Timeout des Logon-Screens bei RDP-Verbindungen erhöhen

Publiziert am 17. August 2011 von Nicolas Dürr

Diese Woche hat uns eine Anfrage erreicht, deren Lösung sicherlich für den ein oder anderen Admin von Interesse sein könnte. Das Problem lautete wie folgt:

Ich setze einen Windows Server 2008 als Terminal Server (i.e. Remote Desktop Server)  ein und verwende ThinClients mit Windows Betriebsystem, auf denen die automatische Verbindung zum Terminal Server (TS) konfiguriert ist. Nun ist es so, dass sich die Clients verbinden und für ca. 30 Sekunden den Login-Bildschirm anzeigen, anschließend wird die Verbindung zum TS getrennt und ein Reconnect erfolgt, wobei das Spiel nach den erwähnten 30 Sekunden von Neuem beginnt. Gibt es eine Möglichkeit, den Timeout zu erhöhen, so dass der Anmelde-Bildschirm länger zu sehen ist?

Tatsächlich gibt es hierzu eine Lösung, die das Setzen eines Registry-Keys auf dem Remote Desktop Session Host verlangt. Im Folgenden erläutere ich, welcher Key dies ist und wie dieser erstellt wird:

  1.  Betätigen Sie Win + R
  2. Geben Sie hier nun regedit ein und bestätigen Sie mit der Enter-Taste
  3. Begeben Sie sich linker Hand im Fenster zu folgendem Pfad
    HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  4. Mittels Rechtsklick im rechten Teil des Fensters und der Auswahl von Neu->DWORD-Wert erstellen Sie nun einen neuen Schlüssel und geben diesem den Namen LogonTimeout
  5. Mittels Doppelklick auf den neu erzeugten Eintrag können Sie dessen Wert verändern. Unter Auswahl von “dezimal” gibt der gesetzte Wert den Timeout in Sekunden an.

Die erwähnte Lösung wurde mit WinXP/Vista/Win7 auf Client-Seite und mit Windows Server 2008 R2 auf Server-Seite getestet, sollte aber auch mit Server 2008 und Server 2003 funktionieren.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

Das ESCde im Augustiner-Keller

Publiziert am 20. Mai 2011 von Moritz Baer

Nach getaner Arbeit bei Microsoft in München folgt der Freizeitteil.

20110520-091302.jpg

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Angepasste Archivierung mit Exchange 2010 und Outlook 2010

Publiziert am 6. Mai 2011 von Moritz Baer

Dieser Artikel gilt für: Exchange 2010, Outlook 2010

Schon seit längerem gibt es unter Microsoft Exchange Server die Möglichkeit E-Mails zu archivieren. Bisher war es jedoch nur möglich dies sehr einheitlich zu tun.
Mit Exchange 2010 in Zusammenarbeit mit Outlook 2010 ist es nun möglich als Administrator Archivierungsvorgaben zu machen, der Benutzer hat allerdings die Möglichkeit unter verschiedenen zu wählen. Diese verschiedenen Archivierungsmöglichkeiten lassen sich sogar auf einzelne E-Mails anwenden, was dem Benutzer sehr viel Spielraum bei der Archivierung bietet.

Die wohl größte Neuerung ist, dass es sich hierbei um ein Online-Archiv handelt. Dieses wird wie eine Art 2. Mailbox auf dem Exchange-Server gespeichert und kann von jedem Platz, an dem auf die eigentliche Mailbox zugegriffen werden kann, aus eingesehen werden.

Der folgende Artikel beschäftigt sich näher mit diesen erweiterten Archivierungen unter Exchange 2010 in Zusammenarbeit mit Outlook 2010.

Weiterlesen

Veröffentlicht unter Exchange Server, Microsoft Office | Verschlagwortet mit , , , , , , , , , , , | Hinterlasse einen Kommentar

Deployment von *.exe Installern über den WSUS: Deployment von Notepad++

Publiziert am 18. April 2011 von Florian Raichle

Bereits im ersten Teil dieser Serie habe ich erwähnt, dass es mit dem WSUS-Server in Verbindung mit dem Local Update Publisher auch möglich ist, *.exe Installer zu verteilen. Damit ist eine sehr komfortable Möglichkeit, gegeben auf wartungsintensive und fehleranfällige Startupskripts zu verzichten. Des Weiteren lässt sich über die Reportingfunktionalität des WSUS-Servers komfortabel der Installationsstand des Deployments überwachen.

In diesem Artikel möchte ich das Deployment eines *.exe Installers anhand des Open Source Texteditors Notepad++ demonstrieren. Dieses kleine Tool bietet Syntax-Highlighting für eine Vielzahl an Sprachen, eignet sich hervorragend zum Schreiben kleinerer Skripts und zum komfortablen Editieren von Konfigurationsdateien. Aus diesem Grund wird dieses Programm im ESCde auf den Workstations verteilt.

