Diese Meldung erscheint, wenn kein passender Eintrag oder kein eindeutiger Eintrag in der DeviceMapping.xml gefunden werden kann. Die DeviceMapping.xml wird während der OS Installation hergenommen, um von den Hardwareeigenschaften (MAC oder UUID) auf den späteren Computernamen und Workgroup/Domain zu verweisen.

Die ersten Troubleshooting Schritte …

(1) Die Voraussetzung für einen Eintrag in der DeviceMapping.xml ist: Die Eigenschaft des Computerobjektes muss „PXE fähig“ markiert haben – er muss jedoch nicht unbedingt PXE aktiviert sein!

(2) Wo liegt die DeviceMapping.xml? Die Datei ist im folgenden Verzeichnis abgelegt: \\%EmpirumServer%\Configurator$\Empirum\Configurator\Values
Folgendes sollte geprüft werden: Ist die Datei aktuell bzw. so aktuell wie die letzte Änderung? Geschieht die OS Installation an einem SubDepot, so gilt dies für das SubDepot! Hier muss ggf. der DepotSync betrachtet werden, wenn die Datei am HauptServer anders bzw. vollständig ist. Ergo zuerst die Datei auf dem HauptServer und anschließend auf dem SubDepot prüfen.

(3) Ist die MAC-Adresse / UUID in der DeviceMapping.xml zu finden und nur einmal (1x) vorhanden? Dazu die Datei mittels eines Editors öffnen und darin nach den Werten (Computername, MAC, UUID) des Computerobjektes suchen.

(4) Falls der Computer, die MAC-Adresse oder die UUID nicht in der DeviceMapping.xml zu finden ist: „Empirum-Backend Task Queue Host (64 bit)“ Dienst prüfen, da er für die Erstellung der Datei zuständig ist. Ist der Dienst gestartet und läuft – funktioniert der Dienst einwandfrei? Die Log-Datei zum BTQH64 Dienst befindet sich hier: „C:\ProgramData\Matrix42\Logs\BackendTaskQueueHost64\BackendTaskQueueHost64.log“

Wird die MAC-Adresse oder UUID mehrfach gefunden, dann diese Informationen (Computernamen) nutzen und in der EMC an den Computerobjekten nachschauen.

Löschen doppelter UUIDs aus der Empirum Datenbank

Doppelte UUIDs aus der Empirum Datenbank können wie folgt gelöscht werden:
Empirum bzw. Matrix42 Management Console starten, Konfiguration, Boot Konfiguration – im Menü unter: Extras, Ungültige UUID’s
Suchen und Löschen der doppelten Einträge per Auswahl und Papierkorb Symbol. Bitte beachte die Hinweise, wenn ein Eintrag nicht gelöscht werden kann. Der Hinweis zeigt an, welche Computernamen die gleiche UUID eingetragen haben. Anhand der letzten Inventarisierung o.ä. kann man erörtern, welches das aktuelle Computerobjekt ist.

Wenn die zuvor genannten Hilfestellungen alle nicht geholfen haben …

Weitere Infos am Client (vor der Windows Installation)

Wenn die Meldung erscheint gelangt man direkt in das Log per Tastenkombination „STRG+L„. In der Log-Datei sucht man am besten nach „ComputerIdentification.ResolveComputername„. Nachfolgend ein beispielhafter Auszug:

[INFO] [PeAgent.CopyDeviceMappingXmlFileFromServer] Retries at copying DeviceMapping XML file: 10
[INFO] [PeAgent.CopyDeviceMappingXmlFileFromServer] Copying DeviceMapping XML file (retry 0/10): Values\DeviceMapping.xml
[INFO] [ComputerIdentification.ResolveComputerName] SMBIOS UUID: 4c4c4544-004a-5710-8038-c8c04f335831
[INFO] [ComputerIdentification.ResolveComputerName] Physical addresses: 90B11C147953
[INFO] [ComputerIdentification.MapDevice] Solved computer name 'LABPC001' in domain 'IMAGOVERUM' for SMBIOS UUID '4c4c4544-004a-5710-8038-c8c04f335831'
[INFO] [PeAgent.ResolveComputerName] Resolve computer name: LABPC001 in domain IMAGOVERUM
[INFO] [PeAgent.CopyDeviceMappingXmlFileFromServer] Finished copying DeviceMapping.xml from the Empirum Server.

