Script – Reset Windows Update Agent

In letzter Zeit häufen die Probleme mit Windows Update, vor allem unter Windows 10: Beispielsweise stürzt die Suche der Update einfach ab und liefert keine Ergebnisse oder ein Update konnte nicht erfolgreich installiert werden und hält damit die weitere Installation auf.

Mit dem Script Reset Windows Update Agent lassen sich die meisten Probleme die mit dem Windows Update Dienst im Zusammenhang stehen, beheben. Das Script gibt es unter folgender URL: https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc

Das Script muss als Administrator gestartet werden. Danach stehen Funktionen zur Problembehebung bereit.

Lync / Skype for Business automatisch starten per Gruppenrichtlinie

Unsere Nutzer beenden Skype for Business regelmäßig und manche sind sogar so schlau, dass sie den Autostart deaktivieren. Das wollen wir aber nicht, da sonst die Presence Funktion, die an die Telefonanlage angebunden ist, für den Benutzer nicht mehr sichtbar ist.

Leider findet sich in den offiziellen ADMX-Dateien zu Office 2013 / Office 2016 keine Konfiguration für den Autostart. Es gibt zwar einige inoffuielle Erweiterungen, die aber mit Vorsicht zu genießen sind. Alle die ich ausprobiert hatte, haben einfach einen Key im Ordner Run erzeugt, der aber keinen Bezug zur installierten x32/x64 Version hatte. Demnach wird der Key für x32 Systeme falsch gesetzt. Das Gleiche gilt für andere Office Versionen: Wenn z.B. Office 2016 installiert ist, stimmt der Pfad auch nicht mehr.

Beispiel Skype for Business mit Office 2016 in x64 installiert auf x64 Windows

"C:\Program Files\Microsoft Office\Office16\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2016 in x32 installiert auf x64 Windows

"C:\Program Files(x86)\Microsoft Office\Office16\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2013 in x64 installiert auf x64 Windows

"C:\Program Files\Microsoft Office\Office15\lync.exe" /fromrunkey

Beispiel Skype for Business mit Office 2013 in x32 installiert auf x64 Windows

"C:\Program Files(x86)\Microsoft Office\Office15\lync.exe" /fromrunkey

Aus diesem System kann man alle anderen Office, Lync, Skype for Business und x32 / x64 Varianten ableiten.

Gruppenrichtlinie erstellen

Nun kann man diesen Registry Schlüssel einfach per GPO erzeugen oder man benutzt folgende Variante: Benutzerkonfiguration -> Administrative Vorlagen -> System -> Anmelden -> Diese Programme bei der Benutzeranmeldung ausführen und benutzt dann den zuvor erstellten Pfad. Beispiel für Office 2013 in 32 bit installiert, auf einem 64 bit Windows: C:\Program Files(x86)\Microsoft Office\Office15\lync.exe

Benutzerkontensteuerung per Gruppenrichtlinie deaktiveren

Die Benutzerkontensteurung kann in den Gruppenrichtlinien ziemlich genau konfiguriert und natürlich auch deaktiviert werden. In manchen Umgebungen macht dies Sinn, da Anwendungen sonst nicht kompatibel sind oder Benutzer nicht genervt werden sollen.

Benutzerkontensteuerung deaktivieren

Die nachfolgenden Einstellungen kommen dem Level 1 der Benutzerkontensteuerung gleich (Niemals benachrichtigen, wenn Programme versuchen Software zu installieren oder Einstellungen am Computer vornehmen), die man auch manuell konfigurieren kann:

Benutzerkontensteuerung per GPO deaktivieren 1

Im Gruppenrichtlinienverwaltungs-Editor findens ich diese Einstellungen unter der Computerkonfiguration unter Richtlinien in den Windowseinstellungen unter den Sicherheitseinstellungen in der Lokalen Richtlinie in den Sicherheitsoptionen:

Benutzerkontensteuerung per GPO deaktivieren 2

Im Detail müssen folgende Einstellungen getätigt werden:

  • Benutzerkontensteuerung: Administratorgenehmigungsmodus für das integrierte Administratorkonto: Deaktiviert
  • Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen: Deaktiviert
  • Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte Rechte anfordern: Aktiviert
  • Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicherem Desktop wechseln: Deaktiviert
  • Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren: Aktiviert
  • Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind: Nicht definiert
  • Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft sind: Deaktiviert
  • Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern: Deaktiviert
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorgenehmigungsmodus: Erhöhte Rechte ohne Eingabeaufforderung
  • Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer: Eingabeaufforderung zu Anmeldeinformationen

Windows 10 – Administrative Templates (Gruppenrichtlinien) aktualisieren (ADMX)

Update vom 24.08.2015: Fehler nach der Installation der Administrativen Templates deaktiveren

Hier habe ich einen Beitrag über mögliche Fehler und deren Korrektur geschrieben: http://chilltimes.de/2015/08/24/windows-10-gruppenrichtlinien-fehlermeldungen-nach-installation/