Weiterlesen

Veröffentlicht unter Allgemein, Deployment | Verschlagwortet mit , , , , , , , , | 5 Kommentare

Deployment von MSP-Updates über WSUS: Teil 2 (Paketerstellung für Adobe Reader X)

Publiziert am 31. März 2011 von Florian Raichle

Dieser Blogpost stellt die Fortsetzung zum ersten Teil des Artikels Deployment von MSP-Updates über WSUS dar. In diesem zweiten Teil werde ich wie bereits angekündigt die Erstellung eines Updatepakets für den Adobe Reader X erläutern.

Dazu müssen wir uns dieses Paket zunächst herunterladen, momentan handelt es sich die Version 10.01. Wie bereits im Artikel Adobe Reader X (10.0) Deployment mit Gruppenrichtlinien mehrfach erwähnt, lassen sich derartige Downloads am einfachsten auf dem öffentlichen FTP-Server von Adobe finden. Hinter dem etwas kryptischen Namen AdbeRdrUpd1001_Tier1.msp verbirgt sich die MUI-Version des Updates, also die Version, die für alle Sprachen geeignet ist.

Nun können wir den Local Updates Publisher starten, wie immer als Administrator. Über Tools -> Create Update starten wir den Wizard zur Update-Erstellung und geben den Pfad zur *.msp-Datei an:

Nach einem Mausklick auf Next erscheint die nächste Seite, hier müssen zumindest die Felder, welche mit einem roten Sternchen markiert sind, ausgefüllt werden. Die übrigen Felder können gut zu Dokumentationszwecken genutzt werden:

Nach zwei weiteren Klicks auf Next gelangen wir auf die Seite Installable Rules, hier können sehr granular nach einer Vielzahl von Parametern Bedingungen formuliert werden, unter welchen das Update installiert werden soll. Hier bietet es sich an eine Regel zu erstellen, welche überprüft ob der Adobe Reader in der Version 10 überhaupt installiert ist. Um dies zu bewerkstelligen können wir z.B. folgenden Registrykey verwenden: HKLM\SOFTWARE\Wow6432Node\Adobe\Acrobat Reader\10.0 . Damit erstellen wir folgende Regel:

Wenn gewünscht können hier sehr komplexe Bedingungen erstellt werden, insbesondere mit WMI-Abfragen ist praktisch jedes Szenario denkbar. Vor allem in Hinblick auf die Zukunftssicherheit können hier je nach Anforderungen sehr komplexe Regeln vonnöten sein. Dies würde jedoch den Umfang dieses Artikels sprengen, weshalb ich hierauf nicht weiter eingehen werde.

Auf den nächsten beiden Seiten erhalten wir noch die Möglichkeit, den Quelltext des Paktes manuell zu bearbeiten. Nach einem Klick auf Finish wird das Paket erstellt und signiert:

Um das Paket nun für bestimmte Computergruppen freizugeben, müssen wir auch den Local Updates Publisher verwenden. Die Updates werden zwar direkt in den WSUS-Server importiert, auch die Approvals werden wie für alle von Microsoft stammenden Updates in der SUS-DB abgespeichert, jedoch ist die Verwaltung der selbsterstellten Updates über die WSUS-Konsole nicht möglich, da diese die Updates nicht in der GUI anzeigt. Die Steuerung der selbsterstellten Pakete ist nur über die WSUS-API möglich, welche auch vom Local Updates Publisher verwendet wird. Um also das selbsterstellte Paket zu approven navigieren wir im Local Updates Publisher zum eben erstellten Paket und öffnen über Rechtsklick-> Approve das entsprechende Menü:

Nun können wir, wie von der WSUS-Konsole gewohnt die Approvals für das Paket setzen:

Hiermit haben wir nun alle zur Paketerstellung notwendigen Schritte abgeschlossen. Beim nächsten Update-Check auf den entsprechenden Clients sollte nun das selbsterstellte Updatepaket zur Installation angeboten werden:

Mit diesem Blogeintrag wollte ich Ihnen einige grundlegende Schritte zur Erstellung von eigenen Updatepaketen aufzeigen. Der Local Updates Publisher stellt eine Vielzahl an Konfigurationsmöglichkeiten zur Verfügung, wie bereits erwähnt ist auch die Verteilung von *.msi und *.exe-Dateien möglich. Weiterführende Informationen zu diesem Tool bietet das Forum der Entwickler auf Sourceforge sowie deren Wiki.

Veröffentlicht unter Allgemein, Deployment | Verschlagwortet mit , , , , , , , , | 3 Kommentare

Deployment von MSP-Updates über WSUS: Teil 1 (Konfiguration)

Publiziert am 18. März 2011 von Florian Raichle

Wie bereits in meinem Artikel Adobe Reader X (10.0) Deployment mit Gruppenrichtlinien erwähnt, möchte ich Ihnen im heutigen Blogpost eine Methode vorstellen, mit welcher Sie Produktupdates im *.msp Format mit Hilfe eines WSUS-Servers verteilen können. In diesem Format verteilt z.B. Adobe Updates für den allseits bekannten Adobe Reader. Von Seiten Microsofts ist für ein solches Vorgehen der Einsatz des System Centers Configuration Managers 2007 R2 (SCCM) vorgesehen. Dieser ermöglicht es u.a. solche Updates mit Hilfe eines WSUS-Servers an Clients zu verteilen.

