You searched for Domain Join AD Grupp - Workplace Management Blog https://www.wpm-blog.de/ ... ideas and solutions making workplace management easier Sun, 24 Nov 2024 17:07:34 +0000 de hourly 1 https://wordpress.org/?v=6.1.7 Windows LAPS und Empirum WinPE https://www.wpm-blog.de/windows-laps-und-empirum-winpe/ https://www.wpm-blog.de/windows-laps-und-empirum-winpe/#respond Wed, 28 Jun 2023 18:35:48 +0000 https://www.wpm-blog.de/?p=2871 Sicherheit, lokale Client Berechtigungen und Buzzwords wie „Lateral Movement“ sind in aller Munde. Ein wirksamer Baustein dem etwas entgegenzusetzen ist, jedem Client ein individuelles Kennwort zu geben und dies im besten Falle sogar zyklisch zu … Weiterlesen

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

]]>
Sicherheit, lokale Client Berechtigungen und Buzzwords wie „Lateral Movement“ sind in aller Munde. Ein wirksamer Baustein dem etwas entgegenzusetzen ist, jedem Client ein individuelles Kennwort zu geben und dies im besten Falle sogar zyklisch zu ändern. Microsoft bietet schon sehr lange die Local Administrator Password Solution an. Diese Lösung besteht aus einer DLL die in Zusammenarbeit mit Gruppenrichtlinien, für jeden Computer in einem definierten Intervall ein individuelles Kennwort aushandelt und dies zentral im Active Directory speichert. Bis vor kurzem gab es nur das Microsoft LAPS, das wie zuvor beschrieben aus einer DLL (oder MSI Installation) und Gruppenrichtlinienobjekte das jeweilige Kennwort im lokalen Active Directory (AD) speichert. Mit den Windows April Updates (2023) für Windows 10 und 11 wurde Windows LAPS aktiviert.

LAPS und deren Unterschiede

Der Unterschied im Namen ist gering „Microsoft LAPS“ (alt, Legacy LAPS) und „Windows LAPS“ (neu), die Möglichkeiten unterscheiden sich jedoch enorm. Der ganz klare Vorteil ist, Windows LAPS ist nun Bestandteil des Betriebssystems. Die weiteren Vorteile sind die Integration in die moderne Verwaltung.
Die Einstellungen können nun nicht mehr nur aus Gruppenrichtlinien (GPOS) kommen und das Kennwort kann nun auch verschlüsselt im Azure Active Directory (AAD) gespeichert werden. Wer tiefer in die Materie und Möglichkeiten eintauchen möchte, dem lege ich die folgenden Seiten ans Herz:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview

Active Directory Berechtigungen

Wer das LAPS Kennwort im Active Directory speichert, sollte auch weitere Aspekte berücksichtigen, damit dies auch entsprechend abgesichert wird. Neben der spärlichen Vergabe der Benutzer die auf die LAPS Felder Zugriff haben, sollte man auch den Benutzer ins Auge fassen, der das Computerkonto erstellt. Weiteres dazu kann man hier finden.

Zusammenspiel mit Empirum

Im Zusammenspiel mit Empirum sind ein paar Dinge zu beachten, wenn man das Maximum an Sicherheit herausholen möchte.

DomainJoin Variablen

Die Variablen und somit der Benutzer für den Domain-Join sollte bestenfalls nur für den Zeitpunkt der Betriebssysteminstallation zugewiesen sein. Dies kann über eine separate Konfigurations- oder Zuweisungsgruppe geschehen, in dem der Computer nur für die Betriebssysteminstallation zugeordnet ist.

Windows LAPS

Will man die Vorteile von Windows LAPS nutzen, sollte man darüber nachdenken eine Windows 10 bzw. 11 Quelle für die Betriebssysteminstallation einzubinden, die das April oder besser Mai 2023 Update beinhaltet. Alternativ kann man auch das Windows Update in seine Quellen integrieren.

Reinstallation von Computern

Gerade bei Tests oder im Client Lifecycle kommt es vor, dass vorhandene Computer mit dem gleichen Namen nochmals installiert werden. Wurde das Computerobjekt vor der Neu-Installation nicht aus dem Verzeichnisdienst (AD/AAD) gelöscht, kann es dauern bis das LAPS neu erstellt und gespeichert wird, da das „Ablaufdatum“ vom Verzeichnisdienst vorgegeben wird. Etwas was mir diesbezüglich schon länger durch den Kopf ging, hat ein mir bekannter Administrator als WinPE Paket umgesetzt.

Das WinPE Paket zusätzlich der detaillierten Erläuterungen und Einstellmöglichkeiten findet ihr in seinem github Repository: https://github.com/htcfreek/PreOS-ResetLapsPassword.

Wem das nicht reicht, so wird er dort auch fündig hinsichtlich einer GUI für das Windows LAPS Kennwort: https://github.com/htcfreek/SimpleLapsGui

Ein großes Kompliment für diese Erweiterung von meiner Seite!

