Regpatch bei jedem erstellen des Images?

Hallo zusammen,

wenn man Updates oder neue Programme in das vorhande Image installiert und dann einfach ein neues Image schreiben lässt, muss man dann vor dem Imagen wieder den Regpatch einspielen? Oder nur wenn ich die Domäne neu joinen muss? Also ein Image from Scratch aufsetze?

Viele Grüße

Frank

Hallo Frank,

wenn man Updates oder neue Programme in das vorhande Image installiert
und dann einfach ein neues Image schreiben lässt, muss man dann vor dem
Imagen wieder den Regpatch einspielen? Oder nur wenn ich die Domäne neu
joinen muss? Also ein Image from Scratch aufsetze?

dewn global.reg spielt man einmal ein: vor dem ersten Image: dann nie
wieder (in dem Image).
Die image.reg stellt man auf dem Server bereit: linbo führt ihn nach
jedem sync aus.

LG

Holger

Ok, danke für die schnelle Antwort. Ich habe zur Zeit das Problem, dass alle Windows Maschinen auf einmal keine Vertrauensstellung mehr zur Domäne haben und auch teilweise nicht mehr die Richtigen PC Namen. Im momment bin ich ein wenig ratlos…

Hallo Frank,

Ok, danke für die schnelle Antwort. Ich habe zur Zeit das Problem, dass
alle Windows Maschinen auf einmal keine Vertrauensstellung mehr zur
Domäne haben und auch teilweise nicht mehr die Richtigen PC Namen. Im
momment bin ich ein wenig ratlos…

ist den eine
/srv/lionbo/images/IMAGENAMEN/IMAGENAMEN.qcow2.reg
vorhanden und der Inhalt identisch zur image.reg für dein Betriebsystem
aus der /srv/linbo/examples/
?

LG

Holger

Hallo Holger,

die Einträge passen. Jetzt wollte ich eine neue Windows Maschine from Scratch aufsetzen und dabei ist mir aufgefallen das ich als global-admin nicht mehr auf die global-admin und die sysvol Freigabe zugreifen kann. Das sollte doch eigentlich so sein, oder? Ich habe die Vermutung das ein Leherer der Probleme mit den Rechten auf den Homeverzeichnissen hatte dort etwas manipuliert hat. Bekommt man das wieder „gerade“ gezogen?

Viele Grüße

Frank

Hallo Frank,

die Einträge passen. Jetzt wollte ich eine neue Windows Maschine from
Scratch aufsetzen und dabei ist mir aufgefallen das ich als global-admin
nicht mehr auf die global-admin und die sysvol Freigabe zugreifen kann.

beschreibe genauer.
Du meinst, wenn man als lokaler Admin angemeldet ist, dann kann man
diese Netzlaufwerke nicht mehr verbinden?

Kannst du dich den an der WebUI mit den credentials des global-admin
anmelden?

Das sollte doch eigentlich so sein, oder?

… keine Ahnung: ich bringe den global.reg immer per usb Stick auf den
Client … macht man ja nur einmal pro Image: also nur alle 5 oder 6
Jahre …

Ich habe die Vermutung das ein
Leherer der Probleme mit den Rechten auf den Homeverzeichnissen hatte
dort etwas manipuliert hat. Bekommt man das wieder „gerade“ gezogen?

… so: hier wird es spannend: wie kommst du auf die Idee, dass „ein
Lehrer“ da etwas machen könnte? Der hat doch garnicht ausreichend Rechte
… also gehst du davon aus, dass er „als global-admin“ da rumgespielt
hat … er also das Passwort des global-admin kennt… dann kann er
natürlich weitreichend Mist gemacht haben.
Dann würde ich erstmal den betreffenden „Lehrer“ Fragen, was er denn
gemacht hat (ich hoffe, es ist nur einer …).
Wenn er das nicht mehr sagen kann oder mit „ichhab garnichts gemacht“
rüber kommt und dann kommt raus, dass er doch was gemacht hat, dann …
naja: deine Sache …

Also: Befrag ihn: sonst kannst du ziemlich lange suchen, was der wohl
verändert hat …

einfach „gerade ziehen“ könnte gehen … aber da würde ich vorher
Backups machen.

LG

Holger

Also, dummerweise hat ein Lehrer das global-admin und root Password, da er Nextcloud und Moodle mit Linuxmuster verbunden hat. Wir haben die Vermutung das er etwas mit den Rechten gemacht hat. Jetzt sind gerade Ferien und er ist nicht greifbar :frowning: Mal sehen wie wir das wieder gerade gezogen bekommen.