Weitere Infos am Client (nach der Windows Installation) …

ALT-TAB zum Wechseln in den Hintergrund und anmelden als Admin.
Höchstwahrscheinlich muss dieser Vorgang 2x getätigt werden, da man beim ersten Versuch durch einen Neustart schnell wieder abgemeldet wird.
Nun findet man die entsprechende Log-Datei im %Programdata%\Matrix42\Logs\UAF Ordner.
Die Stelle, nach der man sucht, ist identisch zu den oben aufgeführten Meldungen.

UUID anstatt MAC Adressen bevorzugen

Die Eindeutigkeit ist mit der Nutzung von UUIDs anstatt MAC Adresse (siehe PXE Dienst im Empirum DBUtil) prinzipiell besser.
Wenn aus Gründen …

• nur die MAC Adresse bekannt bzw. einfacher zu pflegen ist
• nur die MAC Adresse eindeutig ist, weil es mehrere Hardware mit identischer UUID gibt
• die MAC Adresse genutzt wird, …

gelten trotzdem die gleichen Regeln – Eindeutigkeit bei den MAC Adressen am Computerobjekt!

Falls man mehrere Notebooks mit einem externen USB zu Ethernet Netzwerkanschluß installieren möchte, muss man bei Bedarf die Netzwerkadresse am bereits installierten Gerät anpassen, falls die MAC-Adresse das führende Merkmal für die PXE-Installation ist.

Der Beitrag Empirum: Failed to copy a sufficient DeviceMapping.xml erschien zuerst auf Workplace Management Blog.

Was ist der Präsentationsmodus?

Der Präsentationsmodus (Presentation mode) ist eine Funktion des Betriebssystems, der von Programmen eingeschaltet und von anderen Programmen systemweit ausgewertet werden kann. Der Präsentationsmodus wird zumeist von Programmen gesetzt die im Vollbild-Modus ausgeführt werden, wie aktive Präsentationen (Microsoft Powerpoint, etc.), Kiosk Modus von Browsern, jedoch auch von Vollbild Terminal Server Sitzungen, Citrix Wokspace App Sitzungen, uvm..

Präsentationsmodus und Empirum UEM Agent

Matrix42 hat sich diese Funktion zu Nutze gemacht und wertet den Präsentationsmodus aus, um den Anwender davor zu schützen, das Software-Installationen während einer laufenden Präsentation starten. Damit man eben nicht nur ein Programm und somit Anwendungsfall abfragt, wo es doch eine Vielzahl an Programmen und Anwendungsfälle gibt, wertet der UEM Agent je nach Konfiguration genau diesen Präsentationsmodus aus.

Feststellungen

So kann es in einer bestehenden Umgebung vorkommen, dass bei der häufigen Nutzung von Programmen, die den Präsentationsmodus aktivieren, die Installation(en) nicht starten. Dies kommt u.a. dann vor, wenn die Windows Clients als „Terminal Clients“ im HomeOffice genutzt werden. Ähnliche Konstellationen treffen auf Administratoren zu, die per Remotedesktopverbindung (mstsc) auf Windows Server aufgeschaltet sind.

Wie bekommen ich nun wichtige Software trotz alledem installiert?

Bei der Zuweisung einer Software wird im Standard die Verteilungsoption „Installieren und Erneuern“ gesetzt. Ergänzt man die Verteilungsoption um die Option „Installationszeitraum ignorieren“, wird die Installation auch bei gesetztem Präsentationsmodus ausgeführt.

Eine weitere Möglichkeit ist natürlich auch, das man sich für diese Clients eine weiteres Agenten-Template erstellt und zuweist. Hier gilt der Grundsatz der Empirum Console, das nähere am Computer befindliche Objekt hat Vorrang. Welches Agenten-Template tatsächlich angezogen wird, kannst du in den Computereigenschaften unter „Zugeordnete Objekte“ überprüfen.
Eine solches Agenten-Template, also mit deaktiviertem Präsentationsmodus, könnte somit für Computer in der Produktion, Kiosksysteme, Anzeigesysteme, Windows als „Terminal Client“ sinnvoll eingesetzt werden.

Was sagt die Empirum Hilfe?

Hier der dazugehörige Text aus der Empirum Hilfe …
Präsentationsmodus beachten:  Wenn der Anwender diese Funktion aktiviert, verhält sich der Agent während einer Präsentation so, als wäre der Computer außerhalb des Installationszeitraums. Es wird keine Software installiert, es sei denn ein Paket hat die Verteilungsoption „Installationszeitraum ignorieren“ gesetzt.