Microsoft LAPS Benutzer

Für all diejenigen, für die Microsoft LAPS nichts neues ist, sollten sich mit der Co-Existenz, den Änderungen und neuen Möglichkeiten auseinandersetzen. Man muss jedoch sehr achtsam mit den Begrifflichkeiten und Funktionen umgehen, da die ähnlichen Worte und Begriffe einen schon gerne einmal verwirren.

Der Beitrag Windows LAPS und Empirum WinPE erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/windows-laps-und-empirum-winpe/feed/ 0
Empirum WinPE – Windows Installation https://www.wpm-blog.de/empirum-winpe-windows-installation/ https://www.wpm-blog.de/empirum-winpe-windows-installation/#comments Wed, 06 Nov 2019 21:39:04 +0000 https://www.wpm-blog.de/?p=2426 Die Zutatenliste für eine erfolgreiche Windows Installation mittels des Empirum WinPE PreBoot Support besteht aus: Empirum WinPE PXE-Image, ein importiertes Windows Betriebssystem, diversen sogenannten Empirum PreOS Paketen, gesetzten Variablen und einem Computer. Zutaten zusammenführen Die … Weiterlesen

Der Beitrag Empirum WinPE – Windows Installation erschien zuerst auf Workplace Management Blog.

]]>
Die Zutatenliste für eine erfolgreiche Windows Installation mittels des Empirum WinPE PreBoot Support besteht aus: Empirum WinPE PXE-Image, ein importiertes Windows Betriebssystem, diversen sogenannten Empirum PreOS Paketen, gesetzten Variablen und einem Computer.

Zutaten zusammenführen

Die Zutaten habt ihr bestenfalls mit Hilfe der zuvor getätigten Beschreibungen bereits vorbereitet. In diesem Blog-Eintrag geht es darum, die letzten Schritte vorzunehmen.
Nun werden die Zutaten in der Management Console (EMC), von der rechten Seite zur Mitte, in einer Konfigurations- oder Zuweisungsgruppe zusammengeführt:

  • PreOS Pakete bzw. die erstellte UND-Klasse zuweisen
  • WinPE PXE-Image zuweisen
  • Betriebssystem zuweisen
  • Agent-Template zuweisen
  • die Variablen auf die Gruppe setzen und übertragen

Variablen setzen

Die Variablen übernehmen die Definition der kundenspezifischen Windows Installation. Die zu setzenden Variablen(gruppen) heißen identisch wie die genutzten PreOS Pakete.
Am besten geht man die Liste der zugewiesenen Pakete namentlich durch und stellt die für sich passenden Werte ein. Viele Variablen sind bereits vorbelegt und können auf den vordefinierten Werten belassen werden.

Somit konzentriere ich mich hier auf die meines Erachtens wichtigen Werte für eine Windows Installation in deutscher Sprache inklusive Domain Join.

  • DiskPartitioning\PreferFastDisk
  • WindowsInstallation\LocalUserName
  • WindowsInstallation\LocalUserPassword
  • WindowsInstallation\LocalUserDisplayName
  • WindowsInstallation\SetupUILanguage
  • WindowsInstallation\InputLocale
  • WindowsInstallation\SystemLocale
  • WindowsInstallation\UILanguage
  • WindowsInstallation\UserLocale
  • DomainJoin\DomainJoinCredentialsUser
  • DomainJoin\DomainJoinCredentialsPassword

Zusätzlich sind die nachfolgenden Variablen, die nicht so lauten wie die zugewiesenen Pakete, wichtig anzusehen bzw. zu setzen:

  • FQDN – WindowsInstallation, DomainJoin
  • ORGANIZATIONAL_UNIT (optional) – DomainJoin
  • TIMEZONE – WindowsInstallation
  • MX42_AGENT_PUSH_PACKAGE_FOLDER\Windows – EmpirumAgentSetup

Aktivieren

Anschließend wird das Computerobjekt der Gruppe hinzugefügt und aktiviert. Beim Aktivieren für eine WinPE basierte Windows Installation braucht keine „Betriebssystemkonfiguration (OS.INI)“ mehr erstellt werden. Diese Aufgabe übernehmen die PreOS Packages samt der gesetzten Variablen.

Et voilà

Nun den Computer vom Netzwerk booten lassen und nach ca. 20 min ist das frisch installierte Windows fertig angerichtet!

