I am currently configuring the base template for Windows Server 2016. I would like to create Windows Server 2016 VMs based on this template in the future.
Please feel free to post any tips on useful settings for the standard installation in the comments.
I will gradually expand this article until the template is complete. Various security settings are currently still missing, but here are the initial settings for the standard installation.
Disable automatic start of the Server Manager
The Server Manager really does not need to start every time someone logs on to the server. Therefore, the task that starts the server manager when a user logs on can be switched off:
Deactivate services that are not required
The following services can be deactivated:
- Manager for downloaded maps
- User experience and telemetry in connected mode
- Save Xbox Live games
- Xbox Live Authentication Manager
- Windows Camera FrameServer
Energy saving plan and presentation
For VMs, the energy saving plan should be set to "High performance":
The visual effects can also be switched off:
Login and lock screen
I have also customized the Windows Server 2016 lockscreen, I think it is easier to see that you are logging on to a server and not to a normal Windows 10 client.
I have created a 1×1 pixel JPG image and saved it locally. The following local policy changes the login and lock screen:
This setting can also be changed later via group policy, but I occasionally have systems that are not members of an Active Directory, so I find the local policy better here.
User account control
The user account control is set to the highest level:
Rename local administrator account
In this case, I have renamed the local user account "Administrator" to "LocalAdmin":
Copy Sources\SXS folder to the local hard disk
So that .NET Framework 3.5 can be installed quickly if necessary, I copy the SXS folder to the local hard disk
If .NET 3.5 is required, the local folder for the source files can be specified directly:
Hallo Frank,
ich arbeite momentan an dem gleichen Thema, hier wurde auch bereits einiges dazu diskutiert:
https://notesfrommwhite.net/2016/12/11/how-to-build-a-windows-2016-vmware-template/
Die Umbenennung des lokalen Admin Accounts würde ich auch, aus bereits erwähnten Grund, auf keine Fall machen. Wenn schon absichern dann Build-In Account deaktivieren und einen zusätzlichen lokalen Admin Account erstellen.
Könnte man das nicht gleich in eine ISO integrieren?
Ja, auch die Möglichkeit ein ISO zu erzeugen besteht. Wobei das für mich eher Nebensache ist.
Gruß, Frank
I know…
Hi Frank,
bei gelegenheit kann ich dir meine skripts / reg keys usw. zusenden.
Du bist so gut zu mir :)
Hi Frank,
wieso nicht mit Lokalen GOP’s arbeiten…
Dann kannst du alles so einstellen wie du es haben möchtest und dann ggfs. „klonen“.
Bzgl. der Lokalen Admin konto, lieber es komplete de-aktivieren statt umbenenn, das es über den SID trotzdem „ansprechbar“ ist.
Hi Tristram,
ich will erst einmal schauen was ich alles anpassen muss. Konfigurieren werde ich es dann mit AD GPOs und/oder lokalen GPOs. Und danke für den Hinweis mit der SID, daran hab ich nicht gedacht. Du hast das nicht zufällig schon mal für Windows 10 gehabt?! :-p
Schönes Wochenende und bis Montag,
Frank
Besonders gut gefällt mir die Umbenennung des lokalen Admins und das Kopieren des SXS Ordners. Gute Ideen!
Hast du vor, dann alle diese Template-Einstellungen auch per Hand zu setzen? Also da kann man sicherlich viel, vermutlich sogar alles, automatisieren. Oder ist das quasi ein Image, was dann mehrfach von dir angewendet wird?
Hi Andreas,
das wird in Zukunft mal ein VMware Template werden. Auf der Basis des Templates werden dann die neuen VM geclont. Natürlich lassen sich die Einstellungen auch alle via GPO setzen, was auch Sinn macht. Ich habe allerdings ab und an Testsysteme und Server die nicht Mitglied eines ADs sind, hier würde die GPOs dann nicht greifen. Ich habe daher immer ein Basissatz von Einstellungen, die ich schon vorkonfiguriere (also direkt im Template/Image).
Gruß, Frank
Automatischen Start des Server-Manager abschalten: kann man auch über den Servermanager direkt machen (da er doch eh schon offen ist ;) ):
oben rechts Verwalten->Servermanager Eigenschaften -> „SM nicht beim Anmelden automatisch starten“
Generell kann man Sachen wie Energiemodus, visuelle Effekte, Sperrbildschirm, UAC und vor allem das lokale Adminkonto umbenennen aber eig. viel bequemer über GPOs machen, auch wenn wir hier über ein Template reden (imo)
.net 3.5 installiere ich gleich sowieso oder benutze die GPO, die zusätzliche Features über den WSUS runterlädt
Was ich persönlich sonst noch machen würde:
Win+E öffnet den „Arbeitsplatz“, nicht den Schnellzugriff (Registrykey)
RDP aktivieren
ggf. WinRM FW-Regeln definieren
Hallo Frank
Ein weiterer toller Artikel. Vielen Dank!
Den Lockscreen könntest Du auch über die Registry einfach deaktivieren.
regedit:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Neu:
DWORD
DisableLogonBackgroundImage
Wert:
1
Gruss Ralph