Wer im Firmenumfeld Bitlocker einsetzt, kann den Schutz der verschlüsselten Geräte durch den Einsatz eines Startup Pins deutlich erhöhen. Ohne Pin greift nur noch der Windows Passwort Schutz. Jedoch gibt es auch beim Einsatz von Startup Pins ein paar Punkte zu bedenken.

1.    Wie lange sollte der Pin sein?
2.    Haben alle Geräte den gleichen Pin?
3.    Wie lässt sich ein Pin ändern, ohne dem User administrative Rechte zu geben?

Eine neue Version von Wimera ist verfügbar und kann auf der NWC-Services Website heruntergeladen werden. Für den Betrieb von Wimera ist ein explizites Lizenfile notwendig, eine Demo Lizenz kann unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder https://www.nwc-services.de/service/wimera-trial-lizenz-beantragen-2 beantragt werden. 

Neben einigen kleineren Neuerungen und Bugfixes sind einige wesentliche neue Features eingeflossen: 

• Ein umfangreicher Namensgenerator auf Basis von konfigurierbaren Schemas und der DSM Datenbank
• Verschieben von Computern
• Umbenennen von Computern
• Protokollierung von Reinstall-Vorgängen
• Update von Policyinstanzen

Detaillierte Informationen zu Wimera im Allgemeinen und die Erläuterung der neue Funktionen können unter https://www.nwc-services.de/produkte/wimera in Form von Text, Bild und Videos abgerufen werden. Die Videos sind ebenfalls in YouTube unter dem Suchbegriff "Wimera" oder in meinem YouTube Channel http://www.youtube.com/user/davidkoenig09/videos verfügbar. 

Wenn sich der erste User an einem frisch installierten Windows 8 Client anmeldet, läuft erstmal eine langwierige Startanimation. Hierbei werden ein paar neue Funktionen von Windows 8 in einem Tutorial erklärt. Diese mag für den ein oder andere Privat PC „ganz nett“ sein, kann jedoch im Firmenumfeld eher nerven, da das Tutorial für jeden User angezeigt wird. Auch wenn ein Profil gelöscht wird.
Sollte man sich entscheiden diese „Funktion“ zu deaktivieren, gibt es zwei Möglichkeiten.
Entweder über eine GPO oder über die Registry. Für die GPO werden die Windows 8 / Server 2012 ADM Templates benötigt.

Der Service Installer in DSM wird eingesetzt, um Software im Hintergrund zu installieren.
Viele Kunden stört es, dass der End User dabei nicht sehen kann, was auf seinem Rechner installiert wird.
Eine Möglichkeit wäre jetzt natürlich, Pakete nur noch durch den AutoInstaller ausführen zu lassen.
Die Idee sollte jedoch schnell wieder verworfen werden, wenn Clients auch ohne angemeldeten Benutzer verwaltet werden sollen. Dies ist ausschließlich über den Service Installer möglich. Out of the Box könnte man sich die Balloon Tips zu Nutze machen. Allerdings zeigen die nur an, wenn der Service Installer gestartet wird und falls ein Paket fehlschlägt.
Vielleicht also auch nicht die charmanteste Lösung. Zum Glück bietet DSM 7.2 einige tolle Möglichkeiten um sich eigene Benachrichtigungen zu bauen.

Als Nutzer des NWC Credential Providers ist es naheliegend, den Registry Key zum Sperren oder Entsperren des NWC Credential Providers über User-defined Tasks der DSMC zu steuern. Verwendet werden kann hier die Komponente reg.exe, die bei allen gängigen Windows Installation im Verzeichnis "%windir%\system32" zu finden ist. Allerdings ist dabei auf x64 Systemen zu beachten, dass die DSMC selbst ein 32-Bit Prozess ist und somit die korrekten Pfadangaben verwendet werden müssen, um die "richtige" 64-Bit reg.exe zu nutzen. Wird nämlich aufgrund der Windows Redirection die 32-Bit reg.exe verwendet, wird im Zielclient auch der 32-Bit Pfad (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node) genutzt, während der Credential Provider seinen Daten im 64-Bit Pfad der Registry ablegt.