UEM Agent beachtet Präsentationsmodus – Was nun?

Möchte man die Vorteile des Präsentationsmodus nutzen, um seine Kollegen, Chef, Vorstand nicht zu verärgern :), kann bzw. sollte man meines Erachtens trotzdem zumindest Pakete wie die folgenden mit der obigen Verteilungsoption zusätzlich konfigurieren:

• Empirum Inventory
• Matrix42 Patch-Management (Scan)

Weitere Pakete, wie vielleicht auch das Fix Paket des Patch-Managements, können somit von euch auch entsprechend priorisiert werden.

Da ich hier selbst einige Zeit im Dunkeln getappt bin, habe ich das hier für mich und euch zusammengefasst. Wie sind eure Erfahrungen mit dem Präsentationsmodus oder habt ihr Ergänzungen?

Der Beitrag Empirum: Pakete bleiben im Status Download erschien zuerst auf Workplace Management Blog.

Trotzdem sind die nachfolgenden Informationen interessant und wichtig, wenn man vielleicht seinen vorhandenen EmpirumServer austauschen, umbenennen o.ä. mag. Handelt es sich um eine Umgebung mit mehreren Standorten oder einer größeren vierstelligen Anzahl an Clients, dann machen auch mehrere EmpirumServer Sinn bzw. werden benötigt. Weitere EmpirumServer nennt man im Empirum Sprachgebrauch „SubDepot“ – andere Hersteller nennen weitere Installations-Server z.B.: Repository, Sites, Distributed Installation Point.

EmpirumServer – SubDepots

Empirum SubDepots können mit der Hilfe von vorhandenen Empirum Software-Paketen und den passenden Variablen aus Windows Clients (Windows Server und Workstations) erstellt werden. In der Hauptsache ist ein Empirum SubDepot eine Kopie der Empirum Dateistruktur und den dazugehörigen Freigaben des Empirum Dienste-Servers. Das SubDepot tauscht, wie ein verwalteter Client (siehe oben): Software-Pakete, Auftrags-, Variablen-, Log- und Inventardateien mit dem überordneten EmpirumServer (zumeist Empirum Master Server) aus.

EmpirumServer – Verbindungsreihenfolge

Die Definition, mit welchem EmpirumServer der Client (UEM-Agent) sich verbindet, wird im Agent-Template (der Agenten-Konfiguration) vorgenommen. Wenn man das oder ein Agent-Template geöffnet hat, kann man die Versuche einer Verbindung, von oben nach unten, konfigurieren. Wenn ich Versuche schreibe, dann ist damit gemeint, das mit jeder nachfolgenden Konfiguration ein Verbindungsversuch gestartet wird. Wird eine Verbindung erfolgreich hergestellt, so wird diese genutzt. Die weiteren konfigurierten Optionen werden dann nicht mehr in Erwägung gezogen. Die Verbindungsversuche pro definierter Option und somit EmpirumServer werden jeweils auch mit den konfigurierten Protokollen durchgeführt.

DHCP Optionen verwenden (1)– nutzen des im DHCP-Bereich des Clients hinterlegten Computernamens z.B.: Depot1.MeineDomain.com oder Depot1. Weitergehende Informationen habe ich unten beschrieben.

Zugewiesene EmpirumServer verwenden (2)– nutzen der in der Management Console in den Eigenschaften der Konfigurations- bzw. Zuweisungsgruppe definierten EmpirumServer. Die eingerückten Optionen: Zufällige Reihenfolge verwenden bzw. Empirum Master Server ausschließen beziehen sich auf die „zugewiesenen EmpirumServer“. Den Empirum Master Server ausschließen macht deswegen Sinn, weil ein Computerobjekt immer den Master Server nochmals direkt am Computerobjekt zugewiesen bekommt. Diesen sollte man auch nicht aus der Zuweisung herausnehmen.

In der Reihenfolge der Verbindungsversuche folgt nun der in der Umgebungsvariable EmpirumServer (3) zwischengespeicherte EmpirumServer, mit dem zuletzt eine erfolgreiche Verbindung hergestellt wurde.

Zu guter letzt, wird eine Verbindung mit dem EmpirumServer im Feld Ausfall-Server (4) vorgenommen.

