Paketeigenschaften

Hier nochmals ein Screenshot der Paketeigenschaften, um die Option in Erinnerung zu rufen:

Computervariable – ReadyToInstall_Test

Software-Pakete, die nicht „zur Installation freigegeben“ sind, werden trotz Zuweisung zu einem oder mehrerer Computer nicht in deren Auftragsdatei (DDC) geschrieben und somit installiert. In Abhängigkeit der Computervariablen „ReadyToInstall_Test“ werden nun auch diese Pakete und somit Installationsaufträge in die Auftragsdatei aufgenommen. Mit dieser Variable definiert man somit, dass ein Computer auch nicht freigegebene (noch im Test befindliche) Software installiert bekommt.

Nachfolgend eine Aufstellung, was die Werte der Option bewirken:

• 0 (deaktiviert) = Software Installationsauftrag nicht in die DDC schreiben
• 1 (aktiviert) = Software Installationsauftrag in die entsprechende DDC des Computers schreiben

Die Computervariable kann man nun über den althergebrachten Weg, oder per definierter und zugewiesener Variablen Konfiguration setzen und somit einen Computer in die Lage versetzen, auch die nicht freigegeben Pakete zu installieren.

UEM Agent AutoUpdate

Die oben genannte Paketeigenschaft hat im Falle der Matrix42 UEM Agent Windows Pakete auch eine Auswirkung auf die UEM Agent Auto Update Funktion. Möchte man die UEM Agent Auto Update Funktion nutzen, so geschieht die Aktivierung auch über entsprechende Computervariablen.

Die Konfiguration und das unterschiedliche Verhalten geschieht über die Variable: MX42_UEM_Agent, Auto Update.

Meine Präferenz zum UEM Agent Auto Update

Ich selbst nutze bevorzugt die klassische Art der UEM Agent Verteilung und lasse das Auto Update deaktiviert. Meines Erachtens ist es besser transparenter, nachvollziehbar, welcher Computer, welche Version bekommen soll und wann das geschieht. Aber wie immer gibt es verschiedene Geschmäcker und Vorgehensweisen/Vorlieben.

Der Beitrag Empirum Paketeigenschaften – Zur Installation freigeben erschien zuerst auf Workplace Management Blog.

Grober Ablauf – MSI Paketerstellung

Eine MSI Datei ist „eigentlich“ ein fertiges Paket für den Windows-Installer. Bei der Erstellung einer Empirum Setup.inf werden beim Packaging diverse Werte aus der MSI ausgelesen und in die Setup.inf übertragen. Die Setup.inf enthält am Ende die Logik und Erfolgsüberprüfung für die Installation, Reparatur und Deinstallation der MSI Datei und bietet Raum für Erweiterungen, die über die reine MSI Installation hinausgehen.

Aufmerksam sein …

Die aus der MSI Datei ausgelesen Werte für Hersteller, Software(name) und Version werden im Packaging Vorgang vorgeschlagen.

Hier sollte man wachsam sein und darauf achten, dass ..
1. bei Software auch nur der „Softwarename“ steht und nicht gleich der Hersteller und die Version zusätzlich.
2. es sich beim vorgeschlagenen Text um Zeichen handelt, die auch im Dateisystem verwendet werden können. Ansonsten fällt einem das später auf die Füße.

Beispiel: Dell Command Update

Im angezeigten Beispiel sind gleich mehrere „Hürden“ enthalten.
1. Es handelt sich um das Dell Command Update. Der Softwarename ist dann genau genommen nur noch „Command Update“. Also Dell am Anfang kann entfernt werden.
2. Vorgeschlagen wird „Command | Update“. Bitte macht daraus ein Command Update! Die „Pipe“ wird bei der Verzeichniserstellung für Probleme sorgen.
3. Der Hersteller ist „Dell Inc.“. Hier empfehle ich „Dell“ oder „Dell Inc“ daraus zu machen, weil es sonst weitere Probleme geben wird.

Man sollte also darauf achten, dass Hersteller, Softwarename und Version nicht auf einen „Punkt“ (.) enden!