VG Frank

Hi Frank,

sind die clients oder auch Server auf den neuesten stand (22H2)?
Wir hatten mal so was ähnliches. hier hatte dann doch die Info’s einer M$ Artikel aushilfe geboten.

https://support.microsoft.com/de-de/topic/kb5020276-netjoin-änderungen-bei-der-härtung-des-domänenbeitritts-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action

Kurz zusammen gefasst. wir hatten es nach einen Upgrade auf 22H2 keinen Vertrauensstellung mehr (Netzwerkfreigaben waren nicht mehr erreichbar) Clients waren auch aus der Domäne.

Aufgrund der neuen Gruppenrichtlinie sollten Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht mehr verwenden. Wir behalten den Schlüssel für die nächsten sechs (6) Monate bei, falls Sie Problemumgehungen benötigen. Wenn Sie das neue Gruppenrichtlinienobjekt in Ihrem Szenario nicht konfigurieren können, empfehlen wir Ihnen dringend, sich an Microsoft-Support zu wenden.

Pfad: HKLM\System\CurrentControlSet\Control\LSA

Typ: REG_DWORD

Name: NetJoinLegacyAccountReuse

Wert: 1

Andere Werte werden ignoriert.

Hinweis Microsoft entfernt die Unterstützung für die Registrierungseinstellung NetJoinLegacyAccountReuse in einem zukünftigen Windows-Update. Diese Entfernung ist vorläufig für das Update vom 9. September 2023 geplant. Veröffentlichungsdaten können sich ändern. [Ende – 14. März 2023]

Nicht-Lösungen
[14. März 2023 – Start]

Nachdem Sie Updates vom 14. März 2023 oder höher auf DCs und Clients in der Umgebung installiert haben, verwenden Sie nicht die Registrierung NetJoinLegacyAccountReuse . Führen Sie stattdessen die Schritte unter Aktion ausführen aus, um das neue Gruppenrichtlinienobjekt zu konfigurieren. [Ende – 14. März 2023]

Fügen Sie der Sicherheitsgruppe Domänenadministratoren keine Dienstkonten oder Bereitstellungskonten hinzu.

Bearbeiten Sie den Sicherheitsdeskriptor für Computerkonten nicht manuell, um den Besitz solcher Konten neu zu definieren. Während die Bearbeitung des Besitzers ermöglicht, dass die neuen Überprüfungen erfolgreich sind, behält das Computerkonto möglicherweise die gleichen potenziell riskanten und unerwünschten Berechtigungen für den ursprünglichen Besitzer bei, es sei denn, es wurde explizit überprüft und entfernt.

Fügen Sie den Registrierungsschlüssel NetJoinLegacyAccountReuse nicht zu Basisbetriebssystemimages hinzu, da der Schlüssel nur vorübergehend hinzugefügt und dann direkt nach Abschluss des Domänenbeitritts entfernt werden sollte.

Dies heißt das nach September diese Netjoin… wieder weg sein könnte.

Vielleicht hilft dir dies etwas weiter.

MfG

Eric

Hallo Eric,

ja wir haben den 22H2 Patch auf den Windows Maschinen. Was bedeutet das denn für das weitere vorgehen? Sollte man keine Windows Maschine mit 22H2 installieren? Haben nur wir das Problem? Kann man etwas an dem DC machen? Wir haben auch schon auf Linuxmuster 7.2 upgedatet.

Viele Grüße

Frank

Hallo Frank,

interessanter weise haben wir nur dieses Problem bei Rechnern (Laptops, Server) die standalone sind, zwar in der Domäne aber ohne Image Lösung.

Probiere es aus mit einen Rechner wo man das in der Registry ändert, und schau nach ob es was gebracht hat.

Am DC kann mann nicht viel machen da dies keinen M$ DC ist.

Hoffentlich schaltet M$ dies nicht komplett ab in einen zukünftiges Update.

Viele Grüße

Eric

Könnte eigentlich ein komplett neues Image die Lösung sein? Geht dann evtl. nach September keine Windows Clients mehr mit Linux Muster?

Hallo,

… die Logig verstehe ich nicht.

warum sollte das nicht mehr gehen?