Das komplette Agent-Template wird dem Client als XML Datei zur Verfügung gestellt.

Weiterführende Informationen

Hier geht es zu einem Hilfe-Artikel der Matrix42 zu diesem Thema.

Nachfolgend zu den zuvor genannten Einstellungen ein paar mehr Informationen von meiner Seite …

DHCP Optionen verwenden – Reihenfolge der Konfiguration

DHCP Optionen verwenden – wenn die Option im Agent-Template aktiviert ist/wird, muss zuvor in Empirum DBUtil die EmpirumServer DHCP Option aktiviert und gesetzt sein. Welche Optionsnummer man verwendet ist in einem gewissen Rahmen, eigene Definitionssache. Es gibt einen Bereich, in dem benutzerdefinierte/kundenspezifische Werte gesetzt werden dürfen und dieser beginnt bei 128. Diese Optionsnummer muss dann wiederum im IP-Bereich des Clients ebenso aktiviert und gesetzt sein.

Vorgehensweise:
1) DHCP Server / IP-Bereich – prüfen, ob die Option 128,129, o.ä. frei ist.
2) Empirum DButil – Empirum-PXE, DHCP Optionen, EmpirumServer aktivieren und Option (z.B.: 128) definieren
3) Agenten-Template – Haken bei DHCP Optionen verwenden setzen und Agent-Template (neu) speichern.
4) DHCP Server / IP-Bereich – Option (z.B.: 128) aktivieren/erstellen und den für den Bereich passenden EmpirumServer eintragen.

Hier zwei Screenshots aus Empirum DBUtil …

Zugewiesene EmpirumServer

Der nachfolgende Screenshot zeigt die Eigenschaften eines Computerobjekts in Empirum. Wie zuvor beschrieben, seht ihr oben rechts unter „Ausgewählte Empirum Server“ den auf dieser Stufe ausgewählten EmpirumServer. Am Computerobjekt selbst ist im Standard immer der Master EmpirumServer eingetragen. Dies bitte unverändert lassen!
Unten rechts bei Gruppen Empirum Server seht ihr die vererbten Empirum Server der darüberliegenden Konfigurations- bzw. Zuweisungsgruppen. Die Reihenfolge der Verbindungsversuche wird von oben nach unten durchgeführt – dies unter Berücksichtigung der Konfiguration im Agent-Template.

Nachvollziehen / Troubleshooting

Wenn ihr schauen wollt, wie euer Client den EmpirumServer anhand eures Agent-Templates bestimmt, dann werft einen Blick in das UAF Log des Clients. Die Logs befinden sich im Verzeichnis: %ProgramData%\Matrix42\Logs\UAF. Die aktuelle Datei lautet: Matrix42.Platform.Service.Host.log. Die Logs werden je 10MB rollierend erstellt und somit kann ein Start- oder Verbindungsversuch in einer Datei mit einem Datumstempel vermerkt sein. Wenn ihr in der Datei nach der Zeichenfolge „Server Access List“ sucht, solltet ihr eine Liste angezeigt bekommen, die aus den obigen Konfigurationen und Zuweisungen resultiert. Hier könnt ihr entnehmen, in welcher Reihenfolge und mit welchen Protokollen der Client die Verbindungen versucht aufzubauen.

Sieger – Am Client könnt ihr den am Ende ausgewählten EmpirumServer mit einem Klick auf das UEM-Agent Symbol und „Info über ..“ oder der Umgebungsvariable „EmpirumServer“ angezeigt bekommen.

Der Beitrag Empirum UEM Agent – EmpirumServer Bestimmung erschien zuerst auf Workplace Management Blog.

Aktualisierung Windows Preinstallation Environment

In diesem Fall ist das Windows PE-Add-On auf dem EmpirumServer zu prüfen. Bis dato war eine Version 10.1.19041.1 des WADK WinPE-Add-Ons vollkommen ausreichend. Mit der Installation von Windows 11 22H4 wird jedoch unbedingt eine aktuellere Version benötigt.

Die auf dem EmpirumServer installierte Version kann in der Systemsteuerung überprüft werden:

Nachdem die Windows PE-AddOn Version 10.1.19041.1 o.ä. deinstalliert wurde, muss die aktuelle Version 10.1.26100.1 installiert werden.