Gemeistert

Hat man die Dinge oben beachtet, sollten keine Probleme bei der Paket-Erstellung, Import und Verteilung auftreten.
War man „clever“ und hat sich im die ein oder anderen Probleme „herumgearbeitet“, aber in der Setup.inf vielleicht noch „Dell Inc.“ stehen, dann kann das wie folgt enden.
Die Installation des Paketes schlägt fehl. Beim genaueren Hinsehen hat einen Ordner „Dell Inc.“, auf den man jedoch nicht zugreifen kann…

Wenn er stört, dann löscht man ihn halt. Argh – das funktioniert leider auch nicht so einfach.

Egal wie man es dreht und wendet, man bekommt den Ordner weder per Explorer oder den normalen Angaben in der CMD nicht entfernt.

Mit folgenden Befehl kann man den Ordner jedoch entfernen:

rd /s /q "\\?\C:\ProgramData\$Matrix42Scripts$\Dell Inc."

Der Beitrag Aufgepasst im Package Wizard – MSI erschien zuerst auf Workplace Management Blog.

LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

Was war der Auslöser?

Am Ende war das Problem vorwiegend auf ein Problem zurückzuführen. Microsoft hat ein aktualisiertes Update für die hier bereits beschriebene Problematik herausgebracht. Das Update KB5020683 wird zwangsweise installiert und startet das System ohne Nachfrage neu. Im Vorjahr hatte ich auch Meldungen von Empirum Admins, die Windows 10 Enterprise nutzen und meinen davon nicht betroffen sein zu dürfen. Diese Fälle hatte ich dieses Mal auch wieder.

Folgende Umstände scheinen damit reinzuspielen:

• Wie erreichen die Computer das Internet während der Betriebssystem-Installation (Proxy, direkt)?
• Das Windows wird erst mit/nach dem DomainJoin Paket aktiviert

Wie löst man die obigen Probleme?

Wie vor einem Jahr habe ich das Microsoft Update in ein WinPE PreOS Paket gepackt, welches geplant installiert wird. Dieses Paket sollte in der Reihenfolge nach dem PxeOffAndReboot Paket einsortiert werden. Man sollte zusätzlich schauen, das man eine aktuelle EmpirumAgentSetup Version, wie z.B. die Version 2.8, einsetzt, da hier auch noch ein bis zwei mögliche Problempunkte behoben sind.

WinPE PreOS Paket

KB5020683_x64 (89 Downloads )
SHA256 Hash der Downloaddatei: 655F4C7F74E905B58CC9242AFB16F47FAD059DB66C7A2F290CE304E166A616DE

Hilfestellung: Hinweise, wie man ein PreOS Paket einbindet, findet ihr hier.

Der Beitrag Unterschiedliche Probleme bei OS Installationen mit Empirum erschien zuerst auf Workplace Management Blog.

Voraussetzungen

Aus meinen Erfahrungen heraus gibt es zwei Dinge, auf die man achten sollte. Seinen volle Leistung entfaltet der UEM Agent erst mit dem aktuellen Hotfix auf der Empirum Server Seite. Zusätzlich sollte man eine kleine Verbesserung in Form einer Setup.inf Anpassung vornehmen, bevor man diese Version einsetzt.

Matrix42 Empirum v21.0.3

Wichtig bei der Nutzung des neuen UEM Agents ist, das man beim Einsatz von Empirum v21.0.3 auch den aktuellen Hotfix Installer vom 28.10.2022 oder später ausführt.

Download

Matrix42 stellt alle UEM Agent für Windows Versionen an der gleichen Stelle zum Download bereit.
Den aktuellen Hotfix Installer für Matrix42 Empirum v21.0.3 gibt es hier.

Anpassungen

Nachdem man den UEM Agenten in das Empirum Software-Depot eingebunden hat, sollte man jedoch auf Dateiebene in der Setup.inf noch eine Anpassung vornehmen. Die Datei findet ihr auf dem EmpirumServer unter Empirum\Configurator\Packages\Matrix42\UEM Agent Windows\2210.1.2\Install.
Dazu die Finish Sektion der ausgelieferten Setup.inf wie folgt anpassen.
Hinzukommen sollte die Zeile mit dem Callhidden.

[Finish]
Callhidden reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\RebootPackagesPending /v "Restart Matrix42 UEM Agent Windows" /f
Exit

Hinweis

Trotz aller Empfehlungen von meiner Seite, sollte man, wie bei jedem Stück neuer Software, diese stückweise bzw. in Wellen (Test, Pilot, Rollout) an die Clients verteilen.