Besonderheiten

Bis zu diesem Punkt wurde beschrieben, dass sich die PreOS Pakete wie herkömmliche Software Pakete verhalten. Es gibt (Stand Oktober 2019 – WinPE 1.6.6) jedoch ein paar Besonderheiten:

  • es werden alle zugewiesenen Pakete ausgeführt, nicht nur die aktuellste/höhere Version
  • mittels einer Verteilungsoption „Uninstall“ kann die Verarbeitung von Paketen nicht verhindert werden
  • PreOS Pakete, die vor dem DiskPartitioning Paket ausgeführt werden, werden aus dem SWDepot-Log gelöscht und der Status bleibt „undefiniert = gelb“

Der Beitrag Empirum WinPE – Windows Installation erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/empirum-winpe-windows-installation/feed/ 6
Empirum WinPE – PreOS Packages https://www.wpm-blog.de/empirum-winpe-preos-packages/ https://www.wpm-blog.de/empirum-winpe-preos-packages/#comments Wed, 06 Nov 2019 20:44:03 +0000 https://www.wpm-blog.de/?p=2402 Damit man Windows mit Hilfe des Empirum WinPE PreBoot Supportes installieren kann, benötigt man ein Empirum WinPE PXE-Image, ein importiertes Windows Betriebssystem und diverse sogenannte Empirum PreOS Pakete. Die Empirum PreOS Pakete sind „spezielle“ Empirum … Weiterlesen

Der Beitrag Empirum WinPE – PreOS Packages erschien zuerst auf Workplace Management Blog.

]]>
Damit man Windows mit Hilfe des Empirum WinPE PreBoot Supportes installieren kann, benötigt man ein Empirum WinPE PXE-Image, ein importiertes Windows Betriebssystem und diverse sogenannte Empirum PreOS Pakete. Die Empirum PreOS Pakete sind „spezielle“ Empirum Pakete, die vom so genannten Empirum WinPE PreBoot Support genutzt werden. Matrix42 stellt diese Pakete immer wieder aktualisiert in der WinPE PreBoot Support Erweiterung im Marketplace zur Verfügung. Empirum beinhaltet, je nach installierter Version, auch immer einen nutzbaren Stand der WinPE Umgebung. Wie bereits zuvor in Empirum WinPE – PXE-Image Erstellung geschrieben, kann man den WinPE PreBoot Support unabhängig von seiner genutzten Empirum Version aktualisieren.

Zutaten zusammenstellen …

Import der Pakete

Wer die vorhandenen PreOS Pakete nutzen mag, kann direkt zum nächsten Punkt springen. Wer wiederum aktuelle Pakete importieren mag, muss in der Management Console unter Konfiguration, Software-Depot mit der rechten Maustaste auf das Register „Matrix42 PreOS Packages“ klicken und „Import/Export“ auswählen. Im darauffolgenden Dialog wählt man dann den zumeist vorgegebenen Ordner „\\%EmpirumServer%\Configurator$\PackageStore“ aus.
Die Schritte für einen erfolgreichen Import von PreOS Paketen sind nun hier per Screenshots dokumentiert:

Auswählen des Quellverzeichnisses, wie z.B.: \\%EmpirumServer%\Configurator$\PackageStore …
Da im „PackageStore“ bestimmt mehr als die gewünschten Pakete vorliegen und angeboten werden, ist es ratsam zuvor per „Keine auswählen“ die Auswahl zu negieren. Dann wählt man die für sich notwendigen Pakete aus der Liste aus und startet den Importvorgang. Die Liste der Pakete ist weiter unten zu entnehmen. Die Abbildung zeigt eine exemplarische Auswahl, da das Paket PxeOffAndReboot bis dato unverändert blieb.

Werden die Pakete auf der Zusammenfassung rot angezeigt und nicht importiert, dann startet entweder die Management Console nochmals neu und versucht die Schritte noch einmal, oder schaut nach, ob das Paket vielleicht schon in der Dateistruktur vorliegt. Wenn ja, so löscht es aus der Dateistruktur und startet anschließend den Importvorgang nochmals von neuem.

Nach einem erfolgreichen Importvorgang, werden die Pakete im Matrix42 PreOS Packages Ordner ähnlich wie folgt angezeigt.

Die neu importierten Pakete werden im Status „nicht freigegeben“ importiert und sind braun eingefärbt. Dies kann sich in Zukunft noch ändern, doch derzeit müssen die Pakete noch einzeln zur Installation freigegeben werden. Dazu öffnet man die Paketeigenschaften mit einem Doppelklick bzw. wählt „Eigenschaften“ im Kontextmenü eines jeden Paketes.

 Hinweis: Die PreOS-Pakete sind powershell Skripte mit dem Namen install.ps1 und liegen in einer definierten Struktur <Hersteller>\OSPackages\<Name>\<Version>\Install vor. Eigene PreOS Pakete kann man mit Hilfe des PreOS Package Editors erstellen.

Welche Pakete werden benötigt?

Zur Durchführung einer Windows Installation benötigt man die nachfolgenden Pakete.

  • DiskPartitioning – Vorbereiten der Festplatte
  • DriverIntegration – Kopieren der Treiber des Models auf die vorbereitete Festplatte
  • WindowsInstallation – durchführen der Windows Installation samt der Treiber und kopieren/installieren des UAF Agents vom WinPE
  • PxeOffAndReboot – deaktivieren des WinPE PXE-Boots
  • DomainJoin – Hinzufügen des Computers zur Domäne
  • EmpirumAgentSetup – Installieren des vollwertigen Empirum Agenten und entfernen des UAF Agenten, Neustart …

Besonderheiten: Wenn man die PreOS Pakete aktualisiert bzw. aktuelle Pakete nutzt, muss man auch sein Empirum WinPE PXE-Image aktualisieren.

