Variablen

Nachfolgend sollten die meistgenutzten Variablen aufgeführt sein. Falls ihr eine Variable häufig nutzt, die hier nicht aufgeführt ist, so lasst es mich wissen.

Beispiele

Del "%CommonDesktop%\WinSCP.lnk"

Del "%CommonPrograms%\TotalCommander Repair und Uninstall.lnk"

Deltree "%ProgramFiles%\WinSCP"

Callhidden %ComSpec% /C Echo %%date%% %%time%% [Set:Product] Install or repair >>"%App%\Debug.log"

Copy "%Src%\filezilla.xml" "%App%\FileZilla.xml"

Copy "%App%\filezilla.xml" "%AppData%\FileZilla\FileZilla.xml"

Der Beitrag Empirum Setup.inf – Variablen erschien zuerst auf Workplace Management Blog.

Firefox

• Voreinstellungen HowTo
• Liste der Voreinstellungen
• Richtlinien – Auflistung und Werte
• Richtlinen Generator

Google Chrome

• Übersicht für den Administrator
• Voreinstellungen oder Richtlinien
• Richtlinen Verarbeitung
• Richtlinien Einstieg
• Google Chrome Richtlinien (Achtet auf „Supported on“ in den Artikeln)

Chrome ManagedBookmarks

Die „Managed Bookmarks“ sind vorgegebene und vom Benutzer nicht veränderbare Favoriten – im Google Chrome – Bookmarks.
Hier habe ich länger gesucht, um eine passende Seite mit einem funktionierenden Beispiel zu finden. Am einfachsten ist es, sich die Json Datei zusammenzubauen und in den unten beschrieben REG_SZ Eintrag einzufügen. Alternativ habe ich eine simple Liste mit zwei Einträgen als Reg-Datei beigefügt.

• Alte Referenz
• Neue Referenz

Achtung: falls Du die Datei per Skript einfügen willst, solltest Du es einmal manuell vornehmen und anschließend den Wert exportieren. Es werden einige „\“ eingefügt, um die Hochkommas wieder importieren zu können.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
"ManagedBookmarks"="[{\"toplevel_name\":\"My Favorites\"},{\"url\":\"https://www.wpm-blog.de/\",\"name\":\"WPM-Blog\"},{\"url\":\"https://www.matrix42.com/\",\"name\":\"Matrix42\"}]"

Microsoft Edge (Chromium)

Die Einstellungen des „neuen“ Microsoft Edge (Chromium), wer hätte es anders gedacht, ähneln sehr den Google Chrome Einstellungen zuvor.

• Microsoft Edge Richtlinien
• Microsoft Edge Richtlinien (Auflistung)
• Microsoft Edge Konfiguration von vorne bis hinten

Der Beitrag Internet Browser: Voreinstellungen und Richtlinien erschien zuerst auf Workplace Management Blog.

Zutaten zusammenführen

Die Zutaten habt ihr bestenfalls mit Hilfe der zuvor getätigten Beschreibungen bereits vorbereitet. In diesem Blog-Eintrag geht es darum, die letzten Schritte vorzunehmen.
Nun werden die Zutaten in der Management Console (EMC), von der rechten Seite zur Mitte, in einer Konfigurations- oder Zuweisungsgruppe zusammengeführt:

• PreOS Pakete bzw. die erstellte UND-Klasse zuweisen
• WinPE PXE-Image zuweisen
• Betriebssystem zuweisen
• Agent-Template zuweisen
• die Variablen auf die Gruppe setzen und übertragen

Variablen setzen

Die Variablen übernehmen die Definition der kundenspezifischen Windows Installation. Die zu setzenden Variablen(gruppen) heißen identisch wie die genutzten PreOS Pakete.
Am besten geht man die Liste der zugewiesenen Pakete namentlich durch und stellt die für sich passenden Werte ein. Viele Variablen sind bereits vorbelegt und können auf den vordefinierten Werten belassen werden.

Somit konzentriere ich mich hier auf die meines Erachtens wichtigen Werte für eine Windows Installation in deutscher Sprache inklusive Domain Join.

