Tags: Server Core, PowerShell
Nach dem Logon an der Konsole von Server Core startet standardmäßig der alte Kommandointerpreter. In der Regel wird man aber die fortgeschrittenen Fähigkeiten von PowerShell bevorzugen. Dieses Verhalten kann man per Registry-Key oder GPO ändern, wobei das Targeting jedoch nicht einfach ist.
Auch wenn man Server Core in der Regel remote verwalten wird, gibt es immer wieder Fälle, wo man Aufgaben an der Konsole erledigen muss. PowerShell muss man dann nach dem Logon immer manuell starten, weil das OS per Voreinstellung die alte Eingabeaufforderung öffnet.
Will man diese Vorgabe interaktiv ändern, dann passt man den Schlüssel Shell in der Registrierdatenbank unter "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" an. Er enthält unter Server Core nicht wie erwartet die Zeichenkette "cmd.exe", sondern "explorer.exe". Diese ersetzt man durch "PowerShell.exe":
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' `
-Name Shell -Value "powershell.exe"
Nachdem sich regedit.exe auch unter Server Core ausführen lässt, könnte man den angegebenen Wert auch über die GUI ändern.
Shell über GPO festlegen
Verwaltet man viele Server und möchte PowerShell überall als Default setzen, dann bieten sich dafür die Gruppenrichtlinien an. Dort stehen zwei Optionen zur Verfügung:
- Benutzerdefinierte Benutzeroberfläche unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => System. Eine Entsprechung dafür unter Computerkonfiguration gibt es nicht, so dass man auf diesem Weg die Shell nur für die ausgewählten User ändert.
- Einsatz der Group Policy Preferences (GPP), um in den oben genannten Registry-Schlüssel den Wert "powershell.exe" zu schreiben. Diese Änderung wirkt sich dann auf alle Benutzer der betreffenden Rechner aus.
In beiden Fällen muss man sich überlegen, wie man das GPO auf Server Core beschränkt. Wendet man es auf Server mit Desktop Experience an, dann verschwindet der Windows Explorer und man erhält die bloße Kommandozeile.
Die GPP erweisen sich mit der Zielgruppenadressierung als wesentlich flexibler. Hier ließe sich einfach dieser Registry-Schlüssel auswerten, um eine Core-Installation zu identifizieren:
(Get-ItemProperty 'HKLM:\Software\Microsoft\Windows NT\CurrentVersion').InstallationType
Hat er den Wert "Server Core", dann sollte das GPO ausgeführt werden.
Alternativ könnte man alle Server, die PowerShell nach dem Logon starten sollen, in eine AD-Gruppe aufnehmen und dann ihre Mitgliedschaft im GPO abfragen.
WMI-Filter für normales GPO
Schwierig wird es jedoch, wenn man die Einstellung unter den administrativen Vorlagen vornimmt und für das GPO dann einen WMI-Filter finden möchte, der nur auf Server Core zutrifft.
Während es dafür bis Server 2012 R2 noch geeignete Abfragen gab, ist die Core-Installation seit Server 2016 der Standard und die GUI ist nur mehr ein optionales Feature.
Daher kann man zwar relativ leicht verifizieren, ob die Desktop Experience installiert ist, etwa mit dieser Abfrage:
Get-CimInstance -Query 'SELECT * FROM Win32_OptionalFeature WHERE name = "Server-Gui-Mgmt_onecore"'
Umgekehrt besitzt die Core-Installation jedoch keine Eigenschaft, die man über WMI ermitteln könnte, aber die in der GUI-Variante nicht existiert. Bedingung für einen WMI-Filter ist aber eine Query, die nur für Server Core das Ergebnis TRUE liefert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows Server 2016: schlanker Nano Server als Alternative zu Server Core
- PowerShell für Logon-Scripts verwenden
- Dateien zwischen Windows und Linux kopieren mit SCP und PowerShell
- Hyper-V Switch mit PowerShell erstellen, verwalten und löschen
- PowerShellGet-Modul aktualisieren, auf PSResourceGet umsteigen
Weitere Links