7 kann man jeder VM bis zu 10 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.

Windows 10 Professional unterstützt Mehrschirmbetrieb per RDP (Haken: Alle Monitore für Remotesitzung verwenden).

Windows 7 Professional unterstützt keinen Zweischirmbetrieb per RDP!
Diese Funktion ist der Ultimate- und Enterprise-Edition bzw. Windows 7 Embedded vorbehalten.
Der Versionswechsel geht per "Anytime Upgrade" ohne Datenträger in wenigen Minuten (Internetverbindung).

Windows Server 2008R2 ff. unterstützen RDP im Zweischirmbetrieb.

Teamviewer (15) erkennt keine virtuellen Bildschirme und zeigt nur mehrere Monitore, wenn die auch physisch am Gerät hängen.

Siehe hier unter Multiple-Monitor Support:
https://blogs.technet.microsoft.com/enterprisemobility/2009/07/01/using-multiple-monitors-in-remote-desktop-session/
https://schneidr.de/2012/02/remote-desktop-mit-mehreren-monitoren/

VMWare Workstation 11 arbeitet problemlos mit Zweischirmbetrieb.
Verschiebe ich aber die VM auf einen ESXi-Host (6), geht das (auch bei Bedienung aus der VM Workstation) nicht mehr.

Bitlocker kann verschlüsselt werden durch:
- TPM-Modul (transparent)
- TPM + PIN oder enhancced PIN
- USB-Key
- Kennwort
- RecoveryKey

Verständnisfrage: Wie wird das System bei TPM-Verschlüsselung ohne PIN geschützt?
Antwort: Durch das (Windows) Login-Passwort.

Per Default verschlüsselt Bitlocker nur mit AES-128.
Per GPO kann man AES CBC 256 aktivieren. (Performance)
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung
–> «Verschlüsselungsmethode und Stärke wählen» - aktivieren
–> «Verschlüsselungsmethode für Wechsellaufwerke wählen» - AES CBC 256-Bit

Bitlocker per GPO aktivieren:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
–> «Konfigurieren von TPM-Systemstart-PIN» und «Require Start-PIN Bei TPM» wählen

Status abfragen: CMD-Befehl

manage-bde -status

Preboot-PIN-Abfrage aktivieren:

manage-bde -protectors -add c: -TPMandPIN

PIN ändern:

manage-bde -changepin c:

PIN-Abfrage wieder deaktivieren:

manage-bde -protectors -add c: -TPM

Bitlocker suspendieren für HD-Wartung, Bios-Updates u.ä.:
- per GUI in Bitlocker Verwaltung
- per PowerShell: Suspend-BitLocker -MountPoint "H:"
- per PS, nur System-LW, für 0-9 Neustarts: Suspend-BitLocker -MountPoint "<drive letter>:" -RebootCount <restarts>
- per CMD: manage-bde -protectors -disable H:

Siehe auch: Verschlüsselung

Ext. Links:
• Administrator.de Wissenssammlung Bitlocker ,
• dateibasierter Bitlockerprotektor zu Recovery- und Supportzwecken

Update von Win7/8 auf Win10: Der Key aus Windows 7 oder 8 wird in einen Windows-10-Schlüssel umgewandelt und zusammen mit einer Hardware-ID auf Microsoft-Servern gespeichert. Für Neuinstallation nutzt man wieder den Win7/8 Key.

Keys auslesen:
• "Windows Product Key Viewer" - (free) liest nur Windows Keys aus
• "The Ultimate PID Checker"
• "Magical JellyBean Keyfinder" - (free) liest Windows-, Office- Produktkeys usw. aus
• "Recover Keys" (ab 29 USD), unterstützt 3000+ Programme, u.a. Photoshop CS 2-6, Windows BIOS-Keys...

Temporäres Benutzerprofil verschwindet beim Beenden der Usersitzung.

Es gibt viele dokumentierte Lösungsansätze, aber vielleicht hilft auch dieser Tip:

-> der verwendete User ist nur Domänengast.
Damit wird nachvollziehbar kein (dauerhaftes) lokales Profil angelegt.
Hinzufügen des Users als Domänenmember beendet das Problem.

- jede PE-Version kann abwärtskompatibel alle vorherigen Windows-Versionen bearbeiten

- Aufruf der PE-Eingabeaufforderung mit [SHIFT - F10]

- unter PE besitzt man SYSTEM-Rechte

- Powershell und NET Framework fehlt

- ausführbare Programme in x:\windows\system32\

- GUI für Kopieren / Umbenennen / Löschen bietet "Öffnen"-Dialog von notepad.exe

- 32-bit PE startet nur 32-bit Programme, 64-bit PE nur 64-bit Programme

- Netzwerk initialisieren:

wpeutil initializenetwork

- Firewall aus / ein schalten:

wpeutil disablefirewall / enablefirewall

- Treiber laden:

drvload e:\Treiber\treiber.inf

- Bitlocker Laufwerk entsperren:

manage-bde -unlock c: -pw

Wenn Windows die Zugangsdaten für eine Freigabe (NAS, PC..) gespeichert hat, kann man zukünftig ohne Passworteingabe auf diese Freigabe zugreifen. Das unterwandert aber häufig das Sicherheitskonzept.

Abfrage aller im Windows hinterlegten Zugangsdaten:

cmdkey /list

Löschen von hinerlegten Zugangsdaten:

cmdkey /delete:<Ziel>

SA - Software Assecurance

Programme auf Netzlaufwerken lassen sich in Windows 7 - 10 nicht an die Taskleiste anheften.

Einzige mir bekannte Lösung:
- Programmdatei lokal auf den PC kopieren
- Verknüpfung in Taskleiste anlegen
- Verknüpfung editieren auf Ziel im Netzwerk
- lokale Kopie wieder löschen

• Windows Protokollierung von Hoch- und Herunterfahren.
Ereignisprotokoll: Anwendungs- und Dienstprotokolle / Microsoft / Diagnostics-Performance / Betriebsbereit
  ID 100er - Hochfahren
  ID 101 - Anwendung hat den Start verzögert
  ID 102 - Treiber hat den Start verzögert
  ID 103 - Dienst hat den Start verzögert
  ID 106 - Windows Hintergrundoptimierung
  ID 107 - GPO Computer
  ID 108 - GPO User
  ID 109 - Hardware-Initialisierung
  ID 200er - Herunterfahren, 201 - 209 wie oben.

• Sysinternals ProcessMonitor
- Auflisten aller Prozesse, die länger als z.Bsp. 1 sek. dauern.
  Filter: Duration ... is more than ... 1 sek
- Anzeige .. Spalte "Duration" einblenden, hilfreich ist "Image Path" und "Command Line".

Junktions (symbolische Verknüpfungen)
Bsp: "C:\Dokumente und Einstellungen" -> "C:\Users"
Der direkte Inhalt ist für den Zugriff gesperrt, damit Programme den Inhalt des verknüpften Ordners nicht zweimal zählen.
Der Zugriff auf Inhalte wie "C:\Dokumente und Einstellungen\[Benutzername]\" funktioniert.
• Anzeigen mit "Junctions" von Sysinternals oder CMD, Powershell.
• Bearbeiten mit CMD: mklink.

Bessere Ergebnisse als der Explorer zeigt CMD.
dir /as

Vollständigen Ordnerinhalt anzeigen geht am Besten mit der Powershell.
dir -force

Server 2016 Essentials
- max. 25 Benutzer bzw. 50 Clients
- max. 64 GB RAM
+ keine User-CAL notwendig
- Lizenz: 1x physisch oder virtuell
- bei Einsatz als DC ist max. 1 Domaincontroller möglich, der muß alle FSMO-Rollen besitzen
+ als Memberserver kann Server Essentials 2016 unbeschränkt einer vorhandenen Domäne beitreten
  Der Wizard ist doof und will immer eine neue Domäne anlegen (siehe Link).
+ Einrichtung ohne Assistent (Registry: RUN löschen) und Essentials-Rollen geht auch als Memberserver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- keine Terminalserver-Rolle
- Servername nicht änderbar, wenn Essentials-Rollen konfiguriert sind
- keine Container, Nano-Server, Deduplizierung, Storage Replica
Link: https://www.windowspro.de/wolfgang-sommergut/windows-server-2016-essentials-neuerungen-einschraenkungen-preis

Server 2016/2019 Standard
• min. 16 Core-Lizenzen je Server erforderlich
+ lizenziert 2 virtuelle Instanzen auf der gleichen Hardware
- User- und RDP-CAL ggf. erforderlich

Server 2019 Essentials
• Essentials-Dashboard und Client-Backup fällt weg
• Essentials-Rolle fällt weg

Volumes können bis 4 GB groß sein.

Die max. Dateigröße ist 2 GB.

Domänen werden nicht unterstützt.

Windows 7/8 unterstützt FAT, kann aber nur auf NTFS installiert werden.

FAT in NTFS konvertieren:

Umwandeln ohne Neuformatierung oder Datenverlust:
CONVERT <LAUFWERK>: /FS:NTFS

Volumes von 512 MB bis 2 TB.

Die max. Dateigröße ist 4 GB.

Windows XP kann nur FAT32-Volumes bis 32 GB formatieren.

Domänen werden nicht unterstützt.

PCs im UEFI-Modus booten nur von Fat32.

Volumes größer als 2 Terabyte sind möglich.

Die Dateigröße wird lediglich durch die Größe des Volumes begrenzt.

Kann nicht auf Disketten verwendet werden.

Domänen + Berechtigungen werden unterstützt.

ab Windows NT

2014: Neue Festplatten mit 4kB-Sektoren werden nicht von Windows vor Version 8.1 oder Server 2012R2 als Bootlaufwerke unterstützt, ebenso nicht von MacOS.
Sie laufen nicht mit Intel RST-Treiber iastor.sys, etlichen SAS-Controllern und diverser systemnaher Software.

MBR:
 1.Partition: BOOT, 350MB (Bootdateien und Wiederherstellungssystem)
 2.Partition: Windows-NTFS

UEFI:
 1.Partition: SYSTEM, 350MB, FAT32 (Wiederherstellungssystem)
 2.Partition: ESP, 100MB (EFI System Partition, Boot-Dateien)
 3.Partition: MSP, 120MB (MS reserviert)
 4.Partition: Windows-NTFS

Win2000 und XP können in der ersten Auslieferungsversion nicht mehr als 128 GB pro Festplatte adressieren! Für größere Platten muß bei Windows 2000 mindestens das SP3 installiert sein (SP3 aktualisiert die ATAPI.SYS). Bei Windows XP muss man entweder die Registrierung editieren oder das min. SP1 installieren.

Außerdem ist das gewählte Datenträgerformat entscheidend:

► Windows Partitionen:
MBR: 4 Partitionen
GPT: 128 Partitionen

► Maximale Partition- und Fesplattengröße:
MBR: 2 TByte
GPT: 18 ExaByte

Windows ME /Win98: maximal 128 GB pro Festplatte.

gängige BIOS-Beeps, POST Codes u.a. : www.bioscentral.com

BIOS Kompendium: www.bios-info.de

SIPP die ollen 8-bit Dinger mit Beinchen
SIMM (PS/2) (Single In-line Memory Modul) - eine Kontaktreihe. Zugriffszeit: 60 .. 70 ns.
72-polig -> 32-Bit (im 64-bit Pentium paarweise!).
30-polig -> 8-Bit (alt: 4x gleiche Mudule für 32-bit CPU).
- FPM (FastPage) -schneller als DRAM
- EDO (Extended-Data Output DRAM) -schneller als FPM.
DIMM (Dual In-Line Memory Modul) - 64-Bit, 168-polig (2x84), 2 Kerben (nach Pin 10 und 40), zwei Kontaktreihen. Zugriffszeit typisch 8..12 ns
- EDO (alt und lahm) oder SDRAM- Bestückung
- SO-DIMM (Small Outline DIMM) - für Notebooks. 72-polig (32-bit) oder 144- polig (64-bit)
Gängig: PC-66, PC-100, PC-133 für 66, 100 und 133 MHz Bustakt.
DDRAM (Double Data RAM) - 184-polig (2x92), 2.5V / 2.6V, 1 Kerbe, doppelte Datenrate gegenüber SDRAM
Gängig: DDR200, 266, 333[PC2700] (2.5V+/-0.2V), DDR400[PC3200] (2.6V+/-0.1V).
RDRAM (RIMM) (Rambus Dynamic RAM) - 1 Kerbe (nach Pin46), Metallkappe, schneller als DDRAM, teuere Insellösung. Gängig: PC600, PC711, PC800, PC1066, PC1200, PC1333. Jeder freie Slot muß terminiert sein.
DDR2, 1.8V, 1 Kerbe, 240-Pin, doppelte ext.Bandbreite, geringerer Energieverbrauch gegenüber DDR, leere Slots müssen ggf. terminiert sein.
Gängig: DDR2-400[PC2-3200], DDR2-533[PC2-4200], DDR2-667[PC2-5300], DDR2-800[PC2-6400]. Auch als ECC oder S0 (200 Pin) für Notebook.
DDR3, 1.5V, 1 Kerbe (andere Pos. als DDR2), 240-Pin
Gängig: DDR3-1066MHz, DDR3-1333MHz, DDR3-1600MHz. Auch als ECC oder S0 (204 Pin) für Notebook.

Weiter Infos: Kingston

AGP funktioniert erst ab Win95C mit USB-Unterstützung und DirectX ab V.5!

Intel AMT ist ein Bestandteil der vPro-Plattform und nur in Q-Chipsätzen verfügbar.

Remote KVM geht nur mit Q57- (Desktop-PCs) oder QM57-Chipsatz (Notebooks) mit vPro-tauglichem Doppelkernprozessor mit integrierter Grafik.

Über LAN geht der Zugriff auch im Soft-Off (S5) oder Standby (S1, S3, S4). (im WLAN nicht)

Webzugriff: AMT lauscht auf TCP Port 16992 (http://192.168.x.x:16992).

User= admin

KVM Zugriff mit RealVNC Viewer oder TightVNC. (TCP-Port 5900 unverschlüsselt sowie „Redirected Ports“ 16994 (unverschlüsselt) und 16995 (TLS Zertifikat verschlüsselt), Connection Mode= „Intel AMT KVM“.

Lifecycle Controller-Update

FTP-Server: Adresse: ftp.dell.com. Keine Anmeldeinformationen. Ggf. Dateipfad: catalog.
HTTP-Server: Adresse: downloads.dell.com. Ggf. Dateipfad: catalog.
USB: muß Fat32 sein.

iDrac Standardzugang: root / calvin

- Anmeldung im IE schlägt öfter fehl. Manchmal läuft der IE aber dann besser.
- Link im IE zur vertrauenswürdigen Zone hinzu fügen!

iDRAC neu starten, wenn sie hängt: auf dem Server anmelden, CMD-Fenster öffnen und dort den Befehl: „racadm racreset“ absetzen.

- Firefox: Zertifikat "DELL iDrac" löschen! Alle Server haben das gleiche Zertifikat, das blockt FF ab.

* You must disable the Enhanced Security Mode in Internet Explorer for the
  Java-based virtual console and virtual media plug-in to function properly.
  Else, specify the ActiveX plug-in in the iDRAC6 configuration instead of Java.
  In addition, you must add the iDRAC6 Web URL to the Intranet security
  zone only. Also, this zone settings must be Medium-Low or lesser, for the
  control to function properly.
* To successfully launch Virtual Media, make sure that you have installed
  a 64-bit JRE version on a 64-bit operating system with 64-bit browser or a
  32-bit JRE version on a 32-bit operating system with 32-bit browser. iDRAC6
  does not support 64-bit ActiveX versions. Also, make sure that for Linux,
  the compat-libstdc++-33-3.2.3-61 related package is installed for launching
  Virtual Media. On Windows, the package may be included in the .NET framework
  package.
* When the SSL encryption strength is set to "168-bit or higher" or "256-bit or
  higher" and a downgrade is performed to firmware version 1.97 or lower, the
  encryption strength  defaults to Auto-negotiate. After this if you upgrade
  the firmware to version 1.98, the encryption strength is set to the previously
  set "168-bit or higher" or "256-bit or higher" value. 

Gute FAQ: https://faq.hosteurope.de/?cpid=11831

Bildschirm optimal einstellen: www.werbefoto.at

Telefonnummer: 069 / 979-22064

http://www.dell.com/learn/us/en/04/campaigns/regional-contacts-us?c=us&l=en&s=bsd&redirect=1

Stecker

Einfacher Test für lokale Laufwerke in der DOS-Box.

Alle Tests (LW C):
winsat disk -drive c


Lesegeschwindigkeit LW C:
winsat disk -seq -read -drive c

Schreibgeschwindigkeit LWC:
winsat disk -seq -write -drive c

Übliche Geschwindigkeitswerte
Festplatten (seq. lesen) > 110 MB/s (SATA) ... 550 (SAS RAID) ... 5.000 MB/s (VM)
Festplatten (seq. schreiben) > 130 MB/s (SATA) ... 430 MB/s (SAS RAID) ... 1.500 MB/s (VM)
SSDs (seq. lesen) > 400 MB/s ... 500 MB/s
SSDs (seq. schreiben) > 200 MB/s ... 500 MB/s

Erfolgreich getestet in: Windows 7 - 8.1 - 10 Pro, Server 2016.

Geht nicht in Server 2008R2 - 2012 - 2012R2.
Bei diesen System einfach WinSAT.exe und WinSATAPI.dll von C:\Windows\System32 eines o.g. Systems holen, ggf. "regsvr32 C:\Windows\System32\WinSATAPI.dll" ausführen.

Default IP bzw "Notfall-IP" 169.254.1.1 geht immer!
Auch wenn das Gerät auf eine ander IP konfiguriert wurde.

Das Default-PW der Box steht auf der Geräteunterseite.

Auf Werkseinstellung können die Geräte nur über die GUI oder per Telefon gesetzt werden.
Geben Sie am Telefon #991*15901590* ein.

IP v4 - to - v6 Tunneladapter über Microsoft ausschalten!

Sonst hat der PC ein unkontrolliertes VPN direkt zu Microsoft.
(standardmässig in der Domain aus, sonst selbst bei abgeschaltetem IP V6 an)
netsh interface teredo set state disabled
netsh interface isatap set state disabled
- UDP Port 3544 (Teredo) in Firewall schließen!

• Breitbandmessung der Bundesnetzagentur (Ergebnisse gehen in den Breitbandatlas ein) https://breitbandmessung.de/
• SpeedOfMe- Speedtest ohne Flash und Java!  http://speedof.me/
• Speedtest (DSL/UMTS/LTE), Ping, IP V4 und V6: wieistmeineip.de
• Speedtest, Ping, IP: Speedmeter.de (Flash-basiert).
• Speedtest, Ping, IP, Provider: Speedtest.net (Flash-basiert).
• Abfrage beliebiger Server im Internet (Whois, DNS Records, SpamBlacklist, Mailserver..) : network-tools.com
• dns recon & research, find & lookup dns records: https://dnsdumpster.com/

Liste aller registrierten Ports (POP,Telnet,FTP,HTTP...) bei www.tcp-ip-info.de
oder bei Wikipedia.

IP v6 Adressformat

Die 128-bit IP6-Adresse besteht aus 3 Teilen.
Zuerst unterteilt sie sich in 64-bit Netzanteil und 64-bit Hostanteil bzw. Interface Identifier (IID).
Der Netzanteil wird unterteilt in den Provider-Anteil (üblich: 48-56 bit) und die Subnetze (meist 8-16 bit).
Mit den Subnetzen wird bei IP6 die Infrastruktur des Netzes abgebildet. (Security-Zonen wie Aktive Komponenten, Server, Büro, Prozessnetz, Fernarbeitsplätze sowie Standort-Topologie wie Etage, Gebäude)

Ein fester Provider-Anteil (Präfix) entspricht einer festen IP4-Adresse.

Der Präfix ist providerabhängig und wechselt bei Providerwechsel zwangsläufig. (Ausnahme: Provider Idependent Adressraum IPv6-PI für Multihoming)

Bei IP v6 dürfen mehrere Router als Default Gateway eingetragen werden. Damit ist einfaches Load Balancing möglich.

IP v6 Adressklassen

IPv6 Multicast Rundruf an alle aktiven Geräte: ping -6 ff02::1

IPv6 Host-ID dynamisch über Zufallszahl oder statisch über MAC
netsh interface ipv6 set global randomizeidentifiers=disabled

Ausführliche Infos über IP v6 Adressvergabe, Provisionierung usw: CT 10/2016
Redundante Internetzugänge mit IPv6: CT 12/2016 S.172ff.

Router verwenden logische (IP-) Adressen auf OSI Layer 3 zur Datenübertragung.
Ein Router kann mehrere Gegenstellen und unterschiedliche Topologien und Protokolle verbinden.
Die zu übertragenden Protokolle müssen allerdings routingfähig sein und vom Router unterstützt werden.