Die Reihenfolge ist wichtig!

Die Pakete müssen sich zur korrekten Verarbeitung in der oben aufgeführten Reihenfolge befinden. Auch bei neu importierten Versionen von Paketen muss auf die Reihenfolge geachtet werden. Dazu arrangiert man die Pakete, per Drag & Drop, von oben nach unten im SoftwareDepot.

Windows Installation Bundle

Man kann die zuvor genannten PreOS Pakete später einzeln zu seiner Konfigurations- oder Zuweisungsgruppe hinzufügen, oder eine UND-Klasse (Bundle) erstellen die diese Pakete enthält. Bei der Zuweisung der Pakete zu einer UND-Klasse muss die Reihenfolge nicht beachtet werden. Bei der clientseitigen Verarbeitung ist die Reihenfolge im SoftwareDepot maßgebend. Hier ein Beispiel für eine UND-Klasse, die im SoftwareDepot erstellt werden kann.

Der Beitrag Empirum WinPE – PreOS Packages erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/empirum-winpe-preos-packages/feed/ 1
Empirum WinPE – EPE Gegenüberstellung https://www.wpm-blog.de/empirum-winpe-epe-gegenueberstellung/ https://www.wpm-blog.de/empirum-winpe-epe-gegenueberstellung/#respond Sun, 31 Mar 2019 21:26:44 +0000 https://www.wpm-blog.de/?p=2160 Die Unterscheidung EPE (Empirum PreInstallation Environment) zu WinPE bezieht sich hauptsächlich auf das Image, dass per PXE übertragen und ausgeführt wird. Nachfolgend werde ich zumeist von einer Installation per EPE bzw. WinPE sprechen, wobei natürlich … Weiterlesen

Der Beitrag Empirum WinPE – EPE Gegenüberstellung erschien zuerst auf Workplace Management Blog.

]]>
Die Unterscheidung EPE (Empirum PreInstallation Environment) zu WinPE bezieht sich hauptsächlich auf das Image, dass per PXE übertragen und ausgeführt wird. Nachfolgend werde ich zumeist von einer Installation per EPE bzw. WinPE sprechen, wobei natürlich auch andere Aufträge wie BIOS Konfiguration, BIOS Update, oder Löschen der Festplatten Aufgaben des PXEs sind. In der nachfolgenden Beschreibung gebe ich einen kurzen Überblick über die EPE Installation und gehe etwas detaillierter auf die Installation per WinPE ein.

Empirum PE (Linux)

Das EPE (Empirum PreInstallation Environment) auf Linux Basis verarbeitet mittels des EIS Interpreters die zugewiesenen Jobs (EIS Skripte), die per OS.INI im MAC8 Verzeichnis (letzten 8 Stellen der MAC-Adresse) zugewiesen werden. Die Abfolge der Aufträge sind durch das EIS Skript weitestgehend vorgegeben. An definierten Punkten kann man mittels der Custom EIS Skripte in den Ablauf eingreifen. Bei einer Betriebssysteminstallation werden das Windows PE und die Betriebssystemquellen auf die lokale Festplatte übertragen und von dort die Windows Installation per Windows PE gestartet. Die Installation wird mittels der Betriebssystemvorlage (OS.INI) beschrieben und parametrisiert (Windows Einstellungen, Lizenz-Schlüssel, Partitionierung, Domain-Join, uvm.). Am Ende einer Betriebssysteminstallation wird mittels des Parameters „Befehl“ der Empirum Agent installiert und der Übergang zur Softwareverteilung bereitet.

Empirum WinPE (Windows PE)

Das Empirum WinPE wird ebenso über die Management Console, Konfiguration, Bootkonfiguration erstellt. Bei der Erstellung bedient sich Empirum dem auf dem EmpirumServer installierten WADK (C:\Program Files (x86)\…), nicht dem in Empirum importieren WADK. Das erstellte Empirum WinPE beinhaltet einen EmpirumAgenten (Matrix42 UAF) und diverse WinPE Erweiterungen. Der im WinPE integrierte UAF Agent verarbeitet die zugewiesenen PreOS Pakete (aus der %Computername%.DDC).

Hier gilt die Reihenfolge, von oben nach unten, wie sie im SoftwareDepot festgelegt wurde. Die WinPE Pakete (auf Basis von powershell) werden über die EMC Variablen parametrisiert und nicht mehr über die OS.INI. Deswegen muss bei einer Aktivierung auch kein Haken mehr bei „Betriebssystemkonfiguration (OS.INI) erstellen“ gesetzt werden. Die Variablen bzw. die Variablengruppierungen sind nach den zugewiesenen Paketen benannt (z.B. DiskPartitioning, WindowsInstallation). Im Paket WindowsInstallation wird ebenso ein minimaler Matrix42 UAF Dienst installiert, der nach dem Paket „PxeOffAndReboot“ bis zur Installation des eigentlichen Matrix42 Windows Agenten durch das Paket EmpirumAgentSetup aktiv ist. Somit werden die PreOSPakete bis zum PxeOffAndReboot im Kontext des WinPE ausgeführt und im Anschluss im Kontext des installierten Windows. In dem Installations-Vorgang mittels WinPE stellt die erfolgreiche Ausführung des EmpirumAgentSetup Paketes den Übergang zur Softwareverteilung dar. Eigene PreOS Pakete können mittels Powershell Kenntnissen und dem PreOS Package Editors erzeugt und in die Abfolge eingebaut werden.