• DiskPartitioning\PreferFastDisk
• WindowsInstallation\LocalUserName
• WindowsInstallation\LocalUserPassword
• WindowsInstallation\LocalUserDisplayName
• WindowsInstallation\SetupUILanguage
• WindowsInstallation\InputLocale
• WindowsInstallation\SystemLocale
• WindowsInstallation\UILanguage
• WindowsInstallation\UserLocale
• DomainJoin\DomainJoinCredentialsUser
• DomainJoin\DomainJoinCredentialsPassword

Zusätzlich sind die nachfolgenden Variablen, die nicht so lauten wie die zugewiesenen Pakete, wichtig anzusehen bzw. zu setzen:

• FQDN – WindowsInstallation, DomainJoin
• ORGANIZATIONAL_UNIT (optional) – DomainJoin
• TIMEZONE – WindowsInstallation
• MX42_AGENT_PUSH_PACKAGE_FOLDER\Windows – EmpirumAgentSetup

Aktivieren

Anschließend wird das Computerobjekt der Gruppe hinzugefügt und aktiviert. Beim Aktivieren für eine WinPE basierte Windows Installation braucht keine „Betriebssystemkonfiguration (OS.INI)“ mehr erstellt werden. Diese Aufgabe übernehmen die PreOS Packages samt der gesetzten Variablen.

Et voilà

Nun den Computer vom Netzwerk booten lassen und nach ca. 20 min ist das frisch installierte Windows fertig angerichtet!

Besonderheiten

Bis zu diesem Punkt wurde beschrieben, dass sich die PreOS Pakete wie herkömmliche Software Pakete verhalten. Es gibt (Stand Oktober 2019 – WinPE 1.6.6) jedoch ein paar Besonderheiten:

• es werden alle zugewiesenen Pakete ausgeführt, nicht nur die aktuellste/höhere Version
• mittels einer Verteilungsoption „Uninstall“ kann die Verarbeitung von Paketen nicht verhindert werden
• PreOS Pakete, die vor dem DiskPartitioning Paket ausgeführt werden, werden aus dem SWDepot-Log gelöscht und der Status bleibt „undefiniert = gelb“

Der Beitrag Empirum WinPE – Windows Installation erschien zuerst auf Workplace Management Blog.

Die nachfolgende Auflistung enthält zumeist eine Kurzbeschreibung, den Registry Wert in der .reg und Setup.inf Syntax und einen möglichen Quellenverweis.
Falls Ihr noch Werte kennt, die hier fehlen, so nutzt bitte die Kommentarfunktion oder schickt mir eine E-Mail.

Danke und Grüße – Jochen

Prüfung auf ausstehenden Windows Reboot verhindern

In der Registry kann festgelegt werden, dass der Agent die Überprüfung ausstehender Windows Reboots (z.B. vorhandene Pending.xml) nicht durchführt und anstehende Software Management-Aktionen durchführt. Die Prüfung kann durch Setzen des Registry Wertes WindowsUpdateRebootCheck unter dem Schlüssel HKLM,Software\Matrix42\Agent auf 0 deaktiviert werden.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„WindowsUpdateRebootCheck“=dword:00000000

HKLM,“SOFTWARE\Matrix42\Agent“,“WindowsUpdateRebootCheck“,0x00010001,0

Weiterführende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2017/Matrix42_Empirum_17.0_New_Features_and_Changes_DE.pdf

Erweiterungen zur Neustart Steuerung (UEM Agent 2009.x und neuer)
Der Wert „2“ ist der neue „Standard“, wie wenn kein Wert gesetzt ist. Nach einer Verzögerung erscheint ein UEM Agent Fenster, das den Benutzer zu einem Neustart auffordert. Wem dieses Verhalten nicht gefällt, kann den Wert auf „1“ setzen, welches dem alten Standard entspricht (keine UEM Agent Aktivitäten bis ein Neustart durch den Anwender durchgeführt wurde).

[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„WindowsUpdateRebootCheck“=dword:00000002

Das „neue“ Reboot-Verhalten wird verzögert initiiert. Wer möchte kann den Verzögerungswert (in Sekunden) anpassen. Wenn kein Wert gesetzt ist, ist der Standardwert 15 Minuten (900 Sekunden).

