Ich bin gerade dabei, das Basis Template für das Windows Server 2016 zu konfigurieren. Auf der Grundlage dieses Templates möchte ich in Zukunft Windows Server 2016 VMs erstellen.
Hinweise auf sinnvolle Einstellungen für die Standard Installation können gerne in die Kommentare geschrieben werden.
Ich werde diesen Artikel nach und nach bis zum fertigen Template erweitern. Es fehlen aktuell noch diverse Sicherheitseinstellungen, aber hier sind schon einmal die ersten Einstellungen für die Standardinstallation.
Automatischen Start des Server-Manager abschalten
Der Server Manager muss nun wirklich nicht jedes Mal starten, wenn sich jemand am Server anmeldet. Daher kann der Task der den Servermanager bei Anmeldung eines Benutzers startet, abgeschaltet werden:
Nicht benötigte Dienste deaktivieren
Die folgenden Dienste können deaktiviert werden:
- Manager für heruntergeladene Karten
- Benutzererfahrung und Telemetrie im verbundenen Modus
- Xbox Live-Spiele speichern
- Xbox Live Authentifizierungs-Manager
- Windows-Kamera-FrameServer
Energiesparplan und Darstellung
Für VMs sollte der Energiesparplan auf “Höchstleistung” gestellt werden:
Zusätzlich können die visuellen Effekte abgeschaltet werden:
Anmelde- und Sperrbildschirm
Den Windows Server 2016 Lockscreen habe ich ebenfalls angepasst, ich finde so ist besser erkenntlich das man sich gerade an einem Server anmeldet und nicht an einem normalen Windows 10 Client.
Ich habe dabei ein ein 1×1 Pixel großes JPG-Bild erstellt und es lokal gespeichert. Die folgende lokale Richtlinie ändert Anmelde- und Sperrbildschirm:
Diese Einstellung lässt sich auch nachträglich via Gruppenrichtlinie ändern, jedoch habe ich ab und an Systeme die nicht Mitglied eines Active Directory sind, daher finde ich hier die lokale Richtlinie besser.
Benutzerkontensteuerung
Die Benutzerkontensteuerung wird auf die höchste Stufe gestellt:
Lokales Administrator Konto umbenennen
Das lokale Benutzerkonto “Administrator” habe ich in diesem Fall in “LocalAdmin” umbenannt:
Sources\SXS Ordner auf die lokale Festplatte kopieren
Damit im Bedarfsfall .NET Framework 3.5 schnell installiert werden kann, kopiere ich den Ordner SXS auf die lokale Festplatte
Wenn .NET 3.5 benötigt wird, kann so direkt der lokale Ordner für die Quelldateien angegeben werden:
Hallo Frank,
ich arbeite momentan an dem gleichen Thema, hier wurde auch bereits einiges dazu diskutiert:
https://notesfrommwhite.net/2016/12/11/how-to-build-a-windows-2016-vmware-template/
Die Umbenennung des lokalen Admin Accounts würde ich auch, aus bereits erwähnten Grund, auf keine Fall machen. Wenn schon absichern dann Build-In Account deaktivieren und einen zusätzlichen lokalen Admin Account erstellen.
Könnte man das nicht gleich in eine ISO integrieren?
Ja, auch die Möglichkeit ein ISO zu erzeugen besteht. Wobei das für mich eher Nebensache ist.
Gruß, Frank
I know…
Hi Frank,
bei gelegenheit kann ich dir meine skripts / reg keys usw. zusenden.
Du bist so gut zu mir :)
Hi Frank,
wieso nicht mit Lokalen GOP’s arbeiten…
Dann kannst du alles so einstellen wie du es haben möchtest und dann ggfs. „klonen“.
Bzgl. der Lokalen Admin konto, lieber es komplete de-aktivieren statt umbenenn, das es über den SID trotzdem „ansprechbar“ ist.
Hi Tristram,
ich will erst einmal schauen was ich alles anpassen muss. Konfigurieren werde ich es dann mit AD GPOs und/oder lokalen GPOs. Und danke für den Hinweis mit der SID, daran hab ich nicht gedacht. Du hast das nicht zufällig schon mal für Windows 10 gehabt?! :-p
Schönes Wochenende und bis Montag,
Frank
Besonders gut gefällt mir die Umbenennung des lokalen Admins und das Kopieren des SXS Ordners. Gute Ideen!
Hast du vor, dann alle diese Template-Einstellungen auch per Hand zu setzen? Also da kann man sicherlich viel, vermutlich sogar alles, automatisieren. Oder ist das quasi ein Image, was dann mehrfach von dir angewendet wird?
Hi Andreas,
das wird in Zukunft mal ein VMware Template werden. Auf der Basis des Templates werden dann die neuen VM geclont. Natürlich lassen sich die Einstellungen auch alle via GPO setzen, was auch Sinn macht. Ich habe allerdings ab und an Testsysteme und Server die nicht Mitglied eines ADs sind, hier würde die GPOs dann nicht greifen. Ich habe daher immer ein Basissatz von Einstellungen, die ich schon vorkonfiguriere (also direkt im Template/Image).
Gruß, Frank
Automatischen Start des Server-Manager abschalten: kann man auch über den Servermanager direkt machen (da er doch eh schon offen ist ;) ):
oben rechts Verwalten->Servermanager Eigenschaften -> „SM nicht beim Anmelden automatisch starten“
Generell kann man Sachen wie Energiemodus, visuelle Effekte, Sperrbildschirm, UAC und vor allem das lokale Adminkonto umbenennen aber eig. viel bequemer über GPOs machen, auch wenn wir hier über ein Template reden (imo)
.net 3.5 installiere ich gleich sowieso oder benutze die GPO, die zusätzliche Features über den WSUS runterlädt
Was ich persönlich sonst noch machen würde:
Win+E öffnet den „Arbeitsplatz“, nicht den Schnellzugriff (Registrykey)
RDP aktivieren
ggf. WinRM FW-Regeln definieren
Hallo Frank
Ein weiterer toller Artikel. Vielen Dank!
Den Lockscreen könntest Du auch über die Registry einfach deaktivieren.
regedit:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Neu:
DWORD
DisableLogonBackgroundImage
Wert:
1
Gruss Ralph