Hubs sind nicht mehr am Markt und sollten aus dem Netzwerk entfernt werden.
Sie bremsen den Datenverkehr auf ca. 30 MBit/s und arbeiten nur Halbduplex.

Signalregenerator auf OSI Layer 1, trennt nicht die Collision Domains.
dient zum Vergrößern der Netzwerkausdehnung,
sehr schnell, keine Datenmodifizierung
klassischer Multiport-Repeater ist der Hub.
Repeater-Regel:
Maximal 4 Repeater (10MBit/s) oder 2 Class2-Repeater (FastEthernet) dürfen zwischen 2 Stationen sein, sofern sie nicht durch Bridges, Switches oder Router getrennt sind.

Bridges erweitert das Netzwerk über die Ethernet-Begrenzung hinaus durch Trennung der Collision Domains, verwendet zur Adressierung nur physische (MAC_) Adressen auf OSI Layer 2 (Adresstabelle selbstlernend).
Eine Bridge verbindet genau zwei Netzwerke miteinander und arbeitet protokoll-unabhängig.
Klassische Multiport-Bridge ist der (Layer2-) Switch.
Bridges lesen (i.Allg.) das gesamte Datenpaket und sind langsamer als Repeater.
Sie übertragen aber nur die benötigten Datenpakete in das andere Segment, filtern defekte Pakete und erhöhen so die Datensicherheit, den Durchsatz und vermeiden Collisionen.
Bis zu 7 Bridges dürfen zwischen 2 Stationen liegen.

VLANs trennen Netzwerke auf Layer-2.

Lancom Router hinter Fremdrouter:
 - TFTP 69 bzw. TCP 443 forwarden (Zum Verwalten des Lancom von extern + ggfs. SSL VPN)
  Die Konfigurationsports (HTTPS, HTTP, SSH, TFTP) können im LC WebConfig geändert werden.

 - udp 500 Protokoll ESP forwarden (sollte ESP sich nicht forwarden lassen -> udp 4500)
 - ESP Protokoll (IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !)
 - IKE UDP 500 (IPSec)
 - NAT Traversal UDP 4500
 - bei Verwendung von Dynamic VPN muss der UDP-Port 87 freigeschaltet werden.

Windows IPSec/PPTP Funktionalität:
  - PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
 - IKE Verhandlung = UDP 500

 - GRE General Routing Encapsulation (Protokoll 47)
 - ESP Encapsulating Security Payload (Protokoll 50)

Bei Zugang des VPN-Clients über Router muß "VPN Passthrough für IPsec (IKE,ESP)" im Router aktiviert sein. (= NAT Traversal)

T-Mobile: User: tm (egal), PW: tm, DNS: 193.254.160.1, Einwahlnr.: *99#, APN: internet.telekom, internet.t-mobile

Vodafone: User: - (egal), PW: -, DNS: 139.7.30.125 u. .126, Einwahlnr.: *99#, APN: web.vodafone.de

O2: User: - (egal), PW: -, DNS: 195.182.096.028 u. .061, Einwahlnr.: *99#, APN: internet (pinternet.interkom.de)

E-Plus: APN: internet.eplus.de

• VDSL Deutschland LAN IP Voice/Data: wie Call&Surf installieren.

• T-Online PPP-Anmeldung per DFÜ-Netzwerk:
Rufnr.= 0191011 (ohne Vorwahl!), Benutzername= Anschlußkennung Teilnehmernr. "#" Mitbenutzernr.; Kennwort= Kennwort
( Doppelkreuz nur, wenn Teilnehmernummer weniger als 12 Stellen hat. )
• E-Mail Einstellungen:
  Postausgang: SMTP Host: mailto.t-online.de / alt: mailto.btx.dtag.de
  Posteingang: POP3 Host: pop.t-online.de / alt: pop.btx.dtag.de
Nur bei Einwahl über den T-Online-Zugang erreichbar!

WOL-Tool: http://www.oette.info/ (Netzwerk-Scan,automatisch MAC-Adresse ermitteln, Scheduler)

WOL-Script: http://masterbootrecord.de/docs/wakeup.php oder http://www.gammadyne.com/cmdline.htm#wol

WoL im Windows aktivieren: Geräte-Manager -> Netzwerkadapter -> Eigenschaften -> Erweitert.
- „Aktivierung durch Magic Packet“ oder „Wake Up Capabilities“ o.ä. aktivieren bzw. "Magic Packet“.
- Registerkarte „Energieverwaltung“, Haken setzen „Gerät kann den Computer aus dem Standbymodus aktivieren“ und „Nur Magic Packet kann Computer aus dem Ruhezustand aktivieren“.

BIOS anpassen:
• „Power ➞ APM Configuration“, Option „Power On By PCIE Device“ (Onboard-Netzwerkchip oder PCI-Express-Netzwerkkarte) setzen oder
• „Power On By PCI Device“ (PCI-Netzwerkkarte) auf „Enabled“
• je nach BIOS: ErP deaktivieren

WoL über VPN: Portforwarding und Firewall-Regel im Ziel-Router für Port 7 (o.a.) auf die Broadcast-Adresse des internen Zielnetzes.

WOL beherrschen auch diverse Router. (Lancom: wakeup per Telnet oder SSH, oder per TFTP)

Oft genügt der Windows-Netzwerktreiber nicht. Bei Intel sollten unbedingt die Hersteller-Treiber installiert sein.

Bei Windows 8/8.1/10 funktioniert WoL oft erst, wenn der "Schnellstart" (Hybridboot) in den Energieoptionen abgeschaltet wird.

Twistet Pair Kupferkabel, sternförmige Verkabelung

Bandbreite:
10Base-T - Ethernet 10MB/s,
100Base-T - Fast Ethernet 100MB/s,
1000Base-T - Gigabit Ethernet 1000 MB/s
  max. Segmentlänge: 100 m bis zum Repeater (Hub)
NBase-T - MultiGigabit
  auf Cat5e-Kabel bis ca. 50 m mit max. 10 GBit/s
  bei längeren Kabelstrecken fällt es automatisch auf 5 GBis/s oder 2.5 GBit/s zurück

Weitere Netze über VPN-Tunnel routen:

Bsp.: Lan-A  -  LAN-B  --VPN--  LAN-C
- Routing einrichten (logisch).
  - Lan C muß wissen, dass LAN A über LAN B erreichbar ist.
  - LAN A muß wissen, dass es LAN C über LAN B erreicht.

- Firewall-Regel auf VPN-Router LAN B:
  - "Regel wird zur Erzeugung von VPN-Regeln heran gezogen".
  - Aktion = "Accept".
  - Verbindung von Station: LAN A
  - Verbindung zu Station: VPN-Gegenstelle

DNS-Auflösung und Domänenanbindung für Außenstellen über VPN-Tunnel:

- am Serverstandort:
  - DNS-Server und -Weiterleitung im Router aktivieren.
  - eigene Domäne eintragen,
  - Weiterleitung: *.[Domäne] -> als Gegenstelle IP-Adressen der DNS-Server.

- am Außenstandort:
  - DNS-Server und -Weiterleitung im Router aktivieren.
  - keine eigene Domäne eintragen,
  - Weiterleitung: *.[Domäne] -> VPN-Gegenstelle.

Telnet
Events: Status->Config->Event-Log
Fehler / IDs lassen sich direkt über ID erreichen, führende 1 weg lassen (1.2.19.36.3.1.2 -> cd \2\19\36\3\1\2)
default -r  setzt aktuelle Ebene auf Defaultwerte. Bei Aufruf in der Hauptebene entspricht das beinahe einem Werksreset.
show vpn cert - listet die vorhandenen Zertifikate
ls st/voice/call-counter - listet aktuell laufende Anrufe
ls /st/acc/curr - listet aktuelle User
dir status/vdsl/connection - zeigt DSL Verbindungsfehler

Kapitelstruktur der LCOS-Menüreferenz
https://www.lancom-systems.de/docs/LCOS/menuereferenz/

Aktuelles Referenzmanual 10.40
https://www.lancom-systems.de/docs/LCOS/reference-manual-addendum/

Lancom FTP mit Beta, RC, Archive usw.
ftp://ftp.lancom.de/

Fernschalten von Router-Funktionen per SSH Remote von Android-Geräten:
http://firesource.de/apps/ssh-remote/

Hinterlegen der Router-Zugangsdaten, User kann definierte Aktion auslösen ohne Admin-Passworte zu kennen.
(Hotspot-Voucher anlegen, Firewall auf/zu, Rufweiterleitung... )

Gerät ist baugleich Bintec-Elmeg be.IP.

Default: 192.168.2.1  (admin/admin)

"Pass Throught": Neue Bridge über Ethernetport (en1-4) und DSL-Port bilden.

  ADSL: ethoa35-5 (Ethernet over ATM)
  VDSL: efm35-60 (Ethernet First Mile)
Port LAN 1-4 (en1-0): Konfigurationsports auf Default IP
Port LAN-5    (en1-4): an internen Router. Der übernimmt die Einwahl.

Firmware und Handbuch: https://www.telekom.de/hilfe/geraete-zubehoer/router/weitere-router/digitalisierungsbox/digitalisierungsbox-standard?samChecked=true

Anleitung: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalisierungsbox-standard-vdsl.pdf

Der Soft-Accesspoint (AP) hat unter Windows keine GUI, ist aber mit Boardmitteln zu implementieren.

Shell-Befehl liefert umfangreiche Infos über das WLAN-Modul:

netsh wlan show wirelesscap

Wichtig ist, dass die Optionen "Wi-Fi Direct-Gerät" und "Softwarezugriffspunkt" unterstützt werden.

SSID und Passwort festlegen (Einstellung bleibt permanent erhalten):

netsh wlan set hostednetwork mode=allow ssid=[SSID] key=[Passwort]

Soft-AP ein/aus schalten (ist nach jedem Windows Neustart wieder aus):

netsh wlan start hostednetwork


Jetzt existiert eine neue Netzwerkverbindung im Netzwerk- u. Freigabecenter.

Zur Freigabe der Internetverbindung über das WLAN:
- Netzwerkkarte mit Internetzugang anklicken -> Eigenschaften -> Freigabe aktivieren.

Die Telekom setzt seit einiger Zeit SMTP-Filter zur Vermeidung von Spamversand ein.

Wenn der Mailversand nicht klappt, fehlt der entsprechende Mailserver in der Whitelist des Routers.

Main Mode - setzt feste IP auf beiden Seiten voraus
Aggressive Mode - erforderlich für dynam. IP

Local ID - Peer ID
Muss auf beiden Seiten gleich (gedreht natürlich) sein.
Als ID kommt Feste-IP oder FQDN in Frage. Der FQDN muss kein gültiger Domainname sein. Lange Zeichenkette ist besser.

PSK Preshared Key - möglichst 20-30 Zeichen lang, beispielsweise bei Fritzbox keine Sonderzeichen

phase2localid - phase2remoteid
Proxy-IDs, definieren den Subnetbereich, von und zu dem das VPN getunnelt wird. (Bsp.: 192.168.110.0/24)

Aktuelle und empfohlene Parameter:
- DH-Gruppe 14
- AES-256
- SHA-256
- Lifetime = 8 Std.

Konfiguration einer Fritzbox (entsprechend langsam und ohne detaillierte Filter) in CT 2017/15 S.160ff.
Die Fritzbox kann nur IPSec und kein PPTP oder SSL.

Lokale Sonderanwendungen von TLDs

• TCPView aus Sysinternals überwacht Netzwerktraffic
  
• IoT Device Default Password Lookup: https://www.defpass.com/
• Shodan Computer-Suchmaschine (sucht Dienste, SCADA-Systeme): https://www.shodan.io/

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

Typen: UF-50 (1-10 User, keine UTM-Funktionen), UF-100 (5-30 User),
UF-200 (5-30 User) ... UF-900 (100-500 User)
auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion in der intuitiven Web-Oberfläche muß mit "Activate" aktiviert werden.
   - Button blau ist nicht aktiviert.
* Gerät läuft im 30 Tage Testmodus mit allen Funktionen. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
  - WAN: Default Gateway aktivieren, IP eingeben
  - Network / DNS: ggf. DNS-Server hinterlegen
  - Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* fertige Konfig als PDF exportieren (Desktop/Export)

Einbinden:
Nutzt man außer der Firewall noch einen DSL-Router, kann man die Firewall auf zwei Arten einbinden.
1. Reihenschaltung Router -> Firewall
Das Verfahren ist logisch und naheliegend.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925378
2. Einschleifen in den Router (Lancom nennt das Layer-3 Schleife)
Klingt erst mal überflüssig kompliziert, hat aber einige Vorteile.
- das Standardgateway ändert sich nicht. Bekanntlich macht Windows alle Netze dicht, wenn sich dieses Gerät ändert.
- die Firewall kann bei Konfigurationsproblemen von extern umgangen oder deaktiviert werden.
- bestehende VPN-Verbindungen zum Router lassen sich zumindest übergangsweise bei Umgehung der Firewall weiter nutzen.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32982461

Firewall-Konfiguration:
* Objekte im Schaubild rechts anlegen:
  - Create Internet Objekt erstellt WAN-Objekt. Activate.
  - Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
    Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
    Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

Proxy-Konfiguration:
* UTM / Proxy: HTTP Proxy: steht auf transparent.
* UTM / Proxy: HTTPS Proxy: ist inaktiv.
Die Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite).
Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).

Einbinden des Proxy-Zertifikates manuell oder per GPO:
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen

siehe https://www2.lancom.de/kb.nsf/1275/05FA5A416AC989CBC12584550044E364?OpenDocument

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Ohne Proxy greifen systembedingt keine UTM-Funktionen (URL- oder Applicationfilter, Antivirus) und keine Webstatistik.

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
  ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und seit 06/2020 auch IMAP-Proxy

UTM / Applikation Firewall:

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Mustererkennung verarbeiten.
Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen!
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

VPN Verbindung:

Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) wird in der Lancom KB beschrieben.

Release-Update FX 10.5 (06/2020):
- IMAP-Proxy
- Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
- individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

Lancom FAQ: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925347

Die Zugangsdaten von Vodafone sind unzureichend und Lancom-KB und Router-Assistent nicht zielführend.

SIP-Domäne/Realm: vorwahl.sip.arcor.de
Registrar: leer
SIP-ID/Benutzer: VorwahlRufnummer (normal ohne Land, mit führender Null)
Display-Name: wie SIP-ID/Benutzer

Der VoIP-Assistent für "andere Anbieter" erstellt fehlerhafte CALL-Routen.
Tip vom Lancom-Support: Im Assistent immer "Telekom" konfigurieren und hinterher die SIP-Zugangsdaten manuell korrigieren.

Siehe auch:
Lancom Call-Manager
https://www.johnlose.de/2019/06/lancom-systems-voice-callmanager-sbc-zusammen-mit-vodafone_de-red-dsl-konfigurieren/

Super Apps:

- CSipSimple: gut funktionierender, universeller Voip-Client.

- Deutsche Tastatur von Stefan Richter (äöü, Cursortasten, freie Tastengröße...)

- QuickPick: universeller Bildbetrachter, mit Sortierfunktion, Diashow u.v.a.m.

- OpenSignal (Info über Mobilfunkmasten, Richtung, Stärke...)

- Bubble UPnP (UPnp/DNA-Server und Renderer, spielt Bilder, Videos und Musik vom Handy oder von anderen Geräten auf dem TV. Demoversion, dann Kosten= 3,49 )

Nicht selbst getestet:

- Cloudii (Client für Google Drive, Dropbox, Skydrive, Box.com, OwnCloud, SugarSync, WebDAV, FTP/SFTP, Copy, Yandex)

- Kids Place: mit Elternpasswort, sperrt PlayStore und Hometaste, Apps können einzeln frei gegeben werden, Internetzugang pro App sperrbar

Teamviewer 9 QS for Android kann einige ausgewählte Smartphones direkt fernsteuern.

Achtung! Die Lizenz ist NICHT in der kommerziellen Version enthalten! Mit der unlizenzierten (USB-)Version9 läuft es aber.

Stand 8/2014:

- Lenovo Tablet S6000 und Lenovo A7600-F mit AddIn unterstützt! Das geht geil.

- Google Nexus 5 nicht unterstützt.

Karten Funkversorgung:
• Telekom
• Vodafone
• O2
• E-Plus
• Bundesnetzagentur  (Funkmasten, Abstrahlrichtungen)
• LTE-Vergleich (Abdeckung, Tarife, alle Anbieter)

Stand 1/2018 lassen Telekom und Vodafone LTE durch ihre Serviceprovider nicht zu!
Das betrifft auch eigene Töchter wie Congstar oder Fyve.
Es gibt bei Congstar Ausnahmen in älteren Verträgen, die aber kein zugesicherter Vertragsbestandteil sind.

Die Datei .nomedia versteckt Ordner vor der Google-Foto App und ähnlichen Apps wie QuickPic.

Damit lassen sich gezielt Ordner ein- und ausblenden.

- .APK-Datei (Android) herunter laden.

  Whatsapp: http://www.whatsapp.com/android/

  Chip: http://beste-apps.chip.de/android/app/whatsapp-messenger-apk-android-app,cxo.58151052/

- Apps von unbekannten Quellen (temporär!) erlauben.

- APK-Datei ausführen.

- statt Mobilfunknummer Festnetznummer (+49 ..) eingeben.

- nach Wartezeit von 5 Minuten ohne SMS Option "Code telefonisch übermitteln" wählen.

- WhatsApp läßt sich pro Rufnummer nur auf einem Gerät verwenden.

WhatsApp auf einem zweiten Gerät betreiben:
Tablet Manager - Interface für WhatsApp Web

Apps einmal für alle kaufen?

Auch bei mehreren Google-Konten auf dem Handy nutzt der Playstore immer das erste Hauptkonto.

Lösung:
- neuen Benutzer auf dem Handy erstellen.
- Familienkonto angeben.
- App kaufen und installieren.
Die App ist für alle Benutzer auf dem Gerät verfügbar.

Günstige MDM-Lösung für kleine Unternehmen oder Familien mit Kindern:

M-Way Revolutions ist in der Einstiegsversion bis 10 Benutzern mit je 3 Geräten kostenfrei.

Einfachste und bereits recht effektive Schutzmöglichkeit von Firmendaten für Kleinunternehmer:
-> Trennung von Privat und Geschäftlich durch zwei Userprofile.

Das funktioniert mit aktuellem Android nicht auf allen Geräten, kostet nichts und ist einfach einzurichten.

Weitere Infos: ct 21/2016 S.117ff., 122ff., 128ff., 132ff.

* mehrere SIP-Leitungen als Einzelaccounts
Problem: Bei ausgehenden Rufen wird immer die Hauptrufnummer übermittelt.
Lösung 1 ( Zuweisung pro Rufnummer):
Gerufene Nummer: #
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG FÜR 1234
Rufende Nummer (Filter): 1234
Das Gleiche für jede SIP-Leitung. Mit dieser Callroute wird jeder abgehende Ruf von intern Nummer 1234 über die SIP-LEITUNG für 1234 geleitet. Der Angerufene sieht die entsprechende Nummer in seinem Display.

Lösung 2 (Zuweisung über Vorwahl):
Gerufene Nummer: *1#
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG1
Immer wenn an einem Telefon die „*1“ vorgewählt wird, geht der Ruf über diese Leitung1.

* Wird ein Eintrag in der Call Routing Tabelle gefunden mit der Ziel-Leitung "RESTART", dann beginnt mit der neuen, umgesetzten Called Party ID wieder der komplette Durchlauf. Dabei wird die Angabe der Quell-Leitung (Calling Line) für den nächsten Durchlauf gelöscht.

* SIP-Leitungen: Displayname sollte möglichst frei bleiben und kann zu Fehlern führen.
Manche Provider fordern dein Eintrag aber.

* Meldung "Der Eintrag '#' existiert bereits in der Tabelle" beim Speichern der Call-Route
Identische Mehrfacheinträge mit Eintrag bei "Rufende Nr. (raus)" führen zu dieser Fehlermeldung. Mehrfacheinträge bei "Rufende Nr. (rein)" funktionieren.

Zielleitungen:
- ISDN
- alle definierten SIP Leitungen
- REJECT markiert eine gesperrte Rufnummer oder verbietet SIP-Steuerzeichen.
- USER leitet den Ruf an lokale SIP- bzw. ISDN-Teilnehmer weiter.
- RESTART beginnt mit der zuvor gebildeten Ziel-Nummer einen neuen Durchlauf in der Call-Routing-Tabelle.
  Dabei wird zuvor Quell-Leitung gelöscht.

CALL Routingtabelle im LCOS Benutzerhandbuch

Siehe auch: Arcor/Vodafone SIP-Zugang an Lancom Router

- "import_request_variables("GPC")" wird nicht mehr unterstützt!

Einfachste Umstellungs-Lösung:

alle Variablen ungeprüft importieren.

 extract ($_GET);
 extract ($_POST);
 extract ($_COOKIE);

Die Lösung ist nicht sicherer als import_request_variables, aber effektiv und für Intranet OK.

