Essential Guide

Funktionen und Features von Windows 10

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Neue Möglichkeiten der Desired State Configuration in der PowerShell 5.0

Die PowerShell 5.0 bringt auch neue Möglichkeiten der Desired State Configuration mit sich. Ein Überblick über die wichtigsten Neuerungen.

Wenn sich Einstellungen auf Servern ändern, die in der DSC-Richtlinie (Desired State Configuration) definiert sind, dann kann PowerShell DSC dies erkennen und die Konfiguration auf Wunsch wieder zurücksetzen. Damit lassen sich Windows-Systeme oft wesentlich einfacher und schneller verwalten. Die Desired State Configuration wurde mit der PowerShell 4.0 in Windows Server 2012 R2 und Windows 8 eingeführt und mit der neuen PowerShell 5.0 deutlich verbessert.

Die neue Version kann zum Beispiel mehr Computer gleichzeitig ansprechen, um die Änderungen über das Netzwerk zu steuern. Dazu gibt es die neue Option ThrottleLimit. Die Option steht für die verschiedenen Cmdlets zur Verfügung, mit denen DSC gesteuert wird. Das sind vor allem:

Get-DscConfiguration

Get-DscConfigurationStatus

Get-DscLocalConfigurationManager

Restore-DscConfiguration

Test-DscConfiguration

Compare-DscConfiguration

Publish-DscConfiguration

Set-DscLocalConfigurationManager

Start-DscConfiguration

Update-DscConfiguration

Mit dem neuen Modul PowerShellGet können Administratoren außerdem PowerShell-DSC-Ressourcen über die neue PowerShell Resource Gallery abrufen oder eigene Vorlagen hochladen. 

Per Desired State Configuration Windows-Server absichern

Über Desired State Configuration können Administratoren also Sicherheitsvorlagen für Server erstellen, die automatisch angewendet werden. PowerShell DSC kann so relativ einfach dafür sorgen, dass Server einem einheitlichen Standard entsprechen. Hierzu ist die Umgebung in der Lage, folgende Aktionen durchzuführen:

  • Serverrollen und -Features installieren oder deinstallieren,
  • Dateien und Verzeichnisse erstellen und bearbeiten,
  • Gruppen und Benutzer anlegen und verwalten,
  • Prozesse und Dienste auf Servern verwalten und
  • Registry-Einstellungen setzen.

Mit dem DSC Resource Kit lassen sich Einstellungen von Serverdiensten wie Active Directory, SQL Server, Internet Information Service (IIS), Hyper-V und auch andere Diensten mit DSC steuern.

Die Grundlage der Desired State Configuration bilden Vorlagen, die zum Beispiel Sicherheitseinstellungen beinhalten. Damit Administratoren die Vorlage einem Server zuweisen können, muss zunächst ein Management Object File (MOF) erstellt werden. Dieses MOF wird anschließend von der PowerShell gelesen und auf den Servern angewendet, die mit DSC abgesichert werden. Diese Datei kann jederzeit erneut angewendet werden, wenn Einstellungen auf dem Server abweichen.

Microsoft unterstützt Administratoren dabei mit vorkonfigurierten Vorlagen-Dateien. Eigene MOF-Dateien werden am besten nach Anleitungen aus der TechNet Library erstellt.

Erste Schritte mit der Desired State Configuration

Damit die PowerShell DSC verwendet werden kann, muss das dazugehörige Modul zunächst über den Server-Manager installiert werden. Dieses Modul ist über die Installation der Features bei Windows PowerShell\Windows PowerShell-Dienst zum Konfigurieren des gewünschten Zustands zu finden.

Damit PowerShell DSC funktioniert, müssen Administratoren zunächst das entsprechende Feature auf den Servern installieren.

Danach wird über die PowerShell Integrated Scripting Engine (ISE) eine Konfigurationsdatei für DSC erstellt. Die Datei wird als PowerShell-Skript-Datei mit der Endung *.ps1 gespeichert. Ein Beispiel hierfür wäre:

Service Wuauserv

{

    ServiceName = "wuauserv"

    StartupType = "Automatic"

}

MOF-Dateien für DSC erstellen und umsetzen

Wurde die Konfiguration als PS1-Datei gespeichert, kann mit folgendem Befehl eine MOF-Datei erstellt werden:

<Name der Konfiguration> -MachineName <Name des Servers auf den die Datei angewendet werden soll>

Der Name der Konfiguration wurde in der Skript-Datei vorgegeben. Für jeden Server, dem die Datei zugewiesen werden soll, erstellt die PowerShell eine eigene MOF-Datei. Sollen Einstellungen geändert werden, dann muss zunächst die Skript-Datei geändert werden, um anschließend eine neue MOF-Dateien zu erstellen.

Die MOF-Dateien enthalten die Vorgaben, die in der PowerShell-Datei festgelegt wurden. Um diese Vorgaben umzusetzen, muss die MOF-Datei auf den Zielserver kopiert oder über eine Netzwerkfreigabe verwendet werden. Zur Anwendung der MOF-Datei wird das CMDlet Start-DscConfiguration genutzt:

Start-DscConfiguration -Wait -Verbose -Path .\<Name>

Absicherung eines Servers mit MOF-Datei und DSC.

Sicherheitseinstellungen überprüfen und neu setzen

Administratoren können ab der neuen PowerShell-Version 5 auch überprüfen, ob die per DSC festgelegten Sicherheitseinstellungen noch so gesetzt sind, wie diese vorgegeben wurden. Dazu wird das CMDlet Test-DscConfiguration verwendet. Dieses überprüft, ob es Unterschiede zwischen MOF-Datei und den Einstellungen auf dem Server gibt.

Das Cmdlet zeigt mit True (Einstellungen stimmen noch) oder False (Einstellungen wurden geändert) an, ob die Konfiguration noch den Vorgaben entspricht. Administratoren können die MOF-Datei mit Start-DscConfiguration auch jederzeit wieder anwenden lassen.

Es besteht zum Beispiel die Möglichkeit, über DSC auch Gruppen auf dem Server anzulegen und Benutzer zuzuweisen. Sinnvoll kann dies zum Beispiel für lokale Administrator-Gruppen und Webserver sein. Die Syntax dazu lautet:

Group Webadmins anlegen

{

    Ensure = "Present"

    GroupName = "Webadmins"

}

Nehmen Administratoren diesen Teil in die Datei mit auf, überprüft PowerShell das Vorhandensein der Gruppe Webadmins auf den Servern und legt diese auf Wunsch gleich mit an. Hier besteht auch die Möglichkeit, mit PowerShell DSC Benutzer aufnehmen oder aus Gruppen zu entfernen. Dazu werden die beiden Optionen MembersToExclude und MembersToInclude verwendet.

Weitere Artikel zur PowerShell 5.0

So lässt sich die PowerShell 5.0 auf Windows Server 2008 installieren

PowerShell 5.0 verbessert Remote-Editieren

Paketverwaltung per OneGet in der PowerShell 5.0

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Funktionen und Features von Windows 10

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close