Den Ausweg aus der Misere bietet der virtuelle Pfad "%windir%\sysnative" der ausschliesslich für 32-Bit Prozesse sichtbar ist und den Zugriff auf das 64-Bit-System32 Verzeichnis bietet. Die gesamte Konfiguration der 2 User defined Tasks zum entsperren und sperren des NWC Credential Provider sieht für ein x64-System wie folgt aus:

Das neue Advanced Patch Management in DSM 7.2 ist in der Lage, 3rd Party Software zu patchen.
Die Hotfixe werden direkt von den Hersteller Servern heruntergeladen. Damit der Patchmanagement Dienst Internetzugriff bekommt, muss ggf. ein Proxyserver eingetragen werden. Dies geschieht direkt auf dem entsprechenden Managementpoint unter „Shared Infrastructure“.

Immer häufiger wird der Wunsch an mich herangetragen, neben der normalen Silent Installation auch die Verteilung via Imaging-Verfahren in DSM zu implementieren. Gründe hierfür sind ein schnelleres Deployment und die Unterstützung von VDI Plattformen. Dabei soll zudem die Installation des Master-Images möglichst automatisiert und den Richtlinien entsprechend durchgeführt werden.

Mit DSM 7.2 sind nun alle wesentlichen Funktionen verfügbar, um das Deployment von Betriebssystemen mit Imaging-Verfahren wirklich vollständig umzusetzen. Dabei spielt es keine Rolle, ob das mitgelieferte DriveSnapshot, ImageX oder eine VDI Technologie (die ja aus Sicht der Softwareverteilung nichts weiter als ein Imaging Verfahren darstellt) genutzt wird.

Folgender Artikel beschreibt nun den konzeptionellen Ansatz, um das Deployment von Betriebssystemen und Software mittels Imaging Verfahren in DSM 7.2 zu integrieren. Zum Verständnis dieses Artikel sind noch folgende Informationen von Bedeutung:

Viele, vor allem größere, Kunden haben mehr als eine DSM Umgebung im Einsatz. Oftmals gibt es eine Entwicklungs- und Produktionsumgebung (oder auch mehr). Diese Umgebungen sind in aller Regel identisch aufgebaut.Sollten Administratoren gleichzeitig in mehreren Umgebungen arbeiten, ist die Gefahr groß, Aktionen in der „falschen“ Umgebung durchzuführen.

Um dies zu verhindern, gibt es seit der DSM 7.2 die Möglichkeit, die DSMC (DSM Konsole) farblich anzupassen, um auf den ersten Blick zu sehen, in welcher Umgebung aktuell gearbeitet wird.

Wer eine Windows Installation an seine Bedürfnisse anpassen will, benötigt eine unattend.xml für die unbeaufsichtigte Installation. Dieses Verfahren wird von Microsoft seit Windows Vista eingesetzt.

Bis zu Windows 7 und Server 2008 R2 wird hier das „Windows Automated Installation Kit“ (WAIK) benötigt. Der Nachfolger, das „Assesment and Deployment Kit“ (ADK), hat mit Windows 8 und Server 2012 Einzug gehalten. Eine Komponente davon ist der „Windows System Image Manager“.

Mit diesem Tool können die Antwortdateien (unattend.xml) erstellt bzw. bearbeitet werden. Da es von jedem Betriebssystem mehrere Editionen gibt, muss dem Windows System Image Manager gesagt werden, welche Informationen er zum Bearbeiten zur Verfügung stellen soll.

In DSM 7 gibt es zwei Arten von Schemaerweiterungen. „StateInfo“ und „ManagementInfo“. „StateInfo“ werden vom DSM Client verwaltet. „ManagementInfo“ können nur über die DSMC verändert werden (oder über die PowerShell Extensions).

Mit DSM 7.1 wurde eine Funktion hinzugefügt, um auf einzelnen Clients den Wert einer „StateInfo“ Schemaerweiterung auch über die DSMC zu ändern. Dazu gibt es den Kontextmenüeintrag „Clientseitige benutzerdefinierte Eigenschaften ändern“.

Mit DSM 7.2 wurde dieses Verhalten deutlich erweitert.