[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„WindowsUpdateRebootDelaySeconds“=dword:00000120

Weiterführende Informationen: https://marketplace.matrix42.com/details/uem-agent-windows-release/

Getaktete Verbindung erkennen (ab UEM Agent 1808)

Der UEM Agent Windows erkennt eine getaktete Verbindung und schreibt am Anfang des Pollings einen Registry Schlüssel:
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
“ NetworkCostType“ (DWORD) = Wert der Microsoft API
Mögliche Werte:
0 – Unknown: Cost information is not available.
1 – Unrestricted: The connection is unlimited and has unrestricted usage charges and capacity constraints.
2 – Fixed: The use of this connection is unrestricted up to a specific limit.
3 – Variable: The connection is costed on a per-byte basis.

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

Globaler Silent Level (UEM Agent)

Alle zu installierenden Software-Pakete werden mit einem Silent Wert ausgeführt. Es greifen keine paketspezifischen Werte aus dem Feld „Befehl“ der Paketeigenschaft.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
„GlobalSilentLevel“=dword:00000004
Einschränkungen aktuell: Pakete, die eine Eingabe erfordern, funktionieren nicht mit dem Modus “0” und “1”.
Wenn der Eintrag (GlobalSilentLevel) nicht vorhanden ist, funktioniert es wie unter dem Advanced Agent und die individuellen Paket Parameter werden angezogen.

HKLM,“SOFTWARE\Matrix42\Agent“,“GlobalSilentLevel“,0x00010001,4
oder
-HKLM,“SOFTWARE\Matrix42\Agent“,“GlobalSilentLevel“

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

InstallAtShutdown – Shutdown nach der OS Installation (UEM Agent)

Wenn der untenstehende Registry Key auf 1 steht, dann ist der „InstallAtShutdown“ Modus für den Agent aktiv.
Der Wert kann jedoch auch gezielt gesetzt werden, um die Funktionalität zu nutzen.
Dieser Wert kann beispielsweise in der UEMAgent.bat gesetzt werden um den Computer nach der OS Installation komplett auszuschalten.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„InstallAtShutdown“=dword:00000001

HKLM,“SOFTWARE\Matrix42\Agent“,“InstallAtShutdown“,0x00010001,1

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

Ausblenden der Option Installation beim Herunterfahren (UEM Agent)

Die Funktion „Installation beim Herunterfahren“ kann für Anwender verborgen werden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„AllowPostponeUntilShutdown „=dword:00000000

HKLM,“SOFTWARE\Matrix42\Agent“,“AllowPostponeUntilShutdown“,0x00010001,0

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

Suspend Modus (UEM Agent)

Mit einem Registry-Key kann der UEM Agent in einen Modus versetzt werden, in dem
keinerlei Polling-, Download- oder Installationsaktionen durchgeführt werden. Intern wird
dieser Modus für den Auto Update verwendet. Bei Bedarf kann man diesen Modus
beispielsweise verwenden um beim Aufbau einer VPN-Verbindung über ein Satellitentelefon
den möglichen Datenverbrauch des Agent zu unterbinden.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
„Suspenduntil“ (Typ: STRING) = Endedatum des Suspendmodes
Der Wert gibt den Termin zur Beendigung des Suspendmode an. Beispielsweise 2018-12-
24T18:00. Jeder angegebene Wert, der nicht vom Agent als ISO Zeit-Wert in der
Vergangenheit erkannt wird, wird den Agent pausieren

Paket Validierung

Validierung von Paketen für UEM Agent aktivieren (UEM Agent 1903)
Um die Validierung von Software Paketen auf Client-Seite zu aktivieren setzten Sie „CheckPackageHash“ als DWORD auf einen Wert größer 0 in der Registry.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
„CheckPackageHash“=dword:00000001

HKLM,“SOFTWARE\Matrix42\Agent“,“CheckPackageHash“,0x00010001,1

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

Behandeln von fehlerhaften Paket Validierungen

Stellt die Paketvalidierung einen Unterschied der Hashwerte auf dem Server zu dem auf dem Client fest, wird für dieses Paket der Zähler FailedInstallationRetries hochgezählt.
Dieses Verhalten lässt sich mit dem Schlüssel CountHashValidationErrors als DWORD gezielt steuern. Existiert der Eintrag nicht oder besitzt einen Wert ungleich „1“, so wird der Zähler nicht hochgezählt (Standard). Existiert der Eintrag und hat den Wert „1“, so wird der FailedInstallationRetries Zähler hochgezählt.