Da der SCCM ein sehr komplexes Produkt ist, macht der Einsatz allein zum Verteilen von *.msp Updates keinen Sinn. Für den Fall, dass Sie dieses Produkt ohnehin schon im Einsatz haben, sollten Sie dieses dann auch dafür verwenden.

Vor allem für kleine und mittlere Umgebungen, für welche der Einsatz eines SCCMs schon alleine auf Grund seiner Komplexität schlicht überdimensioniert wäre, wird mit dem im folgenden beschriebene Szenario aus dem WSUS-Server ein mächtiges Deploymentwerkzeug, und das ganze ohne den Einsatz kostenintensiver Zusatzsoftware.

In unserer Umgebung ist der WSUS inzwischen zur zentralen Softwaredeployment-Methode geworden. Jegliche Software, welche nicht über die Group Policy Software Installation (GPSI) installiert werden kann, kann mit Hilfe des hier beschriebenen Vorgehens verteilt werden. Diese stellt eine deutlich bessere und vor allem weniger fehleranfällige Methode als die leider immer noch viel zu oft verwendeten und eigentlich hoffnungslos veralteten Startupskripts dar.

Der WSUS stellt über die WSUS-API prinzipiell die Funktionalität zur Verfügung, selbst Updates zu erstellen, diese zu signieren, in den WSUS zu importieren und diese zu verwalten. Diese Schnittstelle wird auch vom SCCM verwendet. Das Open-Source Projekt Local Update Publisher hat ein Freewaretool geschrieben, um für diese Funktionalitäten eine GUI zur Vefügung zu stellen. Mit dem Local Updates Publisher können neben den hier beschriebenen *.msp Dateien auch *.msi und *.exe Dateien verteilt werden.

An dieser Stelle möchte ich darauf hinweisen, dass es sich hierbei um Drittanbieter Software handelt und aus diese Grund die Verwendung dieses Tools weder vom ESCde noch von Microsoft selbst supported wird! Alle in diesem Artikel beschriebenen Vorgehensweisen erfolgen selbstverständlich auf eigenes Risiko und sollten vor der Implementierung in einer Produktivumgebung ausführlich in einer Testumgebung getestet werden!

In diesem ersten Teil werde ich sämtliche zur initialen Konfiguration des Servers und der Clients notwendigen Schritte beschreiben. Im zweiten Teil werde ich dann die Erstellung und Verteilung eines *.msp-Update Paktes erläutern.

Für dieses Szanario benötigen Sie:

  • einen WSUS-Sever
  • .Net 3.5 auf dem Rechner, auf dem der Local Updates Publisher installiert wird
  • sollte dieser Rechner nicht der WSUS-Server selbst sein, so wird dort die WSUS-Remote Console bennötigt
  • eine Zertifizierungsstelle (CA) , in diesem Szenario wird eine Windows CA verwendet
  • Den Local Updates Publisher, die aktuelle Version finden Sie bei Sourceforge

Beginnen wir zunächst mit der Installation des Local Updates Publisher, diese ist eigentlich selbsterklärend.

Die Updatepakete, die über einen WSUS verteilt werden, müssen immer digital signiert werden. Im Falle von Updates für Microsoft-Produkte, welche üblicherweise mit dem WSUS verteilt werden, werden diese von Microsoft selbst signiert. Da jeder Windows-Rechner das Root-Zertifikat von Microsoft mitgeliefert bekommt, wird dieser Signatur immer vertraut. Selbsterstellte Pakete müssen auch signiert sein, sonst können Sie nicht mit dem WSUS verteilt werden. Dazu benötigen wir die CA, mit welcher wir uns ein Code-Signing-Zertifikat erstellen. Dieses müssen wir anschließend auf die Clients verteilen damit diese auch der Signatur der selbsterstellten Zertifikate vertrauen.

Beginnen wir also zunächst mit der Ausstellung des WSUS-Zertifikats, hierfür müssen wir zunächst ein neues Template erstellen, da sich aus dem mit dem standardmäßigen Codesigning Template ausgestelltem Zertifikat der Private Key nicht exportieren lässt.

Hierzu öffnen wir die CA-Managementconsole, klicken auf Certificate Templates -> Manage -> Duplicate Template:

Sollten Sie eine reine Server 2008-CA-Infrastruktur einsetzen, so können Sie als Version 2008 wählen, ansonsten genügt auch Version 2003. Im Tab General sollten wir einen aussagekräftigen Template Namen vergeben, ich habe Code Signing WSUS gewählt.
Im Tab Request Handling muss auf jeden Fall das Häkchen bei Allow Private Key to be exported gesetzt werden:

Nun können wir das duplizierte Template mit einen Klick auf OK abspeichern.
Über Rechtsklick -> New -> Certificate Template to Issue veröffentlichen wir dann das soeben erstellte Template:


Die erforderlichen Schrite an der CA haben wir nun abgeschlossen und können mit Hilfe des frisch angefertigten Templates ein entsprechendes Zertifikat anfordern.