LG

Holger

Hi Holger,

In der Beschreibung von Microsoft stand:

  1. Doppelklicken Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen auf Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.
  2. Wählen Sie Diese Richtlinieneinstellung definieren und ****aus.
  3. Verwenden Sie die Objektauswahl, um Benutzer oder Gruppen von Erstellern und Besitzern vertrauenswürdiger Computerkonten zur Berechtigung Zulassen hinzuzufügen. (Als bewährte Methode wird dringend empfohlen, Gruppen für Berechtigungen zu verwenden.) Fügen Sie nicht das Benutzerkonto hinzu, das den Domänenbeitritt durchführt.

hier sprechen die davon wenn man eine MS DC benutzt.

wie allerdings gesagt, bis jetzt hatte es dann geholfen wenn im in der Registry den Schlüssel anlegt für den : NetJoinLegacyAccountReuse

MfG

Eric

Hallo Eric,

leider funktioniert es nicht. Ich habe auch schon einmal einen neuen Client from Scratch aufgesetzt. Leider mit dem gleichen Ergebnis. Wir sind hier gerade etwas ratlos und wissen nicht wie wir wieder Lauffähige Windows 10 Images bekommen. Was auch aufgefallen ist, das sich an einigen Arbeitsstationen der Rechnername nicht ändert. Bleibt quasi so wie in dem Ursprungsimage. Ist es vielleicht eine Lösung ersteinmal Win10 21H2 zu nehmen?

Viele Grüße

Frank

Hallo Frank,

leider funktioniert es nicht. Ich habe auch schon einmal einen neuen
Client from Scratch aufgesetzt. Leider mit dem gleichen Ergebnis. Wir
sind hier gerade etwas ratlos und wissen nicht wie wir wieder Lauffähige
Windows 10 Images bekommen. Was auch aufgefallen ist, das sich an
einigen Arbeitsstationen der Rechnername nicht ändert. Bleibt quasi so
wie in dem Ursprungsimage. Ist es vielleicht eine Lösung ersteinmal
Win10 21H2 zu nehmen?

ich habe vor etwas mehr als einem halben Jahr in meiner Virtuelle
Umgebung (damals noch lmn 7.1) den Windows und den Linuxclient erneuert.
Dabei hab ich Win10 22H2 frisch installiert und in die Domäne aufgenommen.
Deswegen kann ich sagen: dass es mit 22H2 „per se“ nicht geht, kann ich
verneinen: ich habe das durchgeführt und verwende das seit über einem
halben Jahr.
Winver gibt folgende Version aus:
22H2 Build 19045.2546

Nun kann es aber sein, dass Microsoft inzwischen etwas in 22H2 geändert
hat, was die Domänenaufnahme verhindert.

Bitte poste mal den global.reg, den du verwendet hast vor der
Domänenaufnahme und den image.reg den du verwendest für das Image.

Wichtig wären auch die Dateirechte unter /srv/linbo/images/IMAGENAME/
aller Dateien mit IMAGENAME.qcow2*

LG

Holger

Hallo Holger,

hier die Datein:

Dateirechte:

total 10881056
drwxr-xr-x 3 root root        4096 Mai  9 13:08 .
drwxr-xr-x 9 root root        4096 Apr 18 15:29 ..
drwxr-xr-x 4 root root        4096 Apr 17 13:42 backups
-rw-rw-r-- 1 root root 11141316608 Apr 17 13:39 w10_22h2_ver4.qcow2
-rw-rw-r-- 1 root root          20 Apr 17 15:12 w10_22h2_ver4.qcow2.desc
-rw-rw-r-- 1 root root         158 Apr 17 15:12 w10_22h2_ver4.qcow2.info
-rw------- 1 root root        3242 Apr 17 13:43 w10_22h2_ver4.qcow2.macct
-rw-rw-r-- 1 root root      850229 Apr 17 13:40 w10_22h2_ver4.qcow2.torrent
-rw-rw-r-- 1 root root         714 Apr 17 15:12 w10_22h2_ver4.reg tippe oder füge den Code hier ein

regpatch:

Windows Registry Editor Version 5.00

; linuxmuster.net 7

; patches hostname, to be applied after every image sync

[HKEY_LOCAL_MACHINE\System\ControlSet\Control\ComputerName\ActiveComputerName\]
"ComputerName"="{$HostName$}"

[HKEY_LOCAL_MACHINE\System\ControlSet\Control\ComputerName\ComputerName\]
"ComputerName"="{$HostName$}"

[HKEY_LOCAL_MACHINE\System\ControlSet\Services\Tcpip\Parameters\]
"Hostname"="{$HostName$}"
"NV Hostname"="{$HostName$}"

; add your custom registry patches below
;setzt den Domänennamen richtig
[HKEY_LOCAL_MACHINE\System\ControlSet\Services\Tcpip\Parameters]
"Domain"="sambadomain"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DefaultLogonDomain"="Sambadomain"

global.reg

Windows Registry Editor Version 5.00

; linuxmuster.net 7

; to be applied once before domain join and image creation

; machine account password may not expire
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000001
"MaximumPasswordAge"=dword:000f4240
"RefusePasswordChange"=dword:00000001
"RequireSignOrSeal"=dword:00000001
"RequireStrongKey"=dword:00000001