HKLM,“SOFTWARE\Matrix42\Agent“,“CountHashValidationErrors“,0x00010001,1

Feedback URL ausschalten/anpassen (UEM Agent)

Die Anzeige des Icons und der Link zum Matrix42 Feedback Portal ausschalten.
Wenn man eine URL angibt, kann man auf ein eigenes Portal bzw. Internetseite verzweigen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
„Feedback_URL“=““

HKLM,“SOFTWARE\Matrix42\Agent“,“Feedback_URL“,0x00000000,““

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2019/Matrix42_UEM_Agent_Windows_DE.pdf

UEM Agent Autoupdate Zeitraum beeinflussen (ab UEM Agent 1811)

Wenn man die UEM Agent Autoupdate Funktion nutzt, so kann man den Zeitraum des automatischen Updates beeinflussen.
Dazu gibt es zwei Einträge, die eine Angabe von Minuten (Typ: DWORD) annehmen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\Agent]
„MinAutoUpdateDelayAfterSystemStart“=dword:00000015
„MaxAutoUpdateDelayAfterProcessStart“=dword:00000030

HKLM,“SOFTWARE\Matrix42\Agent“,“MinAutoUpdateDelayAfterSystemStart“,0x00010001,15
HKLM,“SOFTWARE\Matrix42\Agent“,“MaxAutoUpdateDelayAfterProcessStart“,0x00010001,30

Anpassen der Berechtigungen auf den Agent Cache

Um eine größtmögliche Sicherheit zu gewährleisten setzten der Advanced und der UEM Agent die lokalen NTFS Berechtigungen bei jedem Start des Agent nach den Matrix42 Vorgaben auf den Empirum Agent Cache (zumeist C:\EmpirumAgent). Um Kunden spezielle Szenarien zu ermöglichen kann dieses Verhalten mit einem Registry-Wert unterbunden werden, wenn beispielsweise der lokale Benutzer Zugriff auf Dateien im Cache-Verzeichnis benötigt.
Registry Schlüssel „HKLM\SOFTWARE\Matrix42\Agent,SetNTFSCacheRights“, 0 = Keine Anpassung der NTFS Rechte, 1 oder nicht vorhanden (Standard) = Anpassung der NTFS Rechte, 2 = Der Agent setzt die Standard Zugriffsrechte, jedoch keine Zugriffsrechte für „Jeder“ auf das „User“-Verzeichnis (ab UEM-Agent SFR 2011.1.2 )

HKLM,“SOFTWARE\Matrix42\Agent“,“SetNTFSCacheRights“,0x00010001,0

Weitergehende Informationen: https://helpfiles.matrix42-web.de/EXT/UEM_2018/Matrix42_Empirum_18.0_Update2_New_Features_and_Changes_DE.pdf

Prüfung auf Scriptdateien für Kiosk Pakete

Ab dem UEM Agent 2009.1.2 findet für Pakete im Kiosk keine Prüfung auf Existenz der Scriptdateien auf dem Server statt. Dies führt auf den Depotservern zu einer deutlichen Lastreduzierung, insbesondere bei Verwendung von http(s). Die Prüfung der Scriptdateien auf dem Depotserver kann über folgenden Registry Key wieder aktiviert werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„UseCheckFileForKiosk“=dword:00000001

Zurücksetzen der fehlgeschlagenen Installationen

Die Anzahl der auf dem Computer fehlgeschlagenen Softwareinstallationen werden unter dem Registry Baum „HKLM\SOFTWARE\Matrix42\Agent\software“ abgelegt.
Diese Pakete werden beim Erreichen des jeweiligen Maximalwertes nicht erneut ausgeführt. Damit die Pakete erneut ausgeführt werden, muss man entweder das Paket auf dem entsprechenden Computer „reinstallieren“, oder den Wert im Agent-Template erhöhen – das gilt dann jedoch für alle fehlgeschlagenen Installationen. Wenn man den Computer „zwingen“ möchte, die Ausführung der Installation aller fehlgeschlagenen Pakete nochmals zu starten, kann man alternativ den nachfolgend genannten Registry-Baum löschen.
Es besteht die Möglichkeit das per Paket, oder auch als externes Programm in der Management Console (erforderliche Rechte vorausgesetzt), einzubinden.

