Wir ersetzen unsere Computer nach 7 Jahren, ab nächstem Jahr schon nach 6 Jahren. Die Frage ist ja, was man mit den ausgemusterten Computern machen kann.

Da nicht auszuschliessen ist, dass sich auf den lokalen Festplatten noch sensitive Daten befinden, sollten diese vollständig gelöscht werden. Dazu verwende ich das “schweizer Sackmesser” UBCD. UBCD steht für “Ultimate Boot CD” und kann hier heruntergeladen werden.

Als erstes muss man die Bioseinstellungen wieder so anpassen, dass man von CD booten kann (dies ist nämlich bei all unseren Computern aus gutem Grund deaktiviert). Nun kann man also mit der gebrannten UBCD booten.

Nun kann man sich durch “HDD” –> “Disk Wiping” zu “Darik’s Boot and Nuke” (DBAN) durchhangeln und mit Enter bestätigen.

Mit Enter startet man nun DBAN

Mit einem Leerschlag kann man die Festplatte zum löschen auswählen (Space = Select)

Standardmässig ist “DoD Short” ausgewählt. Dies ist ein Standard, der dem “Department of Defense” genügt und die Fesplatte dreimal hintereinander mit zufallsgenerierten Nullen oder Einsen füllt. Seit ich aber in der Computerzeitschrift c’t gelesen habe, dass sie niemanden gefunden haben, der eine einmal mit Nullen beschriebene Festplatte wieder herstellen kann, wechsle ich jeweils mit “M” zu einer anderen Methode. Hier kann man nun mit den Pfeiltasten zu “Quick Erase” wechseln und wieder mit Space (Leertaste) bestätigen.

Zurück im Hauptfenster muss man nur noch F10 drücken, um DBAN zu starten. Danach ist die Festplatte vollständig gelöscht.

Um Schülern eine Möglichkeit zu geben, günstig zu einem Computer zu kommen, verkaufen wir die Laptops jeweils für 30.- Fr. An den PC’s hatten bisher nur wenige Interesse, da wir die Bildschirme behalten.
Als Betriebssystem verwende ich Lubuntu. Das ist eine Linuxdistribution, die extra für ältere und schwache Hardware ausgelegt ist und auch auf unseren alten Geräten noch einigermassen schnell läuft.

Damit man sich nicht jedes Mal durch die Länderwahl und Tastatureinstellungen etc. klicken muss, kann man auch einen Laptop aufsetzen und dann mit Clonezilla klonen, aber das wäre wohl mal ein Thema für einen anderen Beitrag…

Die Powershell ist der Nachfolger der Kommandozeile unter Windows. Wenn man ein Powershellskript ausführen möchte, kann man das nicht einfach per Doppelklick machen wie das mit .bat oder .cmd Dateien für die Kommandozeile möglich war.

Es kommt die Meldung, dass “die Ausführung von Skripts auf diesem System deaktiviert ist”. Wenn man die Sicherheitseinstellungen mit Get-ExecutionPolicy abfragt, bekommt man “Restricted”.

Um Skripte auszuführen, muss man also diese Sicherheitseinstellungen anpassen. Man kann dazu aus “AllSigned”, “RemoteSigned” und “Unrestricted” wählen. “Unrestricted” ist nicht zu empfehlen, weil dies dann Powershellskripten mit “bösem Code” die Türe öffnen würde. “AllSigned” ist die sicherste Variante, aber dann muss man alle Skripte digital signieren.

Um die “ExecutionPolicy” auf “AllSigned” zu setzen, kannn man eine Gruppenrichtlinie erstellen. Die entsprechende Einstellung findet sich unter “Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “Windows-Komponenten” –> “Windows PowerShell” –> “Skriptausführung aktivieren”.

Wenn man eine Microsoft CA (Certificate Authority” besitzt, kann man sich ein Zertifikat installieren, mit dem man das Skript signieren kann. Dazu muss man zuerst einmal eine “Code signieren” Vorlage erstellen.

Bei den Zertifikatsdiensten kann man eine neue “Auszustellende Zertifikatsvorlage” erstellen und “Codesignatur” auswählen.