PreOS Paket Variablen

Die folgende Variablen bzw. Variablengruppen müssen für eine erfolgreiche Installation per WinPE gesetzt werden.

  • DiskPartitioning (optional)
  • DriverIntegration (optional)
  • WindowsInstallation
  • FQDN
  • ORGANIZATIONAL_UNIT
  • TimeZone
  • DomainJoin
  • MX42_AGENT_PUSH_PACKAGE_FOLDER

Zu diesem Thema werde ich in Kürze einen gesonderten Artikel erstellen. Wer nicht warten mag, sollte das PDF, dass der Empirum WinPE Erweiterung beiliegt, nutzen.

Vorteil der PreOS Pakete

Die sogenannten PreOS Pakete kann man, wie oben beschrieben, auch selbst erstellen. Damit man die Pakete in Empirum importieren und nutzen kann, muss man diese mit dem PreOS Package Editor erstellen. Durch das beschriebene Konstrukt kommen die Vorteile des WinPE Boots und der einzelnen Pakete erst richtig zum Vorschein. Beispielhaft, kann man bei einer Windows 7 zu Windows 10 Migration direkt auch das BIOS aktualisieren, auf UEFI umstellen, uvm. Diese Möglichkeiten waren mit dem EPE und der EIS basierten Installation nicht bis schwer umzusetzen.

Beispiele selbsterstellter PreOS Pakete

In Kundenumgebungen habe ich bereits Pakete wie:

  • BIOS Update
  • BIOS Konfiguration in unterschiedlicher Art und Weise
  • UEFISecureBootValidator
  • PostOSInstallation

erstellt und genutzt.
Einen Teil der Pakete hatte ich bereits veröffentlicht.

In Kürze werde ich ein Update der gesammelten und universellen Werke bereitstellen.

 

Der Beitrag Empirum WinPE – EPE Gegenüberstellung erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/empirum-winpe-epe-gegenueberstellung/feed/ 0
Empirum WinPE Paket – DriverIntegration Ersatz https://www.wpm-blog.de/empirum-winpe-paket-driverintegration-ersatz/ https://www.wpm-blog.de/empirum-winpe-paket-driverintegration-ersatz/#comments Tue, 01 Jan 2019 13:51:56 +0000 https://www.wpm-blog.de/?p=2132 Das Empirum WinPE Paket, das ich hier vorstelle ist dazu gedacht das Matrix42 Paket „DriverIntegration“ zu ersetzen. Mein Paket heißt PrepareDRVbyModel_Packages, da mein erstes WinPE Paket die Treiber aus der EmpInst Verzeichnis Struktur holt. Was … Weiterlesen

Der Beitrag Empirum WinPE Paket – DriverIntegration Ersatz erschien zuerst auf Workplace Management Blog.

]]>
Das Empirum WinPE Paket, das ich hier vorstelle ist dazu gedacht das Matrix42 Paket „DriverIntegration“ zu ersetzen. Mein Paket heißt PrepareDRVbyModel_Packages, da mein erstes WinPE Paket die Treiber aus der EmpInst Verzeichnis Struktur holt. Was macht das originale Matrix42 DriverIntegration Paket? Es sucht in einer drivers.ini nach dem Hersteller und Model und kopiert abhängig davon die Treiber nach C:\EmpirumAgent\Drivers. In diesem Verzeichnis sucht die automatisierte Windows Installation (WindowsInstallation Paket) nach nicht bekannten Treibern. Dies kann man in der unattend.xml im WindowsInstallation Paket Verzeichnis sehen. Jetzt kommt wahrscheinlich der längste Beitrag, den ich bis dato geschrieben habe …

PrepareDRVbyModel_Packages

Mein Ersatz bietet (meines Erachtens:)) einige Vorteile und weicht in den nachfolgenden Punkten von dem Matrix42 Grundgedanken ab:

  • es ist „gesprächiger“ und man kann eher nachvollziehen, was es macht (siehe Screenshots am Ende des Beitrages)
  • der Ablageort der Treiber kann angepasst werden vom Standard: Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers
  • der Ablageort der Drivers.ini kann angepasst werden vom Standard: Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers
  • es kann festgelegt werden, ob die WinPE Installation weitergehen soll, auch wenn kein Eintrag in der drivers.ini, Treiber, etc. gefunden wurde.