Beispiel für einen Eintrag in einem Software Paket:
-HKLM,“SOFTWARE\Matrix42\Agent\software“

Beispiel für einen externen Aufruf:
reg delete \\%Computername%\HKLM\SOFTWARE\Matrix42\Agent\software /f

Verhalten bei Problemen beim Paket-Download (ab UEM Agent 2203.1.2 SFR)

Sollte es beim Herunterladen eines Paketes zu Problemen kommen (z. B. temporäre Netzwerkfehler, Zugriffsprobleme), dann kann der Agent veranlassen, dass der Vorgang automatisch wiederholt werden soll. Hierfür kann man die Anzahl der erneuten Versuche (Standard: 5) sowie die Pause zwischen den Versuchen in Sekunden (Standard: 60) einstellen. Der Standard kann in der Registry überschrieben werden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\AGENT]
„RetryTransferRepetitionLimit“=dword:00000005
„RetryTransferPause“=dword:00000060

Weitergehende Informationen: https://m42marketplacemediathek.blob.core.windows.net/matrix42-ag-pub/2022/03/Matrix42-UEM-Agent-Windows-2203_1_2-SFR-EN.pdf

Der Beitrag Empirum Agent Steuerung per Registry erschien zuerst auf Workplace Management Blog.

Das hat mich dazu gebracht, ein WinPE Paket zu erstellen, die die meines Erachtens hilfreichen Informationen zusammenträgt und in das PXE.log schreibt. Ein Kunde hat mir hier auch schon passendes Feedback gegeben und weitere Wünsche geäußert. Somit wird es bestimmt nicht die letzte Version sein.

In Anlehnung an den Protokoll Droiden aus Star Wars „C-3PO“ habe ich das Paket nun WinPE „D-2PXE“ (Data to PXE.log) getauft. Das Paket kann eigentlich bei jeder WinPE Aktion vorweg bzw. als erstes laufen. Einen kleinen Auszug, was es protokolliert, findet ihr hier.

Zum Einbinden müsst ihr die angehängte ZIP entpacken und mittels des Paket Imports in Eure Empirum Umgebung einbinden. Konfiguriert werden muss in diesem Falle nichts. In der Matrix42 Hilfe gibt es ein verlinktes Dokument das vom Einbinden bis zum Nutzen der WinPE Pakete vieles erläutert.

Beispielausgabe PXE.log

Hier ein Screenshot und Beispiel des Log Inhaltes:

[PEAgent] [WinPE] Computername: PC006, Domain: wpm, FQDN: wpm-blog.local
[PEAgent] [WinPE] Manufacturer Model: [Dell Inc.] [OptiPlex 9010]
[PEAgent] [WinPE] BIOS Version: A08, FirmwareType: UEFI, SecureBoot: Disabled
[PEAgent] [WinPE] UUID: 4C4C4544-004A-5710-8038-C8C04F445831
[PEAgent] [WinPE] Mac-Address: 00B11C942953 - MAC8: 1C942953
[PEAgent] [WinPE] Size PhysicalDrive0: 233 GB
[PEAgent] [WinPE] Running Windows: Windows (TM) 10 Preinstallation Environment, Version 1803 (Build 17134.1)
[PEAgent] [WinPE] Client IP Address: 192.168.44.117
[PEAgent] [WinPE] UAF EmpirumServer: myEmpirumServer.wpm-blog.local
[PEAgent] [WinPE] UAF User: wpm-blog.local\Empirum
[PEAgent] [WinPE] Matrix42 UAF Version: 1.0.25.0
[PEAgent] [WinPE] PeBootServer: myEmpirumServer IP: 192.168.0.5

Ich bin gespannt über Euer Feedback und Anregungen.

Download

Empirum PreOS Package zur Anzeige der oben aufgeführten Informationen im Empirum PXE.log.
WinPE D-2PXE (638 Downloads )
MD5 Hash der Downloaddatei: FD2338429A180ECF02DF16027B991230B8E63E5

Der Beitrag WinPE: PXE.log mit Basisinformationen erschien zuerst auf Workplace Management Blog.

Die Anpassung der NTFS Berechtigung ist dann notwendig, wenn das paketierte Programm:

• in Laufzeit Änderungen im gleichen Verzeichnis vornimmt (INI+LOG Dateien, o.ä)
• eine AutoUpdate Funktionen für sich selbst anbietet

Wo und wie wird die Berechtigungsvergabe vorgenommen?