Test auf verwendete Variablen zum gezielten Import:

echo "Per POST übergebene Variablen:<br>\n";
while (list ($key, $val) = each ($_POST))
{
  echo "$key => $val<br>";
}
echo "Per GET übergebene Variablen:<br>\n";
while (list ($key, $val) = each ($_GET))
{
  echo "$key => $val<br>";
}

• Eingaben, die mit SQL weiter bearbeitet werden sollen:
$name = mysqli_real_escape_string($name);
auch direkt im SQL-Statement möglich:
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

• Eingaben, die mit HTML weiter bearbeitet werden sollen:
$name = htmlspecialchars($name); 

• Eingaben, die mit EXEC() weiter bearbeitet werden sollen:
$kommando = escapeshellcmd($kommando);  

Variablen zwischen Seiten übergeben:
 extract ($_GET);  bzw. extract ($_PUT); oder besser:  $variable = $_GET($variable);

Vollständiger Syntax:
if (isset($_GET['anzeigejahr'])) { // wurde überhaupt ein Wert angegeben…
  $anzeigejahr = $_GET['anzeigejahr']; // dann den Wert übernehmen
}

Zeigt alle per POST übergebenen Daten:
if ($_POST) {
    echo '<pre>';
    echo htmlspecialchars(print_r($_POST, true));
    echo '</pre>';
}

PHP4: Wenn Variablen nicht zwischen den Seiten übergeben werden, in der php.ini register_globals (=off) auf ON setzen.

(veraltet und unsicher !)

Umstellen auf HTTPS: einfach im Konfig-Menue die URL ändern.

Sicherheit erhöhen durch .htaccess in /phpmyfaq/admin/ -Verzeichnis.

Versions-Update:

FAQ in Wartungsmode setzen.

Alle Files ersetzen ausser:

• all files in the directory assets/template/
• /assets/template/spacelab/index.tpl - in Zeile 64: Home-Button eingefügt.
• the directory attachments/ (meine Daten)
  
• all files in the directory config/ (in /config/ldap.php stehen die AD Anmeldedaten)
  
• the directory data/ (meine Daten)
  
• the directory images/ (meine Daten)
  

Also muß aus dem Installer alles installiert werden außer:

• assets/template/ (muß auch aktualisiert werden, sichern!)
  
• config

Unbedingt sichern: /admin/.htaccess, /web.config , /config/constants_ldap.php, ldap.php (AD Anmeldung), database.php (SQL-Anmeldung)

DB-Update durchführen über /setup/update.php

phpMyFAQ anpassen/umziehen:

/config/database.php - MySQL-Zugangsdaten

/config/ldap.php - LDAP-Anbindung
  PHP.ini: extension=php_ldap.dll, register_globals = off, safe_mode = off

DB: faqconfig - URL + Verzeichnis
DB: faqinstances - URL + Verzeichnis

Favicon: /assets/themes/default/img/favicon.ico
Logo: /assets/themes/default/img/logo.png

Link über Logo anpassen: (Main Template File "index.tpl")
 bzw. /assets/themes/default/templates/index.html 
  -> hier kann die Startseite angepasst werden
  -> Google Fonts lokal oder raus! (DSGVO)

Google Fonts raus (DSGVO): /assets/themes/default/templates/index.html

/startpage.php - Inhaltsblöcke auf der Startseite (kein Layout)

Google Sitemap: https://domain.tld/phpmyfaq/sitemap.xml.php

RSS aus phpMyFAQ auslesen:

- für korrekte Umlaute muß im <head> stehen:

<meta charset="utf-8">

<?php
$rss = simplexml_load_file('./../phpmyfaq/feed/news/rss.php');

echo "<table width='400px' align='center' border='0'><tr><td>";
echo '<h3>'. $rss->channel->title . '</h3>';

$i = 0;
foreach ($rss->channel->item as $item) {







if ($i > 0)
    {
        break;
    }
   echo '<a href="'. $item->link .'">' . $item->title . "</a><br/>";
   echo "<p><small>" . $item->pubDate . "</small></p>";
   echo "<p>" . $item->description . "</p>";
 $i++;
}

echo '</td></tr></table>';
?>

Textpattern.org: (PHP 5.4+, MySQL 5.0.3+)

- wird leider nach dem Tod des "Machers" Dean Cameron Ellen im Jahre 2018 kaum noch weiter entwickelt.
  10/2016 nach langer Pause Version 4.6,
  05/2018: Version 4.7,
  06/2018: v.4.7.1 (Wartungsrelease),
  12/2018: v.4.7.2 (Wartungsrelease),
  02/2019: v.4.7.3 (Wartungsrelease) erschienen.

- ressourcensparend, puristisch, volle Kontrolle über die Webseite.

- erfordert etwas CSS, HTML, PHP.

- ehemals über 700 PlugIns verfügbar (Formular, Kalender..), davon funktioniert mit den aktuellen Versionen kaum noch etwas.

- als CMS für Laien ungeeignet.

- geeignet für Blogs, Webseiten, individuell gestrickte Seiten

-> CT 9/2014 S.174ff

• PHP in Textpattern einbinden: in /textpattern/lib/admin_config.php: (ab v.4.7 nur noch per GUI)

'allow_page_php_scripting' => 1

- PHP Syntax: <txp:php>echo 'Hello world'; </txp:php>
- PHP in Administration / Erweiterte Einstellungen erlauben.
 

- PHP in Artikeln: WYSIWYG-Editor ausschalten!
• Variablen zwischen Bausteinen übergeben: global $variable;  <txp:variable name="xx" />

• Variablen abfragen: <txp:if_variable name="xx">
$x = $variable['xx'];  $variable['xx'] = "$bla";
<txp:variable name="uk_titel" value='<txp:title />' /> - übergibt Textpattern-Titel in Variable


TXP in PHP einbinden:
Alle Textpattern-Tags haben ein gleichlautendes Äquivalent in PHP.
For example, <txp:recent_articles /> is recent_articles().
Bsp2:

<txp:php>

  echo "The current TXP category is: "

    . category(array(

        'title' => '1',

        'link' => '1',

        'wraptag' => 'div'

      ));

</txp:php>

• Bausteine einbinden:

<txp:article />

Dieser Aufruf des Article-Tags bewirkt, dass Artikel unter Anwendung des Bausteins "meineListe" angezeigt werden, wenn die Sektion eine Liste mehrerer Artikel ausgibt. Wird dagegen ein einzelner Artikel ausgegeben, dann wird stattdessen der Baustein "meineEinzeln" verwendet.

• Bausteine ohne Artikelbezug einbinden: <txp:output_form />
Für Code, PHP usw. verwendet man Baustein Typ= verschiedenes.

Bausteine befinden sich in Tabelle "tp1_txp_form"
Seitenvorlagen befinden sich in "tp1_txp_page"

• Sitemap anlegen (Plugin: rah_sitemap) und unter https://www.google.com/webmasters/tools/sitemap-list registrieren.

• MySQL-Konfiguration und txpath befindet sich in /textpattern/config.php

• Sicherheit der Admin-Page erhöhen: /textpattern/-Verzeichnis mit .htaccess schützen. ->  Webpage Tricks

Einbinden von Includes mit PHP und Variablen:
1. im PHP-Code gewohnt mit include("./pfad/datei.inc");2. mit Textpattern außerhalb des PHP-Codes: <txp:output_form />
  Variablen werden anschließend im PHP-Code mit global $variable... bekannt gemacht.

Textpattern unterscheidet Kategorien (category) und Sektionen (section).

Kategorien sind das hirarchiche Menue.
Problem: Textpattern kennt kein sortieren der Punkte und Untermenues gehen nur mit nicht mehr verfügbaren Plugins.
Lösung: Menues manuell stricken. Die Kategorien können trotzdem der Zuordnung von Artikeln zu entsprechen Webseiten dienen.

Sektionen sind Bereiche, die eine eigene Seitenvorlage und ein eigenes CSS bekommen können.
Man kann festlegen, welche Sektion(en) auf der Startseite angezeigt werden sollen.

Artikel werden einer Sektion und bis zu 2 Kategorien zugeordnet.
Die Menuestruktur ist mischbar: man kann Kategorien oder Sektionen aufrufen.
Sektionen: http://link.de/?s=[sektion]
Kategorie:http://link.de/[sektion]/?c=[kategorie]

- im Textbody: Wysiwyg-Editor unter Erweiterung ausschalten.

PlugIns:

• TXP 4.6 - 4.7.1: Plugin "Kuo CLEditor 0.1" installieren. (WYSIWYG-Editor)

• TXP 4.5: Plugin "hak_tinymce" installieren. (WYSIWYG-Editor, geht ab 4.6 nicht mehr.)
In 4.7.3: FUNKTION install manuell anpassen!

$verbindung = mysqli_connect("DB", "USER", "Password");

$mysqlversion = mysqli_get_server_info($verbindung);

• Plugin "jmd_img_selector" einbinden. (vereinfacht Bild in Artikel eingeben)  (geht in 4.7 nicht mehr)
• Plugin "smd_gallery" mit "smd_lib" erlaubt zumindest vereinfachte Bildeingabe in "hak_tinymce" aus der Bilderbibliothek. (TXP-4.7.3)

• Plugin "mem_self_register" - User können sich selbst einen Account anlegen. http://manfre.net
 -> This plugin requires the plugin "mem_form".
• Plugin "rvm_privileged"

Features:

• tag: <txp:rvm_privileged /> returns HTTP 403 error to visitors that are not logged in on the admin side. Users logged in on the TXP admin side with customizable error template.
• tag: <txp:rvm_if_privileged /> lets you show parts of a page only to visitors that are logged in on the TXP admin side.
• Both tags can be set to only allow specific users or privilege levels.
• tag: <txp:rvm_privileged_user /> shows information about the logged TXP user that is visiting the website.

Systemanforderungen und wichtige Änderungen v.4.7.1:
- diverse Tags modifiziert.
- Aufrufe mit TAG:<txp:article_custom> unterstützen kein PHP. Rufe ich das gleiche per PHP article_custom() auf, geht es.

Systemanforderungen und wichtige Änderungen v.4.7:
- requires PHP 5.4 or newer. Compatible with PHP 7/7.1. Empfohlen: PHP 5.4+, in mod_php or fastcgi mode
- GDPR compliance support, by removing all personally identifiable information storage, and altering comments to be opt-in by default, with complete removal of cookie information when requested.

Systemanforderungen und wichtige Änderungen v.4.6.2:
- requires PHP 5.3.3 or newer. Empfohlen: PHP 7, in mod_php or fastcgi mode
  (TXP v.4.5: kein PHP 7)
- min. MySQL 4.1, kompatibel mit MySQL 5.7. Empfohlen: MySQL 5
- Default charset is now utf8mb4.
- Uses mysqli extension for database access, lose dependency on mysql extension.
- geänderten Plugin Support beachten. (hak_tinymce läuft beispielsweise nicht mehr)

Benutzerverwaltung: Jedem Benutzer kann dabei eine von 6 Rollen zugewiesen werden:

• Publisher (Herausgeber)
• Managing Editor (Leitender Redakteuer)
• Copy Editor (Redakteuer)
• Staff Writer (Author)
• Freelancer (Freier Mitarbeiter)
• Designer

Links:

Great Ocean Media -aktuelle TXP- Plugins

Kuo CLEditor 0.1 / Javascript-basierend. Funktioniert auch in TXP 4.6.2 und ist gut.

Kuo Tiny MCE 0.2 - Funktioniert auch in TXP v. 4.6.2. Javascript-basierend. Leider sehr rudimentär. Keine Links, Tabellen, Schriftfarben.

HAK Tiny MCE 1.0 - Sehr gut! Funktioniert leider nicht mehr in Textpattern 4.6

http://www.focusontheclouds.com/home/articles/72/accessing-global-variables-in-textpattern  Zugriff auf globale Variablen

http://textpattern.com/faq 

https://vimeo.com/814857  Super Video für den Einstieg

http://www.textpattern.net/wiki/index.php?title=Creating_Textpattern_themes

http://txplanet.net/

http://kuopassa.net/txp/

Google Community

Modifizierte und übersetzte Version von OSTicket.

Systemvorraussetzungen:
PHP 5.3+
MySQL 5.0+

Deutsches Forum: osticket-community.de

Gute Tips: https://isohelpdesk.de/support/kb/faq.php?cid=2

Sitemap anlegen (Textpattern: rah_sitemap) und unter https://www.google.com/webmasters/tools/sitemap-list registrieren.

Seiten auf Erkennbarkeit (schema.org) testen: https://search.google.com/structured-data/testing-tool 

-> robots.txt im Hauptverzeichnis anlegen für Suchmaschienen.
Verzeichnisse für Suche frei geben oder sperren:
# alle robots
User-agent: *
Disallow: /bbs/
Disallow: /cgi-bin/
Disallow: /forms/
Disallow: /random/
Allow: /baumaschinen/
Allow: /allgemein/

-> .httaccess im Hauptverzeichnis bzw. in jedem Verzeichnis anlegen.

Diese lokale Konfigurtationsdatei überschreibt die serverseitigen Einstellungen des Webservers für das aktuelle Verzeichnis und alle Unterverzeichnisse.

Beispiel Standard-Fehlerseiten definieren:
ErrorDocument 400 /error/400.html
ErrorDocument 401 /error/401.html
ErrorDocument 403 /error/403.html
ErrorDocument 404 /error/404.html
ErrorDocument 500 /error/500.html
Zugangsschutz für Verzeichnis "geheim" aktivieren:
AuthUserFile /home/0815123/uwe-kernchen.de/htdocs/geheim/.htpasswd
AuthName "Uwe Kernchen - Bitte erst einloggen"
AuthType Basic
require valid-user

-> .htpasswd im zu schützenden Verzeichnis anlegen

Username + verschlüsseltes PW mit einem .htpasswd -Generator erstellen. (ein User pro Zeile)
Inhalt kann auch mit Unix Shell command "htpasswd" erstellt, gelöscht oder editiert werden.

Schönes Design. Ideal für Blogs.
Wordpress unterstützt Kategorien und damit auch mehrseitige Konzepte.

• Sicherheit erhöhen: Admin-Verzeichnis /wp-admin/ per .htaccess schützen! -> Webpage Tricks

Einfaches Theme selbst erstellen, Speicherort und grundsätzliche Dateien -> CT 2015/25 S.178ff

Verzeichnis wp-content enthält die eigenen Daten. Verzeichnis sichern und beim Update erhalten.

SQL-Zugangsdaten in: wp-config.php

DB Tabelle: wp_options - SiteURL

DB Tabelle: wp_posts - Postings, also Content.

- PHP in einen beliebigen Pfad auf dem Webserver kopieren.
- PHP.INI anpassen:

• fastcgi.impersonate = 1
• cgi.fix_pathinfo=1
• cgi.force_redirect = 0
• open_basedir = ... möglichst einschränken

- PHP in DOS-BOX testen mit: php -info



IIS + CGI-Modul installieren.
  - Test: IIS Startseite muß laufen

IIS Manager:

• Handler-Zuordnung: Modulzuordnung hinzufügen > *.php, Fast-CGI-Modul, php-cgi.exe, Name= PHPviaFastCGI
• Test: <?php phpinfo(); ?> in Testseite.php

Link: https://technet.microsoft.com/de-de/library/dd239230%28v=ws.10%29.aspx

- MYSQL wird nicht mehr unterstützt. -> MYSQLI nehmen.

$verbindung = mysqli_connect('Server', 'User', 'Passwort', 'DB');

- mysql_select_db kann damit weg fallen.
- mysql_query($abfrage, $verbindung) -> mysqli_query($verbindung, $abfrage).
- mysql_fetch_row($erg) -> mysqli_fetch_row($erg)
- mysql_fetch_object($erg) -> mysqli_fetch_object($erg)
- mysql_num_rows($erg) bzw. mysql_numrows($erg) -> mysqli_num_rows($erg)
- Connection schließen mit mysqli_close($verbindung);
- Variablenvergleich schlägt fehl? -> intval()

Wenn ein Dokument als Unicode (UTF-8) abgespeichert wurde, jedoch als ISO 8859-1 interpretiert wird, geschieht folgendes:

erwartete Ausgabe: ä  ö  ü
wirkliche Ausgabe: ä ö ü

Mit PHP kann man dieses Problem umgehen indem man den entsprechenden Header ändert:

Wenn die Umlaute als Fragezeichen dargestellt werden, dann wird ein als ISO 8859-1 kodiertes Dokument als UTF-8 interpretiert. Dies stellt das Gegenstück zur oben genannten Situation dar.
erwartete Ausgabe: ä  ö  ü
wirkliche Ausgabe: �  �  �

Auch hier lässt sich mit PHP's header()-Funktion nachhelfen, damit der Content als ISO-8859-1 interpretiert wird.

Tückisch wird es bei Datenbankanbindung, wenn die Datenbank ISO-8859-1 kodiert ist.
Trick: gleich nach dem Öffnen der DB folgenden Befehl absetzen:
mysqli_query($verbindung, "SET NAMES 'utf8'");
Das sorgt dafür, dass der Datenbankserver weiß, dass er sowohl bei Datenbankabfragen als auch bei Inserts oder Updates mit UTF-8-codierten Daten arbeiten soll. Diese Methode ist deutlich effizienter als das ständige "utf8_encode".

Wenn möglich kann man auch die PHP.INI anpassen:

Und genau so die MySQL-Konfiguration in /etc/mysql/my.cnf. Damit entfällt der o.g. SQL-Befehl.

Klassen und IDs
- id="xx" wird adressiert mit #xx
- class="xx" wird adressiert mit .xx
- div wird adressiert mit div[itemprop="name"] 
Alle Selectoren: https://www.w3schools.com/cssref/css_selectors.asp

IDs haben im Browser höhere Priorität und lassen sich schwer überschreiben.
IDs dürfen nicht mehrfach in einer Seite verwendet werden.
Wenn möglich Klassen benutzen.
Contao CMS setzt intern auf IDs. Alternativ kann man die als Attribut ansprechen.
( CSS-Formatierung statt #header als [id="header"] )
Attribute sind gewichtet wie Klassen.
IDs sollten nur genutzt werden für Sprungmarken und zur Adressierung per Javascript.

• Mehrspaltiger Text mit css3: column-count, column-width

• Fonts einbinden in CSS:
@font-face {
 font-family: "Droid Serif";
 src: local("Droid Serif"),
 url("/fonts/droidserif.woff") format("woff"),
 url("fonts/droidserif.ttf") format("truetype");
}
p { font-family: "Droid Serif", Georgia, Serif; }

Der Browser arbeitet die Einträge von oben her ab. Zuerst wird geprüft, ob es eine lokale Schrift gibt. Wenn nicht, nimm woff. Wenn nicht unterstützt, nimm ttf. Komma beachten!
Immer Alternativschriften anbieten.

CSS3 Überblendeffekte http://james-star.com/answers/de/css3-effekte-transformationen-animationen-uebergaenge/

CSS Grundlagen: www.mediaevent.de/css/

Einfach zu bedienen, benutzerfreundlich, modern.

Das System kennt diverse Plugins (Module) und eine Handvoll Themes.

Beim Test fielen mir eine Reihe Fehler auf.
- die Installation gelang nicht. Der kompetente und schnelle Support löste das Problem manuell.
- Modul Contact funktioniert (bei mir) nicht.
- Wysiwyg-Editor hat beim editieren mit anderer Anmeldung den Artikeltext verstümmelt. (Fehler nicht widerholbar)
- bei der Nutzung im Adminbereich fliege ich öfter aus der Anmeldung.
- Formular zur User-Registrierung ist userergonomisch abschreckend. Benutzername muß mindestens 6 Zeichen lang sein. Andernfalls wird das Fehlerfeld nicht angezeigt, sondern es kommen Meldungen wie "Token ungültig".

Für mich ist das Programm leider durchgefallen.

Themes:

Default

Candy

Scratch

 Twitter

Contao 3 Support endete 07/2019!

Migration von Contao 3 auf Contao 4:

1. Contao 4.5 aufsetzten
  - Verzeichnis mit Unterverzeichnis "web/" anlegen und Domain darauf zeigen lassen
  - Download: contao-manager.phar.php in /web kopieren
  - im Browser aufrufen
  - Contao Manager Account anlegen
  - Systemcheck
  - Installer starten
2. Daten aus Contao 3 in die Struktur von conato 4 kopieren
  Ordner "templates/", "files/", "system/config/localconfig.php", "system/modules/" und ggf. "asstets/css/" von der bestehenden Contao 3 Installation in die Contao 4 Installation kopieren.
3. Benötigte Erweiterungen und Module mit dem Contao-Manager oder direkt via Composer installieren (die Module können im Contao-Manager oder auf packagist.org gesucht werden).
4. DB(4) löschen und die DB von Contao 3 (tl_) importieren
  Oder einfach DB3 (nach Backup!) der neuen Version4 anhängen
5. Install.tool in domain.tld/contao/install öffnen, Installpw vergeben oder eingeben.
Datenbank-Aktualisierungen durchführen (auch vorgeschlagene Tabellen und Spalten löschen).
  - bei MySQL Server V.< 5.7.7 oder MariaDB Version < 10.2: app/config/config.yml  wie angezeigt anlegen.
    - dann Contao Manager starten: Rebuild Cache
    - dann Installer neu aufrufen
6. Ins Backend einloggen: http://my-site.local/contao/login
  - Dateiverwaltung: Ordner, die öffentlich sein müssen, auf "öffentlich" setzen (falls Bilder nicht dargestellt oder Styles nicht geladen werden)
  - Einstellungen überprüfen.
    Einstellungen wie Datenbank-Verbindung oder SMTP werden neu in der app/config/parameters.yml gespeichert.
    Seitennaufruf ohne ".html" wird jetzt in app/config/config.yml gespeichert.
7. ggf. Probleme beseitigen: (CSS anpassen: span wurde zu strong!)
8. Cache via Contao-Manager oder via Console löschen

vendor/bin/contao-console cache:clear

Weiter bitte nur noch mit Contao 4.