Hierzu öffen wir auf einem beliebigen Rechner, in meinem Fall auf dem WSUS-Server die Zertifikats-MMC über Start -> Ausführen -> MMC -> Add/Remove Snap-In -> Certificates -> My user account. Im Ordner Personal->Certificates fordern wir über Rechtsklick -> All Tasks -> Request New Certificate ein Zertifikat auf Basis des soeben erstellten Templates an:


Dieses soeben frisch erstellte Zertifikat exportieren wir nun über Rechtsklick -> All Tasks -> Export. Sehr wichtig ist hierbei, den Private Key mit zu exportieren:

Auch sollten Sie den Private Key mit einem starken Passwort schützen, denn sollte das exportierte Zertifikat in falsche Hände geraten, so könnte damit eventuell Schadcode unbemerkt auf alle vom WSUS bedienten Clients eingeschleust werden.

Nun können wir damit beginnen, den Local Updates Publisher zu konfigurieren, hierzu starten wir diesen als Administrator. Im ersten Fenster müssen wir uns nun auf den Server verbinden und hierzu den Servernamen angeben. Wenn Sie wie ich in diesem Beispiel auf den lokalen Server verbinden wollen, so können Sie das Feld Name einfach freilassen und sich mit Connect auf den Server verbinden, ansonsten müssen Sie dort den Servernamen angeben.

Sobald Sie auf den Servernamen im linken Menü klicken, wird folgende Meldung erscheinen:

An dieser Stelle bestätigen wir mit Yes und fügen nun das vorher erstellte Zertifikat mit Import Certificate ein. Hier wäre es auch möglich, über Create Certificate ein Self-signed Zertifikat zu erstellen, in diesem Falle müssten Sie dann jedoch im Falle eines Serverwechsels ein neues Zertifikat ausstellen und alle Pakete neu signieren. Da in den meisten Fällen ohnehin eine CA zur Verfügung steht, stellt meiner Ansicht nach das von mir beschriebene Szenario die deutlich bessere Alternative da.
Nach dem erfolgreichen Import erfolgt die Meldung, dass das Zertifikat nun auf die Clients verteilt werden soll, dies werden wir nun auch tun. Mit einem Klick auf Tools -> Certificate Infos -> Export Cert exportieren wir das Zertifikat wieder, und speichern es unter eindeutigem Namen ab.

Nun öffnen wir erneut die Zertifikats-MMC, diesmal jedoch für den Local Computer Account. Dort öffnen wir den Ordner Trusted Publishers und importieren das soeben exportierte Client-Zertifikat.

Anschließend öffnen wir die Gruppenrichtlinien-Verwaltung und erstellen eine neue Gruppenrichtlinie. Nun öffnen wir diese über Rechtsklick -> Edit. Mit dieser Gruppenrichtlinie müssen wir zum einen das Zertifikat auf die Clients verteilen, diese Einstellung finden wir unter Computer Configuration -> Policies -> Security Settings -> Public Key Policies -> Trusted Publishers :

Über Rechtsklick -> Import fügen wir nun das vorher exportierte Zertifikat, welches den Private Key nicht enthält, ein.
Die zweite Einstellung, welche wir setzen müssen ist, erlaubt den Clients auch Updates zu installieren, welche nicht von Microsoft selbst signiert sind. Diese Einstellung finden wir unter  Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Updates -> Allow signed updates from an intranet Microsoft update service location. Nachdem wir diese Einstellung auf Enabled gesetzt haben, haben wir die Configuration des Local Updates Publishers und der Clients abgeschlossen.

Im zweiten Teil dieses Artikels werde ich die Verteilung eines *.msp-Updates am Beispiel eines Sicherheitsupdates für den Adobe Reader X erläutern.

Veröffentlicht unter Allgemein, Deployment | Verschlagwortet mit , , , , , , | 17 Kommentare

Adobe Reader X (10.0) Deployment mit Gruppenrichtlinien

Publiziert am 2. März 2011 von Florian Raichle

Wie schon das Deployment der Java Runtime Environment stellt auch das Deployment eine PDF-Readers eine grundlegende Aufgabe eines Admins dar. Hierbei fällt die Wahl häufig auf den Adobe Reader, aktuell in der Version X (10.0) vorliegend. Ein Grund dafür ist sicherlich die gute Anpassbarkeit an Kundenbedürfnisse in einem Deployment.

Der Adobe Reader ist über den direkten Downloadlink auf der Homepage nur als *.exe-Installer zu beziehen. Adobe stelle jedoch den Reader auch als MSI-Datei zur Verfügung, diese eignet sich hervorragend zur Verteilung über die Group Policy Software Installation (GPSI). Die jeweils aktuellen Versionen finden Sie am einfachsten auf dem öffentlichem FTP-Server Adobes.

Prinzipiell könnten wir diese MSI-Datei wie bereits im Artikel Ein ‘leises’ Java Deployment beschrieben direkt über die GPSI auf die Clients verteilen. Jedoch bietet Adobe mit dem Adobe Customization Wizard X ein hervorragendes Tool um eine angepasste Installation zu erstellen. Sie finden dieses Tool wieder am einfachsten auf dem öffentlichen Adobe FTP-Server. Die MSI-Datei legen wir am besten direkt auf einen eigenen Ordner auf dem Server, der die Deploymentshares beherbergt. Dort werden dann automatisch auch alle vom Adobe Reader X  Setup benötigten Dateien abgelegt.

