NWC Services Blog
Mit der Veröffentlichung von DSM 2022.1 wurde auch der neue Microsoft Intune Konnektor veröffentlicht. Dieser Konnektor, welcher mittels Azure App Registration über die Graph API mit Intune kommuniziert, ermöglicht unter anderem einen direkten Upload des DSM Agents zur Verteilung via Intune.
Prinzipiell bietet dieser Konnektor natürlich vor allem für hybride Client Management Ansätze ein sehr großes Potenzial. Da sich der Funktionsumfang der Seitens Ivanti zum aktuellen Zeitpunkt mitgeliefert wird jedoch noch in Grenzen hält, möchte ich heute zeigen wie Sie sich mit wenig Aufwand und DSM Bordmitteln auch jetzt bereits interessante Infos aus der Cloud in Ihre DSM Umgebung syncen können.
Aber was wäre denn interessant zu wissen? Ob es sich bei einem Client um ein AAD-Only oder ein Hybrid-Joined Gerät handelt? Oder vielleicht die Geräte-ID aus Intune? Kurz gesagt, eine Art "DSM Basis Inventarisierung" für Intune wäre doch toll.
Vor kurzem wurden wir durch Microsoft durch eine neue Funktion innerhalb von Windows 10 aufs Neue wieder überrascht, welche auch bei älteren Builds nachträglich verfügbar ist, aber primär für die Aktuellen gilt wie 1909, 2004, 20H2 und 21H1. Dem Ein oder Anderen wird es bereits selbst aufgefallen sein, dass in der Taskleiste auf einmal ein neues Symbol aufgetaucht ist. Dieses zeigt nicht nur den aktuellen Wetterbericht an, sondern präsentiert auch Nachrichten und die Verkehrsmeldungen.
Nach dem üblichen internen Aufschrei über diese mehr oder weniger sinnvolle Funktion im Unternehmensumfeld, kamen auch bereits die ersten Anfragen aus dem Kundenumfeld auf uns zu wie man dieses Feature wieder los wird und am Besten gleich ganz deaktiviert. Zeit sich also damit ein wenig intensiver zu beschäftigen, welche Möglichkeiten wir hier den Kunden bieten können.
Die gute Nachricht vorab ist, dass man die Funktion über verschiedene Methoden auch komplett deaktivieren kann.
Methode 1: die Registrierung
Gespeichert werden die Einstellungen in dem Registrierungsschlüssel
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Feeds
Über den Wert „ShellFeedsTaskbarViewMode" kann die Anzeige wie folgt gesteuert werden:
0 = Wetter Icon und zugehöriger Text werden angezeigt
1 = Nur das Wetter-Icon wird angezeigt
2 = Die Wetteranzeige ist komplett deaktiviert
Des Weiteren gibt es eine zusätzliche MouseOver Funktion, die über den Wert „ShellFeedsTaskbarOpenOnHover" beeinflusst wird:
0 = Mouse Over ist deaktiviert
1 = Mouse Over ist aktiviert
Methode 2: Gruppenrichtlinien
Für den Einsatz im Unternehmen bietet sich diese sicherlich eher an, als die Verteilung von Registrierungsschlüsseln über zb. Eine Softwareverteilung da dieser Weg meistens der schnellere und dynamischere ist.
Die zugehörige Richtlinie ist unter folgendem Pfad zu finden:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Neuigkeiten und interessante Themen
Hier gibt es leider nur die folgenden Einstellungen:
Aktiviert und Nicht konfiguriert = Wetter und News werden angezeigt
Deaktiviert = Wetter und News werden nicht angezeigt
Soviel zu den üblichen Möglichkeiten diese Funktion zu aktivieren bzw. deaktivieren, hat man sich dazu entschieden dem Anwender dieses Feature weiterhin zu lassen, existieren noch weitere Möglichkeiten, um dies etwas komfortabler für den Endanwender und das Unternehmen zu gestalten.
Wetterkachel
In der Wetterkachel kann der Endanwender auf die 3-Punkte klicken und so die Wetter-Kachel ausblenden, oder einen eigenen Standort eingeben, falls der automatisch ermittelte nicht dem entspricht, was man angezeigt bekommen möchte.
Neuigkeitenkachel
Einige der Kacheln kann der Endanwender in den Neuigkeiten und interessante Themen auch ausblenden. Über die 3-Punkte wird diese Option wie gewohnt angeboten.
Möchte man die einzelnen Kacheln wieder aktivieren, so geht man auf die 3-Punkte rechts oben -> „Sprache und Inhalt" und wird auf die persönliche MSN-Einstellungsseite geleitet. Hier kann die Funktion wieder aktiviert werden.
Wichtig: Damit es funktioniert, muss das Microsoft-Konto unter Windows 10 mit dem Konto auf der Webseite übereinstimmen. Ansonsten werden die Einstellungen nur im Konto vorgenommen, das für die Anmeldung auf der MSN Webseite genutzt wird.
Nachrichteninhalte
Über die Funktion „Verwalten", oder auch im 3-Punkte Menü „Sprache und Inhalt" kann ausgewählt werden, welche Nachrichten, aus welchen Kategorien angezeigt werden sollen.