Mit (kostenpflichtiger) Liveupdate - Funktion.

Vorgehensweise:

Seitenstruktur erstellen.
 1. Ebene: Typ= Startpunkt der Webseite.
 Unterebenen: Typ= Reguläre Seite.
Startseite Seitenalias= "index" vergeben. Dann wird die Startseite ohne Alias angezeigt.

Theme erstellen. Das Theme kann beliebig Unterthemes für einzelne Seiten enthalten.
 - Verzeichnis für Theme-Files unter /Files/ (sog. Contao -Dateisystem, kann unter "Einstellungen" angepasst werden) anlegen und konfigurieren.
 - Seitenlayout bearbeiten: neues Layout anlegen. (Kopf, Fuß, Spalten, Maße..)
 - Theme: Frontend-Modul erstellen, Navigation, Typ Navigationsmenue.
 - Theme: Frontend-Modul erstellen, Kopfzeile, Typ Zufallsbild, Pfad für Bild(er) eingeben.

Themes / Seitenlayout / Layout bearbeiten / Eingebundene Module hinzu fügen:
 - Modul "Kopf" in Kopfzeile, "Fuss" in Fußzeile

Seitenstruktur: allen Seiten das neue Layout zuweisen.

Neuen Artikel in der Startseite anlegen.
  Diesen Artikel(kopf) bearbeiten. Neues Element erstellen. Das ist der eigentliche Text.
  Es können mehrere Elemente in der Seite positioniert werden.

Im Theme ein neues CSS anlegen. In dem CSS neue Formulardefinition anlegen.
Es können mehrere CSS und darin mehrere Formulardefinitionen festgelegt werden.
Neues CSS dem Layout hinzu fügen.
  CSS: #bla spricht ID an, .bla spricht Class an.

/index.php/ aus URLs nachträglich entfernen:
1. Unter "System > Einstellungen > Frontend Einstellungen" den Haken bei "URLs umschreiben" setzen.
2. URL-Suffix von ".html" in "/" ändern.
Erst wenn Punkt 1 und 2 geändert sind:
3. Datei .htaccess.default in .htaccess umbenennen.
  Zeile: RewriteRule .*\.html$ index.php [L] # URL suffix .html
 ersetzen durch:

 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !contao
 RewriteRule .*\/$ index.php [L]
 RewriteRule (.+)\.html$ /$1/ [L,R=301]   ## Sollte die Seite bereits bei Google indexiert sein, dann sollten die vorhanden URLs per 301 weitergeleitet werden.

HTTPS Zugriff erzwingen:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Umstellung der Seiteninhalte: sehr einfach mit "Database Search and Replace Script in PHP" (man sollte wissen was man tut)

Wenn sich der Suchindex nicht mehr erfolgreich aufbaut und immer noch http:// sucht:
Diesen Button im Startpunkt der Webseite übersieht man leicht.

Templates: Vorlagen, Fehlerseiten, Grundlagenseite für Suche, Kopien von Orginaltemplates usw. (Ordner: /templates/, normal leer)

Tamplates anpassen: Über Layout -> Templates -> Neues Template aus gewünschtem Template erstellen und anpassen.

Datum und Uhrzeit formatieren: im Startpunkt der Webseite (Seitenstruktur, nicht in den allgemeinen Einstellungen!) in den Globalen Einstellungen eingeben:
Zeitformat: H:i \U\h\r
Datumsformat: d.m.Y
Datums- und Zeitformat: d.m.Y H:i  \U\h\r.

Bildtitel, Metatags: funktioniert sehr ungenau und unzuverlässig.

PHP einbinden: • datei.php nach /templates/ kopieren.
  • als HTML-Element im Text einbinden:  {{file::datei.php}}


Seitenelement mit Contao-Include einbinden:

{{insert_content::120}}

in PHP Seitenelement mit Contao-Include einbinden:

echo  $this->replaceInsertTags('{{insert_content::120}}'); 

 Anwendungsbeispiel für Contao-Includes in PHP: Browserinformationen auslesen.

$this->import('Environment');
$ua = $this->Environment->agent;

echo $ua->os; // Betriebssystem
echo $ua->browser; // Browsername
echo $ua->shorty; // Browserkürzel
echo $ua->version; // Browserversion
echo $ua->mobile; // True wenn der Client ein mobiler Browser ist
echo $ua->class; // Den CSS-Klassen-String 

In insert_content werden Bildlinks in {{file:*}} umgewandelt und funktionieren nicht.
Abhilfe: Bild einbinden mit https://www.... Dann wird das (zumindest bei mir) als externe Domain gewertet und nicht ersetzt.

Manuelles Update: folgende Dateien sichern:

• files/*
• system/config/dcaconfig.php
• system/config/initconfig.php
• system/config/langconfig.php
• system/config/localconfig.php
• system/config/pathconfig.php
• templates/*

Third-Party-Erweiterungen müssen ebenfalls gesichert und nach dem Update wieder hergestellt oder gar nicht erst überschreiben werden. Andernfalls müssen diese Module neu installiert werden, was bei einigen Erweiterungen zu Datenverlust führen kann!

Sollte der Composer-Client im Einsatz sein, muss das Verzeichnis /composer ebenfalls gesichert werden.

Nach dem Update Installationstool: contao/install.php aufrufen (Installationspasswort!) und Datenbank updaten.

Passwort für das Installtool vergessen?
In diesem Fall lokale Konfigurationsdatei system/config/localconfig.php öffnen und folgende Zeile löschen:
$GLOBALS['TL_CONFIG']['installPassword']
Danach fragt Sie das InstallTool nach einem neuen Passwort.

Google Sitemap: befindet sich unter https://domain.tld/share/[blabla].xml
In Seitenstruktur/ Startseite diesen Button nicht vergessen:

Contao Umzug
system/config/localconfig.php - MySQL Zugangsdaten
Bei Verzeichniswechsel:  $GLOBALS['TL_CONFIG']['websitePath'] = ‘http://host/blog/’; in localconfig.php und Pfad in pathconfig.php ändern.

Links:
erdmann-freunde.de/ressourcen.html

Früher hat man in der Statuszeile des IE gesehen, in welcher Zone man sich befunden hat.

Bei aktuellen IE-Versionen findet man diese Information im Menue unter Datei -> Eigenschaften.

phpMyAdmin ist ein mächtiges Tool, aber für Backup/Restore größerer Datenbanken taugt es leider nicht.
Webserver haben eine definierte Laufzeit, nach der sie PHP-Scripts abbrechen.
Im Allgemeinen kann man damit ca. 2 MB Datenbanken sichern.
Das Gemeine ist: es kommt keine Fehlermeldung. Die Backups sind korrupt.

Vor dem Backup -> Tabellen mit Überhang auswählen -> Optimiere Tabellen.

Größere Datenbanken sichert man

1. mit Tools wie MySQLDumper.

2. bei SSH-Zugriff per SSH-Console (Putty..) mit Download per FTP.
Wichtige Kommandos:
pwd - Wenn Sie diesen Befehl eintippen, erhalten Sie den Pfad des Ordners, in dem Sie sich befinden (Beispiel: "/home" )
ls - Durch diesen Befehl wird Ihnen Unterordner und Dateien eines derzeitigen Ordners angezeigt
cd - Wechselt in das das dahinter eingegebene Verzeichnis (Beispiel: "cd www" wechselt in das Verzeichnis www)

SQL Export erstellen:
mysqldump [Datenbankname] -u[Datenbank-Benutzerkennung] -p[Datenbank-Passwort] > [Datei]
Also beispielsweise:
mysqldump DB471 -uuser471 -pM€inPa$$w0rt > Sicherung.sql

SQL Datei importieren:
mysql -u[Datenbank-Benutzerkennung] -p[Datenbank-Passwort] [Datenbankname] < [Datei]

Also beispielsweise:

mysql -uuser471 -pM€inPa$$w0rt DB471 < Sicherung.sql
Hinweis: Die SQL-Datei darf kein CREATE oder USE enthalten! Die Datenbank muß schon existieren.

.htaccess:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Alte http: - Inhalte müssen ersetzt werden, im einfachsten Fall mit Search & Replace direkt in der SQL-DB.

- Root muss auf httpdocs/contao4/web/zeigen

- /system/config/localconfig.php wird abgelöst durch /app/Resources/dcaconfig.php

Folderstruktur von Contao4:


├── app

│   ├── AppKernel.php

│   ├── cache

│   ├── config

│   └── logs

├── assets

├── files

├── system

│   ├── config

│   │   └── localconfig.php

│   └── modules

├── templates

├── vendor

│   ├── contao

│   └── symfony

└── web

    ├── .htaccess (hidden file)

    ├── app_dev.php

    ├── app.php

    ├── install.php

    └── share

Contao 4.4 (neu) installieren
- Verzeichnis projekt/web/ einrichten und (Sub)Domain darauf einrichten
- Contao Manager (contao-manager.phar) laden
- Datei in o.g. Verzeichnis kopieren und in contao-manager.phar.php umbenennen
- mit http://domain/contao-manager.phar.php Installation starten. Der Contao-Manager stürzt beim ersten Mal immer mit Fehlermeldungen ab, nach Refresh läuft er aber.
- Benutzerkonto erstellen
- Systemprüfung und Konfiguration, die meisten Hosting Provider sind vorkonfiguriert
- Setup starten, Version auswählen
- der Installer zieht die Installation direkt von Contao in den Webspace.
- Datenbankverbindung einrichten
- ich mußte app/config/config.yml manuell anlegen, den Inhalt gibt der Installer an
  (oder MySQL Version ab 5.7.7)
- Browser-Cache und Cache unter /var/cache/prod/ leeren

Update von C3 auf C4:

siehe Contao 3

Klar strukturiertes Backend.
Gute Benutzer- und Gruppenverwaltung. (Frontend= Mitglieder, Backend= Benutzer)
Administratoren= "allow-all" per Default, Nutzer= "deny-all" per Default.
Benutzer können mehreren Gruppen angehören, die additiv wirken.
Rechte werden auf Unterseiten vererbt, können aber pro Seite individuell gesetzt werden.
Bis 2010 als TypoLight bekannt.
MySQL-Datenbank fängt immer mit TL_ an.

Bedientips:

Insert Tags: http://de.contaowiki.org/Insert-Tags

Menue, Submenue: http://de.contaowiki.org/ModulNavigation

<?php echo '<pre>' . print_r($GLOBALS) . '</pre>'; ?>

Templates erklärt:
https://docs.contao.org/books/manual/4.0/de/04-inhalte-verwalten/templates.html

Responsive Images in HTML und Contao
• in Themes: neuer Punkt "Bildgröße", Bildgröße definieren.
  Diese vordefinierten Größen erscheinen im Artikel unter vordefinierte Bildgröße.
• Bsp: Bildgröße "Picture (wichtigster Teil)", Zoom 0- ganzes Bild, 100- wichtigster Ausschnitt, Zwischenwerte sind möglich.
• je Picture-Set lassen sich belibig viele Media Querys anlegen, in denen je nach Bildgröße, Pixeldichte usw. verschiedene Zoomstufen definiert werden können.
Video: https://www.youtube.com/watch?v=ub8yROSQyQ4

Weiterführende Links:
Contao 4 Download: https://contao.org/de/news/contao-herunterladen-2017.html
https://www.numero2.de/news/contao-4-leichte-installation-und-viel-komfort.html
https://de.contaowiki.org/Installation_Contao_4_und_Migration_Contao_3_bei_Domainfactory
https://www.stroberry.de/blogarchiv/category/contao.html

CSS-Framework:
https://bulma.io/

Google Optimierung für Mobilgeräte:

https://search.google.com/test/mobile-friendly

Suche im WebArchiv: https:/web.archive.org
Speichert Snapshoots gängiger Internetseiten und macht die Seiten in beliebigen alten Versionen verfügbar.

Aufruf nach folgendem Schema: https:/web.archive.org/web/[Zeitstempel]/[URL]
Beispiel:
https://web.archive.org/web/19981101000000*/showblitz.com

Google und Webarchive Cache durchsuchen: http://cachedview.com/de

Ein Rankingverfahren stellt das Tool Tempas aus dem Alexandria Projekt bereit.
Hier findet man alle Seiten, die zu einer Person o.ä. Inhalte enthielten.

Ein weiteres Werkzeug aus dem Alexandria Projekt ist ArchiveSpark, das große Archiv-Datenbestände nur anhand seiner Metadaten schnell durchsucht.

WebRecorder speichert besuchte Seiten mit allem Inhalt (Anmeldung erforderlich).
Die Inhalte lassen sich veröffentlichen oder als ISO standard WARC file Format speichern.
Ein zugehöriger Offline Player ist ebenso verfügbar.

- TCP Port 443,
- UDP alle Ports
- DNS: Allow *.whispersystems.org, *.signal.org

Quelle: https://support.signal.org/hc/en-us/articles/360007320291-Firewall-and-Internet-settings

Gruppenrichtlinien zum Verwalten der Einstellungen (msedge.admx) und des Updateverhaltens (msedgeupdate.admx)
https://docs.microsoft.com/de-de/deployedge/configure-microsoft-edge

- [Windows]+[Pfeil oben] - maximiert aktuelles Fenster.
- [Windows]+[Pfeil unten] - verkleinert aktuelles Fenster.
- 2x [Windows]+[Pfeil unten] - klappt aktuelles Fenster herunter.
- [Windows]+[Pfeil links/rechts] - zeigt aktuelles Fenster in voller Höhe auf linker bzw. rechter Seite.
- "Aero Shake" (Fenster festhalten und schütteln oder: [Windows]+[Pos1]) - minimiert alle anderen Fenster.

- "Desktop anzeigen" (ganz rechts unten in der Taskleiste!) - klappt alle Fenster herunter.

Problem: Windows 7 löscht vorhandene Verknüpfungen vom Desktop.
Ursache: Windows 7 führt wöchentlich eine Aufräum-Aktion durch, die unbenutze oder fehlerhafte Verknüpfungen löscht. Diese Funktion ist übereifrig und löscht auch temporär nicht verfügbare Verknüpfungen. (fehlende Netzverbindung, Passworteingabe erforderlich...)
Abhilfe: Problembehandlung komplett deaktiveren oder in den PS1-Scripts Desktopbereinigung deaktivieren.

1. GADGET.XML -Datei zur Beschreibung des Gadgets.

2. HTML-Datei mit dem eigentlichen Gadget.
3. Dateien als ZIP packen und als .gadget umbenennen.
Windows speichert installierte User-Gadgets unter C:\Users\[Benutzername]\AppData\Local\Microsoft\Windows Sidebar\Gadgets
Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\

Zum Ausführen von Gadgets muss C:\Program Files\Windows Sidebar\sidebar.exe

und Windows Feature "Desktop Gadget Plattform" laufen.

Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\
User-Gadgets liegen in C:\Users\Born\AppData\Local\Microsoft\Windows Sidebar\Gadgets\
%ProgramFiles%\Windows Sidebar\sidebar.exe /showGadgets  -zeigt alle Minianwendungen

Literatur:
Gadgets bauen
http://www.gieseke-buch.de/windows-7/windows-gadgets-selbsterstellen
http://robofan.de/SidebarGadget.html
http://technet.microsoft.com/de-de/library/ff731022.aspx

betrifft: Windows Vista, Windows 7

Dosbox (Win7!): -> DISKPART.
-> LIST DISK. (zeigt die Nummer des USB LW)
-> SELECT DISK [Nr]
-> CLEAN
-> CREATE PARTITION PRIMARY
-> SELECT PARTITION 1
-> ACTIVE
-> FORMAT FS=NTFS
-> ASSIGN
-> EXIT.
DOSBox nicht schließen.
5. Insert your Windows DVD and note down the drive letter of the optical drive and USB media. Here I use “D” as my optical (DVD) drive letter and “G” as my USB drive letter.
6. Go back to command prompt and execute the following commands:
-> d: (DVD-Rom)
-> cd d:\boot
6.2. Use bootsect to set the USB as a bootable NTFS drive prepared for a Vista/7 image. I’m assuming that your USB flash drive has been labeled disk G:\ by the computer:
-> bootsect /nt60 g:
7. Copy Windows DVD contents to USB.
You are done with your bootable USB. You can now use this bootable USB as bootable DVD on any computer that comes with USB boot feature.
This guide will NOT work if you are trying to make a bootable USB on XP computer.

Mehr Infos: http://bootdisk.com/pendrive.htm
FAT32 mit DOS:
http://www.biosflash.com/bios-boot-usb-stick.htm

Der Ordner liegt noch in C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories, wird aber im Startmenü nicht angezeigt.

Lösung: Persönlichen Zubehör-Ordner (C:\Users\[USER]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories) löschen!
Windows 7 zeigt beide Ordner nicht mehr an, wenn in beiden ein identischer Eintrag ist.

Dieses Problem tritt beim Installieren von CD oder USB auf, wenn der Gerätetreiber für USB 3 oder SATA/SCSI nicht im Windows(7) vorhanden ist. Das Hinzufügen von Treibern ist nicht möglich, weil die entsprechenden Geräte nicht erkannt werden.

Lösung:
WinPE  starten (idealerweise von Win10), CMD-Konsole -> diskpart.

• Korrekte HD wählen und leer machen (list disk -> select disk -> clean)

• 2 neue Partitionen einrichten. (create partition primary [size=n] )

1. Partition zum Reservieren des Platzes für die Systempartition (ca. 3/4 der Platte)
2. danach eine Partition mit ca. 10 GB für die temporären Installationsdaten

Die 2. Partition wird NTFS formatiert, Laufwerksbuchstaben x: (format fs=ntfs label="INSTDISK" quick -> assign letter=x)

Nun kopiert man die Treiber und das gesamte Installationsmedium auf LW X:.

Nochmal diskpart starten und Partition 1 löschen, damit Setup genügend Platz hat, die System-Partition mit dem Bootlader anzulegen. (select disk -> select part -> delete part ..)

Nun SETUP aus dem PE heraus auf der HD starten x:setup.exe.

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB
Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0
(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

- auf Win8.1-PC im Suchfenster "Wiederherstellungslaufwerk" eingeben.

Das erstellt einen bootfähigen Stick (je nach Version: 32/64-bit) mit Windows RE. (Recovery Environment)

Funktionen siehe Systemreparatur, Wiederherstellungskonsole

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace folgende Schlüssel löschen:

Klicke mit der rechten Maustaste auf eine freie Stelle der Taskleiste und auf Eigenschaften.
Im sich öffnenden Fenster auf die Registerkarte Navigation wechseln.
Häkchen vor "Beim Zeigen auf die obere rechte Ecke die Charms anzeigen" entfernen.

Nutzeranleitung:
Jeder User hat jetzt unter System ein neues Verzeichnis "SPAM".
Unter "Unverteilt" liegt direkt das "SPAM"-Verzeichnis.
In diesen Verzeichnissen landen alle Nachrichten, die vom System als Spam erkannt werden oder die auf der Blacklist stehen.

In dem SPAM-Verzeichnis gibt es ein Unterverzeichnis "persönliche Whitelist" und "persönliche Blacklist".
Hier kann jeder User selbst seinen Spamfilter anlernen.
Betroffene Nachrichten bitte einfach in das White- oder Blacklist-Verzeichnis kopieren. Ganze Domains können mit "@abc.de" eingeschlossen werden. Ab sofort wird der Absender entsprechend behandelt.
Außerdem gibt es unter AZV-SERVER/DvSpam/ eine zentrale White- und Blacklist für alle User.

Am Anfang ist der Filter "dumm" und macht entsprechende Fehler.
Es ist erforderlich, besonders am Anfang immer mal in dem Spamverzeichnis nachzusehen!

DvSpam erkennt alle Mailadressen als "Kein-Spam", die im eigenen oder zentralen Adressbuch stehen oder an die Nachrichten gesendet wurden (aber erst ab jetzt!) oder die in der Whitelist stehen.
Außerdem arbeitet DvSpam mit den gängigen Blacklisten im Internet und hat eine eigene Spamerkennung.
Unklare Mail (MayBeSpam) werden hellrot eingefärbt, aber zugestellt.
Spam und Blacklist wird dunkelrot eingefärbt und wie gesagt in das Unterverzeichnis ./System/Spam/ verschoben.

