bigthe

Geduld, ein Neustart später und alles ist da.

Hallo Zusammen, ich habe nach langer Planung und Vorbereitung gestern eine neue MECM Umgebung gebaut für meinen Arbeitgeber. Läuft auf Win 2022, MECM 2509 und SQL Server 2022. Muss echt sagen da hat sich MS irgendwie nicht viele Gedanken gemacht, wird immer ätzender. Komponenten sind alle Grün und zeigt keinerlei Fehler. Heute Morgen habe ich das MECM weiter konfiguriert. Einen vorbereiteten SUP hinzugefügt, Grenzen gesetzt und das AD absuchen lassen. Eben wollte ich mal die Updates vom SUP holen lassen und zu meiner Überraschung sehe ich in allen Produkten kein Windows 11, und auch Win Server ab 2019 sehe ich nicht. Bin ich zu schnell einfach mal ein paar Stunden warten bis sich dies aktualisiert? Synchronisation habe ich vom MECM bereits ausführen lassen, die hat auch funktioniert. LG

Klassischer User support eben, also Dinge ändern wo es administrative Rechte auf dem Client benötigt. IP Adresse ändern, Reg Einträge, bestimmte Daten löschen oder Bereinigung. Also das sind keine konkreten Bsp. Von mir, ich habe mal meine Phantasie spielen lassen. Es gab eben die Anfrage von den Supportern, bin auch erst seit kurzem im Unternehmen daher kann ich dazu nix konkretes sagen. Rust Desk sieht schon interessant aus aber ich bin mir nicht sicher ob das nicht schiessen auf Spatzen ist. Wie gesagt bin wenige Wochen dort. Soviele User sinds ja auch nicht ca 300 wovon eher 200 aktiv sind.

Es geht darum Administrator Aufgaben auszuführen, wenn nötig, auf nonpersistent Clients im Internen Netz. Quasi ein Gratis Remoteunterstützungs Tool.

Das hat dann funktioniert. Wirklich sicher scheint mir das aber nicht. Admin Protection von Windows 11 wäre wohl der neue standard dazu aber auch da habe ich noch Probleme.

Hallo und danke für dein Feedback. Da bin ich aber überrascht das das UAC ist! Das hier hatte ich umgesetzt: https://it-learner.de/administrator-protection-windows-11/ Richtig ich sehe aktuell gar nix sobald die Admin Daten gefordert werden. Hast du eine Idee dazu das umzusetzen? Möglichst ohne UAC?

Hallo zusammen, aktuell suche ich einen Weg mich per Citrix Director, remote auf Windows 11 Clients zu schalten und Administrator Aufgaben auszuführen. Dabei kommt der klassische schwarze Bildschirm auf dem Client Gerät und fordert dort die Eingabe der Admin Anmeldedaten die ich auf dem Citrix Director nicht sehe. Es gibt wohl einen workaround mit UAC, den ich aus Sicherheitsgründen nicht machen möchte. Bei dem Thema bin ich auf das neue Admin Protection von Windows 11 gestossen. Und habe dies auch entsprechend umgesetzt aber funktionieren mag es nicht wirklich. Ich habs mal auf einem Test Client versucht, der in der Domäne ist und hab dort folgende registry Einträge gesetzt sowie die lokale Gruppenrichtlinien angepasst. # Aktivieren des Administratorgenehmigungsmodus für integrierten Administrator Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "FilterAdministratorToken" -Value 1 # Alle Administratoren im Genehmigungsmodus Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 1 # Sicheren Desktop für Eingabeaufforderungen aktivieren Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "PromptOnSecureDesktop" -Value 1 Hab ich ein denkfehler und das funktioniert gar nicht oder was mache ich falsch bzw was fehlt? LG

Hallo Zusammen, ich weiss nicht ob es der Neustart war den unsere Server heute aufgrund der Crowdstrike Geschichte bekommen haben oder ob es an der GPO liegt die mir @Sunny61 empfohlen hatte und ich umgesetzt hab aber nun melden mir die 2016er Server plötzlich nicht mehr 100% sondern den tatsächlichen Status! Yuhu! Danke an alle für eure Hilfe und das teilen eures Wissens! LG und ein schönes Wochenende.

Dein Vorschlag mit der GPO hab ich schon umgesetzt :) .Bzw hab mich dazu nochmal belesen, dass wird oft empfohlen auch bei dem Problem was ich habe das in der WSUS Konsole das die meisten 2016er immer 100% anzeigen. Eventuell hat das schon geholfen? Naja den Rest werde ich dann stück für stück umsetzen. Eventuell bau ich mir ein Skript und lass das per GPO verteilen. Es wird aufjedenfall umgesetzt und ich halte dich/euch auf dem laufenden. Das die Server lokal etwas konfiguriert haben, hatte ich stichprobenweise geprüft und da war nix zu finden. Vielen dank erstmal @cj_berlin sry das ich nochmal Frage aber bitte stell mir doch dein PS Skript zur Verfügung. LG