Nach der Installation des Adobe Customization Wizards öffnen wir diesen über den Link im Startmenü. Nun laden wir die zuvor heruntergeladene MSI-Datei des Adobe Readers in den Customization Wizard über File -> Open Package :

Adobe Custimozation Wizard
Nun bekommen Sie eine große Anzahl an Einstellmöglichkeiten angeboten. Da die meisten Einstellungen selbsterklärend oder sehr gut durch die Hilfetexte am unteren Bildrand dokumentiert sind, werde ich im Folgenden nur auf die Einstellungen Bezug nehmen, welche für ein simples Deployment, also ein schlanker Reader ohne Popups und Benutzerabfragen, relevant sind.
Im ersten Tab unter Personalization Options können wir den Standardinstallationspfad ändern, in den meisten Fällen sollte dies jedoch keine große Rolle spielen.

Im nächsten Tab unter Installation Options können wir das Verhalten während der Installation festlegen. In unserem Fall habe ich folgende Einstellungen angepasst:

Da wir in unserer Umgebung nur einen Reader einsetzen, soll der Adobe Reader auch als default Viewer gesetzt werden.
Die Installation soll ohne Benutzerinteraktion erfolgen, also sollte die Installation Silently (no interface) erfolgen. Da die Installation, wie ich später noch detaillierter ausführen werde, über eine Computer GPO ausgeführt wird, welche beim Start geladen wird, soll die Installation ohne nachzufragen den Rechner neustarten. Dies stellt in unserer Umgebung kein Problem dar, da die Rechner über eine BIOS-Einstellung eine Stunde vor Start der Geschäftszeiten hochgefahren werden und somit genügend Zeit für Reboots bleibt.

Im Tab Registry können sämtliche vom Setup gesetzten Registrykeys beeinflusst werden. Ich nutze diese Einstellung um den Adobe Speed Launcher sowie Adobe ARM, welcher einen Teil des Updates Manager für den Reader darstellt, aus dem Autostart zu entfernen. Da wir automatische Updates sowieso deaktivieren, sind diese Komponenten nicht vonnöten. Den dazugehörigen Registrykey finden wir unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:


Im Tab Shortcuts möchte ich die Desktopverknüpfung entfernen, diese wird meiner Einschätzung nach selten benötigt und sorgt für einen saubereren Desktop:


Im Tab EULA können wir die EULA für den Benutzer akzeptieren, da wir ein Deployment mit möglichst geringer Benutzerinteraktion erreichen möchten, setzen wir diese Einstellung:


Im Tab Online and Acrobat.com Features können wir eine ganze Menge in meinen Augen eher unötige Dinge im Adobe Reader deaktivieren:


Ich habe mich für die Deaktivierung aller Updates entschieden, da für die Installation dieser administrative Berechtigungen vonnöten sind. Die Updates für den Abobe Reader lassen sich zum Beispiel mit dem System Center Configuration Manager, aktuell in der Version 2007 R2, verteilen. Es besteht auch die Möglichkeit, diese über einen WSUS-Server in Verbindung mit einem Freewaretool zu verteilen. Darauf werde ich in einem späteren Blogpost gesondert eingehen, da dies doch einige nicht unerhebliche Konfigurationsschritte erfordert.
Die Acrobat.com Einstellungen deaktiviere ich allesamt, da ich darin keinen Nutzen für den Endbenutzer sehe und bestrebt bin, das Deployment so schlank wie möglich zu machen.

Nun haben wir alle für meine Bedürfnisse nötigen Einstellungen gesetzt und können eine Transform-Datei erzeugen, über welche wir dann die Modifikationen auf die MSI-Installation anwenden können. Hierzu speichern wir die Modifikation über File -> Save Package ab:

Damit haben wir eine *.mst Datei im selben Ordner erzeugt, in dem auch die *.msi-Datei liegt.

Nun erstellen wir eine neue Gruppenrichtlinie und linken diese direkt auf eine oder mehrere OUs, auf welche diese Gruppenrichtlinie angewandt werden soll:

Das Installationspaket fügen wir unter Computer Configuration -> Policies -> Software -> Software installation über einen Rechsklick ->New Package ein. Wichtig ist, dass wir hier den UNC-Netzwerkpfad angeben, denn er muss ja von allen Clients erreicht werden. An dieser Stelle möchte ich Ihnen die Verwendung des Distributed File System, kurz DFS genannt ans Herz legen. Damit ersparen Sie sich eine Menge Arbeit, wenn Sie den Deploymentshare einmal auf eine andere Maschine verschieben müssen. Einen sehr guten Artikel zur Funktionsweise von DFS finden Sie in der Microsoft Technet unter dem Artikel How DFS works.

Wir wählen als Deployment Methode Advanced und bestätigen mit “OK”. Im Tab Modifications fügen wir über Add die *.mst-Datei hinzu, auch hier muss unbedingt ein UNC-Pfad angegeben werden.