Die „Wo“ Frage ist recht einfach beantwortet. Dafür gibt es die [Security:Product] Sektion. Die Security:Product Sektion muss nach der Installation durchgeführt werden, damit der Ordner oder die Dateien bereits vorhanden sind. In den Standard Inf Vorlagen ist dies auch der Fall.

Kommen wir zur „Wie“ Frage …

Um die Berechtigung zu setzen, gibt für Windows 2000 und neuer den Befehl FileDaclEx.Add. Der Befehl ist in der Setup.inf wie folgt aufgebaut:
FileDaclEx.Add (<Datei>, <Name>, <Operation>, <Rechte>, <Vererbung>)

Will man nun der Gruppe der lokalen Benutzer, der im Standard alle Domänen Benutzer angehören Vollzugriff gewähren, dann sieht der Befehl wie folgt aus:

FileDaclEx.Add ("%App%", "%$LocalUsers%", GRANT, ALL, SUB_CONTAINERS_AND_OBJECTS_INHERIT)

Will man jedoch nicht so freizügig mit den Berechtigungen umgehen und der Gruppe lediglich Ändern Berechtigungen geben, dann wird der Befehl etwas komplexer, da es für Ändern (Change) keine einzelne Berechtigung gibt. Die Berechtigung „Ändern“ entspricht den nachfolgenden Teil-Berechtigungen: TRAVERSE LIST_DIRECTORY READ_ATTRIBUTES READ_EA ADD_FILE ADD_SUBDIRECTORY WRITE_ATTRIBUTES WRITE_EA DELETE READ_DAC EXECUTE

Das sieht in der Windows 10 Oberfläche nicht viel anders aus, wenn man mal in den Sicherheitseinstellungen unter Erweitert nachschaut.

Wie sieht nun ein solcher Befehl in der Praxis aus? Hier ein paar Beispiele:

FileDaclEx.Add ("%App%", "%$LocalUsers%", GRANT, TRAVERSE LIST_DIRECTORY READ_ATTRIBUTES READ_EA ADD_FILE ADD_SUBDIRECTORY WRITE_ATTRIBUTES WRITE_EA DELETE READ_DAC, SUB_CONTAINERS_AND_OBJECTS_INHERIT)

FileDaclEx.Add ("%ProgramFiles%\%Developername%", "%$LocalUsers%", GRANT, TRAVERSE LIST_DIRECTORY READ_ATTRIBUTES READ_EA ADD_FILE ADD_SUBDIRECTORY WRITE_ATTRIBUTES WRITE_EA DELETE READ_DAC, SUB_CONTAINERS_AND_OBJECTS_INHERIT)

FileDaclEx.Add ("%App%\Application.ini", "%$LocalUsers%", GRANT, TRAVERSE LIST_DIRECTORY READ_ATTRIBUTES READ_EA ADD_FILE ADD_SUBDIRECTORY WRITE_ATTRIBUTES WRITE_EA DELETE READ_DAC, SUB_CONTAINERS_AND_OBJECTS_INHERIT)

Wenn ihr diese Anforderung häufiger habt, so könnt ihr einen der obigen Befehle in eure Paketierungsvorlagen (Template.inf, MSI.inf, Unattend.inf) einbauen und bei Bedarf den Kommentar (;) wegnehmen und den Befehl den Anforderungen nach anpassen.

Ist das alles?

Weiterführende Informationen, da die Security:Sektion noch mehr kann als NTFS Berechtigungen zu setzen:

• Welche Befehle darüber hinaus zur Verfügung stehen und welche andere Berechtigungen ihr setzen könnt, findet ihr in der Online Hilfe unter „Security:Product„.
• Welche Benutzer bzw. Gruppen per Variable und somit sprachunabhängig zur Verfügung stehen findet ihr am Ende der Tabelle „Vordefinierte Umgebungsvariablen“ der Online-Hilfe.

Der Beitrag Empirum – NTFS Berechtigungen setzen erschien zuerst auf Workplace Management Blog.