Spamerkennung ist subjektiv und macht Fehler.
Mit einem Rechtsklick auf die Mail kann man unter "Kommentar editieren" den Grund für die Spameinstufung sehen.

Unerwünschte Dateianhänge (beliebige Extensions wie *.bat|*.cmd|*.com|*.vbs|*.exe|*.zip) können als Spam-Gewichtung (Rezept 107 - Attachments) mit frei definierbarer Wertung eingesetzt werden.

Konfiguration:

Es besteht die Möglichkeit, über einen Kontextmenüeintrag im David Client Nachrichten in die Black- bzw. Whitelisten zu übertragen. Dazu muss dvspam.vbs + dvspam.ico nach »DAVID\CODE\SCRIPTS« kopiert und in der Benutzerkonfiguration als individ. Script eingebunden werden.

- Lizenz muß neu angefordert werden, wenn sich die Tobit David Lizenz ändert!

- Programm muß Lesezugriff auf /David/Code/ haben.

DvSPAMcheck

Tool in DavidClient einbinden, um die Bewertung von DvSpam nachzuvollziehen.

Datei tobit.ini um den Eintrag ergänzen:
(teilweise gibt es noch eine tobit.ini in C:\Users\...\AppData\Local\VirtualStore\Windows)

EntryCommand01=DvSPAMcheck, C:\Programme\DvSPAM\DvSPAMchecker.exe %s

Fehler: Beim Druck über den Druckertreiber öffnet sich das Programm nicht.
Lösung: In der lokalen tobit.ini muß der Client-Pfad in 8+3- Konvention abgelegt werden!
ClientDirectory=C:\PROGRA~1\TOBITI~1

Problem: Das Verzeichnis POSTLAGERND ist standardmäßig im David FX 2011 für alle Tobit-User voll sichtbar!
Abhilfe: - Gruppe [DVG-Servername] muss zwingend Vollzugriff haben.
- für alle Tobit-Benutzer: lesen verbieten. Klingt bescheuert, geht aber.

X:\David\Clients\setup.exe dvwinhidesetup

(ungeprüft:) X:\David\Clients\setup.exe fwwinsetup

Mit diesem Parameter wird der Client installiert bzw. ein Update durchgeführt ohne Dialoge, bzw. Abfragen.

Zuverlässig klappt das aber nur bei vorheriger Deinstallation:
C:\Windows\UNINSTIC.EXE "%ProgramFiles(x86)%\Tobit InfoCenter\Setup\UNINST.INF"

- MSI in DAVID/Client/ per Gruppenrichtlinie ausrollen.

Problem: MSI ist von 2008. Sie installiert den aktuellen Client, trägt sich aber in der Systemsteuerung als David 10.0 ein.

Tobit David installiert seit Rollup 247 (12/2015) einen Dienst zum automatischen Client-Update. Seitdem ist o.g. Tip nur noch für Neuinstallationen relevant.

Infocenter Einstellungen: HKEY_CURRENT_USER\Software\Tobit\Tobit InfoCenter\Settings
Infocenter Vorlagen: HKEY_CURRENT_USER\Software\Tobit\Tobit InfoCenter\Servers\(Servername)\

Varianten zum verteilen :
- Script (\\(Servername)\David\Code\scripts) in DvAdmin / Benutzer / Benutzerdaten aktivieren.
- Batch, Logon-Script oder GPO.

Tobit David beherrscht seit 8/2014 Active Sync und kann mit üblichen MS Exchange Clients per EAS angebunden werden (E-Mails, Kalender und Adressen).

- Einstellungen im Tobit:
  - Benutzer: Recht "RemoteAccess", Freigabe und Zugangsdaten für betr.Verzeichnisse
  - Webbox / ActiveSync: ActiveSync erlauben
  - Webbox muß laufen
  - SSL: mit dem TLSCert Tool (david\utils\windows\tlscert\tlscert.exe) ein Zertifikat erstellen, nach \david\apps\webbox\code\wbcert.pem kopieren. SSL aktivieren, für Webbox Firewall anpassen.
  - Port 443, wenn der schon genutzt in  \david\apps\webbox\code\webbox.ini HTTPSPORT=8443 setzen.

- Einstellungen im Router:
  - Port Forwarding Port 443 oder 80 auf den David-Server.

David Client zeigt Fax in der Vorschau an, kann es aber nicht öffnen.

Lösung: Kopieren von DVEDIT32.EXE von einem anderen Client.

 Wenn das nicht reicht: Client vollständig deinstallieren und neu installieren.

Druckvorlage für Emails befindet sich in \DAVID\Clients\Windows\EMAIL.PRN
Hier kann beispielsweise die Liste der Anlagen anpassen (korrigieren).

david.ini:

Neue User sollen nicht automatisch angelegt werden:
AutoValidation = FALSE
;  Default is TRUE
;  If TRUE is set, a user who has not been entered as a David
;  user yet, will be automatically defined as a new user when
;  creating a send job. This will only be possible provided that
;  the number of licensed users will not be exceeded.
Diese Einstellung gibt es inzwischen auch im DvAdmin.

webbox.ini  im Verzeichnis: David\Apps\Webbox\Code

   HttpsPort = 1245
Damit lässt sich der SSL Port ändern.
Standard ist 443

   Port = 8080
Änderung des Standardports für die Webbox
Standard ist 80

• archive.dat - Größe muß immer ein Vielfaches von 430 sein

• archive.dir - Ordnerstruktur

• ***.001 - Dokument-Inhalt

• ***.$01 - Dateianlagen

• archive.urt - alle Regeln im betreffenden Verzeichnis

Realnamen beim Anlegen von Ordnern und Gruppen erzwingen: Name{Name}
 Bsp.: Papierkorb wieder herstellen: Papierkorb{trash}

Archive sortieren: #01# Name1
                         #02# Name2   (#01# wird nicht angezeigt)

Include-Dateien in \David\Apps\Faxware\Resource\Include\ 
• standard.inc
• standard.fax (@@BENUTZER xxx@@) passt Absendekennung für Fax an.
Userabhängige Absendekennung: nutzerxx.inc anlegen mit "@@csid Faxnummer FAX@@" und in Nutzerverwaltung vorab einbinden.

Das Unterbinden von Dateitypen per David\Code\VIRUSLST.TXT geht seit V.8 leider nur noch mit aktiviertem Virus Protection.

Alle Sendemethoden ( Postman / Datenbanken / Sendemethode) sind im Verzeichnis David\Apps\Postman\Code in der postman.dir gespeichert. Diese Datei kann man umbenennen und anlegen.

eMail Übernahme

Mail Access Server für IMAP Zugriff einrichten

1. Mail Access Server muß gestartet werden
2. David.Administrator
   System | Benutzer | <Benutzer> | Rechte: Remote Access nutzen aktivieren
   Fernzugriff & Publizierung | Mail Access Server | Konfigurieren
   Unterstützte Protokolle: POP3/IMAP4
   Login Alias: Name wählen und Ordner des Benutzers festlegen, der Login Name muss mit den Namen vom Remote Access im TIC übereinstimmen.
3. Tobit InfoCenter
   Optionen | Einstellungen | Zugang | Remote Access aktivieren und Loginname und Passwort setzen

Variante 1:
Mail Access Server einrichten und Outlook über IMAP anmelden, Posteingang u.a. exportieren in eine .pst Datei

Variante 2:
Datensicherung über IMAP mit Mailstore und Wiederherstellung in Outlook

Kalender / Adressen Übernahme

Variante 1:
Windows Ordner erstellen und David Kalender Einträge per Drag&Drop in den Ordner ziehen. Es werden .ics Dateien für jeden Termin erstellt. Für Kontakte wiederholen.

Kalender Export
Kalender wählen | Anzeigen als Übersicht (Zeitraum z.Bsp. von 1995 bis 2015)
Datei | Datenexport
Einträge: Alle
Exportart: ASCII
Trennzeichen
Feld: ,(Komma)
Eintrag: (Zeilenumschaltung + Zeilenvorschub)
Datum/Zeit: Separate Felder
Format: ANSI
Datei angeben

Outlook Import
Datei | Importieren/Exportieren | Aus anderen Programmen oder Dateien importieren
Kommagetrennte Werte (Windows)

Parameter "DisableFaxHeader=x" in der "DAVID.INI" im Verzeichnis "DAVID\CODE".

Parameter "x" kann folgende Werte annehmen:

"0" = der Header wird immer erzeugt (Default);
"1" = Faxversand ohne Header, FaxBox-Dokumente werden mit Header erzeugt;
"2" = Fax-Dokumente mit Header, FaxBox-Dokumente ohne Header oder
"3" = Immer ohne Header.

Hinweis:
Sofern Fax-Aufträge ohne Kopfzeile erzeugt und versendet werden, stehen dem Empfänger alle Informationen wie Datum/Zeit, Anzahl Seiten, Absenderkennung usw. nicht zur Verfügung.

Header Einträge:

BENUTZER; SENDERNAME; ADRESSAT; SEITEN; DATUM; UHRZEIT; LOGO
Benutzer: standardmäßig in "Konfiguration=>Benutzer=>[Benutzername]=>Allgemein=>Initialen (=>Kürzel)" oder durch "@@BENUTZER". ACHTUNG! Include-Dateien in \David\Apps\Faxware\Resource\Include\ beachten! (auch standard.inc)

Sendername: standarmäßig in "Konfiguration=>System=>Faxkennung" oder "@@SENDERNAME"

Datum und Uhrzeit standardmäßig Systemzeit der Konvertierung oder "@@HEADDATE dd.mm.jj" und "@@HEADTIME hh:mm"

Logo: header.bmp in "DAVID\CODE\RESOURCE\HEADER" (Windows BMP Datei, 1-bit Farbtiefe s/w, 150*46 Pixel)

Individuelle Absendekennung: http://www.windows-faq.de/2010/05/06/absenderkennung-bei-david-fx-individuell-hinterlegen/

Probleme mit David SQl-Suche:

Vor der David-Installation die SQL-Server Instanz DAVID im Verzeichnis ...\David\Code\Database anlegen.

Problem: 
E-Mail von externen Absendern an mehrere interne Empfänger kommen bei allen Empfängern im David mehrfach an.

Lösung:
DvAdmin -> GrabbingServer -> POP3-Postfach -> Verteilung:
Auszuwertendes Adressfeld an Provider anpassen.
(bei mir: X-Original-To)

Ggf. muß man sich beim Provider ein entsprechendes Feld bereit stellen lassen.

Dieses Verhalten liegt an einer fehlerhaften Zuweisung des Standard-Mailclients. (MAPI)

Lösung: Meine "Tobit MailTo.reg" ausführen.

Vorlagen

Zentraler Ablageort: [Server]/Ressourcen/Vorlagen

Nutzer-Vorlagen: [Server]/Benutzer/[User]/System/Vorlagen

Vorlage erstellen:
- Neue Nachricht. Text einfügen. Betreff nicht vergessen.

- Speichern als Persönliche oder Öffentliche Vorlage.

Vorlage einbinden:

Lokal: Optionen -> Einstellungen -> Vorlagen.

Zentral: DvAdmin: System -> Benutzer -> Eigenschaften des jeweiligen Benutzers -> Benutzerdaten -> Client konfigurieren -> Vorlagen

Vorlage bearbeiten:

Die normale Bearbeitung ist selbsterklärend.
Bearbeitung des HTML-Quelltextes: Vorlage bearbeiten, Format= HTML wählen, Rechtsklick: Quelltext anzeigen.

DFML-Formulare:

Tobit-eigene HTML-ähnliche Scriptsprache zum Senden oder Speichern von Formularinhalten.

Ablage: [Server]/Ressourcen/Formulare

DFML-Formulare werden im Format = Text-Only bearbeitet.

http://www.schneller-und-besser.de/forum/index.php?thread/172-grundlagen-f%C3%BCr-dfml-formulare/

Das Duplog ist eine interne Kopie des Tobit David-Servers, in dem alle ein- und ausgehende Post als Link abgebildet wird.
Diese Funktion wird beispielsweise von DvSpam genutzt und ist als Kompromiss für die Archivierung nutzbar.
Wird die Originalnachricht gelöscht, ist auch der Inhalt der Duplog-Nachricht weg.

Damit der ServiceLayer eine DupLog schreibt, sind folgende Einstellungen notwendig:
1. In der TAS (über den David Client) Verzeichnisse anlegen (z.B. "MailArchiv" mit Unterordner Ein-/Ausgang), in die der SL die
DupLog für den Ein- und Ausgang schreiben soll.
2. In die David.ini folgende Einträge einfügen (weichen je nach namen etc ab).

Service Layer neu starten. Ab jetzt führt der SL in diesen Verzeichnissen die Duplogs.

Mit "Rechtsklick in der geöffneten Nachricht" > "Quelltext anzeigen" kann die Änderung NICHT abgespeichert werden.

Der Rechtsklick muss auf die Nachricht in der Eintragsliste erfolgen > Eigenschaften wählen > Button "Erweitert" anklicken > "HTML-Inhalt" auswählen > Bearbeiten.

Mit aktiviertem Sitecare kann das Zertifikat kostenfrei direkt aus dem David Admin beantragt und aktiviert werden.

Wenn alles klappt, wird es automatisch in die Webbox, den internen Mailaccess undPostman integriert.

Wenn der Download des Zertifikats fehl schlägt:

1. David Administrator öffnen
2. System -> Konfiguration
3. Domäne: Hier die Domäne eintragen, die auch von außen erreichbar ist und direkt auf Tobit forwarded, nicht die Domain für die E-Mailadressen. (Bsp. mail.domain.de)
4. TLS Zertifikat anforden, (nachdem geprüft wurde ob port 80/443 Webbox offen sind
5. Fertig.

Manuelles Aktivieren und Einbinden in Webbox/Konfig/Erweitert (Nicht nötig mit o.g. Schritten).

SSl-Zertifikat im PEM-Format einbinden, komplett incl. privatem Schlüssel. (wbcert.pem)

Man erstellt mit Notepad eine leere Datei und kopiert den Inhalt der Server Zertifikate, des Privaten Schlüssels und der Zwischenzertifikate hinein, speichert Sie als cert_bundle.pem auf dem Desktop des Server und importiert sie in o.g. Menue.

Video-Anleitung: https://www.youtube.com/watch?v=8AC48Y-Dn9w

• bei der Installation: DAVID - Verzeichnis manuell erstellen, nur Administratoren = Vollzugriff.

• Berechtigungen später zurück setzen:
  - David- Verzeichnis Berechtigungen wie oben bereinigen
  - DvAdmin: ALT-Taste blendet Menue ein, Werkzeuge: Zugriffsrechte zurück setzen

• einzelnes Unterverzeichnis frei geben:
  - fremder Benutzerordner: nur "Attribute lesen" für "Nur diesen Ordner" für den zweiten User setzt. 
  - im gewünschten Unterordner: Leserechte inklusive Unterordner und Dateien.
  - archive.dir im Benutzerordner: Leserechte für den neuen User.

Videoanleitung: https://www.youtube.com/watch?time_continue=29&v=59z67xIuq6o

Bei gleichem Servernamen: DAVID-Verzeichnis kopieren, neu drüber installieren, fertig.

Export / Import von allen Nachrichten geht auch komfortabel über die Strongebox.

David.Administrator: Identifizierung, Verteilregeln bzw. Verteilvorgaben übernehmen:
- im DvAdmin jeweiligen Menuepunkt auswählen
- Titelmenue ([ALT]-Taste), Werkzeuge, Exportieren und am neuen Server importieren

Drucktemplates sind HTML basierte Dateien, mit denen man steuern kann, was generell beim Ausdruck erscheinen soll (Anhänge, Datum, etc.).

Eine Datei findest Du unter

david\clients\windows\EMAIL.PRN

die andere unter

david\code\template\Default.eml

Bei der einen handelt es sich um die Vorlage beim Druck über den lokalen Systemdrucker, bei der anderen um die Vorlage beim Druck über den in David.Admin gemappten Drucker.

Der Ausdruck von eMails, Kalendereinträgen und Adressen kann auf Wunsch in einer speziellen formatierten Form erfolgen. Hierzu können Vorlagen verwendet werden, bei denen es sich um Text-Dateien handelt, die über HTML-Tags und besondere Befehle das jeweilige Layout definieren. Diese Dateien befinden sich im Verzeichnis »DAVID\CODE\TEMPLATE« auf dem DvISE Server (Windows Backend). Durch die Dateinamen-Erweiterung ist festgelegt, für welches Nachrichten-Format die zugehörige Datei gilt (*.EML: eMail, *.CAL: Kalender, *.ADR: Adresse).
Um eigene Formatierungen zu realisieren, können Sie entweder die bereits vorhandenen Dateien entsprechend abändern oder komplett neue Dateien in diesem Verzeichnis erstellen. Standardmässig liegen in dem TEMPLATE Verzeichnis die Dateien DEFAULT.ADR, DEFAULT.CAL sowie die Datei DEFAULT.EML. Sie können diese nun entsprechend Ihren Wünschen individuell anpassen, oder neue Dateien anlegen (wie z.B. TEST.ADR, TEST.CAL und TEST.EML). Sobald eine Datei mit einem anderen Namen neu erstellt wurde, steht Ihnen diese Datei als Auswahl (Pull-Down-Menü) in der Druckerkonfiguration des DvISE Administrators unter »Konfiguration -> Drucker -> "Name des Druckers" -> Vorlage« Hierzu stehen Ihnen verschiedene Befehle und Variablen zur Verfügung.

Befehle für eMail-Vorlagen
Diese Befehle können innerhalb einer Vorlage-Datei zur Formatierung von eMail-Ausdrucken verwendet werden:

##ATTACHCOUNT## --> Anzahl der Attachments
##ATTACHMENTS## --> Name, Größe, Datum der Attachments
##BODYTEXT## --> Nachrichtentext (Mailbody)
##CCADDRESSES## --> Alle CC Adressen
##ERROR## --> Fehlermeldung
##FROM## --> Absenderadresse
##PRIORITY## --> Priorität
##RECIPIENT## --> Empfänger
##STATUSTIME## --> Status Zeit
##SUBJECT## --> Betreff
##TOADDRESSES## --> Alle To-Adressen

Ferner (nicht aus dem KB-Artikel):
##USER## Benutzername im Klartext

Befehle für Kalender-Vorlagen
Diese Befehle und Variablen können innerhalb einer Vorlage-Datei zur Formatierung von Kalender-Ausdrucken verwendet werden:

##SUBJECT## --> Betreff des Termins
##LOCATION## --> Ort des Termins
##SHOWAS## --> Status des Termins (Gebucht, Frei etc.)
##ATTENDEES## --> Liste der Teilnehmer (Trennzeichen: Zeilenumbruch)
##RECURRENCE## --> Bei Terminserie: Art der Wiederholung (z.B. täglich)
##COMMENT## --> Text des Termins (HTML oder reiner Text)
##STARTDATE## --> Anfangzeit des Termins
##STOPDATE## --> Endzeit des Termins

Variablen:
%a --> Abgekürzter Name des Wochentags
%A --> Ausgeschriebener Wochentagsname
%b --> Abgekürzter Monatsname
%B --> Voller Monatsname
%d --> Tag im Monat (01 - 31)
%H --> Stunde (00 - 23)
%I --> Stunde im 12h Format (01 - 12)
%j --> Tag im Jahr (001 - 366)
%m --> Monat (01 - 12)
%M --> Minute (00 - 59)
%p --> A.M./P.M. Indikator
%U --> Kalenderwoche (00 - 53)
%w --> Wochentag als Ziffer (0 - 6; Sonntag ist 0)
%W --> Kalenderwoche (00 - 53, erster Wochentag: Montag)
%x --> Datum formatiert nach lokaler Einstellung
%X --> Uhrzeit formatiert nach lokaler Einstellung
%y --> Jahreszahl ohne Jahrhundert (00-99)
%Y --> Jahreszahl inkl. Jahrhundert (ab 1970)
%z --> Name der Zeitzone (Kürzel)
%Z --> Name der Zeitzone (ausgeschrieben)

Befehle für Adress-Vorlagen
Diese Befehle können innerhalb einer Vorlage-Datei zur Formatierung von Adress-Ausdrucken verwendet werden:

##CITY## --> Ort
##COMPANY## --> Firma
##COUNTRY## --> Land
##DAYOFBIRTH## --> Geburtstag
##DISPLAYNAME## --> Angezeigter Name
##EMAILADDRESS## --> eMail-Adresse
##EMAILADDRESS2## --> 2. eMail-Adresse
##FIRSTNAME## --> Vorname
##LASTNAME## --> Nachname
##MIDDLEINITIAL## --> 2. Vorname
##NOTES## --> Kommentar
##PHONEMOBILE## --> Mobil-Telefonnummer
##PHONEOFFICE## --> geschäftliche Telefonnummer
##PHONEPRIVATE## --> Private Telefonnummer
##STATE## --> Bundesland
##STREET## --> Straße
##TITLE## --> Titel
##ZIPCODE## --> Postleitzahl (PLZ)

Quelle: https://www.david-forum.de/forum/thread/13826-wie-drucke-ich-cc-empf%C3%A4nger-mit-aus/?postID=72059#post72059

Excel summiert immer nur bis 24 Std. auf.