Übersicht dieses Beitrages

  • Import der OS-Packages
  • Kurze Einführung: Hardware Model zu Treiber/Software Zuordnung per drivers.ini
  • Möglichkeiten mit PrepareDRVbyModel_Packages
  • Einführung PostOSInstallation Paket
  • Download
  • Fehlersuche
  • Screenshots

Import der OS-Packages

Zuerst ist es notwendig, die zusätzlichen OS-Package über das Software-Depot zu importieren. Danach muss die Reihenfolge arrangiert werden, damit die richtige Abarbeitung während der OS-Installation gewährleistet ist:

  • <WinPE-D-2PXE> (optional aber empfohlen)
  • DiskPartitioning
  • <PrepareDRVbyModel_Packages>
  • WindowsInstallation
  • PxeOffAndReboot
  • DomainJoin
  • <PostOSInstallation> (optional aber empfohlen)
  • EmpirumAgentSetup

Hardware Model zu Treiber/Software Zuordnung

Die Zuordnung Model zu Treiber geschieht wie bei dem Paket der Matrix42 über die drivers.ini Datei. Diese ist im Standard unter Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers abgelegt.

Aufbau der Drivers.ini
[<WMI Manufacturer>]
<WMI Model>=<Ordner, *.ZIP, *.cab unterhalb von Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers>

z.B.
[Dell Inc.]
OptiPlex 7010=DellOptiplex7010
;alternativ OptiPlex 7010=DellOptiplex7010.zip
;alternativ OptiPlex 7010=DellOptiplex7010.cab

Möglichkeiten mit PrepareDRVbyModel_Packages

Nachfolgend sind die Möglichkeiten erläutert, die sich aufgrund der Anpassung und Erweiterung ergeben. Diese Möglichkeiten können über die Variablen in der Management Console gesteuert werden. Die aufgeführten Variablen sind alle unter der Variablen Sammlung „PrepareDRVbyModel_Packages“ zu finden.

DriversAreMandatory:
Das Matrix42 Paket drehte sich bis vor kurzem solange in der Schleife bis ein Treiber in der drivers.ini gefunden wurde.
Dies ist für eine produktive Umgebung, den Dienstleister etc. gut so.
Wenn man jedoch einen Computer ohne spezifische Treiber installieren will (zum Test), dann muss man im Matrix42 Falle einen drivers.ini Eintrag erzeugen mit einem Verweis auf ein leeres Verzeichnis.
Dieses Verhalten wurde mit dem DriverIntegration 2.6 Pakete verändert – man kann es jedoch nicht steuern.

Variablenwerte:
0, WinPE fährt mit der WindowsInstallation fort, auch wenn kein Treiber in der drivers.ini gefunden wurde.
1, Matrix42 Standardverhalten – das System läuft in der Schleife und führt die WindowsInstallation nicht fort.
Somit kann man für eine produktive Struktur (Konfigurationsgruppe) sicherstellen, dass die Installation nur mit bekannten Hardware-Typen durchgeführt wird.

DriversRootPath:
Die Idee, den DriversRootPath anpassbar zu machen, hatte mehrere Gründe:
Selektive Synchronisation der Treiber: Hiermit kann man die Treiber direkt unter Packages\Drivers ablegen und mit einem angepassten „ESubDepot_Packages“ SyncJob diese für bestimmte Standorte auslassen und mit einem selbsterstellten ESubDepot_PackagesDrivers diese separat synchronisieren lassen.
Treiber-Update Softwarepakete: Durch eine Erweiterung der Ablage um eine Setup.inf, DPInst.exe und xml kann man eine Aktualisierung der Treiber auf bestehenden Systemen durchführen und mass dazu die Treiber nicht mehrmals ablegen. Dies werde ich in einem späteren Beitrag nochmals aufgreifen.

Variablenwerte:
„leer“ bedeutet Matrix42 Standardwert:Matrix42\OsPackages\Drivers, das entspricht Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers
Kommentar:
Hinweis: Man kann in der drivers.ini auch Teilpfade angeben.
Für eine Kopie eines Ordners zum Beispiel: OptiPlex 7010=Dell\Optiplex7010\1.0\PNP
Für die Nutzung einer ZIP Datei zum Beispiel: OptiPlex 7010=Dell\Optiplex7010\1.0\PNP\Optiplex7010.zip
Wichtig: Der Pfad wird ab dem Packages Ordner angegeben!

DriversINIPath:
Die Idee hierbei war, dass man eine zweite drivers.ini Datei, unabhängig von einer produktiv genutzten, einsetzen kann.
Darin kann man Einträge für eine bekannte Hardware auf einen anderen Pfad, ZIP, etc. setzen und somit vorab bzw. parallel testen.
Somit kann für eine bestimmte Konfigurationsgruppe ggf. der Wert: Matrix42\OsPackages\Drivers\Test sein.
In diesem Ordner muss dann die alternative drivers.ini abgelegt sein.

Variablenwerte:
„leer“ bedeutet Matrix42 Standardwert:Matrix42\OsPackages\Drivers, das entspricht Empirum\Configurator\Packages\Matrix42\OsPackages\Drivers
Wichtig: Der Pfad wird ab dem Packages Ordner angegeben!