Übersicht Windows 10 Versionen und Wartungsoptionen

Zurück zu den Vorteilen. Als Administrator kann man nun einfacher herausfinden, welchen Sicherheits- und Qualitätsstand ein Windows 10 entspricht. Microsoft stellt auf der folgenden Seite eine Übersicht der veröffentlichten und aktuellen Windows 10 Stände der verschiedenen Versionen und Wartungsoptionen (CB, CBB, LTSB) zur Verfügung: https://technet.microsoft.com/de-de/windows/release-info.aspx

Empirum Inventory Standard

Im Empirum Inventory wird heute bereits in den Computereigenschaften, Inventory, Computer, Betriebssystemversion die Windows 10 Buildnummer (z.B. 14393) angezeigt. Um die inventarisierte Windows 10 Version noch besser mit der oben genannten Tabelle vergleichen zu können, benötigen wir jedoch auch die Unterversionen der zuvor genannten Buildnummer. Diese können wir uns über eine Anpassung der Inventarisierungskonfiguration in die Empirum Datenbank bzw. Management Console holen.

Windows 10 Build – Speicherort?

Woher bekommen wir denn die Werte, die uns interessieren?
Diese stehen in der Registrierung unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Empirum Inventory Anpassung

Generelle Hinweise zur Anpassung der Empirum Inventory Konfiguration habe im Artikel „Ermittlung installierter Versionen“ bereits gegeben. Diesmal wird jedoch nicht die Dateisuche, sondern „Benutzerdefinierter Wert“ angepasst.
Wenn wir nun den OS Build identisch zur oben genannten Microsoft Seite in der Datenbank abgespeichert haben wollen, muss der Benutzerdefinierte Wert wie folgt eingegeben und gespeichert werden.

Windows10_OSBuild
%HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion","CurrentBuild"%.%HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion","UBR"%

Möchte man jedoch einen Filter bauen, indem man einfacher auf „größer“ oder „kleiner“ Wert prüfen möchte, kann eine Aufteilung auf zwei Werte sinnvoll sein.

Windows10_OSMajorBuild
%HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion","CurrentBuild"%

Windows10_OSMinorBuild
 %HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion","UBR"%

Wo und wie wird es in der Empirum Management Console angezeigt?

Im folgenden Screenshot kann man sehen, wo und wie es in der Management Console angezeigt wird. In diesem Beispiel habe ich den Windows10_OSBuild Wert als einen zusammengesetzten Wert eingelesen.

Der Beitrag Windows 10 Buildversion in Empirum Inventory erschien zuerst auf Workplace Management Blog.

„SetComputerOwner“ definiert den Hauptbenutzer eines Computers anhand der Häufigkeit der letzten Logins. Wenn ein Benutzer sich für eine bestimmte Anzahl hintereinander an einem Computer anmeldet, so wird dieser in einem separaten Registry Wert abgelegt. Hier wird je nach Konfiguration entweder nur der Login Name, oder zusätzlich der „Fullname“ aus dem Active Directory geholt.

Weitere Konfigurationsmöglichkeiten könnt ihr der unteren Übersicht entnehmen.

Dieses Programm ist dafür gedacht, mit dem Matrix42 Software-Management und Inventory zusammenzuarbeiten, da die Ziel Registry Schlüssel auch für einen normalen Benutzer beschreibbar sind. Wenn Sie dieses Programm auch anderweitig einsetzen wollen, so müssen Sie sicherstellen, dass „Vollzugriff“ Berechtigungen auf den HKLM\Software\Matrix42 Registry Schlüssel vorhanden sind.

Management Console

Darüber hinaus können diese Informationen auch direkt in der Management Console angezeigt werden. Dazu sind die „Zusätzlichen Informationen“ (Custom Fields) zu konfigurieren (EMC, Extras, Einstellungen, Zusätzliche Informationen).

Damit die Werte in der Management Console angezeigt werden, muss das Matrix42 Inventory nach dem Schreiben der Registry-Wert ausgeführt werden.

