Skip to content

System-DLL "user32.dll" im Speicher verschoben nach Windows-Update

Software Da staunt man ja schon nicht schlecht, wenn am Mittwochmorgen der Computer mal wieder eine neue Fehlermeldung bringt. Und man dazu natürlich grad in den letzten Tagen nichts neues installiert hat. Umso mehr, wenn sie sofort nach dem Start der diebischen Elster erscheint und diese unsanft wieder aus dem Speicher befördert.

Doch die Software des Finanzministers war gar nicht schuld - den Dienstag davor war mal wieder der große Patch- und Update-Tag des Betriebssystem-Lieferanten aus Redmond. Und da wurde diesmal eine Sicherheitslücke in der Verarbeitung von ANI-Dateien behoben (für animierte Cursor, ähnlicher Aufbau wie AVI-Dateien, seit Ende letzten Jahres bekannt). Leider stehen die Basisadressen dieses und einen weiteren Sicherheitsupdates von Microsoft miteinander in Konflikt.
Da muss man aber erst mal drauf kommen; sonst denkt man erstmal an irgendwelche Trojaner oder ähnliches was so zufällig auf die Platte gefallen sein könnte. Mit einem Update des Patches ist das Problem dann schnell gelöst. Es dürfte aber noch eine Zeitlang dauern, bis dies überall der Fall ist: Das "Realtek HD Audio Control Panel" findet sich auf vielen Notebooks insbesondere von HP und eher wenige Anwender werden in der Lage sein den neuen Patch herunterzuladen und anzuwenden.

Richtlinien für verschiedene Gruppen durchsetzen

MCSE Wenn für verschiedene Gruppen Richtlinien durchgesetzt werden sollen, dann ist die Reihenfolge zu beachten!

In diesem Beispiel würde nur die Richtlinie "Textverarbeitung" allen Anwendern zur Verfügung stehen. Die GPO "Buchhaltung" würde nie erfolgreich angewendet.


Die Liste wird von oben nach unten abgearbeitet und die erste Richtlinie gewinnen, allen Anwendern steht nur die "Textverarbeitung" und nichts anderes mehr zur Verfügung, weil nur diese Software in der obersten Richtlinie erlaubt und durchgesetzt wird.

Lösung des Problems könnte sein nur der Buchaltungs-Gruppe die GPO für die Buchhaltung zuzuweisen, diese GPO um eins nach vorn zu setzen und um die Textverarbeitung zu ergänzen wenn diese auch verwendet werden soll.

MSP-Patches auf MSI-Pakete anwenden

MCSE Wenn ein Hersteller wie z.B. Microsoft mit seinem Office eine fehlerhafte Version seiner Software in einem MSI-Paket ausgeliefert hat gibt es häufig die Patches im MSP-Format. Dies ist nicht zu verwechseln mit den MST-Dateien (Transformsdatei).

Das MSP-Paket ist kompakter kann aber nicht direkt zugewiesen werden. Man muss mit "msiexec /a c:\software\office.MSI /p F:\patch.msp" das MSI-Paket patchen und dann mit der GPO neu zuweisen damit es noch einmal deployed wird.

Mehrere Patches müssen unbedingt nacheinander und in der richtigen Reihenfolge angewendet werden!

MSI-Pakete können auch von Hand als Administrator installiert werden, obwohl sie natürlich eigentlich für die Zuweisung mit einer Richtlinie gedacht sind. Soll aber z. B. die Verfügbarkeit der Dateiserver nicht unterbrochen werden auf denen ein Anti-Virus-Programm installiert werden soll, so kann diese nicht per GPO geschehen, denn die Software würde erst beim nächsten Systemstart installiert werden.

Domänen-Controller installieren mit dcpromo

MCSE Um einen Domain-Controller zu installieren gibt es "dcpromo.exe", z.B. von der Shell auszuführen. Der Assistent führt sehr einfach durch die Installation. Man muss nur darauf achten, wie die Anforderung an dcpromo für das Szenario lautet.

Zunächst muss entschieden werden, ob es der erste oder ein weiterer Domain-Controller sein soll. Meist installiert man den ersten Controller einer Domäne, ein weiterer Controller setzt voraus dass es genau dieser Domaine schon einen DC gibt.


Schwieriger ist schon zu entscheiden, welcher Domänen-Typ gefragt ist: Ist es der erste Server einer ganz neuen Struktur? Das bedeutet es gibt im ganzen Netzwerk noch keinen einzigen DC (weil es ja auch noch gar kein AD gibt).
Oder wird ein Subdomain (oder untergeordnete Domäne) installiert, es gibt dabei schon eine übergeordnete Domäne.

Es kann auch eine eigene Domänenstruktur (Tree) in einer Gesamtstruktur (Forest) gefragt sein. Beide Domänen sind dann in einem Schema. Wird dies nicht zu diesem Zeitpunkt angelegt, kann man zwei Gesamtstrukturen nur noch mit einer bidirektionalen Vertrauenstellung verbinden.

Bei der Installation eines weiteren DC in einer Domäne kann es zu der Fehlermeldung "Es konnte kein Domänencontroller für die Domäne gefunden werden." kommen. In diesem Fall muss man die TCP/IP Einstellungen auf dem Server konfigurieren so dass ein autorisierter DNS-Server für die Domäne verwendet wird.

Wenn für eine Notfall-Reparatur der Server im Modus "Verzeichnisdienste wiederherstellen" gestartet wird, braucht man das Kennwort für den Administrator dass während der Installation des Active Directory hinterlegt wurde.
tweetbackcheck