Abhilfe: [h]:mm:ss formatieren

outlook.pst - alle aktuellen Daten
archiv(e).pst - alle archivierten Dateien
*.fav - Verknüpfungen
outcmd.dat - Menü- u. Symbolleisten
*.rtf od. *.txt - Signaturen

Backup-AddIn für Outlook 2013: http://it-blogger.net/post/So-laesst-sich-die-PST-Datei-von-Outlook-2013-automatisch-sichern.aspx

http://outlookbackupaddin.codeplex.com/releases/view/611427

Outlook reparieren/im abgesichten Mode starten: outlook /safe

Alt-PC  (Word2003):
- normal.dot aus ../user/AppData/Roaming/MS/Vorlagen/ sichern.

Neu-PC:
- normal.dot in ../user/AppData/Roaming/MS/Word/StartUp/ speichern.
- normal.dot in Word2013 mit Rechtsklick oeffnen.
- Speichern unter -> Typ: Word-Vorlage, Datei: AutoText.dotx in o.g. Startup-Ordner.
- Konvertierung bestätigen. Fertig.

Word Schnellbausteine bzw. Autotexte in normal.dotm
%appdata%\Roaming\Microsoft\Templates

Keine Schriften im Word vorhanden, obwohl die Schriften in anderen Programmen funktionieren.
Lösung: beliebigen Druckertreiber installieren! Word funktioniert nicht ohne einen Druckertreiber.

Unter %allusersprofile%\Anwendungsdaten\Microsoft\Office\Data findet man die Opa11.DAT, die für die Produktaktivierung zuständig ist. Bei Office-Deinstallation und Neuinstallation bleibt sie normalerweise erhalten. Die Datei enthält eine Hardware-Prüfsumme, ist also nur auf der selben Maschine wieder einsetzbar.

Microsoft hat Anfang Juni 2011 mit den Windows-Updates ein "Microsoft Office File Validation Addin" verteilt und auf PC´s mit Windows XP installiert.
Dieser Patch verursacht besonders unter Office 2003 und in langsamen Netzen extreme Verzögerungen beim Öffnen von Excel-Dateien!
Der Patch läßt sich in der Systemsteuerung deinstallieren und das Problem ist behoben.

• DOC - Standardformat von MS Word bis 2003.
  • fast jedes Textprogramm liest es.
• DOCX
  • ZIP-Archiv mit eingebetteten Inhalten.
  • Format von MS Word 2007ff., auch LibreOffice kann es. Selbst innerhalb der MS Office-Versionen gibt es Nuancen.
  • Für MS Office 97/2003 gibt es ein Compatibility-Pack, dann ist das Format nutzbar.
  • Wenn gar nichts hilft: Datei ab Win7 mit MS Wordpad öffnen und als .DOC exportieren. Formeln und Bilder sind dann aber nicht mehr editierbar.
  • .DOCX in .ZIP umbenennen und gepackten Ordner öffnen. /document.xml enthält den Text, in /media sind alle Bilder.
  • Dateien lassen sich im Block mit dem Konvertierassistent von LibreOffice und OpenOffice (ab V.4.1.1) nach ODT oder ODS konvertieren.
• ODF - Open Document Format
  • ZIP-Archiv mit eingebetteten Inhalten. (notfalls in .ZIP umbenennen und öffnen)
  • theoretisch das universelle Austauschformat (ab MS Office 2007).
  • MS Word 2007ff. spricht einen eigenen Akzent OO XML
• RTF - Ritch Text Format, reines Textformat mit Ankern u.ä.
  • einfaches Format zum Text-Austausch. Kann Bilder und Textformate.
  • Standardformat von MS Wordpad, als RTFD auch Apple TextEdit.
• TXT - Textinhalte ohne Fonts und Formate. Geht immer und auf jeder Plattform.
• XLSX
  • MS Excel ab 2007, ältere Versionen mit CompatibilityPack (siehe DOCX).
  • Dateien lassen sich im Block mit dem Konvertierassistent von LibreOffice und OpenOffice (ab V.4.1.1) nach ODT oder ODS konvertieren.

Ein universelles Format gibt es nicht. Jede Version hat einen eigenen Dialekt. Formeln werden mit proprietären Fonts erstellt. Macro-Sprachen weichen in jeder Version und sogar Sprachversion ab.
Wer Texte austauschen will, nimmt .TXT.
Wer Text mit Layout austauschen will, nimmt .PDF.
Wer Daten abgreifen will, nimmt ODBC.

1. Liste mit Auswahleinträgen anlegen.

2. Bereich auswählen, in dem die Auswahlliste arbeiten soll.

3. Daten -> Gültigkeit -> Auswahlüberprüfung (Office 2007: Daten -> Datenüberprüfung) -> Zulassen= Liste wählen.

4. im Feld "Quelle" Bereich der Auswahlliste (1.) eintragen. Bei Quelle in anderm Tabellenblatt: Beispiel "=Tab-Name!$A$1:$A$13"

Anschließend Bereich markieren und mit Daten -> Filtern beliebige Auswahl anzeigen.

SUMME summiert ausgeblendete Bereiche mit auf!
Besser ist hier TEILERGEBNIS. Bsp.: =TEILERGEBNIS(109;B2:B5)
Funktionscode 109 steht für Summe ohne ausgeblendete Bereiche.

siehe http://www.pctipp.ch/tipps-tricks/kummerkasten/office/artikel/excel-rechnen-mit-nach-autofilter-uebrig-gebliebenen-werten-45172/

- IIS-Manager öffnen

- Server auswählen

- Serverzertifikate auswählen

- Zertifikate nach Ablauf sortieren.

- abgelaufene Zertifikate: Rechtsklick: erneuern.

• wenn Erneuern fehlschlägt:

  - Zertifikat anzeigen -> Details -> Zertifikatsvorlagennamen merken, URL (Ausgestellt für) merken.

  - Domänenzertifikat erstellen

    - Gemeinsamer Name = URL (Ausgestellt für)

- im Outlook kommt nun (im günstigsten Fall) ein Sicherheitshinweis.

  - Zertifikat anzeigen

  - Zertifikat installieren.

- falls Outlook gar nicht mehr startet: CMD: outlook.exe /profiles starten, neues Profil anlegen, nun kommt der Zertifikatshinweis.

Link bei Zertifikatsfehler "Falscher Name": it-dienstleistungen.de 

Aktuelle Updates und Updaterollups für alle Versionen, ermitteln der aktuellen Build-Nummer:

https://technet.microsoft.com/library/hh135098(v=exchg.150)

Autodiscover
- beim Autodiscover Zertifikat prüfen! Wurde der richtige Exchange-Server erkannt?
- REG-Settings für Autodiscover: HKEY_CURRENT_USER\Software\Microsoft\Office\x.0\Outlook\AutoDiscover
  bzw.: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\x.0\Outlook\AutoDiscover

Test mit:

• ping owa.ihredomain.de
• ping autodiscover.ihredomain.de
• ping webmail.ihredomain.de

• nslookup autodiscover.ihredomain.de 1.1.1.1
 (gibt IP und Name des Mailservers zurück)
• bei Auflösungs-Problemen über Router: Eintrag in Hosts (IP autodiscover.ihredomain.de)

Links:
https://www.msxfaq.de/exchange/autodiscover/autodiscover_outlook.htm
https://docs.microsoft.com/de-de/outlook/troubleshoot/domain-management/unexpected-autodiscover-behavior

Problem: Die o.g. Menuepunkte sind leer bzw. ausgegraut. (Word 2010/2013/2016)

Lösung: Datei "Built-in Building Blocks.dox" oder "Building Blocks.dotx" nicht gefunden oder defekt.

Abhilfe:
- o.g. Dateien unter C:\Users\<user>\AppData\Roaming\Microsoft\Document Building Blocks\1031\14 löschen oder umbenennen
- Office reparieren

* Libre Office
Spaltet sich 2010 nach der Übernahme von Open Office durch Oracle von dem Produkt ab.
Die meisten Entwickler gehen mit zu Libre Office, und es wird bis heute aktiv weiter entwickelt.
+ enthalten in fast allen Linux Distributionen
+ kostenlos und quelloffen, ohne Einschränkungen
+ modern, aktuell, 32-/64-bit Version
- Umgewöhnung für Unternehmenskunden, Dateiimport von Office kann nicht alle Formatierungen

* Softmaker Office
Deutsches Programm der Nürnberger SoftMaker Software GmbH.
Neben dem kostenlosen FreeOffice gibt es eine Professional- und eine Universal-Edition.
+ gute Kompatibilität zu Microsoft-Formaten
+ Bedienkonzept wahlweise Ribbon oder Menue
- kein Open Source
- leicht eingeschränkte FreeVersion

* WPS-Office
Hieß bis 2010 Kingsoft-Office.
- Chinesische Softwarefirma (kein Open Source)
+ hervorragende Kompatibilität mit alten und neuen Microsoft-Office-Formaten
• modernes Ribbon Design
Personal-Edition ist kostenlos, zeigt gelegentlich Werbung und enthält einige Einschränkungen.

* Google Office oder G-Suite
Google Office für Privat mit Werbung, G-Suite für Business-Kunden mit mehr Funktionen
* arbeitet online im Browser, Javascript-basiert
+ gute Zusammenarbeit, gleichzeite Bearbeitung incl. Chat
-- Google hat vollen Zugriff auf die Daten
-- Cloud Lösung

* OpenOffice
Entwickelt 1985 als StarWriter.
1999 von Sun aufgekauft.
2010 wurde Sun von Oracle geschluckt, die in der Open Source Szene einen schlechten Ruf haben.
Später von Oracle an die Apache Foundation übergeben, aber viele Entwickler waren schon zu Libre Office abgewandert.

32-bit oder 64-bit

64-bit adressiert deutlich mehr Speicher und kann größere Prozesse und Dateien behandeln.
Es ist auf aktueller Hardware entsprechend schneller.
Aktuelle Installer fragen nicht mehr und installieren 64-bit. Trotzdem empfiehlt MS immer noch die 32-bit Version.

Add-Ons müssen zur Version passen und sind oft 32-bit.
Besonders Outlook ist mit 32-bit „Calendar Printing Assistant“ und „Personal Folders Backup“ und auch dem „Windows Mobile Device Manager“ betroffen.

Die Dateivorschau im Explorer funktioniert nur mit 32-bit Office.

Alle installierten Produkte auf einem PC müssen entweder 32-Bit-Versionen oder 64-Bit-Versionen sein. Beispielsweise kann kein 32-Bit-Visio auf demselben Computer mit einem 64-Bit-Office installiert werden.

MSI oder Click-to-run

MS Office 2010 - MSI
MS Office 2013 - MSI oder Click-to-run
MS Office 2016 - MSI, Click-to-run oder MS Store
MS Office 2019 - Click-to-run oder MS Store
MS Office 365   - Click-to-run oder MS Store

Volumenlizenzierung nutzt bis 2016 MSI-Pakete, der Einzelhandel und Volumenlizenzierung 2019 nutzt Click-to-run.

• Es können nicht zwei Produkte zusammen installiert werden, die die gleiche Version aufweisen, aber unterschiedliche Installationstechnologien verwenden.
• Es können nicht zwei Produkte unterschiedlicher Versionen zusammen installiert werden, wenn beide die Klick-und-Los-Installationstechnologie verwenden und überlappende Office Anwendungen enthalten.
• Mit diesem Trick soll die Parallelinstallation trotzdem laufen.
• Click-to-run geht nur als Onlineinstallation und installiert zwingend das gesamte Office-Paket. Eine Komponentenauswahl ist nicht möglich.

Übersicht bei Microsoft

Updatekanal

Übersicht bei Microsoft

Jahresversionen

Office 2019 - läuft ab Windows 10

Office 365, Office 2019 und Office 2016 haben alle die gleiche Version: 16.0

Für Office 365 und Office 2019-Produkte müssen alle auf dem Computer installierten Produkte den gleichen Updatekanal verwenden. Zum Beispiel kann die Volumenlizenzversion von Office Professional Plus 2019 nur den PerpetualVL2019-Updatekanal verwenden. Daher kann sie nicht auf demselben Computer installiert werden, auf dem der Project Online-Desktopclient über den halbjährlichen Kanal ausgeführt wird, oder auf demselben Computer, auf dem Visio Online Plan 2 (die Abonnementversion von Visio, die zuvor Visio Pro für Office 365 genannt wurde) über den monatlichen Kanal ausgeführt wird.

Während es sich bei Office einschließlich Office 2019 um Kaufversionen handelt, wird Office365 in monatlichem oder jährlichem Abbo gemietet. Zur Überprüfung des Abbos ist bei Office365 mindestens 1x im Monat eine Internetverbindung erforderlich.
Siehe auch Sicherheitsrisiko MS-Konto.

Deinstallation aller Office-Versionen mit diesem Tool.
Das funktioniert auch bei Bloatware/Spam Preinstallationen in etlichen Sprachen.
Siehe Microsoft.

Probleme nach Deinstallation 64-bit / Neuinstallation 32-bit 
Es müssen folgende Keys gelöscht werden, damit die Dateivorschau wieder funktioniert:
für Microsoft Word previewer
  HKEY_CLASSES_ROOT\CLSID\{84F66100-FF7C-4fb4-B0C0-02CD7FB668FE}
für Microsoft Excel previewer
  HKEY_CLASSES_ROOT\CLSID\{00020827-0000-0000-C000-000000000046}
für Microsoft PowerPoint previewer
  HKEY_CLASSES_ROOT\CLSID\{65235197-874B-4A07-BDC5-E65EA825B718}

Nachfolger von MS Skype for Business.

Webportal für Windows, IOS, Android
Desktop-App für Windows.
2-Faktor Anmeldung per SMS.

HUB für alle Office365-Produkte.
Seit Corona erfordert TEAMS kein Office 365 Abo mehr.
Seit 06/2020 kann man auch zwischen Skype und Skype Business kommunizieren.

Struktur über "Teams" (Firma) und darunter "Kanäle" (Abteilung, Thema).
Teams können externe Gäste einladen.

Funktionen:
- Einzelchat, Chat an mehrere Personen, Gruppenchats
- Audiotelefonie, Videotelefonie (max. 250 Teilnehmer, max. 9 gleichzeitig sichtbar, Funktion "Hand heben"), Videomeetings
- Mail-Integration über Outlook+Exchange
- Filesharing, Screensharing
- Whiteboard für Meetings

Tip: Keine Webcam? Dann einfach das Handy per WLAN/USB als Webcam für den PC nutzen.
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1306

Administrator-Dokumentation
https://docs.microsoft.com/de-de/microsoftteams/

Video-Tutorial für MS Teams
https://www.youtube.com/watch?v=XOWUUWZfrCM

Einführung für Schüler und Lehrer
https://www.drwindows.de/news/microsoft-teams-fuer-lehrer-und-schueler-fuenfteilige-video-einfuehrung

Nutzung von Whiteboards:
https://support.office.com/de-de/article/use-whiteboard-in-microsoft-teams-7a6e7218-e9dc-4ccc-89aa-b1a0bb9c31ee?omkt=de-DE

siehe CT 09/2020 S. 18ff. (Übersicht, How-to)

Alternative Videokonferenz-Systeme:

Videokonferenzen mit dem quelloffenen Jitsi Meet
Ohne Anmeldung und Installation direkt aus dem Browser.
Bei Bedarf auch als App für Windows, macOS oder Linux.
Ermöglicht Videochats mit einem oder mehreren Teilnehmern.
Bandbreite: ca. 2 Mbit/s Upload und Download je Teilnehmer.
Freigabe eines Bildschirms, einer Anwendung oder eines Browser-Tab sind möglich.
Auch reine Audiokonferenzen und Chat sind möglich.
• Offizieller Server:
https://jitsi.org/jitsi-meet/
• Anleitung und Liste deutscher Server:
https://scheible.it/liste-mit-oeffentlichen-jitsi-meet-instanzen/

Google DUO
Sprach- und Videotelefonie-Dienst, bis zu 12 Teilnehmer gleichzeitig.

Google MEET
Videokonferenzsystem für GSuite, neuerdings kostenlos für jedermann.

- Windows 10 von Installations-CD booten.

- "Computerreparaturoptionen" -> "Problembehandlung" -> "Erweiterte Optionen" -> "Eingabeaufforderung" öffnet CMD-Box.

- Laufwerk der Windows-Installation suchen.

- nach \Windows\System32\ hangeln.

  ("Erleichterte Bedienung" im Anmeldebildschirm steckt hier in "Utilman.exe")

- "RENAME utilman.exe" und "COPY cmd.exe utilman.exe" ersetzt utilman.exe mit cmd.exe.

- Live-Windows neu starten.

- Klick auf "Erleichterte Bedienung" im Anmeldebildschirm öffnet jetzt CMD-Box als "nt-autorität\system" !

- "net user [Username] [Passwort]" weist dem User ein neues Passwort zu.

...fertig!

Das ist kein besonderes Sicherheitsleck und nur ein Weg von vielen.
Wer lokal vor einem unverschlüsselten Windows-PC sitzt, kommt auch hinein.

getestet bis Win10 v1903

• Run

C:\Windows\SysWOW64\OneDriveSetup.exe /uninstall (64 bit) or
C:\Windows\System32\OneDriveSetup.exe /uninstall (32 bit)

• OneDrive-Symbol in Windows 10 aus dem Explorer zu entfernen: Regedit: HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6} System.IsPinnedToNameSpaceTree von 1 auf 0 setzen.

Auf 64-bit Windows zusätzlich Vorgang wiederholen: HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}

• Gruppenrichtlinie: Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, OneDrive  Verwendung von OneDrive für die Datenspeicherung verhindern = aktiviert.

Mehr dazu bei Microsoft.

• beim Booten: Strg-F8 wie üblich. Meist ist der PC aber zu schnell.

• beim Login: STRG-ALT-ENT drücken, bei gedrückter SHIFT-Taste Neustart anklicken.

• aus Windows heraus: bei gedrückter SHIFT-Taste Neustart anklicken.

• mit MSCONFIG: Reiter Start(Boot) anklicken, Haken bei "Abgesichert" und "Netzwerk" setzen. (hinterher wieder zurück setzen!)

• per Script: shutdown.exe /r /o /f /t 00

• von Boot-CD/USB: im Fenster "Jetzt installieren" auf "Computerreparatur klicken.

Cortana heißt die Windows 10 Spracheingabe und Suchassistent. Cortana arbeitet zwingend mit Bing und Edge zusammen und hätte am liebsten die Anmeldung über ein MS-Konto.

- in Built 1803 schaltet Cortana wie unten ab, aber trotz Anpassung von 1709 (GPO oder Registry) werden Suchbegriffe an Bing übertragen.
Abhilfe Registry: Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search\
- DWORD(32) Wert: Bing-SearchEnabled = 0
- DWORD(32) Wert: CortanaConsent = 0

- Cortana sucht nur noch lokal: Reg-Key (getestet mit Built 1703-1709):
für aktuellen User: Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Systemweit: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Nun ist Cortana weg und läßt sich auch nicht mehr einblenden, und die Suche geht nicht mehr ins WEB.

 - Cortana per GPO deaktivieren (ab 1608 nur Pro und Enterprise Edt.): Computerkonfig > Admin.Vorlagen > Windows Komponenten > Suche: Cortana = deaktiveren.

- Cortana deaktivieren geht ab Built 1607 nicht mehr per Button.

- Rechtsklick in leere Stelle der Taskleiste -> Cortana -> Ausblenden.

Dieses Verhalten ist von MS gewollt.
Windows 10 setzt immer den zuletzt benutzen Drucker als Standarddrucker.

Abstellen unter Geräte / Drucker & Scanner / Einstellungen: "Standarddrucker von Windows verwalten" -deaktivieren.

W10 Privacy

Universaltool für diverse Datenschutz-/Update-Systemeinstellungen

in Windows 10.

Fotoviewer unter Windows 10 oder Server 2016 weiter nutzen:

- Registry: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Photo Viewer\Capabilities\FileAssociations"

- neue Zeichenfolge: ".jpg" anlegen (bzw. auch für PNG, JPEG, GIF oder BMP)

- Wert = "PhotoViewer.FileAssoc.Tiff"

- beliebiges Bild öffnen und neuen Standardviewer "Windows Fotoanzeige" auswählen.

- Sprachpaket von MS laden

- "LPKSetup" ausführen.