Die Einstellungen werden dann direkt auf der MSN-Webseite vorgenommen.
msn.com/de-de/feed
msn.com/de-de/feed/settings
Hier bleibt zu hoffen das mit der Zeit noch weitere Funktionen und Einstellungen folgen werden und diese auch den Weg in die Registrierung oder gar die Gruppenrichtlinien finden damit wir sie auch an zentraler Stelle pflegen können.
Mit dem am 29.04.2021 erschienenen Service Update 1 für Ivanti DSM 2020.2 wurde das neues Feature "DSM Remote Control 2021" freigegeben und weitere Fehlerbehebungen vorgenommen.
Eine ausführliche Aufstellung aller behobenen Probleme finden Sie in den Release-Notes auf Ivanti.com.
Leider hat sich ein neues Problem eingeschlichen, auf das ich näher eingehen möchte.
Da ich bereits in mehreren Kundenprojekten gefragt wurde wie man nun über die MEMCM Konsole am besten herausfinden kann welcher Client gerade über das CMG mit der Umgebung kommuniziert und da diese Information etwas versteckt zu finden ist, möchte ich in diesem Artikel kurz zwei Möglichkeiten aufzeigen wie diese Anforderung realisiert werden kann.
Am gestrigen Dienstag, dem 15.12.2020, wurde die neue DSM-Version 2020.2 freigegeben. Neue Features wie Unterstützung für die Verteilung von MSIX-Paketen, PowerShell 7 Support, die Integration von Xtraction Reporting und weitere kleinere neue Optionen sowie natürlich die Behebung bekannter Probleme, lassen eine vielversprechende Version erwarten. Details finden Sie wie üblich in den offiziellen Release Notes, die Sie hier nachlesen können.
Allerdings möchte ich Sie mit diesem Blog-Artikel auf ein Problem aufmerksam machen, das sowohl in DSM 2020.1 als auch noch in der neuen Version 2020.2 besteht und das eventuell schwerwiegend genug ist, dass Sie aktuell von einem Update auf DSM 2020.x absehen sollten.
Einer der Hintergründe weshalb wir SmartShutdown entwickelt haben ist die Möglichkeit Software, Updates und dergleichen, beim Herunterfahren des PCs installieren zu können.
Vor Kurzem hatten wir von einem Kunden eine Supportanfrage erhalten das genau diese Funktionalität scheinbar nicht mehr gegeben ist und SmartShutdown immer nur nach einem Neustart des Rechners die zugewiesenen Pakete installiert.
Eine Analyse der DSM Logfiles konnte dieses Verhalten auch nur bestätigen, aber lieferte keinen genaueren Hinweis wieso sich SmartShutdown so verhält. Die Gruppenrichtlinien mit denen SmartShutdown gesteuert wird waren die erste Fehlerquelle die wir ausschließen konnten, gleiches galt auch für die eigentlichen SmartShutdown Skripte und Pakete.
Im Endeffekt bereitete uns eine eher nicht ganz so bekannte Windows Funktion namens Hiberboot bzw. Schnellstart die Probleme. Im Zuge der Windows 10 Implementierung wurde diese Funktion aktiviert und an alle Rechner per Gruppenrichtlinie verteilt, was bisher keinerlei Probleme verursachte. Bei SmartShutdown fiel es nun allerdings auf, da durch den Schnellstart der eigentliche Shutdown keiner mehr ist, sondern eher einem Neustart gleichzusetzen ist.
Über eine testweise Deaktivierung konnte dieses Verhalten reproduzierbar als Fehlerquelle identifiziert werden. Technisch passiert beim Schnellstart des Rechners folgendes im Hintergrund:
Vor dem Herunterfahren beendet Windows alle laufenden Anwendungen und schließt die Benutzersitzung. Dann wird aber der Windows-Kernel nicht, wie bei Windows 7, gestoppt, sondern das Betriebssystem schreibt während des Herunterfahrens Teile des Arbeitsspeichers mit dem Abbild des Kernels in eine Datei. Beim nächsten Booten werden der gesicherte Systemstatus (Speicherabbild, Prozessstatus) aus der Ruhezustandsdatei (hiberfil.sys) zurückgelesen und die Treiber ggf. neu initialisiert.
Um diesen Schnellstart Modus zu deaktivieren gibt es mehrere Möglichkeiten, zu Testzwecken wäre die Schnellste es über den aktuell ausgewählten Energiesparplan einzustellen. Hierzu gibt man „Energiesparplan" in die Suche der Taskleiste und klickt dann den Eintrag Energiesparplan auswählen an. Nun Links im Menü „Auswählen, was beim Drücken des Netzschalters geschehen soll" anklicken und im neuen Fenster oben auf „Einige Einstellungen sind momentan nicht verfügbar" klicken. Danach den Haken bei „Schnellstart aktivieren (Empfohlen)" entfernen und auf „Änderungen speichern" klicken.