Perfekt funktioniert PrepareDRVbyModel_Packages mit dem PostOsInstallation Paket von mir. Das genannte Paket prüft ob es eine C:\EmpirumAgent\Drivers\HWspecificSW\Setup.inf gibt und führt diese aus.

Möglichkeiten des PostOsInstallation

Das PostOSInstallation Paket ist einfach und ruft eine abgelegt PostOSInstall.bat auf.
Hinweis: Diese Datei solltet ihr vor der ersten Benutzung einsehen und anpassen!
Die Batch Datei hat heute mindestens drei Funktionen:

  • Es importiert eine von dem PrepareDRVbyModel_Packages Paket erstellte Registry Datei, die ähnliche Werte in die Registry schreibt (HKLM\Matrix42\Installer), wie die EPE Installation.
  • Es passt die durch Matrix42 vorgegebenen Firma, Benutzer, Support etc. Informationen in der Registry an, die man bei der EPE Installation in der Betriebssystemvorlage angegeben hat.
  • Es führt eine Setup.inf aus dem C:\EmpirumAgent\Drivers\HWspecificSW Ordner aus, falls diese vorhanden ist. Somit kann man wieder im „Hardware-Profil“ Treiber per PNP und per EXE/MSI installieren.

Somit ist die PostOSInstall.bat eine Art Ersatz für die EmpirumAgent.bat/UEMAgent.bat.

[Update am 27.08.2019] Die Version 1.5 unterstützt nun auch die Drivers.json Datei, die per WinPEDriverAssistant erstellt wird. Es werden auch Intel NUCs erkannt und ASUS Motherboards. Beide zuletzt genannte Typen werden vom DriverIntegration Paket nicht unterstützt. Bei der Nutzung des PostOSInstallation Paketes, die darin enthaltene PostOsInstall.bat anpassen!

Download

Empirum WinPE PreOS Package zum optimierten Treiberhandling.

PrepareDRVbyModel_Packages 1.5 (388 Downloads )
MD5 Hash der Downloaddatei: 175D4CD2FD119A371EDDA21211D6C0C761A7A50F

PrepareDRVbyModel_Packages 1.1 (413 Downloads )
MD5 Hash der Downloaddatei: 0D3415555E6197DC510B02E946D96C5169FD8529

Los geht’s

Schritt 1:
Zuweisen der Pakete für eine Konfigurationsgruppe:

  • <WinPE-D-2PXE> (optional aber empfohlen)
  • DiskPartitioning
  • PrepareDRVbyModel_Packages
  • WindowsInstallation
  • PxeOffAndReboot
  • DomainJoin
  • PostOSInstallation (optional aber empfohlen)
  • EmpirumAgentSetup
  • Betriebssystem (per Variable oder aus dem rechten Baum)
  • WinPE (Bootkonfiguration)
  • Agent-Template

Schritt 2:
Setzen der Variablen für die oben genannten Pakete (siehe hierzu ggf. auch das WinPE Dokument der Matrix42).
Zuordnung des Betriebssystems

Schritt 3:
Zuweisen eines Computers

Schritt 4:
Aktivieren von PXE und Software (OS.INI ist nicht notwendig!)
Achtung:nicht während einer aktiven WinPE Phase den Computer nochmals aktivieren (dies kann ab WinPE 1.4.11 wieder getan werden).

Rückmeldungen sind willkommen!

Fehlersuche:

  • Erster Anlauf: In der Management Console auf dem entsprechenden Computer das PXE-Log ansehen
  • Informationen zum Ablauf der OS-Packages befinden sich in Empirum\EmpInst\Wizard\OS\Auto\<MAC8> oder <UUID>\debug_Matrix42.Platform.Service.Host.log.
    Suchen nach [wpm-blog und darunter sollten weitere Informationen zu finden sein …

Beispielhafte Screenshots:

DriversAreMandatory = 0 und keine passende Zuordnung/Treiber in drivers.ini gefunden

DriversAreMandatory = 1 und keine passende Zuordnung/Treiber in drivers.ini gefunden

DriversAreMandatory = 1, passende Zuordnung/Treiber in drivers.ini gefunden, abweichende DriversIniPath Variable, Treiber werden kopiert

Der Beitrag Empirum WinPE Paket – DriverIntegration Ersatz erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/empirum-winpe-paket-driverintegration-ersatz/feed/ 9
Domain-Join während der Betriebssystem-Installation funktioniert nicht https://www.wpm-blog.de/domain-join-wahrend-der-betriebssystem-installation-funktioniert-nicht/ https://www.wpm-blog.de/domain-join-wahrend-der-betriebssystem-installation-funktioniert-nicht/#respond Fri, 12 Oct 2012 08:02:58 +0000 https://www.wpm-blog.de/?p=293 Es kommt immer wieder vor, dass ich bzgl. der Problematik das der Domain-Join während der Betriebssystem-Installation nicht funktioniert, angesprochen werde. Dieser Problematik lässt sich zumeist in 3 Ursachen unterscheiden und somit mit unterschiedlichen Lösungen beheben. … Weiterlesen

Der Beitrag Domain-Join während der Betriebssystem-Installation funktioniert nicht erschien zuerst auf Workplace Management Blog.

