Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

Inhaltsverzeichnis

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen
    New-ADServiceAccount -Name gMSA-SQL `
        -DNSHostName cm1.intern.einfaches-netzwerk.at `
        -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
        -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren
    Add-WindowsFeature -Name RSAT-AD-Tools
    Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
      Weiterlesen

Teil 29: Festplatten mit 64k-Units formatieren

Als Vorbereitung für Configuration Manager Technical Preview möchte ich die Testversion von SQL Server 2014 installieren. Dafür verwende ich den Server CM1 mit folgender Konfiguration:

Die Festplatten mit 64k-Units formatieren (Disk Partition Alignment Best Practices for SQL Server) gilt als Best Practice, um die beste Performance zu erreichen.
CM-001

Festplatten mit 64k-Units formatieren

  1. Als Administrator an CM1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl diskpart starten
    diskpart.exe
  4. Mit folgendem Befehl die vorhandenen Disks auflisten
    list disk

    SQL64K-001

  5. Die letzte Disk ist Disk 5, Disk 3 und 4 habe ich bereits auf diese Weise formatiert
  6. Mit folgenden Befehlen die Festplatte mit 64k-Units formatieren
    select disk 5
    create partition primary align=1024
    assign letter H
    format fs=ntfs unit=64k label="SQLLog" nowait

    SQL64K-002

  7. Mit exit diskpart beenden
  8. Mit folgendem Befehl die Bytes Per Cluster überprüfen
    fsutil fsinfo ntfsinfo h:

    SQL64K-003

  9. Der hier wichtige Wert ist Bytes Per Cluster: 65536

Teil 28f: Arbeitsordner auf Windows 7 konfigurieren

Microsoft hat Work Folders for Windows 7 – Deutsch als msu-Dateien veröffentlicht.

x86: http://www.microsoft.com/de-DE/download/details.aspx?id=42559
x64: http://www.microsoft.com/de-DE/download/details.aspx?id=42558

Die Installation kann man beim Aufsetzen mit MDT automatisieren. Wie das geht, habe bereits in mehreren Teilen hier im Blog gezeigt (z.B.: Teil 27f: DirectAccess und Windows 7-Clients konfigurieren).

Damit die Arbeitsordner auf Windows 7 funktionieren, muss mindestens Windows 7 Professional und IE9 verwendet werden. Außerdem müssen die Windows 7-Rechner Mitglied der Domäne sein. Für Heimnutzer empfiehlt der Hersteller das Upgrade auf Windows 8.1.

Arbeitsordner auf Windows 7 einsetzen – Schritte:

  • Password Autolock deaktivieren
  • WorkFolders für Windows 7 herunterladen und installieren

Password Autolock deaktivieren

  1. Als Administrator an APP1 anmelden
  2. PowerShell als Admin starten
  3. Mit folgendem Befehl Password Autolock für die Domäne deaktivieren
    Get-SyncShare -Name "Arbeitsordner Linz" `
        Set-SyncShare -PasswordAutolockExcludeDomain "intern.einfaches-netzwerk.at"
  4. PowerShell Cmdlet
    WORKFOLDERS_WIN7-001
  5. Alle Fenster schließen

WorkFolders für Windows 7 herunterladen und installieren

  1. Als User1 an CLIENT3 anmelden
  2. Die Datei Windows6.1-KB2891638-x64.msu von http://www.microsoft.com/de-DE/download/details.aspx?id=42558 nach c:\Temp herunterladen und mit einem Doppelklick installieren
  3. Rechner neu starten und wieder anmelden
  4. Start > Systemsteuerung > System und Sicherheit > Arbeitsordner
    WORKFOLDERS_WIN7-002
  5. Arbeitsordner einrichten
    WORKFOLDERS_WIN7-003
  6. Geben Sie stattdessen eine Arbeitsordner URL ein
    1. https://arbeitsordner.einfaches-netzwerk.at > Weiter
      WORKFOLDERS_WIN7-004
  7. Anmeldeinformationen eingeben
    1. Benutername: user1
    2. Passwort: Password1 > OK
      WORKFOLDERS_WIN7-006
      Weiterlesen