Update vom 06.08.2015: Offizieller Download verfügbar

Der offizielle Download wurde von Microsoft am 04.08.2015 bereitgestellt: Administrative Templates (.admx) for Windows 10 – Deutsch

 

ADMX-Dateien aus Windows 10 Installation

Um die Windows 10 Clients über Gruppenrichtlinien (Administrative Templates, ADMX) im vollen Umfang konfigurieren zu können, müssen die Policy Definitions auf dem Domain Controllern durch aktuelle Administrative Templates ersetzt werden. Microsoft veröfffentlich wohl irgendwan ein seperates Download Paket. Bis dahin kann man sich aber selber behelfen und die Administrative Templates (ADMX-Dateien), aus einer bestehenden Windows 10 Installation herauskopieren und in die Policy Defintions auf den Comain Controllern kopiert werden.

Administrative Templates aktualisieren

Gruppenrichtlinien aus Windows 10 kopieren

Die neuen ADMX Dateien liegen unter Windows 10 in folgendem Pfad:

C:\Windows\PolicyDefinitions

Windows 10 Gruppentichtlinien 1

Gruppenrichtlinien auf Domain Controller kopieren

Die eben kopierten Gruppenrichtlinien können nun auf den Domain Controller kopiert werden. Die ADMX-Datein müssen in folgendes Verzeichnis eingefügt werden. Dabei müssen die alten Datein durch die neuen Dateien überschrieben werden.

\\domain-cotroller\sysvol\domain\Policies\PolicyDefinitions

Windows 10 GruppentichtlinienFehler in Microsoft-Windows-Geolocation-WLPAdm.admx

Nach der Installation der Administrativen Templates, erscheint beim Aufruf einer Gruppenrichtlinie im Gruppenrichtlinienverwaltungs-Editor ein Fehler. Die Datei Microsoft-Windows-Geolocation-WLPAdm.admx verwendet den gleichen Namespace wie die alte Datei LocationProviderAdm.admx. Also einfach die alte Datei entfernen. (Danke an D. Zunkel)

PS: Diesen Fehler habe ich z.B. in der Windows-Feedback App gemeldet 😉

Gruppenrichtlinienverwaltungs-Editor

Im Gruppenrichtlinienverwaltungs-Editor können die neuen ADMX-Templates nun eingesehen werden. Diese befinden sich unter „Adminsitrative-Vorlagen“. Beim ersten Auruf dauert es ein paar Minuten, bis diese geladen wurden. Nun stehen weitere Konfigurationsmöglichkeiten zur Verfügung, die Windows 10 und z.B. auch Microsoft Edge einschließen.

Gruppenrichtlinien – ADMX Templates

Mit Windows Server 2008 R2 wurden ADMX-Templates eingeführt. Diese Templates erweitern die Gruppenrichtlinien um neue Einstellungen, Produkte oder Vesionen.

Offizielle Microsoft Templates

Gruppenrichtlinien – Central Store

Der Gruppenrichtlinien Central Story liegt auf den Domain Controllern im Vewrzeichnis „\FQDN\SYSVOL\FQDN\Policies“. Nach der Installation von Windows Server 2012 sind hier noch keine ADMX-Templates vorhanden. Diese müssen erstmal erstellt werden. Diese können entweder durch die oben aufgeführten ADMX-Templates installiert werden oder aus der jeweiligen Installation kompiert werden.

Die ADMX-Templates von Windows Server 2012/Windows 8 liegen beispielsweise im ordner „C:\Windows\PPolicyDefinitions\“ und können von hier aus in den Central Store kopiert werden.

Gruppenrichtlinien im Central Store aktualisieren

Neue ADMX-Template sollten immer auf dem Basisdomänencontroller installiert werden. Dieser syncronisiert diese dann an alle anderen Domänencontroller. Im Gruppenrichtlinien Central Store liegen alle GPO´s. In dieses Verzeichnis müssen die neuen Templates auch kopiert werden.

\FQDN\SYSVOL\FQDN\Policies

Gruppenrichtlinien – Client

Die Domänen Computer aktualisieren die Gruppenrichtlinien alle 90 Minuten. Dies kann auch manuell durchgeführt werden.

Gruppenrichtlinien – Client aktualisieren

Mit folgendem Befehl kann man ein Update der Gruppenrichtlinien auf dem Client erzwingen.

gpupdate /force

Windows 8 – NetApp CIFS Share Probleme

Unter Windows 8 ist es unter Umständen nicht möglich CIFS Share der NetApp einzubinden.

Microsoft Lösungen

Enable signing on the third-party file server.

Set-SmbClientConfiguration -RequireSecuritySignature $true

Disable „Secure Negotiate“ on the client.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 0 -Force

NetApp Lösungen

Enable SMB 2 signing on the NetApp(ONTAP CLI)

options cifs.smb2.signing.required on

Enable SMB 2 signing on the NetApp(PowerShell)

ipmo DataONTAP
Connect-NaController controller
Set-NaOption cifs.smb2.signing.required off