]]>
ComputerEs kommt immer wieder vor, dass ich bzgl. der Problematik das der Domain-Join während der Betriebssystem-Installation nicht funktioniert, angesprochen werde.

Dieser Problematik lässt sich zumeist in 3 Ursachen unterscheiden und somit mit unterschiedlichen Lösungen beheben. Lesen Sie dazu den Artikel bis zum Ende, damit sie sehr zielgerichtet ihr Problem einkreisen können.

Mögliche Ursachen für das Problem

  1. Die Netzwerkkarte wurde nicht installiert
  2. Der Benutzer für den Domain-Join
  3. Namensauflösung

 

Die Netzwerkkarte wurde nicht installiert.

Diese Problematik kann am einfachsten festgestellt werden, in dem man einen Blick auf den Geräte-Manager des betroffenen Gerätes wirft. Häufig bleibt dann auch die Betriebssystem Installation am Ende „hängen“, wenn die Agent.bat bzw. EmpirumAgent.bat aufgerufen werden soll. Fehler 2 bzw. 5 – Die zuvor beschriebene BAT Datei kann nicht gefunden werden oder der Zugriff darauf ist nicht möglich.

 

Der Benutzer für den Domain-Join

Rund um den Benutzer für den Domain-Join kann es mehrere Probleme geben. Zuerst muss in der Betriebssystemvorlage nachgesehen werden, welcher Benutzer diese Aufgabe wahrnimmt. Häufig wird auch der „Diskettenbenutzer“ mit der entsprechenden Aufgabe versehen. Dann muss man in dem Active Directory oder anderem Verzeichnisdienst nachsehen, ob der Benutzer die erforderlichen Berechtigungen besitzt. Dem Benutzer können auf unterschiedliche Art und Weise die Berechtigungen gegeben werden. Manche machen es sich einfach und der Benutzer ist „Domänen-Administrator“. Das ist für meinen Geschmack etwas zu viel des Guten, aber das muss jeder Verantwortliche für sich entscheiden. Eine weitere Möglichkeit besteht darin den Benutzer zu den „Konten Operatoren“ hinzuzufügen, oder gar nur die Sicherheitseinstellung „Hinzufügen von Arbeitsstationen zur Domäne“ für den betroffenen Benutzer zu setzen. Das Wirken dieser Berechtigungen muss in dem Verzeichnisdienst an der richtigen Stelle überprüft werden.

 

Namensauflösung

Häufig verhindert auch die Namensauflösung den Domain-Join. Empirum versucht den Domain-Join durch Nutzung des „NetBIOS“ Domain Namens in den Computer Eigenschaften. Schlägt dies fehl, so kann man den Domain-Join während der Betriebssystem-Installation auch durch Angabe des FQDNs durchführen. Dazu kann man die Variable „FQDN“ eines Computers setzen. Dies geht über das Setzen von Variablen auf einem Computerobjekt in der Empirum Management Console (rechte Maustaste auf ein Computerobjekt, Variablen, FQDN, …) oder ab der Empirum Version 14.2 auch über die Eigenschaften eines Computers. Funktioniert der Domain-Join über diesen Weg, so muss man die Variable nicht für jeden Computer einzeln setzen, sondern kann die Variable auf eine entsprechende Konfigurationsgruppe setzen und mittels „Zwangsvererbung“ jedem Computer zuweisen.
Hinweis: Setzen sie nicht den FQDN Namen in dem Eingabefeld „Domäne“ bzw. „Domain“ der Computereigenschaften! Dies hat auch Auswirkungen auf die Softwareverteilung, die dann nach der Betriebssystem-Installation nicht mehr funktionieren wird!

 

Wie finde ich den Grund für „mein“ Problem?

Wenn Sie gezielt ihr Problem lösen möchten, so schauen sie auf dem betreffenden Computer in die Datei „%WINDIR%\Debug\NetSetup.log“. Hier lässt sich das Problem für den nicht funktionierenden Domain-Join ergründen. Falls Sie Probleme beim Lesen und Interpretieren der Datei haben, so können sie gerne Kontakt mit mir aufnehmen.

 

Achtung beim nächsten Versuch …

War es nicht die Netzwerkkarte, so wird der Computer am Ende der Betriebssystem-Installation inventarisiert und überschreibt ihnen die angegebene Domäne mit der „Arbeitsgruppe“. Dies führt häufig zu Folgefehlern. Also aufgepasst beim weiteren Versuch nach einer durchgeführten Änderung.

 

Der Beitrag Domain-Join während der Betriebssystem-Installation funktioniert nicht erschien zuerst auf Workplace Management Blog.

]]>
https://www.wpm-blog.de/domain-join-wahrend-der-betriebssystem-installation-funktioniert-nicht/feed/ 0