Nun kann man über https://servername/certsrv ein Zertifikat anfordern:

Mit diesem Zertifikat kann man nun das Powershell Skript signieren:

 $cert = Get-ChildItem cert:\CurrentUser\My –CodeSigningCert
Set-AuthenticodeSignature –Certificate $cert –Filepath c:\script.ps1 

Wenn man nun das Skript öffnet, sieht man, dass ganz unten ein Block mit der Signatur angefügt wurde.

Nun hat man also das Skript mit einem gültigen Zertifikat signiert. Wenn man es nun aber starten möchte, kommt der Hinweis, dass es von einem nicht vertrauenswürdigen Herausgeber stammt. Man kann zwar mit “A” angeben, dass man es immer ausführen möchte, aber das ist für vollautomatisches Ausführen ungeeignet. Also muss man das Zertifikat exportieren und zu den Vertrauenswürdigen Herausgebern kopieren.

Am besten verteilt man das Zertifikat aber über die Gruppenrichtlinien:

Das ganze Vorgehen ist zugegebenermassen aufwendig aber durchaus machbar. Somit erreicht man, dass nur signierte Skripte zugelassen werden, kann also mit hoher Sicherheit Powershellskripte verteilen.

Wenn man das Skript nun noch über SCCM verteilen möchten kann man das Skript zusammen mit einer Batchdatei als Paket verteilen. Die Batchdatei lautet dann:

@echo off
cd %~dp0
powershell.exe ./script.ps1

Nachdem wir nun alle Computer auf Windows 7, Office 2010 und Internet Explorer 9 umgestellt haben, führen wir nun auch die ECDL-Prüfungen auf diesen Versionen durch. Für die ECDL-Prüfungen in Enlight muss der Popupblocker für s6.enlight.net deaktiviert sein.

Man kann Popupblocker Ausnahmen für alle Computer mit Gruppenrichtlinien verteilen. Dazu muss man mit dem Gruppenrichtlinenverwaltungs-Editor von Windows Server folgende Richtlinie setzen:
“Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “Windows Komponenten” –> “Internet Explorer” –> “Liste zugelassener Popups”.

Nachdem die Richtlinie aktualisiert ist (Computer neu starten oder gpupdate /force), steht die Ausnahme im entsprechenden Fenster:

Trotzdem kommt beim Aufruf der Seite der folgende Hinweis:

Eine Internetrecherche brachte dann zutage, dass ich nicht der Einzige bin, der das beobachtet: http://social.technet.microsoft.com/Forums/en-US/ieitprocurrentver/thread/3225f689-aafc-45db-b83e-0300f79d8cab/

Im Moment sieht mein Workaround so aus, dass ich die Ausnahme aus den Gruppenrichtlinien weggenommen habe und die Schüler-/innen an den ECDL Prüfungen dazu anleite, selber diese Popups zuzulassen:

Danach läuft der Test auf www.enlight.ch problemlos durch:

Mal schauen, wann Microsoft das Problem löst, der Forumsbeitrag auf Technet mit der Beschreibung des Problems stammt ja schon vom 22. März.

Ich bin gerade daran, einen Vortrag für die Eltern unserer neuen 1. Primarschüler vorzubereiten. (http://prezi.com/fh-qscs3ssff/elternabend-unterstufe-2011/). Darin möchte ich auch ein paar Tipps zeigen, wie man z.B. eine Kindersuchmaschine als Startseite einrichtet oder wie man die Jugendschutzeinstellungen von Windows konfiguriert.

Das Problem ist nun, dass bei Computern innerhalb einer Domäne gar keine Jugendschutzeinstellungen vorhanden sind.

Man kann diese aber nachrüsten. Entweder über die Gruppenrichtlinien für eine ganze OU oder einzelne Computer auf dem Server oder “quick & dirty” lokal auf dem Client, wenn man es nur kurz und temporär benötigt wie ich für diesen Vortrag.

Dazu öffnet man die Gruppenrichtlinienverwaltung (hier auf dem Client). Einfach Gruppen… schreiben.

Nun bei “Computerkonfiguration” –> “Administrative Vorlagen” –> “Windows Komponenten” –> “Parental Controls” die Richtlinie “Make Parental Controls control panel visible on a Domain” aktivieren.