Nun sollte beim nächsten Neustart des Clients die Installation des Adobe Readers X mit den gewählten Anpassungen installiert werden:

Veröffentlicht unter Allgemein, Deployment | Verschlagwortet mit , , , , , | 14 Kommentare

Office 2010 Einstellungen bei Roaming Profiles “mitnehmen”

Publiziert am 14. Februar 2011 von Nicolas Dürr

In letzter Zeit haben uns einige Support-Anfragen erreicht, welche folgende Problematik beinhalteten:

Bei der Verwendung von Roaming Profiles werden userspezifische Änderungen an der GUI der Office 2010 Produkte nicht zwischen Computersystemen übernommen.

Hierzu zählen neben Änderungen an der Quick-Access-Toolbar (QAT) (s. Abb.), auch Änderungen an den Ribbons, dem Menüband von Office 2010.

Quick Access Toolbar (QAT) am Beispiel von Word 2010

Das Verhalten, dass Veränderungen der GUI von Office 2010 nicht zwischen Computersysteme verteilt werden, ist bereits aus älteren Distributionen bekannt.
Für Office 2007 gibt es einen Hotfix, den Sie im KB-Artikel Quick Access Toolbar files for 2007 Office applications do not roam with your profile finden. Bitte beachten Sie, dass der deutsche Artikel automatisch übersetzt wurde und sich daher teilweise etwas komisch anhören kann!

Dieser Blogeintrag behandelt im Folgenden ausschließlich Office 2010!
Die Ursache des oben genannten Problems liegt darin begründet, dass Einstellungen der QAT bzw. der GUI bei Office im nicht-geroamten Teil des User-Profils abgelegt werden. Bei Office 2010 sind die Einstellungen in den customUI-Dateien enthalten, welche unter folgenden Pfaden zu finden sind:

C:\Dokumente und Einstellungen\ username \Local Settings\Application Data\Microsoft\Office [Windows XP, Windows Server 2003]

bzw.

C:\Benutzer\ username \AppData\Local\Microsoft\Office [Windows Vista, Windows Server 2008, Windows 7]

Zur Lösung des oben genannten Problems gibt es zwei Ansätze:

  1. Für bereits bestehende Office 2010 Installationen kann man sich mittels einer Gruppenrichtlinien-Einstellung behelfen, die in den Administrativen Vorlagen von Office enthalten ist. Die Administrativen Vorlagen werden als seperater Download im Microsoft Download Center bereitgestellt [Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool]. Bitte beachten Sie, dass die ADM-Vorlagen zunächst im Gruppenrichtlinien-Editor importiert werden.
  2. Für das Office-2010-Deployment, also das automatische Verteilen des Office-Pakets auf Systeme im Netz, kann man sich des Office-Anpassungstools bedienen. Hiermit ist die Erstellung einer Setup-Anpassungsdatei (MSP-Datei) möglich, die die Grundlage für eine automatisierte Installation von Office 2010 bildet. Die MSP-Datei enthält Konfigurationseinstellungen, sodass die Installation für die Benutzer völlig transparent erfolgen kann. Weitere Informationen zum Office-Anpassungstool und dessen Möglichkeiten finden Sie im Technet-Artikel Office-Anpassungstool in Office 2010.

Beide Ansätze haben zur Folge, dass die customUI-Dateien mit ins Roaming Profile übernommen werden!
Im Folgenden nun das genaue Vorgehen für die beiden oben genannten Fälle!

1. Setzen der Einstellung mittels Gruppenrichtlinie

Die Gruppenrichtlinieneinstellung finden Sie im Gruppenrichtlinien-Editor nach erfolgtem Import der Administrativen Vorlagen für Office 2010 unter folgendem Pfad:

Benutzerkonfiguration -> Administrative Vorlagen -> Klassische administrative Vorlage -> Microsoft Office 2010 System -> Global Options  -> Customize

Die Einstellung heißt hier “Allow roaming of all user customizations”.

Die gewünschte Einstellung im Gruppenrichtlinien-Editor

2. Verwenden des Office-Anpassungstools

Das Office-Anpassungstool starten Sie über die Setup.exe des Office 2010 Installationsmediums mit dem Parameter /admin. Die nötige Einstellung bezüglich des Roamings von Benutzeranpassungen finden Sie unter

Features -> Benutzereinstellungen ändern -> Microsoft Office 2010 -> Globale Optionen -> Benutzerdefiniert.

Aktivieren Sie hier den Eintrag “Roaming aller Benutzeranpassungen erlauben”.

Office 2010 Anpassungs-Tool

Die gewünschte Einstellung im Office-Anpassungstool

 

Veröffentlicht unter Allgemein, Microsoft Office | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Attribute im AD verstecken und eigene Attribute erstellen

Publiziert am 3. Februar 2011 von Moritz Baer

In einer normalen AD-Umgebung kann jeder Benutzer Attribute aus dem AD auslesen. Dies ist allerdings nicht gerade wünschenswert, da so auch eventuell private Informationen allen Benutzern zugänglich sind. An Universitäten wäre zum Beispiel die Matrikelnummer ein solches schützenswertes Attribut.