Der Beitrag UEM Agent für Windows 2210.1.2 released erschien zuerst auf Workplace Management Blog.

Da war es von Vorteil, dass man mit mehreren Kunden in Kontakt steht und ich ähnliches schon einmal gehört hatte. Meine Nachfrage hat ergeben, dass es dazu derzeit ein spezielles Firmware Update gibt, welches im besten Falle in Zukunft im BIOS Update erhalten sein wird.

Dieses Firmware Update (USB PD Firmware Update Tool V1.0C013.1) sollte bei der oben genannten Konstellation eingespielt werden. Zur Sicherheit sollte geprüft werden, ob diese Firmware nicht sogar in Zukunft im BIOS Update enthalten ist.

USB PD Firmware Update Tool (direkter Link) – dieses Tool sollte auch unter „Flash -Firmware“ bei den einzelnen Modellen aufgelistet sein.
https://support.ts.fujitsu.com/IndexDownload.asp?SoftwareGuid=8CA9F197-A6BF-4C0E-8DDA-E82ECF2FC2B0

Portreplikator
https://www.fujitsu.com/de/products/computing/peripheral/accessories/connectivity/usb-port-replicator-pr09.html

Wer das Device Update per Softwareverteilung installieren mag, dem sind die nachfolgenden Kommandozeilenparameter und Rückgabewerte ans Herz zu legen.

Parameter

/N für silent
/X für kein automatischr Reboot

ExitCodes

0 Normal end
1 Tool is already running
2 Invalid parameter
3 Capsule file is not found
4 Incorrect signature
5 Abnormality is found in Capsule file
6 AC adapter is not connected
7 Target device is not connected
8 Target device is not found
9 Failed to deploy driver
10 Failed to load driver
11 GABI API call error
12 Failed to proceed Capsule
13 Not Fujitsu PC
14 Battery capacity is not enough
15 FUJ0420, FUJ0430 Device Driver is not installed
16 FW version check error
17 FW GUID mismatch
255 Other error

Der Beitrag Fujitsu Lifebook E und Portreplikatoren Probleme erschien zuerst auf Workplace Management Blog.

Software- bzw. Treiber-Management

Ist ein Windows Computer bereits im Einsatz, können die Treiber auf mannigfaltige Art und Weise aktualisiert werden. Wie zuvor beschrieben kann das von Vorlieben, Prozessen und dem jeweiligen Umfeld abhängen.
Ich würde die Möglichkeiten grob in die drei nachfolgenden Möglichkeiten unterscheiden:

1) Aktualisierung aller modellspezifischen Treiber per Softwarepaket
2) Aktualisierung der Treiber per Herstellertool gegen ein eigenes Repository (Ablage)
3) Aktualisierung der Treiber per Herstellertool gegen das Repository des Herstellers im Internet

OS-Installation

Bei der OS-Installation werden vielmals auch bereits Treiber benötigt. Hier kann man auch unterschiedliche Wege gehen. Das hängt ggf. davon ab, ob man zusätzlich eine Aktualisierung, wie zuvor beschrieben, einsetzt. Nutzt man einer der Methoden mit dem Herstellertool, kann man sich überlegen während der OS-Installation nur die absolut notwendigen Treiber wie Netzwerk und ggf. Storage Treiber installieren. Die weiteren Treiber würden dann per Methode 2 oder 3 installiert werden.

SCCM Driver Packages

Für die OS-Installation, als auch die Methode 1, können die sogenannten SCCM Driver Packages genutzt werden. Die SCCM Driver Packages sind Sammlungen der modellspezifischen Treiber als Verzeichnisstruktur, die mittels der Plug & Play Methode während der OS-Installation installiert werden. Diese Packages können auch für alle anderen Client-Management Lösungen, als Microsoft SCCM genutzt werden. Natürlich können diese Treiber-Strukturen auch mittels Befehl nach der OS-Installation für die Installation/Aktualisierung herangezogen werden. In einem anderen Artikel habe ich dazu schon einmal etwas geschrieben.

Lenovo Update Retriever

Im Gegensatz zu Dell stellt Lenovo, wie einige anderen großen Hersteller, nicht ständig aktualisierte SCCM Driver Packages bereit. Dafür stellt Lenovo den Update Retriever bereit, mit dem man sich für die supporteten Business Modelle die Packages jeweils tagesaktuell selbst zusammenstellen kann.