Dies lässt sich zwar auf einigen wenigen Rechnern so einstellen, ist aber im Unternehmensumfeld wenig praktikabel. Hierzu ziehen wir wieder unsere Gruppenrichtlinien heran und setzen global die folgenden Werte:
Computer Configuration\Policies\Administrative Templates\System\Shutdown\Require use of fast startup -> Auf Disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled -> Auf 0
Danach ist der Schnellstart deaktiviert und unser SmartShutdown lief wieder wie gewünscht mit all seinen Funktionalitäten. Laut diversen Foreneinträgen soll es auch in der Vergangenheit bereits bei Windows Build Updates vorgekommen sein das die Schnellstart Option wieder seitens Microsofts aktiviert wurde, was noch ein Grund wäre diese Einstellung per Gruppenrichtlinie zu verteilen.
Sollte ihr Interesse an SmartShutdown geweckt worden sein, oder treten bei ihnen ähnliche Probleme im Bezug auf SmartShutdown auf sprechen sie uns gerne jederzeit an.
Im Zuge einer Kundenanfrage zur Integration domänenfremder Clients in eine bestehende Umgebung kam die Frage auf wie man sicherstellen kann, dass die verschiedenen Benutzereinstellungen auf den neuen Clients bereitgestellt werden können.
Ivanti bietet hierzu mit dem Tool Migration Manager (ehemals DSM Migrate 7) eine recht charmante Lösung an. Hierbei handelt es sich um eine lizenzierte 3rd Party Applikation, welche um einige Funktionen und Scripte seitens Ivanti erweitert wurde und den Kunden dadurch einen erheblichen Mehrwert bietet.Der Migration Manger wird auf einem oder mehreren Management Point Servern installiert, über vorgefertigte DSM Pakete für den jeweiligen Einsatzzweck aufgerufen und bietet somit den Vorteil, dass auf die vorhandene DSM Infrastruktur zurückgegriffen werden kann.
• Extract Personality erlaubt die Auswahl von Einstellungen und Daten, die ihre persönliche "Computeridentität"ausmachen, und speichert diese an einem frei wählbare Speicherort.
• Inject Personality erlaubt die Auswahl und anschließende Übertragung einer zuvor gesicherten "Computeridentität" auf einen Ziel-Computer.
• Backup Personality Changes erlaubt die Ausführung inkrementeller Sicherungen der "Computeridentität".
• Restore Files erlaubt dem Benutzer oder dem Administrator, gezielt bestimmte Teile der "Computeridentität"zu suchen, zu prüfen und wiederherzustellen.
Quelle: Migration Manager User's Guide
In den vorgefertigten DSM Paketen werden über die bekannten Installations-Parameter unter anderem das Installationsverzeichnis des Migration Managers, Ablageort des Backups & Konfigurationsdatei referenziert:
Hier wird auf Benutzerdefinierte Variablen in der Infrastruktur verwiesen, um eine größtmögliche Flexibilität je nach Aufbau der eigenen DSM Infrastruktur gewährleisten zu können.
Um den Migration Manager nutzen zu können, müssen sie im Vorfeld definieren was genau an Benutzer-, Applikation-, Windowsdaten etc. berücksichtigt werden soll. Hierzu wird einfach die vorher installierte MigrationManager.exe aufgerufen, um die jeweiligen Einstellungen vorzunehmen:Es besteht natürlich auch die Möglichkeit über die File- & Registry Regeln Aus- und Einschlüsse zu definieren, die je nach persönlicher Anforderung an die Sicherung von beispielsweise selbst erstellten Programmen angepasst werden können.
Wenn Sie die Konfiguration für ihre Umgebung definiert und in den DSM Paketen abgelegt haben, wird über diese Pakete der Backup und Restore Prozess angestoßen. Der Aufbau der Zuweisungen, Softwaregruppen muss im jeweiligen Fall natürlich gesondert betrachtet werden, da hier keine allgemeine Aussage getroffen werden kann wie es für sie „am besten passt".
Stark verallgemeinert kann man den Prozess so beschreiben das mit den Backup Paketen entweder „Alle" oder „dedizierte" Benutzer gesichert werden, gleiches gilt für den Restore Prozess. Zu beachten gilt das der Migration Manager in der Standard Konfiguration immer sogenannte „FullBackups" anlegt, für eine Inkrementelle Sicherung müssten die Scripte noch erweitert werden.
Bei der in der Einleitung genannten Kundenanfrage, konnte über den Migration Manager eine Migration der Benutzerdaten über unterschiedliche Domänen und Benutzernamen recht schnell und mit überschaubaren Anpassungen realisiert werden. Die automatische Migration über Domänen ist z.B.: schon ein Bestandteil der ursprünglichen Pakete.
Wenn wir ihr Interesse an diesem Produkt geweckt haben oder sie es bereits einsetzen und für ein spezifisches Projekt Unterstützung benötigen können sie natürlich gerne jederzeit auf uns zukommen.
Beim Upload der neuen Wimera Video (auch einsehbar unter www.nwc-services.de/wimera) auf Youtube ist mir die Idee gekommen, doch mal nach "Frontrange" zu suchen. Und welche angenehme Überraschung: Frontrange ist tatsächlich mit einem eigenen YouTube Channel unter https://www.youtube.com/user/frontrange?feature=watch präsent.