Microsoft MDT Build 6.3.8443.1000 steht ab sofort zur Verfügung

Ab sofort steht das Microsoft MDT Build 6.3.8443.1000 zur Verfügung. Das Tool kann auf der Seite Microsoft Deployment Toolkit (MDT) für x86 und x64 heruntergeladen werden. Das sind die Verbesserungen lt. Aaron Czechowski [Microsoft]:

  • Supported configuration updates
    • Windows ADK for Windows 10, version 1607
    • Windows 10, version 1607
    • Windows Server 2016
    • Configuration Manager, version 1606
  • Quality updates
    • Deployment Wizard scaling on high DPI devices
    • Johan’s „uber bug“ for computer replace scenario
    • Multiple fixes for the Windows 10 in-place upgrade scenario
    • Several fixes to Configure ADDS step
    • Removed imagex/ocsetup dependencies, rely solely on DISM
    • Includes the latest Configuration Manager task sequence binaries (version 1606)

Der Download-Link ist auch auf meiner Microsoft Download-Seite zu finden.

mdt8443

Windows ADK 1511 Hotfix

Microsoft hat letzte Woche einen Windows ADK 1511 Hotfix veröffentlicht, der das Problem mit dem Neustart in Windows PE in Configuration Manager behebt. Allerdings ist die Installation nicht ganz einfach. Der Knowledge Base-Artikel und Download des Hotfixes sind hier zu finden: Windows PE-Startabbilder in System Center Configuration Manager nicht initialisiert werden

Folgende Schritte sind auf dem Rechner auszuführen, auf dem das ADK 1511 installiert wurde, am ConfigMgr Site-Server.

Windows ADK 1511 Hotfix installieren

  1. Windows ADK 1511 herunterladen und installieren
  2. Den Hotfix 490643_ENU_x64_zip.exe herunterladen und nach C:\Sourcen entpacken
  3. Die Datei C:\Sourcen\Win10ADK-Hotfix-KB3143760.exe doppelklicken und nach C:\Sourcen\Hotfix_ADK1511 entpacken
  4. Die Datei install_hotfix.bat in C:\Sourcen\Hotfix_ADK1511 erstellen
    @echo Off
    IF /i "%1"=="" goto ende
    
    rem %OSArch% = x86 oder amd64
    set OSArch=%1
    
    IF %OSArch%==x86 (set Schema=schema-x86.dat) else (set Schema=schema-x64.dat)
    
    set Kits=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment
    set WimFile=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\%OSArch%\en-us\winpe.wim
    set MountDir=C:\Mount
    set TMPDir=C:\Temp
    set Hotfix=C:\Sourcen\Hotfix_ADK1511\%Schema%
    
    echo %OSArch%
    echo %Kits%
    echo %WimFile%
    echo %MountDir%
    echo %Hotfix%
    
    IF NOT EXIST %MountDir% (
        MKDIR %MountDir%
    )
    
    IF NOT EXIST %TMPDir% (
        MKDIR %TMPDir%
    )
    
    rem Sicherung erstellen
    xcopy "%WimFile%" %TMPDir%\winpe_%OSArch%\ /Y
    
    Dism /Mount-Wim /WimFile:"%WimFile%" /index:1 /MountDir:%MountDir%
    
    rem Backup der Berechtigungen
    icacls %MountDir%\Windows\System32\schema.dat /save %TMPDir%\AclFile
    
    rem Besitz für die Gruppe der Administratoren übernehmen
    takeown /F %MountDir%\Windows\System32\schema.dat /A
    
    rem Berechtigungen setzen
    icacls %MountDir%\Windows\System32\schema.dat /grant BUILTIN\Administrators:(F)
    
    rem Neue schema.dat kopieren
    xcopy %Hotfix% %MountDir%\Windows\System32\schema.dat /Y
    
    rem Berechtigungen zurücksetzen
    icacls %MountDir%\Windows\System32\schema.dat /setowner "NT SERVICE\TrustedInstaller"
    icacls %MountDir%\Windows\System32\ /restore %TMPDir%\AclFile
    
    rem Änderungen übernehmen
    dism /unmount-wim /mountdir:"%MountDir%" /Commit
    
    RMDIR "%MountDir%" /S /Q
    del %TMPDir%\AclFile /Q
    
    :ende
    
  5. Optional: Auf einem deutschen System muss folgende Zeile
    icacls %MountDir%\Windows\System32\schema.dat /grant BUILTIN\Administrators:(F)

    nach

    icacls %MountDir%\Windows\System32\schema.dat /grant VORDEFINIERT\Administratoren:(F)

    geändert werden

  6. Der Ordner C:\Sourcen\Hotfix_ADK1511
    ADK1511_Hotfix-003
  7. Deployment and Imaging Tools Environment als Administrator starten
  8. Folgende Befehlszeile für 32-bit ausführen
    C:\Sourcen\Hotfix_ADK1511.bat x86

    ADK1511_Hotfix-001

  9. Der Hotfix wird installiert
    ADK1511_Hotfix-002
  10. Den gleichen Befehl mit dem Parameter amd64 für 64-bit ausführen
  11. Alle Fenster schließen

Der Batchfile erledigt folgende Schritte:

  • Setzen der Pfade in Variablen
  • Eine Sicherungskopie von winpe.wim in C:\Temp\winpe_%osarch%
  • winpe.wim mounten
  • Besitz der Datei schema.dat übernehmen
  • Berechtigungen in der Datei AclFile sichern
  • Berechtigungen ändern
  • Datei schema.dat kopieren
  • Besitz dem Trusted Installer geben
  • Berechtigungen wiederherstellen
  • winpe.wim speichern und unmounten
  • C:\Temp\AclFile löschen

Für bestehende winpe.wim-Dateien den Pfad im Batchfile set WimFile=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\%OSArch%\en-us\winpe.wim entsprechend anpassen.

Warum Microsoft das Windows ADK 1511 nicht einfach re-released hat, bleibt mir ein Rätsel. War es doch mit MDT 2013 Update 1 schon genau das Gleiche – viele Bugs.

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen
    New-ADServiceAccount -Name gMSA-SQL `
        -DNSHostName cm1.intern.einfaches-netzwerk.at `
        -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
        -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren
    Add-WindowsFeature -Name RSAT-AD-Tools
    Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
      Weiterlesen