Der Update Retriever kann für zwei unterschiedliche Zwecke genutzt werden. Einmal zur Erstellung eines SCCM Driver Packages. Der andere Zweck erstellt ein eigenes Repository, wie in Methode 2 beschrieben. Hier und jetzt möchte ich nur auf die Erstellung der Driver Packages mit Hilfe des Update Retrievers eingehen. Auf den Download und die Installation gehe ich hier nicht ein.

Erstellung eines Driver Packages

Nachfolgend ein paar Screenshots zur Erstellung eines Driver Packages für ein Lenovo T15 Gen 1.

Am Ende kann man, je nach Einsatzzweck, die Struktur in eine Zip-Datei zusammenpacken. Dies ist z.B. zu empfehlen, wenn man das Driver Package in Empirum im Treiber Assistenten zur Verfügung stellen mag.

Der Beitrag Lenovo Tools für das Treiber-Management (I) erschien zuerst auf Workplace Management Blog.

Der Matrix42 UEM Agent für Windows bringt ab dem Oktober 2022 in der SFR Version einige Änderungen mit. Mit den Änderungen soll die Stabilität, als auch das Verhalten bei Aktualisierungen signifikant verbessert werden. Zusätzlich halten weitere Verbesserungen hinsichtlich der Sicherheit Einzug.

Der Beitrag Anstehende Matrix42 UEM Agent Änderungen erschien zuerst auf Workplace Management Blog.

Übersicht der Microsoft SQL Versionen

• https://sqlserverupdates.com/
• https://docs.microsoft.com/de-de/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server

Microsoft SQL Reporting Services

• https://docs.microsoft.com/de-de/sql/reporting-services/install-windows/install-reporting-services

Der Beitrag Übersicht Microsoft SQL Server Updates erschien zuerst auf Workplace Management Blog.

Was passiert da?

Nachfragen, Recherchen und eigene Tests haben folgendes ergeben. Microsoft installiert direkt nach der Windows Installation ein Windows Update und führt direkt danach einen Neustart durch. Voraussetzung dafür ist: der Computer verfügt über eine Internet Verbindung und es liegt eine bestimmte Windows Version vor. Das Update, das installiert wird, ist das „KB5005716“. Mit diesem Update passt Microsoft die OOBE Phase an, um Windows 11 zu „promoten“.

Weitergehende Informationen

Bis dato sind keine Einstellungen bekannt das zu unterbinden. Wenn man den folgenden Artikel aufmerksam liest, wird das auch nicht geplant sein. Wie heißt es im nachfolgenden Link zu „Windows updates during Windows 10 OOBE“ so schön: „…Critical driver updates, and critical Windows zero-day patch (ZDP) updates, will begin downloading automatically during OOBE after the user has connected to a network. The user can’t opt-out of these critical updates as they are required for the device to operate properly. …“

Hier geht es zur KB5005716 Update Beschreibung

Weitere Meldungen aus dem Netz, auch Meldungen von SCCM Nutzern über Probleme:
https://www.reddit.com/r/SCCM/comments/q2msk7/kb5005716_breaks_osd/
https://www.borncity.com/blog/2021/10/09/windows-10-oobe-update-kb5005716/

Workaround / Lösung

Die Hinweise im Netz gehen in die Richtung, dass obige Update in seine Windows Quellen zu integrieren. Dies funktioniert, wie ich auch bereits erfahren habe. Ein Veränderung der Windows Quellen mache ich selbst ungern, da sich die Windows Quellen dann nicht so einfach austauschen lassen.

Das hat mich dazu gebracht, ein PreOS Paket zu erstellen, welches man direkt nach dem PxeOffAndReboot einreiht. Dies installiert „geplant“ das Update und führt einen gewollten Neustart durch. Somit wurde die Installation zuverlässig zu Ende geführt. Voraussetzung ist bis dato mindestens Windows 10 Build 20H2 (2009).

PreOS Paket

Install-MS-KB5005716_x64 (294 Downloads )
SHA256 Hash der Downloaddatei: C5E6E64DBFD4E654C9D2E1F4DA5036B6528F817449653A4D52211156DF81ECA0

Hilfestellung: Hinweise, wie man ein PreOS Paket einbindet, findet ihr hier.

Der Beitrag Ungeplante Neustarts während der Windows 10 Installation durch KB5005716 erschien zuerst auf Workplace Management Blog.