Um das Verstecken eines solchen Attributs zu realisieren gibt es jetzt 2 Möglichkeiten:

Man nimmt ein bereits existierendes Attribut im AD und versteckt es, oder man erstellt sich ein eigenes Attribut Matrikelnummer. Hierbei ist zu beachten, dass so genannte „Base Schema Attributes“ gibt, die nicht versteckt werden können.

Ist das Attribut ein Base Schema Attribut?

  • Man öffnet ldp.exe (Start -> Ausführen -> ldp.exe)
  • Über Connection -> Bind verbindet man sich zu seiner Domäne
  • Mit View-> Tree -> BaseDN: CN=Schema,CN=Configuration,DC=Domain,DC=local bekommt man eine Liste der Attribute des ADs
    (hierbei ist Domain und local durch IHREDOMAIN und IHREENDUNG zu ersetzen)
  • Man navigiert zu dem gewünschten Attribut, zum Beispiel „Employee-ID“
  • Ein Doppelklick zeigt rechts die Informationen des Attributs an
  • Steht hier systemFlags 0×10 = (FLAG_SCHEMA_BASE_OBJECT); so kann das Attribut nicht versteckt werden

Verstecken eines Attributs

Um ein Attribut zu verstecken, muss man folgende Schritte ausführen:

  • Man öffnet ADSI Edit (Start -> Ausführen -> adsiedit.msc)
  • und navigiert über Schema zu dem gewünschten Attribut
  • Ein Doppelklick öffnet die Eigenschaften des Attributs
  • Hier trägt man unter searchFlags den Wert 128 ein und bestätigt mit OK

Nun können nur noch Administratoren das Attribut sehen.

Erstellen eines eigenen Attributs

Um ein eigens Attribut zu erstellen öffnet man die MMC über Start -> Ausführen -> mmc

Hier fügt man über File -> Add/Remove Snap-in… -> Add… das Snap-in Active Directory Schema hinzu. (Falls dieses Fehlen sollte, kann man es wie unter [1] beschrieben installieren)

Nun erweitert man Active Directory Schema. Mit einem Rechtsklick auf den Ordner Attributes -> Create Attribute… und dem Bestätigen der Sicherheitswarnung kommt man zum Dialog zum Erstellen eines neuen AD-Attributs. Hierbei sollte man die Microsoft Richtlinien zur Namensgebung unter [2] beachten Die Eintragungen könnten zum Beispiel so aussehen:

  • Gemeinsamer Name: Matrikel-Nummer
  • LDAP-Anzeigename: matrikelNummer
  • Eindeutige X500-OID: %oidgen%.2.1
  • Beschreibung: Matrikelnummer
  • Syntax: Ganze Zahl
  • Minimum: 0
  • Maximum: 999999999

%oidgen%2.1 steht hierbei für ein Script von Microsoft. Es schlägt vor, wie die neue OID aussehen soll
Den Quelltext finden sie hier: oidgen

Nach Bestätigen der Eingabe hat man ein neues AD-Attribut „matrikelNummer“ erstellt.
Nun muss man dieses noch den Benutzern hinzufügen. Hierzu öffnet man den Ordner Classes. Ein Doppelklick auf users öffnet die Eigenschaften. Im Tab Attributes kann man über Add… nun das neu erstellte Attribut matrikelNummer hinzufügen. Nun nur noch alle Dialoge und Fenster mit OK schließen.

Um das neu erstellte Attribut zu verstecken geht man wie oben beschrieben vor und setzt searchFlags auf den Wert 128.

Das neue Attribut anzeigen und editieren

Im AD hat nun jeder Benutzer ein Attribut matrikelNummer, allerdings wird es in Active Directory Users and Computers (ADUC) noch nicht angezeigt und man kann es hier auch noch nicht bearbeiten. Um es nur anzuzeigen, genügt es der tabellarischen Ansicht eine Spalte Matrikelnummer hinzufügen:

Hierzu öffnet man ADSIEdit (Start –> Ausführen -> adsiedit.msc) und navigiert je nach Sprache des Systems zu einem der folgenden Punkte:

(deutsch)            – Configuration -> CN=DisplaySpecifieres -> CN=407 -> CN=container-Display
(englisch)            – Configuration -> CN=DisplaySpecifieres -> CN=409 -> CN=container-Display

Hier fügt man unter extraColumns den Eintrag
matrikelNummer, Matrikelnummer, 1,-1,0
hinzu und schon wird das zuvor erstellte Attribut matrikelNummer in einer zusätzliche Spalte im ADUC angezeigt.