Diese kann von der nachfolgenden Seite bezogen werden: https://learn.microsoft.com/de-de/windows-hardware/get-started/adk-install

Boot Konfiguration neu erstellen

Ist die Installation des WADK Windows-PE-Add-On erfolgreich abgeschlossen, muss die Bootkonfiguration unter Konfiguration, Boot Konfigurationen neu gespeichert werden.

Falls SubDepots im Einsatz sind, sollte im Anschluss das PXE-Image auch auf das SubDepot übertragen werden. Im Anschluss sollte einer erfolgreichen Windows 11 24H2 Installation nichts mehr im Wege stehen.

Der Beitrag Empirum: Fehler bei der Windows 11 Installation erschien zuerst auf Workplace Management Blog.

Was können Probleme bei der WindowsInstallation und danach sein?

WindowsInstallation Paket

Falls es zu Problemen bei der Ausführung des WindowsInstallation Paketes kommt, sollte man prüfen, ob ein Betriebssystemimport zugewiesen ist, oder der Computer in den Eigenschaften mit einer statischen IP-Adresse versehen ist.

DomainJoin

Bei Fehlern, die während des DomainJoin Paketes auftauchen, hilft ein Blick in das Log unter WinPEStatus. Häufig liegt es jedoch mit dem für den DomainJoin verwendeten Benutzer zusammen. Entweder hat er gar keine oder nicht die erforderlichen Berechtigungen, das Computerkonto zu erstellen oder ein bestehendes zu verändern. Testweise kann man das, vielleicht bereits vorhandene, Computerobjekt in der Domäne vor einer Installation löschen.

EmpirumAgentSetup

Das Paket wurde gerade in den aktuellen Versionen (2.8/2.9) der Empirum WinPE Erweiterung 1.9.0 (und neuer) wesentlich robuster aufgestellt. Falls es bei diesem Paket zu Problemen kommt, dann sollte man einen Blick auf die Variable „MX42_AGENT_PUSH_PACKAGE_FOLDER“ (Windows) legen. Ist die hier angegebene Version auf dem EmpirumServer bzw. dem zuständigen SubDepot unter „Empirum\Configurator\Packages\Matrix42\UEM Agent Windows“ abgelegt?

Keine Software-Installation nach der OS-Installation

Findet nach der OS-Installation keine Software-Installation statt, dann wurde in den meisten Fällen in den Eigenschaften des Computers bei Domäne der FQDN der Domäne anstatt der NetBIOS Name der Domäne angegeben. Wenn dies der Fall ist und angepasst wurde, reicht eine Aktivierung der Software (keine komplette Neu-Installation per PXE) aus. Zur Sicherheit startet man den Client-Computer einmal neu, damit er nach dem Neustart auf ausstehende Software-Installationen prüft.

Der Beitrag WinPE Installation und Troubleshooting erschien zuerst auf Workplace Management Blog.

Hier gibt es das Tool zum Download:
SWDepotInfo183 (2672 Downloads )
SHA256 Hash der Version 1.8.3: A133D895D75FE01EB50B5BFC78106C2793AE42A481E26955C64FBD69264A01DE

Der Beitrag SWDepotInfo – Jahrgang 2023 erschien zuerst auf Workplace Management Blog.

Suchen und Ersetzen Tools

In diesem Artikel geht es um Tools zum Suchen und Ersetzen mit einer grafischen Oberfläche. Bereits im allerersten Empirum Projekt habe ich das Serach&Replace von Funduc lizenziert, da ich damals kein anderes ähnlich geartetes Tool gefunden hatte. Dieses Tool leistet mir noch heute verlässliche Dienste. Im Laufe der Zeit habe ich bei Kunden auch den Agent Ransack kennengelernt, der eine ähnliche Funktion hat. Mittlerweile zähle ich die freien Tools dnGrep und grepWin dazu. Wer das letztgenannte grepWin herunterladen möchte, wechselt am besten direkt auf github, um den Werbe- und Downloadbannern zu anderen ungewünschten Angeboten aus dem Weg zu gehen. Auch der bei vielen beliebte Editor „Notepad++“ bietet im Menü unter Search/Suchen eine Funktion zum Durchsuchen von Dateien an.

Funktionsumfang

Auf die Funktionen und Unterschiede der verschiedenen Tools, werde ich an dieser Stelle nicht eingehen. Generell bieten jedoch alle Tools, das Suchen …

• in einem definierten Pfad
• nach definierten Dateiendungen und teilweise auch in Archiven
• nach einer Zeichenkette
• Speichern des angezeigten Ergebnisses als Text oder HTML Datei

Warum Suchen und Ersetzen?