Das Update gelingt meist problemlos und Windows 10 läßt sich verlustfrei auch über Windows 7 / 8 installieren. Alle Daten und Einstellungen bleiben auf Wunsch erhalten, die meisten Programme laufen wie gewohnt.
Trotzdem sichert man natürlich wichtige Daten vor dem Update!

- Antivirus möglichst vor dem Update deinstallieren. Zumindest aber aktualisieren. Hinterher Funktion überprüfen bzw. neu installieren.
- Boxcryptor Classic unterstützt kein Windows 10 und will zum Umstieg zwingen.
- einige Programme (AutoCAD!) müssen ggf. neu lizenziert werden.
- normale (auch ältere) Anwendungen laufen wie unter Windows 7/8.
- NCP/Lancom VPN-Client muß deinstalliert und neu installiert werden.

Nutzer von Windows 7 oder Windows 8 konnte im ersten Jahr (dauerhaft) kostenlos auf Windows 10 umzusteigen.
Dieser Umstieg ist 11/2017 immer noch möglich. Eine offizielle Bestätigung gibt es aber nicht.
Für Windows 10 Volumen, Enterprise und Education gilt das Update-Angebot nicht. Auch Domänenmitglieder erhalten kein Updatesymbol.

Windows 10 MediaCreationTool direkt von MS laden:

https://www.microsoft.com/en-us/software-download/windows10

Vollständige ISO-Files:
https://www.computerbase.de/downloads/systemtools/windows-10/

Und wenn es knallt, hilft vielleicht das:
https://www.borncity.com/blog/2015/07/30/windows-10-upgrade-troubleshooting-faq-teil-1/

Wichtig! Datenschutz-Einstellungen nicht auf Expresseinstellungen belassen!
Es muß praktisch jeder Schalter entgegengesetzt eingestellt werden, um keine private Abhöranlage zu installieren.
Praktisches Tool, auch für CommandLine Installation: https://www.winprivacy.de/
oder ShutUp von O6O Software: https://www.oo-software.com/de/shutup10

Nach Installation und Test mit Datenträgerbereinigung vorhergehende Windows-Installation (Windows.old) löschen. Das sind einige GB. Danach ist aber kein Rollback mehr möglich!

Beim Upgrade entstehen 2 ziemlich große Ordner auf dem PC:
$Windows.~WS (4,5 GB) - der Download-Ordner mit den Upgrade-Dateien
$windows.~BT (650 MB) - der Ordner, der durch das Media Creation Tool erstellt wird.
Die Ordner sollten nach erfolgreichem Update verschwunden sein bzw. können gelöscht werden.

Die Update-Verteilung in Windows 10 funktioniert nach dem P2P-Filesharing Prinzip und erfolgt nicht zwingend von den MS-Servern.
PCs im LAN und auch im Internet, die das Update schon geladen haben, stellen es automatisch für andere Anwender bereit.
Eine feine Sache, wenn man mehrere PCs hat. Schlecht, wenn man ein Volumenkontigent hat.
Die Funktion ist standardmäßig aktiviert. Die Einstellung befindet sich unter Update und Sicherheit --> Windows Update --> Erweiterte Optionen --> Übermittlung von Updates.

Überprüfen der aktuellen Installation auf Retail- oder OEM-Lizenz: In administrativer CMD: slmgr.vbs /dli 

Viele weitere Tips bei Deskmodder.

- Einblenden von Werbekacheln unterbinden
- automatische Installation von Spielen und Apps unterbinden
- "Blickpunkt" mit tägliche neuen Hintergrundbildern im Sperrbildschirm deaktivieren

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager - Schlüssel "ContentDeliveryManager" mit allen Unterschlüsseln löschen.

- Kacheln auf einem Referenz-Computer einrichten.

- Export der Kacheln des aktuellen Benutzers per PowerShell:

export-startlayout -path c:\temp\start.xml

Problem: bei Desktop-Apps wird hier nur der Link auf eine Verknüpfung gespeichert (DesktopApplicationLinkPath).
Sinnvoller wäre hier die "Desktop-ApplicationID".
Die Liste aller Programme mit ID bekommt man per PS:

get-startapps | fl

Das sieht für eine Remotedesktop-Verknüpfung (ganz oben links) so aus:

<start:DesktopApplicationTile
DesktopApplicationID= "Microsoft.Windows.RemoteDesktop"
Size="2x2"
Row="0"
Column="2"/>

Damit kann die Kachel vom Anwender nicht geändert werden.
Soll man sie ändern können, ist folgende Ergänzung im Tag <DefaultLayoutOverride> nötig:

<DefaultLayoutOverride LayoutCustomizationRestrictionType= "OnlySpecifiedGroups">

- fertige XML-Datei ins Netz kopieren und per GPO verteilen:
Computerkonfiguration / Richtlinien / Administrative Vorlagen / Startmenü und Taskleiste / Startlayout
Vorlage aktivieren, Pfad zur XML-Datei hinterlegen

Windows Store deaktivieren geht seit Built 1511 nur noch ab Enterprise Edition über die Gruppenrichtlinie.

Man kann sich aber mit der PowerShell weiter helfen.

Liste der App-Pakete (Name + Fullname) auf dem PC:

Get-AppxPackage | select-object -Property Name, PackageFullName

Pakete für den Current User lassen sich entfernen mit:

Remove-AppxPackage [PackageFullName]

Beispiel MS Store:

Remove-AppxPackage Microsoft.WindowsStore_11805.1001.42.0_x64__8wekyb3d8bbwe

Liste Apps, die ein neuer Benutzer bekommt:

Get-AppXProvisionedPackage -Online

GUI zum Entfernen von Standard-Apps:

Get-AppXProvisionedPackage -Online |
 Out-GridView -PassThru |
 Remove-AppxProvisionedPackage -Online

Zu entfernende Apps markieren und OK drücken.
Damit kann man auch den Store selbst entfernen.

MS Defender ist in Windows 10 tief in das System integriert und läßt sich kaum vollständig abschalten.

Es ist aber inzwischen ein vollwertiger Virenschutz und es spricht nicht viel gegen die Nutzung.

Defender kann auch Potentialy Unwanted Applications (PUA) abblocken, macht das aber per Default nicht.
Funktion per Powershell aktivieren:

Set-MpPreference -PUAProtection 1

Hybridmodus (inclusive Schnellstart) deaktivieren.
(Meine Empfehlung für alle stationären PCs)
DOS-Box:

powercfg -h off

Nur Schnellstart deaktivieren: (Energie -> Auswählen, was beim Drücken des Netzschalters geschehen soll)

Nur Schnellstart per GPO deaktivieren: Computer/Administrative Vorlagen/System/Herunterfahren -> Verwenden des Schnellstarts erforderlich=deaktivieren

Microsoft deaktiviert seit Windows 10 Funktionsupdate 1709 und verstärkt mit 1803 das veraltete SMB1-Protokoll.

Im Funktionsupdate 1803 hat sich hier ein Bug eingeschlichen und es werden gelegentlich überhaupt keine Netzwerke mehr durchsucht.
MS kennt das Problem und wird möglicherweise patchen.

Bis dahin hilft es, folgende Dienste auf "Autostart" bzw. "Verzögerten Autostart" zu stellen:

• Computer Browser (Browser)
• Function Discovery Provider Host (FDPHost)
• Function Discovery Resource Publication (FDResPub)
• Network Connections (NetMan)
• UPnP Device Host (UPnPHost)
• Peer Name Resolution Protocol (PNRPSvc)
• Peer Networking Grouping (P2PSvc)
• Peer Networking Identity Manager (P2PIMSvc)

Deinstalliert man ein defektes oder immer wieder fehlschlagendes Update,
gibt es unter Windows 10 leider keine Möglichkeit mehr, um die Installation einzelner Updates abzuwählen.

MS hat die Funktion ausgebaut.

Für den Notfall gibt es einen Patch KB3183922 "Show or hide updates troubleshooter package".

MS Link: http://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab
CT Kurzlink: ct.de/yyvs

MS Download der Administrativen Templates (.admx) for Windows 10 Mai 2020 Update (2004)
Unterstützt: Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019.

MS Download der Administrativen Templates (.admx) for Windows 10 October 2018 Update (1809) 
Die Templates sind wie in den letzten Jahren nicht frei von Fehlern.
Workaround: Englische Tempates in das de-DE Verzeichnis kopieren.
  Oder man nimmt die Dateien von einem installierten Windows 1809.

MS Download Excel-Tabelle mit allen GPO- Einträgen in den verschiedenen OS-Versionen.

RSAT ist ab Windows 10 1809 kein eigener Download mehr!
Installation über Apps & Features -> Optionale Features verwalten -> Feature hinzufügen.
siehte: RSAT unter Windows 10 ab 1809

Datenschutz -> Allgemein:  alles aus schalten

Datenschutz -> Spracherkennung:  aus schalten

Datenschutz -> Freihand- und Eingabeanpassung:  aus schalten

Datenschutz -> Diagnose:  auf "Standard". Weniger geht leider nicht.

Datenschutz -> Diagnose -> Individ. Benutzererfahrungen: aus schalten

Datenschutz -> Diagnose -> Feedbackhäufigkeit: nie

Datenschutz -> App-Berechtigungen:  alles aus schalten
  Einstellung betrifft nur Store-Apps, keine normalen Programme.
  Wenn doch mal eine App Berechtigungen benötigt, fragt sie.

Lokales Benutzerkonto verwenden statt MS Online-Konto

Windows Suche vom WEB fern halten:
  bis 1909: REG-Eintrag -> Download
  ab 2004: Firewall -> Erweiterte Einstellungen -> Ausgehende Regeln -> Regel "Windows Search", Allgemein: Verbindungen blocken.

Übertragung der Telemetriedaten deaktivieren:

Windows 10 Enterprise, Education oder Windows Server:
- Telemetriedaten Stufe "Sicherheit" einstellen
  GPO: Richtlinie Lokaler Computer/Computerconfig./Admin.Vorlagen/Windows Komponenten/Datensammlung und Vorabversionen/Telemetrie zulassen -> Stufe = Sicherheit
ACHTUNG! Diese Einstellung geht nur bei konfiguriertem WSUS oder SCCM, denn sie unterbindet auch MS Update.

Dienst: DiagTrack (Benutzererfahrung und Telemetrie im verbundenen Modus) ->Dienst deaktivieren funktioniert lauf CT und BSI (im Moment) gut und ohne Nebenwirkungen
Win10: "Benutzererfahrung und Telemetrie im verbundenen Modus"
Win8: "Diagnostics Tracking Service"

Wollen Sie Windows vollständig an der Datenübermittlung hindern, muß der PC vom Internet getrennt werden.

RSAT ist ab Windows 10 1809 kein eigener Download mehr.
Installation über Apps & Features -> Optionale Features verwalten -> Feature hinzufügen.

Probleme beim Hinzufügen von Features?
- Dienst: "Windows Modules Installer" muß laufen.
- ggf: "DISM.exe /Online /Cleanup-image /Restorehealth" ausführen.

Probleme in WSUS-Umgebungen?
- im WSUS unter "Optionen -> Produkte&Klassi­fizierungen -> Windows 10 Feature on Demand" auswählen.
  Das hilft aber nicht für RSAT.
- GPO: "Computerkonfiguration => Richtlinien => Administrative Vorlagen => System": Einstellungen für die Installation von optionalen Komponenten und die Reparatur von optionalen Komponenten: "Reparieren und optionale Features nicht von WSUS, sondern direkt von MS laden"
- nach GPUPDATE geht es.
Siehe: https://www.windowspro.de/wolfgang-sommergut/optionale-features-rsat-1809-wsus-umgebungen-installieren

Technet Download:
https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/

Ausführliche Erklärung in BornCity:
https://www.borncity.com/blog/2019/05/24/windows-10-v1903-security-baseline-final-freigegeben/

Windows Home nicht mit dem Internet koppeln, bevor das lokale Nutzerkonto angelegt ist.
Windows Home zwingt sonst zur Nutzung eines MS-Kontos.

Administrator-Konto aktivieren: Adm. CMD: "Net user Administrator /active:yes"
Passwort setzen: "net user "Administrator" *"

S - Modus beenden unter Updates / Aktivierung / Store aufrufen - beliebiges MS Konto erforderlich

Office-Spam in vielen Sprachen auf einmal deinstallieren siehe Deinstallationstool.

Es werden dem User nur noch Freigaben, Verzeichnisse u. Dateien angezeigt, auf die er Zugriff hat.
Verfügbar unter microsoft.com/downloads/ für x86, amd64 und ia64
Voraussetzung: Win2003 Server + SP1
In Win2008-R2 bereits eingebaut: "Freigabe- und Speicherverwaltung" -> Eigenschaften/Erweitert -> "Zugriffsbasierte Aufzaehlung aktivieren"

* Alleinstehende AD-Server ohne Replikationspartner können (innerhalb der Thombstone-Zeit) problemlos vom Image o.ä. wieder hergestellt werden.
* Bei mehreren AD-Controllern in der Domain:
- Rücksicherung des defekten Servers.
- Start sofort im Verzeichnisdienstwiederherstellungsmodus (Normalstart versaut AD!)
- Regedit.exe aufrufen und kontrollieren, ob der Wert "DSA Previous Restore Count" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters vorhanden ist.
Wenn ja, dann den Eintrag im Wert nur notieren. Wenn nein, nichts tun. Den Wert NICHT erstellen.
- Erstellen des Wertes "Database restored from backup" unter HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Datentyp: REG_DWORD; Wert=1
- Domänencontroller normal starten. Prüfen, ob sich der notierte Wert (DSA Previous Restore Count) um 1 erhöht hat.

Abfrage aller Single-Master Serverrollen mit "netdom query FSMO" (W200x-CD/Support-Tools)
oder "dumpfsmos [SERVER]" (W200x- Res.kit)

Die FSMO-Rollen lassen sich ausser in den oben genannten GUIs auch per NTDSUTIL verschieben.

roles
connection
connect to server [FSMO-NEU]
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Es müssen folgende Dienste laufen:
- DNS-Client
- Funktionssuche-Ressourcenveröffentlichung
- SSDP-Suche
- UPnP-Gerätehost

- "net view" zeigt aktuelle Browserliste
- "Arbeitsstationsdienst" und "Server" müssen laufen. "Computerbrowser" für Master Browser.
- "Datei- u. Druckerfreigabe" und "Client für MS Netzwerke" müssen aktiviert sein.
- Ausnahme "Datei- u. Druckerfreigaben" in der Windows-Firewall muß aktiviert sein.
- unsichtbare PCs finden mit "net config server", beheben mit "net conf.. /hidden:no"
- Browserliste wird alle 12 min. aktualisiert oder mit "browstat" aus den XP Support Tools.("browstat fa 1 [workgroup]")
- "browstat status" verrät u.a. den aktuellen Master Browser und ggf. Backup Browser.
- zwangsweise Übernahme des Master Browsers: "browstat elect 1 [workgroup]"
- PC mit mehreren Netzwerkschnittstellen (auch virtuell!) sollten kein Master Browser sein.

Reihenfolge der Abarbeitung:

1. Lokale Richtlinie (Local Policy)
2. (Multi Lokale Richtlinien, mit Vista eingeführt)
3. Standortrichtlinien (Site)
4. Domänenrichtlinien (Domain)
5. OU-Richtlinien von der übergeordneten OU zur untergeordneten. (OU)

Der letzte Wert gewinnt.

* Anzeige des Gruppenrichtlinien-Ergebnisses für aktuellen Benutzer und PC mit gpresult.exe.
Komfortabler: MMC "Richtlinien-Ergenissatz".

* Aktualisierung der Gruppenrichtlinien mit gpupdate /force.
* Konto-Richtlinien (Kennwortlänge..) werden nur einmal pro Domain abgearbeitet, i.Allg. in der Default Domain Policy.

* Richtlinien abfragen mit: gpresult /scope computer /v >c:\GPO.txt 

Domain auf neue Version aktualisieren: als Schema-Admin "adprep /forestprep" und "adprep /domainprep" von der jeweiligen Server-CD ausführen.

Gruppenrichtlinien, Infos, Anleitungen: gruppenrichtlinien.de

Strategie: H -> GG (-> GG) (-> UG) -> DLG <- Berechtigungen (B) der Ressourcen

- auf Domaincontroller "dcdiag" ausführen (Win2000/2003: Support Tools, später im OS)
analysiert AD, DNS, Replikation, Serverrollen usw.

- "netdom query dc" oder "netdom query fsmo" (Win2003-2012)

- repadmin.exe /showreps - überprüft die AD-Replikation. (Win2008-2012)

- nltest /dclist:<NetBIOS-DOMÄNENNAME> - prüft DC + Standorte

- "ntdsutil": AD-Hilfsprofgamm zur Wartung und Bereinigung des AD. Komplizierte Bedienung, man sollte wissen, was man tut.

* w32tm /query /status - Test der Zeitsynchronisation
* w32tm /query /source - zeigt aktuellen Zeitserver

• Windows Server 2016
- Lizenzierung pro 2 physische CPU-Kerne (vCPUs bzw. logische Prozessoren in VMs spielen keine Rolle).

• Für jeden Prozessor ist ein Minimum von 8-Core-Lizenzen erforderlich
• Für jeden Server ist ein Minimum von 16-Core-Lizenzen erforderlich
• Core-Lizenzen werden in Zweier-Packs verkauft

- Server (User)-CAL, RDS-CAL bzw. Right Management CAL sind weiterhin notwendig.
- Standard Edition: 2 virtuelle Maschinen auf dem selben Server inclusive.
- Datacenter Edition: unbegrenzt virtuelle Maschinen auf dem selben Server inclusive.
- Datacenter Edition: zusätzliche Funktionen für Storage-Replikation, Erweiterungen im Netzwerk-Stack und besondere Virtualisierungs-Fähigkeiten.
- MS Preis und Lizenz FAQ

• Windows Server 2012
- Lizenzierung pro 2 CPU-Sockel.
- Server (User)-CAL und RDS-CAL sind für Server 2012 und 2012 R2 gleich.
- Standard Edition: 2 virtuelle Maschinen auf dem selben Server inclusive.
- Datacenter Edition: unbegrenzt virtuelle Maschinen auf dem selben Server inclusive.
- Nischenvarianten: Essentials, Foundation, Storage Server.

 Separat im Handel angebotene OEM Lizenzen (Systembuilder und ROK) dürfen in Deutschland ohne neue Hardware gehandelt und bereits existierender Hardware zugewiesen werden. http://www.jurpc.de/jurpc/show?id=20000220

 Über den OEM Kanal gibt es KEINE ESD Lizenzen (Key only). Eine OEM Lizenz beinhaltet immer einen Datenträger, einen COA Sticker, einen Aktivierungskey und die Lizenzbedingungen. Achtung vor Lizenz-Piraterie!

 OEM Windows Server Lizenzen haben das identische Downgrade-Recht wie OPEN Lizenzen, also unlimitiert. Für die Umsetzung des Downgrades benötigt der Kunde ein OEM Medium mit dazugehörigem Key, beides muss NICHT im Besitz des Kunden sein. Sofern er selbst Zugriff auf das VLSC hat, kann er sich für den eigenen Bedarf Bits und Bytes sowie Keys herunterladen.

 Virtuelle Instanzen dürfen auch bei OEM Lizenzierung beliebig oft und ohne zeitliche Beschränkung zwischen ausreichend lizenzierten Hosts verschoben werden. Dies gilt für das Betriebssystem, NICHT für die Serveranwendung.

 Windows Server CALs und RDS CALs können JEDERZEIT direkt vom OEM oder über die Distribution erworben werden und erlauben den uneingeschränkten Zugriff in JEDEM Lizenzszenario, unabhängig von Hersteller, Lizenzform oder Hardware. Seit Windows Server 2012 sind KEINERLEI CALs bei OEM Lizenzen beinhaltet. CALs können sowohl für Devices oder User erworben werden.

 Software Assurance kann man für OEM Lizenzen und CALs der aktuellsten Version innerhalb von 90 Tagen nach Kauf über OPEN erwerben. Während der Laufzeit wird aus der OEM Lizenz eine VL mit dem Recht auf das VLSC zuzugreifen, die Lizenz alle 90 Tage einem anderen Host zuzuweisen und auf neue Versionen upzugrgden. Nach Ablauf der SA behalten CAL und OS das Nutzungsrecht für die aktuellste Version zum Ablaufdatum der SA. Auch nach Ablauf der SA kann der Kunde das Upgrade durchführen, sollte sich aber während der Laufzeit aus dem VLSC Bits und Bytes sowie Key runterladen, da der Zugriff auf das VLSC ggf. nicht mehr zur Verfügung steht.


Eine Information des
Microsoft Windows Server Kompetenz Club
www.windows-server-kompetenz-club.de

- CALDav Kalender wählen

- URL= https://www.google.com/calendar/dav/<Kalender-ID>/events

-  Kalender-ID steht auf der Eigenschaftsseite des Kalenders neben den Xml, Ical, Html-Links. Für den Hauptkalender ist die Kalendar-ID die Email-Adresse, für alle anderen Kalender ist es <kryptische-Zeichenfolge>@group.calendar.google.com.