Um eine solche Spalte nicht unter Users sondern in den jeweiligen OUs zu erhalten muss man das Ganze an einer anderen Stelle eintragen:

(deutsch)            – Configuration -> CN=DisplaySpecifieres -> CN=407 -> CN=organizationalUnit -Display
(englisch)            – Configuration -> CN=DisplaySpecifieres -> CN=409 -> CN=organizationalUnit -Display

Wenn man den Eintrag allerdings nicht nur sehen sondern auch ändern möchte, sollte man sich einen zusätzlichen Kontextmenüeintrag anlegen:

Hierzu benötigen wir zu aller erst ein kleines Skript, welches das Attribut ausließt, es anzeigt und Änderungen zurück ins AD schreibt. Eine sehr einfache Variante wäre folgender Quelltext:

Option Explicit
Dim wshArguments, objUser, objSchemaMatrikelNummer, strCurrentMatrikelNummer, strMatrikelNummer, intMaxLen
 
On Error Resume Next
 
Set wshArguments = WScript.Arguments
Set objUser = GetObject(wshArguments(0))
Set objSchemaMatrikelNummer = GetObject("LDAP://schema/matrikelNumber")
 
intMaxLen = objSchemaMatrikelNummer.MaxRange
'intMaxLen = 100000
 
If objUser.matrikelNummer <> "" Then
    strCurrentMatrikelNummer = objUser.matrikelNummer
Else
    strCurrentMatrikelNummer = "empty"
End If
 
strMatrikelNummer = InputBox( _
    "Die aktuelle Matrikelnummer lautet " & strCurrentMatrikelNummer & vbCrLf & _
    vbCrLf & _
    "Tragen Sie bitte die neue Matrikelnummer ein (1 bis " & intMaxLen & " Zeichen)", _
    Right(objUser.Name, Len(objUser.Name) - 3) & " Matrikelnummer", _
    objUser.matrikelNummer)
 
If strMatrikelNummer = "" Then WScript.Quit 'User clicked Cancel
 
If Len(strMatrikelNummer) > intMaxLen Then
    MsgBox "Die neue Matrikelnummer ist zu lang und wird somit nicht gespeichert.", _
        vbCritical, "Fehler"
Else
    Err.Clear
    objUser.matrikelNummer = strMatrikelNummer
    objUser.SetInfo
    If Err Then MsgBox "Die neue Matrikelnummer wird nicht gespeichert.", _
        vbCritical, "Fehler"
End If

Diesen Quelltext speichert man nun an einem beliebigen Ort PFAD als matrikelNummer.vbs ab.
Nun öffnen man wieder ADSIEdit (Start -> Ausführen -> adsiedit.msc) und navigiert je nach Sprache des Systems zu einem der folgenden Pfade:
(deutsch)            – Configuration -> CN=DisplaySpecifieres -> CN=407 -> CN=user-Display
(englisch)            – Configuration -> CN=DisplaySpecifieres -> CN=409 -> CN=user-Display

Hier fügt man unter dem Punkt adminContextMenu folgenden Eintrag hinzu:

2, Matrikelnummer, PFAD\matrikelNummer.vbs

Hierbei kann man die 2 durch jede beliebige, noch nicht in den Einträgen auftauchende, Zahl ersetzen, es verändert sich lediglich die Position im Kontext Menü.

Nun hat man über das Kontextmenü des Benutzers eine Möglichkeit die Matrikelnummer direkt zu ändern.

Weiterführende Links:

[1] http://technet.microsoft.com/de-de/library/cc755885(WS.10).aspx
[2] http://technet.microsoft.com/de-de/library/cc759633(WS.10).aspx

Veröffentlicht unter Active Directory | Verschlagwortet mit , , , , , , , , | 1 Kommentar

TechEd Europe 2010 Berlin: Tag 4

Publiziert am 13. November 2010 von Alexander Wachtel

Hallo, 

wieder waren wir morgens um 9 Uhr auf der TechEd um die Vorträge am vorletzten Tag zu genießen. 

Den Tag hat Matthias bei einem Vortrag über fortgeschrittene Automatisierungsmöglichkeiten mit Windows Powershell 2.0 und ich mit einem Überblick über FIM 2010 eröffnet. In der nächsten Session haben wir uns zu einem Vortrag entschlossen, der dem Publikum einen tieferen Einblick in das Thema Hochverfügbarkeit von Exchange Server 2010 (SP1) gegeben hat. Weiter ging es bei Matthias mit einem Vortrag zum Troublehooting von Direct Access und bei mir zur Cloud Security. 

In der Mittagspause ist Matthias einigen Mitarbeitern des KIT und Kunden des ESCde über den Weg gelaufen, u.a. Ralf Wigand (MVP Active Directory), mit denen er zum Essen gegangen ist. In dieser Zeit habe ich einen Vortrag über die 10 häufigsten Fehler beim Backup von virtualisierten Umgebungen gehört, wodurch meine Mittagspause ziemlich kurz geraten ist. 

Nach der Pause haben wir zusammen einen unterhaltsamen Vortrag über das Finden von Sichheitslücken in einer Microsoftumgebung und welche Punkte beachtet werden sollten, damit die Sicherheitslücken minimiert werden, gehört. Als Nächstes interessierte sich Matthias für einen Vortrag über Troubleshooting von Gruppenrichtlinien. Ich habe mir in dieser Zeit, wie nicht anders zu erwarten, einen Vortrag zum Thema Securing the Cloud angehört. 

Zum Abschluss haben wir noch knapp 1 Stunde in der Lab Zone, um die fehlenden Labs zu machen, verbracht. 

Abends waren wir wieder in unserem Stammrestaurant, bei dem wir wieder ein leckeres Essen geniessen durften.

Veröffentlicht unter Allgemein | Verschlagwortet mit | Hinterlasse einen Kommentar