Nun, diese Tools nutze ich aus verschiedenen Gründen.

1. Durchsuchen der Empirum Pakete nach bestimmten Befehlen, Aufrufen, absoluten EmpirumServer Einträgen, Benutzern und Gruppen.
2. Durchsuchen der gesamten Empirum Partition nach bestimmten Benutzern und Gruppen in Bezug auf Verbesserung der Sicherheit
3. Das Ergebnis des Durchsuchens bildet zumeist die Grundlage für weitere Aufgaben (Anpassen, Testen, schaffen von neuen Lösungen).
4. Teilweise kann die Lösung ein Ersetzen der gefundenen Zeichenkette, durch eine neue sein.

Dein Tool der Wahl?

Welches Tool nutzt Du für diesen Zweck oder hast eine Empfehlung für die Leser des Blogs. Schreib doch Dein Suchen & Ersetzen Lieblingstool in den Kommentar. Danke, Grüße und bis bald – Jochen

Der Beitrag Suchen und Ersetzen Tools erschien zuerst auf Workplace Management Blog.

LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

Voraussetzungen

Aus meinen Erfahrungen heraus gibt es zwei Dinge, auf die man achten sollte. Seinen volle Leistung entfaltet der UEM Agent erst mit dem aktuellen Hotfix auf der Empirum Server Seite. Zusätzlich sollte man eine kleine Verbesserung in Form einer Setup.inf Anpassung vornehmen, bevor man diese Version einsetzt.

Matrix42 Empirum v21.0.3

Wichtig bei der Nutzung des neuen UEM Agents ist, das man beim Einsatz von Empirum v21.0.3 auch den aktuellen Hotfix Installer vom 28.10.2022 oder später ausführt.

Download

Matrix42 stellt alle UEM Agent für Windows Versionen an der gleichen Stelle zum Download bereit.
Den aktuellen Hotfix Installer für Matrix42 Empirum v21.0.3 gibt es hier.

Anpassungen

Nachdem man den UEM Agenten in das Empirum Software-Depot eingebunden hat, sollte man jedoch auf Dateiebene in der Setup.inf noch eine Anpassung vornehmen. Die Datei findet ihr auf dem EmpirumServer unter Empirum\Configurator\Packages\Matrix42\UEM Agent Windows\2210.1.2\Install.
Dazu die Finish Sektion der ausgelieferten Setup.inf wie folgt anpassen.
Hinzukommen sollte die Zeile mit dem Callhidden.

[Finish]
Callhidden reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Matrix42\RebootPackagesPending /v "Restart Matrix42 UEM Agent Windows" /f
Exit

Hinweis

Trotz aller Empfehlungen von meiner Seite, sollte man, wie bei jedem Stück neuer Software, diese stückweise bzw. in Wellen (Test, Pilot, Rollout) an die Clients verteilen.

Der Beitrag UEM Agent für Windows 2210.1.2 released erschien zuerst auf Workplace Management Blog.

Was wurde geändert?

Die ausführende Datei wurde aus dem C:\Windows\Empirum Verzeichnis passender nach C:\Programme\Matrix42\Personal Backup verschoben. Die Konfigurationsdateien werden nun im Verzeichnis C:\ProgramData\Matrix42\PBackup abgelegt und bei der Nutzung herangezogen. „Früher“, also vor der Änderung, wurden die Konfigurationsdateien direkt vom EmpirumServer herangezogen.

Warum wurde das geändert?

Die Programmdateien im Programme Verzeichnis abzulegen ist eine Korrektur, die schon lange hätte vollzogen werden können. Viel entscheidender ist die Ablage der Konfigurations- und Hilfsdateien in C:\ProgramData\Matrix42\PBackup.
Damit kann Personal Backup „standardmäßig“ genutzt werden und die Sicherheit von Empirum erhöht konfiguriert werden.
Stichworte sind hier die Absicherung des allgemeinen Zugriffes auf das lokalen EmpirumAgent\User und das zentrale Configurator\User Verzeichnis. Hier kann man nun soweit gehen, dass nur noch der EmpirumAgent Benutzer auf die beiden genannten Verzeichnisse zugreifen kann. Vielen Dank dafür Matrix42.

Der Beitrag Personal Backup – Breaking Changes erschien zuerst auf Workplace Management Blog.