Manchmal ist man an dem Punkt der Administration, an der einen die Windows-Bordmittel nicht mehr weiterbringen. Bereits im Jahr 1996 dachten sich das auch zwei Entwickler und entwickelten die Sysinternals. Zehn Jahre später kaufte Microsoft die gegründete Firma auf und gliederte diese in einer eigene Abteilung im Konzern ein.

Der offizielle Slogan lautet: „Ob IT-Professional oder Entwickler – bei Sysinternals finden Sie Tools, die Ihnen die Verwaltung, Problembehebung und Diagnose bei Windows-Systemen und -Anwendungen erleichtern.“ Und diese Tools will ich euch heute ein wenig näher bringen.

Die Sysinternals Suite besteht aus Tools für Dateien und Datenträgern, Netzwerk, Prozessen und Threads, Sicherheit, Verschiedenes. In meinem alltäglichen Wahnsinn kommen die Tools PSExec, Process Monitor und Active Directory Explorer zum Einsatz.

PSExec

Mit PSExec ist es möglich auf einem Remotesystem Programme auf Konsolenebene auszuführen. Es ist keine weitere Installation auf dem entfernten System notwendig. Damit lässt sich zum Beispiel recht komfortabel auf einer Vielzahl von Systemen ein Registry-Wert anpassen oder Kommandozeilentools aufrufen, die Werte zurückgeben.

Nehmen wir mal an, wir wollen einen Registry-Wert per PSExec remote auf einem Rechner ändern:

psexec \\hostname reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MRXSmb\Parameters /t REG_DWORD /v OplocksDisabled /d 1 /f

In diesem Beispiel werden Oplocks deaktiviert, welches allerdings nur für SMBv1 funktioniert. Unter dem Pfad wird ein Eintrag OplocksDisabled mit dem Wert 1 vom Typ REG_DWORD angelegt. Wenn dies für mehrere Rechner durchgeführt werden soll muss der Befehl nur wenig modifiziert werden.

psexec @hostnames.txt reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MRXSmb\Parameters /t REG_DWORD /v OplocksDisabled /d 1 /f

In der hostnames.txt müssen die Namen der Rechner einfach nur zeilensepariert eingetragen werden.

Process Monitor

Der Process Monitor (kurz: ProcMon) ist sinnvoll, um Dateizugriffe, Statuscoderückgaben von Threads oder Ähnliches zu prüfen. Hier kann genau geschaut und gefiltert werden, auf welche Daten ein Prozess zugreift. Da wir viele selbstgeschriebene Tools im Unternehmen einsetzen, ist es sowohl für Qualitätssicherung als auch für die Analyse der Zugriffsberechtigungen ein ständiger Begleiter im täglichen Einsatz.

So schaut es im Process Monitor aus, wenn über den Dateiexplorer eine *.sql-Datei geöffnet wird, welche das SQL Server Management Studio startet.

Active Directory Explorer

Mittels des Active Directory Explorers sind viele Objekteigenschaften schneller einsehbar als über die „normale“ Active-Directory-Konsole. Viele Eigenschaften sind in der klassischen Konsole auch nicht über versteckte Reiter einsehbar. Hier kann zum Beispiel schnell eingesehen werden, wann der Benutzer zuletzt ein falsches Passwort eingegeben hat oder mit welcher Version das Exchange-Objekt angelegt worden ist – eben alles, was in so einem AD-Objekt gespeichert wird und das ist eine ganze Menge.

Auf dem Screenshot erkennt man unter anderem, dass das Passwort für diesen Account zuletzt am 09.10.2014 falsch eingegeben wurde.

Auf welche Tools aus der Sysinternals Suite sollte ich detaillierter eingehen. Welche nutzt ihr täglich?

Autor: Florian

Als staatlich geprüfter Techniker für Computer- und Netzwerktechnik berichte ich auf fmjf.de sowohl über den alltäglichen Wahnsinn als IT-Admin, als auch über Apple, Wordpress und - wie im Slogan schon erwähnt - total anderes Zeug.