; needed for netlogon
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

; disable hiberboot
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Power]
"HiberbootEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power]
"HiberbootEnabled"=dword:00000000

; allow users to install printer drivers
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

; samba domain, to be adapted
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\]
"DefaultLogonDomain"="SAMBADOMAIN"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
"Domain"="SAMBADOMAIN"
"NV Domain"="SAMBADOMAIN"

; add your custom registry patches below
tippe oder füge den Code hier ein

Die Domänennamen sind natürlich auf die richtige Domäne angepasst…

Hallo Frank,

total 10881056 drwxr-xr-x 3 root root 4096 Mai 9 13:08 . drwxr-xr-x 9
root root 4096 Apr 18 15:29 … drwxr-xr-x 4 root root 4096 Apr 17 13:42
backups -rw-rw-r-- 1 root root 11141316608 Apr 17 13:39
w10_22h2_ver4.qcow2 -rw-rw-r-- 1 root root 20 Apr 17 15:12
w10_22h2_ver4.qcow2.desc -rw-rw-r-- 1 root root 158 Apr 17 15:12
w10_22h2_ver4.qcow2.info -rw------- 1 root root 3242 Apr 17 13:43
w10_22h2_ver4.qcow2.macct -rw-rw-r-- 1 root root 850229 Apr 17 13:40
w10_22h2_ver4.qcow2.torrent -rw-rw-r-- 1 root root 714 Apr 17 15:12
w10_22h2_ver4.reg tippe oder füge den Code hier ein |

woher kommt den das „… tippe oder füge den Code hier ein“ ?
Das steht nicht bei dir im Dateisystem, oder?

Die Rechte der Datei stimmen.

regpatch:

Windows Registry Editor Version 5.00 ; linuxmuster.net 7 ; patches
hostname, to be applied after every image sync
[HKEY_LOCAL_MACHINE\System\ControlSet\Control\ComputerName\ActiveComputerName] „ComputerName“=„{$HostName$}“ [HKEY_LOCAL_MACHINE\System\ControlSet\Control\ComputerName\ComputerName] „ComputerName“=„{$HostName$}“ [HKEY_LOCAL_MACHINE\System\ControlSet\Services\Tcpip\Parameters] „Hostname“=„{$HostName$}“ „NV Hostname“=„{$HostName$}“ ; add your custom registry patches below ;setzt den Domänennamen richtig [HKEY_LOCAL_MACHINE\System\ControlSet\Services\Tcpip\Parameters] „Domain“=„sambadomain“ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] „DefaultLogonDomain“=„Sambadomain“ |

der sieht richtig aus: wobei meiner die letzten zwei Anweiseungen nicht
mehr hat: weil das redundant ist: die Domain stimmt ja schon in der
Registry: die brauicht man nicht bei jedem sync patchen.
Meiner ist also:

Windows Registry Editor Version 5.00

; linuxmuster.net 7

; patches hostname, to be applied after every image sync

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\]
"ComputerName"="{$HostName$}"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\ComputerName\]
"ComputerName"="{$HostName$}"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\]
"Hostname"="{$HostName$}"
"NV Hostname"="{$HostName$}"

; add your custom registry patches below

global.reg

Windows Registry Editor Version 5.00 ; linuxmuster.net 7 ; to be
applied once before domain join and image creation ; machine account
password may not expire
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\Netlogon\Parameters] „DisablePasswordChange“=dword:00000001 „MaximumPasswordAge“=dword:000f4240 „RefusePasswordChange“=dword:00000001 „RequireSignOrSeal“=dword:00000001 „RequireStrongKey“=dword:00000001 ; needed for netlogon [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths] „\\*\netlogon“=„RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0“ ; disable hiberboot [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Power] „HiberbootEnabled“=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power] „HiberbootEnabled“=dword:00000000 ; allow users to install printer drivers [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint] „RestrictDriverInstallationToAdministrators“=dword:00000000 ; samba domain, to be adapted [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] „DefaultLogonDomain“=„SAMBADOMAIN“ [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters] „Domain“=„SAMBADOMAIN“ „NV Domain“=„SAMBADOMAIN“ ; add your custom registry patches below tippe oder füge den Code hier ein |

der sieht bei mir auch so aus … außer dem "tippe und füge den Code
hier ein "…

Hast du mal kontrolliert, ob am Client die Domain an den richtigen
Stellen drin steht?

nimm mal die letzten Zwei Anweisungen aus dem image.reg raus und versuch
es dann nochmal.
Schau auch mal in die Logdateien vom Client (linbologs unter
/srv/linbo/log/RECHNERNAME… )

LG

Holger