AddIn " Provider for Google Calendar" wird nicht mehr benötigt.

Thunderbird: Extras/Einstellungen/Erweitert/Konfig. bearbeiten

* mail.compose.wrap_to_window_width = true -> Zitat-Text ohne Umbrüche wird beim Antworten am rechten Fensterrand umgebrochen.
* mailnews.use_received_date = true -> Sortierkriterium ist das Empfangs-, nicht das Sendedatum.
* mailnews.reply_header_type = 3 -> formatiert Zitatantwort
* mailnews.reply_header_ondate = "am: %s" -> formatiert Zitatantwort
* in prefs.js hinzufügen: user_pref("mailnews.localizedRe", "AW,Aw,Antwort,FW,Fw");

HTML-Mail Quelltext bearbeiten: [Strg]+[U]

Ab FF 65.0 gibt es eine MSI-Version!
Installationsoptionen: https://support.mozilla.org/de/kb/firefox-anpassung-mit-msi-installern

Firefox Enterprise Policy Generator:
https://www.camp-firefox.de/node/3380

Daten in %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[profilname]\

Firefox ESR per GPO konfigurieren:
https://github.com/mozilla/policy-templates/blob/master/README.md

Firefox 60 ADMX-Templates (einige gehen nur mit der ESR-Version)
https://github.com/mozilla/policy-templates/releases

Firefox vorkonfigurieren:
1. mozilla.cfg erstellen:
mozilla.txt anlegen und mit beliebigen Einstellungen laut about:config füllen.
Syntax:

//
lockPref ("<Name der Einstellung>",<Vorgabewert>);
pref ("<Name der Einstellung>",<Vorgabewert>);

Datei muss mit // beginnen. "lockPref" blockiert die Einstellung dauerhaft.
Beispiel1: Flash Plugin erst nach Click aktivieren:

lockPref("plugin.state.flash", 1);

Beispiel2: Startseite festlegen:

lockPref ("browser.startup.homepage","http://uwe-kernchen.de/");

Mit Encoder codieren. Online: http://www.alain.knaff.lu/howto/MozillaCustomization/cgi/byteshf.cgi
Entstandene mozilla.cfg nach /%ProgramFile%/Mozilla Firefox kopieren.
2. local-settings.js anlegen in the /%ProgramFile%/Mozilla Firefox/defaults/pref.

pref("general.config.filename", "mozilla.cfg");

siehe: http://kb.mozillazine.org/Locking_preferences
 und: http://www.zelinski.de/firefox1.html  

SQLite-DB "places.sqlite" kann in SQLite-Browsern ausgelesen werden.
Tabelle "moz_places" enthält komplette History.
Forensische Auswertung in ct 20/2014 S.90ff.

Firefox optimieren:

• Im Browserfenster about:config
- plugin.state.flash = 1 setzen. (Default=2)  Flash Plugin erst per-Click erlauben.
- browser.download.de = ...
- browser.fixup.alternate.suffix = .de
- browser.tabs.closeButtons = 3 (wieder nur einen CLOSE-Button für den jeweils aktiven TAB auf der rechten Seite)
- browser.tabs.insertRelatedAfterCurrent = FALSE (neue Tabs wieder ganz rechts anordnen)

• Als Browser-Startseite about:newtab einstellen.
 Dann öffnen sich gleich beim Browserstart die letzen Fenster wie beim Öffnen eines neuen Tabs.

• Im Browserfenster about:support
Versionen, Plugins, Profilverzeichnis, Grafiktreiber...

• Im Browserfenster about:performance (ab Version 47)
Performance-Monitor. Zeigt in Echtzeit die von Tabs und Add-ons erzeugte Systemlast an.

• Im Browserfenster: Strg-Shift-Q - öffnet Netzwerkanalyse mit Info über aufgerufene Datei, Hosts, Datenmenge, Ladezeit...

Ghostery blockt und listet alle Tracker.

Lightbeam zeigt grafisch alle verbundenen und mit aufgerufenen Seiten an.

Web Developer leistungsfähiger als die Entwicklerwerkzeuge von Firefox.

- Profilordner komplett auf neuen Standort kopieren.
Der Profilordner speichert alle Informationen über Ihre E-Mails, einschließlich der lokal gespeicherten Nachrichten und Anhänge, Adresslisten, Konten-Einstellungen, Thunderbird-Einstellungen, gespeicherten Passwörter, Aufgaben, Kalenderdaten und Daten der Funktionen von Add-ons.
Laufwerk im Netzwerk o.ä. ist möglich.

- Thunderbird mit "thunderbird.exe -p" im Profilmanager öffnen.

- Neues Profil erstellen, Ordner auswählen, fertig.

Firefox Download: https://www.mozilla.org/de/firefox/

Firefox ESR Download: https://www.mozilla.org/en-US/firefox/organizations/all/
(auch MSI)

FTP Download alle Releases:
https://ftp.mozilla.org/pub/firefox/releases/
Release 65.0 EXE + MSI:
https://ftp.mozilla.org/pub/firefox/releases/65.0/win64/de/

Das passiert, wenn ein Windows Server 2012 (nicht R2) den Hauptsuchdienst übernimmt.

Der Bug ist bekannt, wird aber nicht automatisch behoben!

Abhilfe Hotfix anfordern:

http://support.microsoft.com/kb/2912574/EN-US

Windows Server 2012 (auch R1) enthält die neue Funktion Datendeduplizierung. (Rolle: Datei- und Speicherdienst / Datei- und iSCSI-Dienste) Sie ist effektiver und robuster als das frühere Single Instance Storage.

Redundante Blöcke werden durch einen Verweis ersetzt.

Deduplizierung geht auch für Speicherpools und virtuelle Festplatten.

Es werden keine System- und Startvolumes unterstützt.

Die Verwendung der Datendeduplizierung für Dateien, die mit der DFS-Replikation repliziert werden, stellt keinerlei Probleme dar. Es werden nur die Teile der Dateien aktualisiert, die seit der letzten Replikation geändert wurden.

Verwaltung im Servermanager unter "Datei-/Speicherdienste -> Volumes".

Deduplizierung setzt NTFS voraus. Sie ist nicht kompatibel mit EFS, wohl aber mit Bitlocker.
Komprimierte Volumes lassen sich nicht deduplizieren.

Plattenumbau: Deduplizierte Festplatten sind nur mit Windows 2012 mit Dedup-Treiber lesbar! Andere Windows-Versionen sehen nur die nicht deduplizierten Dateien.

Deduplizierung erhöht das Risiko für Datenverluste. Wenn ein Fragment, das von 500 Dateien referenziert wird, in einem schadhaften Bereich einer Platte liegt, dann sind die Auswirkungen wesentlich gravierender als bei einem gewöhnlichen NTFS-Volume. Daher speichert die Dedup-Funktion Blöcke redundant, wenn sie in mehr als 100 Dateien vorkommen, und hält außerdem Kopien der kritischen Metadaten vor, in denen die Verweise verwaltet werden.

Nachdem ein Volume für die Deduplizierung aktiviert wurde und die Daten optimiert wurden, enthält es:

• Nicht optimierte Dateien (d. h. ausgelassene Dateien wie z. B. Systemstatusdateien, verschlüsselte Dateien, Dateien mit erweiterten Attributen, Dateien, die kleiner als 64 KB sind, und Analysepunktdateien – zuvor optimierte Dateien, die Zeiger auf die zum Erstellen der Datei erforderlichen entsprechenden Blöcke im Blockspeicher enthalten)
  
  
• Optimierte Dateien (gespeichert als Analysepunkte)
  
  
• Blockspeicher (die optimierten Dateidaten)
  
  
• Zusätzlichen freien Speicherplatz (da die optimierten Dateien und der Blockspeicher sehr viel weniger Speicherplatz belegen als vor der Optimierung)

Wenn die Rolle installiert ist, wird das Befehlszeilentool "ddpeval" mit installiert. (/Windows/System32/)

Das Tool bereinigt nicht, sondern zeigt nur den Status an.

Es kann auch unter Win7 / Win8 / Server 2008R2 ausgeführt werden! DDPEVAL unterstützt lokale Laufwerke oder Netzfreigaben. (ddpeval \\NAS1\Daten)

DDPEVAL kann nur für Laufwerke benutzt werden, auf denen die Deduplizierung nicht aktiviert ist.

Deduplizierung aufheben:

1. Deaktivierung der Dedup- Funktion für das Volume im Server-Manager.
2. Powershell: Get-DedupStatus X: - Wert OptimizedFiles zeigt die Anzahl der aktuell deduplizierten Dateien
3. Powershell: Start-DedupJob -Volume X: -Type Unoptimization - Aufheben der Duplizierung
4. Powershell: Get-DedubJob -Volume X: - zeigt den Status des Jobs. Wenn Job fertig, erfolgt Fehlermeldung.
5. Feature Deduplizierung erst nach vollständigem Durchlauf entfernen.

Die Remotedesktop-Bereitstellungen ab Windows Server 2012 R2 wird ausschließlich über den Servermanager durchgeführt.

Serverrolle(n): Remotedesktopdienste installieren mittels:
• Rollen und Features: Installationstyp: Installation von RD-Diensten (!!)
  Standardbereitstellung, Sitzungsbasierte Desktopbereitstellung
  Pools: RD-Sitzungshost (unbedingt), RD-Webaccess (bei Bedarf)
    RD-Verbindungsbroker - wenn mehr als 1 Terminalserver vorhanden
    RD-Lizenzierung - 1x pro Domäne
• Ohne Domäne: Featureinstallation -> Remotedesktopdienste

Die Remotedesktop-Bereitstellung benötigen zwingend einen Verbindungsbroker.
Auch bei nur einem Terminalserver muß eine Sammlung (Collection) eingerichtet werden.
Die meisten Einstellungen funktionieren nur in der Domäne.

User-CAL werden 180 Tage an einen User-Account gebunden!

Lizenzschlüssel sind nicht an einzelne Server gebunden, sondern werden an aktive Sitzungen in der "Sammlung" (Session Host Farm) vergeben.

Der Lizenzserver muß die höchste in der Sammlung verwendete OS-Version besitzen und darf auch RDP-Server sein.
Bei der Installation hat man wie gehabt eine Gnadenfrist von 120 Tagen.

Installationsmode: "change user /install" 
Inst.mode beenden: "change user /execute"

Feineinstellung (je nach Windows-Version) per GPO unter
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Terminaldienste -> Terminalserver
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste -> Remotedesktopsitzung-Host
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste -> Remotedesktopsitzung-Host -> Lizenzierung => Lizenzserver bekannt machen
(Nutzer auf x Sitzungen beschränken, Sitzung bei Leerlauf beenden,

• Remotedesktop-Virtualisierungshost - Der Dienst wird in Hyper-V integriert, um in einem Pool virtuelle Desktops mit RemoteApp- und Desktopverbindung bereitzustellen. Ähnliche Funktionen gibt es auch in Windows Server 2008 R2.

• Remotedesktop-Sitzungshost - RemoteApp-Programme oder sitzungsbasierte Desktops nutzen diesen Dienst. Hierbei handelt es sich um den Nachfolger von den Terminaldiensten.

• Remotedesktop-Verbindungsbroker - Benutzer können erneut eine Verbindung mit ihren vorhandenen virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops herstellen. Die Verbindungsdaten merkt sich der Broker. Nur sinnvoll bei mehreren RD-Servern.

• Web Access für Remotedesktop - Dies ermöglicht Benutzern den Zugriff auf RemoteApp- und Desktopverbindung über einen Webbrowser. Auf diesem Weg stellen Sie zum Beispiel Remotedesktops im Internet oder RemoteApps zur Verfügung.

• Die Remotedesktoplizenzierung verwaltet die Lizenzen, die für eine Verbindung mit einem Remotedesktop-Sitzungshostserver oder einem virtuellen Desktop erforderlich sind. Lizenzserver per GPO bekannt machen!

• Der Remotedesktopgateway ermöglicht es autorisierten Benutzern, von jedem Gerät eine Verbindung mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem internen Unternehmensnetzwerk herzustellen.

Fehler beim Anmelden: "der angeforderte zugriff auf eine sitzung wurde verweigert"
Lösung: Die Remote User dürfen nicht /console angemeldet werden.

Fachartikel: CT 8/2019 S. 162 ff.

Frage: Habe einen neu aufgesetzten Windows 2016 Server. Bei dem lauft nach der Installation ein PS-Skript das Anpassungen macht. Es Legt auch den Regkey RunServicesOnce an. Die Befehle werden aber nach dem Neustart nicht ausgeführt. Mit RunOnce tut alles, da muss ich mich aber extra anmelden und die will ich vermeiden. <br />
Gibt es RunServicesOnce nicht mehr?

Ich habe den Key auf dem 2016-Server unter HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce gefunden.
Allerdings häufen sich die Stimmen im Internet, die von Problemen unter verschiedenen Windows-Versionen sprechen.
Selbst getestet habe ich das nicht.

Workaround: schtasks /create /tn <TaskName> /tr <TaskRun> /sc once

Wieder Erwarten läßt sich der Defender einfach im Servermanager als Feature deinstallieren.
Sinnvoll, falls ein anderer Virenscanner eingesetzt wird.

Versionsupdate im Terminal: "update-manager -d"

Problematisch für Ubuntu 16.04 LTS (Stand 4/2016):

• SSD als Cache für Festplatten wird nicht unterstützt. (Hybrid-HD geht)
• Hardware-RAID einiger Desktop-Mainboards
• billige SATA-Controller-Karten

Forum und Anlaufstelle bei Problemen:
http://www.ubuntuusers.de
http://help.ubuntu.com

Ubuntu auf USB-Stick / CD / VM / parallel zu Windows installieren.

-> siehe CT 9/2016 S. 85ff.

Ubuntu einrichten (Grafiktreiber, WLAN, Prozessor, Drucker und Scanner).

-> siehe CT 9/2016 S. 90ff.

Ubuntu erste Schritte (Darstellung, Netzwerk, Datenschutz, Software).

-> siehe CT 9/2016 S. 93ff.

Ubuntu / Linux nützliche Anwendungen (Office, Browser, PDF, Fotos, Video, Audio, Spiele).

-> siehe CT 9/2016 S. 99ff.

vSphere 7 Neuerungen (04/2020)

Lizenzierung nicht mehr per CPU, sondern per Core!
1 Lizenz gilt für max. physische 24 Cores (ohne HT). Dabei ist die Anzahl der physischen CPUs egal.
Vorhandene Lizenzen für VMware vSphere 6.x sind für vSphere 7 nicht gültig.
Mit aktueller Wartung lassen sich die Keys im VMWare-Portal updaten. Dabei werden die alten Keys deaktiviert.

- vSphere Lifecycle Manager vereinfacht Updates für VMware-Software und Firmware über vSphere oder REST API.
- vCenter Server wird nun auch aus vSphere Client aktualisiert.

02/2017: Still und heimlich wurde der ESXi Embedded Host Client als produktiv nutzbares Feature in ESXi 6.5 und in ESXi 6.0 U3 integriert.
Mit diesem Webclient kann man nun auf den C#-Client verzichten oder hat zumindest ein interessantes neues Werkzeug in der Hand.

vSphere 6.5 Neuerungen

- neues Filesystem VMFS6 mit neuem Snapshoot-Format.

- VM mit neuer vHardware 13 können nun bis zu 6TB RAM erhalten (4TB in V 6.0).

- Support für 512e Festplatten (Physisch 4096 Bytes, Emuliert 512 Byte). Nach wie vor KEIN Support für 4k Native!

- Der Update-Manager ist in der vCenter Server Appliance vollständig integriert. Die Windows Appliance verliert an Bedeutung.

- höhere Skalierbarkeit und Geschwindigkeit des vCenter Servers.

- Der vSphere Client WEB arbeitet wahlweise wie gewohnt mit Flash oder nativ mit HTML5 und benötigt kein PlugIn mehr.

- Der vSphere C# Client wurde nicht aktualisiert und verliert weiter an Bedeutung. Ganz ohne ihn geht es aber immer noch nicht.

- verschlüsselte VMs.

- Zum Backup mit Veeam ist Version 9.5 Update 1 (voraussichtlich Q1/2017) erforderlich.

vSphere 6 Neuerungen

NTFS 4.1 (VMWare 6):
- unterstützt Kerberos Zertifikate
- AD-Integration erforderlich!
(NFS-User im AD anlegen, User muß Vollzugriff auf Storage haben, User auf allen Hosts angeben.)

Virtual SAN (VMWare 6): - separate Lizenz!!
- min. 3 Hosts mit lokaler HD + SSD erforderlich.
- lokaler Speicher als VMotion-Speicher für alle Hosts.
- kein zentraler Storage erforderlich.

Virtual Volumes (VMWare 6):
- RAID-Level jeder VMDK individuell (virtuell) konfigurierbar.
- jede VMDK ist ein virtuelles Volume.
- arbeitet mit SAN und NAS.

Server Voraussetzungen:

vSphere Essentials und Essentials Plus

- verwaltet max 3 Hosts (6 CPUs) mit einer Lizenz

- vSphere Essentials Plus erweitert die Basisfunktionen um:
  - Data Recovery
  - High Availability (HA) - Failover bei Hardware- und Systemausfall
  - vMotion - Verschieben von laufenden VMs zwischen den Hosts

vSphere 5.5 Neuerungen

- max. 320 (statt 160) physische CPU je Host
- max. 4096 (statt 2048) virtuelle CPU je Host
- max. 4 TB (statt 2 TB) RAM je Host
- max. 62TB VMDKs (statt 2TB) für VMs, SSD-Unterstützung (Flash Read Cache)
- Virtual Hardware V.10 mit:
  - mehr virtuelle CD-ROM oder Festplatten 
  - Unterstützung von GPUs von AMD (neben NVIDEA) für VMs
  - Unterstützung von Windows 2012R2 Failover Cluster als Shared Storage
  - vSphere 5.1 Client unterstützt keine V.10 Funktionen!
  Konfiguration nur mit dem lahmen, flashbasierenden WEB-Client möglich.
- vorkonfigurierte vCenter Server Appliance unterstützt 500 (statt 5) Server und 5000 (statt 50) VMs
- neue vCenter Server Appliance auf Unix+Qracle-Basis (root / vmwareappliance)

- folgende Einstellung im WEB-Client erspart Angabe der Domäne bei jedem Login: Verwaltung (Administration) / SingleSignOn / Konfiguration (Config) / Identitätsquellen (IdentitySources): SSO-Domaine (Default: vsphere.local) wählen, ->Ball drücken (DefaultDomain)

ESX Konsole:
ALT-F1: Virtual Console
ALT-F2: GUI

02/2017: Still und heimlich wurde der ESXi Embedded Host Client als produktiv nutzbares Feature in ESXi 6.5 und in ESXi 6.0 U3 integriert.
Mit diesem Webclient kann (und muss) man nun auf den C#-Client verzichten

Es gab mit VMware 6 wieder einen aktualisierten vSphere6 C# Client.
Er ersetzt nicht den WEB-Client, aber er wurde um diverse Funktionen erweitert.
Seit VMWare 6.5 wird der C# Client nicht mehr unterstützt.

 .

- Verwaltung von HW5 - HW8-VMs im VMware 5 / 5.5 / 6 Mode.

- ReadOnly Support von HW 9 - 11.

VMware 5.5 Nutzer: Client 5.5 muß installiert bleiben.

11/2016 - vCenter Server 6.5.
- Der Update-Manager ist in der vCenter Server Appliance integriert.
- vSphere Client arbeitet wahlweise wie gewohnt mit Flash oder mit HTML5 und benötigt kein PlugIn mehr. Leider ist die HTML-Version wohl immer noch nicht komplett.

12/2015 - vCenter Server 6.0. U1 hat wieder ein Management-GUI auf Port 5480.
Hier kann man wieder wie in VMWare 5 diverse Einstellungen des vCenter Servers verwalten und den Server updaten. Das geht in VMWare 6.0 vor diesem Update nicht.

10/2014 hat VMware eine aktualisierte VMware Remote Console (VMRC 7.0) heraus gebracht.

Aufgrund der Flash-Probleme mit dem WEB-Client ist diese Version wieder als Stand-alone-Version realisiert. Sie erschließt zumindest unter Windows unabhängig vom Web-Client eine komfortable Zugriffsmöglichkeit auf vSphere-VMs einschließlich Vollbildmodus und Funktionen zum Steuern der VM, also dem Starten oder Herunterfahren. Im Gegensatz zum Browser-Plug-in steht die native VMRC-Version nämlich schon vor dem Start der VM zur Verfügung. VMRC kann unter https://my.vmware.com/de/web/vmware/details;jsessionid=98F5DED573D253B9D60D0072FDBEA545?downloadGroup=VMRC70&productId=353 heruntergeladen werden. (Systemvoraussetzung: 64-bit Windows 7/8/8.1/2008R2/2012)

VMWare 6: Die Installation der vCenter Server Appl