Konfiguration per Registry

Liste der Konfigurations-Möglichkeiten (alle REG_SZ):

• CustomValueOSLogin = Custom29 (Standard)
• CustomValueUsername = Custom30 (Standard)
• GetFullname_from_AD = 1(Standard) oder 0 – Wenn der Wert 0 ist, wird keine Active Directory Abfrage getätigt bzw. versucht.
• LastLogon = Zwischengespeicherte letzte Anmeldung.
• LoginCount = Anzahl der Anmeldungen des LastLogon.
• Threshold = 10 (Standard) – Setzt die Schwelle, ab wann der LastLogon als Besitzer gespeichert wird.
• UserBlacklist = Komma separierte Liste von auszuschließenden Benutzern.
• Debug = 1 – Wenn eine Log-Datei (SetComputerOwner.log) nach %TEMP% geschrieben werden soll.
• CustomValueDepartment = Custom28 (Standard) (ab Version 1.1.0).
• GetDepartment_from_AD = 0 (Standard) oder 1 – Wenn der Wert 0 ist, wird keine Active Directory Abfrage getätigt bzw. versucht (ab Version 1.1.0).
• ForceGetADValues = 0 (Standard) oder 1 – Wenn der Wert 1 ist, dann werden nach dem Überschreiten des Schwellwertes die AD Werte immer aktualisiert (ab Version 1.1.0).

Die Konfiguration wird über die Registry, und hier der 32bit Schlüssel, getätigt.
Bei 32bit Windows Systemen hier: HKEY_LOCAL_MACHINE\SOFTWARE\matrix42\SetComputerOwner
Bei 64bit Windows Systemen hier: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\matrix42\SetComputerOwner

Wenn es keine Vorkonfiguration gibt, läuft SetComputerOwner mit Standard Einstellungen!

Download

Hier geht es zum Download:
SetComputerOwner (1554 Downloads )
MD5 Hashwert der Version 1.1.0: 4FB63950099CD81F7F21B780B0A7B52D

Aktualisierungen

Update (21.10.2013) – Seit heute steht eine neue Version 1.0.3 zur Verfügung, da es im vorbereiteten Paket zu Problemen unter Windows x64 kam.

Update (05.01.2020) – Seit heute steht die Version 1.1.0 zur Verfügung, die auch die Abteilungsinformation aus dem ActiveDirectory auslesen kann.

Genereller Hinweis

Der Beitrag Wer ist der Hauptbenutzer eines Computers? erschien zuerst auf Workplace Management Blog.

Das einfache Importieren von *.reg Dateien mit HKCU (HKEY_CURRENT_USER) Einträgen ist dagegen schon fast „fahrlässig“. Die Einstellungen werden ggf. nur für den gerade angemeldeten Benutzer getätigt, wenn es in der Setup.inf nicht richtig eingebunden ist. Dann bekommt der „EmpirumAgent“ diese Einstellungen gesetzt, davon hat jedoch keiner etwas. Wenn nun die *.reg Datei HKCU Einträge beinhaltet, so muss diese im Benutzerteil (Sektion mit CLIENT „geflagged“) importiert werden. Dies kann jedoch bei vorhandenen Group-Policies (GPOs), die den Registry Editor verbietet, zu Problemen führen. Darüberhinaus sind die gleichen Nachteile vorhanden, wie zuvor beschrieben.

Wie bekommt man nun die *.reg Einträge zuverlässig gesetzt und somit in die REG: Sektion der Setup.inf?

Dazu gibt es zwei Methoden:
1. Erstellen der Setup.inf per Differenzmethode
2. Importieren der *.reg Datei in die Setup.inf per PackageEditor

Beides ist bereits in diesem Blogeintrag beschrieben.

Der Beitrag Registry ändern mit REG Dateien erschien zuerst auf Workplace Management Blog.

Die hier beschriebene Methode kann natürlich auch im Maschinenteil zur Anpassung von HKEY_LOCAL_MACHINE Einträgen genutzt werden. Dazu müssen jedoch Anpassungen vorgenommen werden.

[Set:Product]
#Set:User, CLIENT

[Set:User]
Set HKCURegTree = HKEY_CURRENT_USER\Software\Hersteller
Set HKCURegFile = "%TEMP%\hkcu.reg"
Set SearchString = "Alt"
Set ReplaceString = "Neu"
CALLHIDDEN regedit.exe /E %HKCURegFile% %HKCURegTree%
ReplaceTextFile (%HKCURegFile%, %SearchString%, %ReplaceString%, 0)
CALLHIDDEN regedit.exe /S %HKCURegFile%
If %ErrorLevel%<>0 Then Set:CUError EndIf
Del %HKCURegFile%

[Set:CUError]
ErrorLogMsg Error: %ErrorLevel% : Error changing Registry
Abort

Der Beitrag Suchen und Ersetzen in der Registry erschien zuerst auf Workplace Management Blog.