Sry Missverständnis. Die Kollegen meinte das eine VM ohne SYSPREP in einer Domänen gar nicht funktionieren würde, wegen Domain ID etc. Also ich könnte das wohl ausschliessen das der SYSPREP eventuell vergessen wurde. In meiner WSUS Konsole sind leider ca. 90% der 2016er immer auf 100% Die SUSID aus dem 2016er Template ist nicht in der WSUS Datenbank enthalten, habe das gerade überprüft. 1. Also wäre jetzt das vorgehen auf allen 2016er in der Registry das Windows Update zu löschen 2. Die Server aus der WSUS Konsole entfernen 3. DB kann ich mittels meines Skriptes bereinigen 4. Auf dem Server den Softwaredistributions Ordner löschen 5. Server wieder mit detect now etc wieder zum WSUS hinzufügen. 6. Abwarten :)

Das hatte ich ebenfalls vermutet. Auf meine Nachfrage bei Kollegen und Vorgesetzten gab es dazu nur Schulterzucken bzw. die Aussage das das in einer Domänenumgebung sowas nicht möglich wäre weil es dann noch diverse andere Probleme geben würde. Mit meinem Skript oben hatte ich das auf eigentlich jedem 2016er ausgeführt. Das Template wird nicht weiter verwendet aktuell haben wir ein 2022er Template im Einsatz. Das ist ein richtig guter Tipp! Das werde ich direkt mal versuchen. Danke. Wenn du das empfiehlst werde ich das natürlich sofort umsetzen :). Solche Tipps sind Gold wert für mich. Dennoch verstehe ich nicht wie manche 2016er Server automatisch ein Update installiert haben. Auch verstehe ich nicht wie es sein kann das nur teilweise das passiert ist und nicht bei allen in der Phase 1 zb. Oder das nur manche Server den reboot gefahren haben und das dies nicht im Monitoring aufgetaucht ist. Das ist irgendwie merkwürdig.

Hallo Sunny, ich weiss es auch nicht. es gibt 2 2016er Server die ich egal wie nicht in die Console bekomme. Der Vorgesetzte meinte auch mal das etwas an den 2016er Template sein könnte, ist sich aber nicht sicher. Absolut. Ich kann diese Verhalten auch nicht nachvollziehen, zumal es den Monat davor absolut Fehlerfrei lief. Ok verstehe. Da muss ich dort ansetzen.

Hallo Sunny, danke für diese Lösung! Ich muss kurz etwas ausholen... Ich bin neu in diesem Unternehmen. Vorher wurde jeden Monat manuell gepacht von den Kollegen. Dann habe ich vor mehr als 2 Monaten das ganze wie beschrieben automatisiert. Letzten Monat lief das perfekt durch ohne Probleme, klar hat man immer wieder unter den 2016er Einzelfälle. Die Server zu WSUS Console neu hinzugefügt hatte ich schon mehrfach auf diese Art: Stop-Service -Name BITS, wuauserv -Force # Wenn Dienst nicht stoppen will takskill ausführen Remove-ItemProperty -Name AccountDomainSid, PingID, SusClientId, SusClientIDValidation -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\ -ErrorAction SilentlyContinue Remove-Item "$env:SystemRoot\SoftwareDistribution\" -Recurse -Force -ErrorAction SilentlyContinue Start-Service -Name BITS, wuauserv wuauclt /resetauthorization /detectnow (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow() Heute habe ich nochmals mir Zeit genommen und bin alle 2016 Server durchgegangen. Es ist etwas merkwürdig. Ca. 80% haben das Update erhalten am Montag aber keine Neustart (einige davon auch zu einer unplanmässigen Zeit). 10% Haben Updates erhalten und einen Neustart (interessant ist dabei auch das unser Monitoring nicht angeschlagen hat!). 10% haben weder Update noch einen Neustart durchgeführt. In der WSUS Console werden mir die 2016er zu 90% fehlerhaft angezeigt. Also im WSUS wird angegeben das diese Server kein Update benötigen, auf dem Server wird aber ein Update benötigt. Ich habe schon einige WSUSs gemacht aber sowas noch nicht erlebt. Ist das Sabotage? Das Verhalten des Systems kommt mir unwillkürlich vor. LG Robin Hallo, könntest du mir bitte diese PS Skript zur Verfügung stellen? Mit VBS kenne ich mich überhaupt nicht aus. LG

Die Windows 2016er haben die Option mit den unterschiedlichen Wochen nicht und somit wird dann jeden Montag die Updates installiert? Diese Option kam erst mit 2019. Aber das ist nur eine Vermutung eigentlich haben wir ja das aktuelle Policy Set auf dem Domänencontroller. Updates wurden planmässig zu der konfigurierten Uhrzeit installiert nur eben zum falschen Montag. Wie stehts du zu inplace Upgrade? Das wollte ich sowieso mal Fragen. Grundsätzlich rät ja jeder davon ab aber warum gibt es dann diese Option?

hahahah, ja da hast du wohl recht, heute schaffe ich das nicht mehr ca. 45 Server abzulösen. Hast du noch eine andere Idee dazu? LG