Teil 24a: UE-V Agent mittels Gruppenrichtlinie verteilen

UE-V Agent mittels Gruppenrichtlinie verteilen – Schritte:

  • Dateifreigabe für die Softwareverteilung erstellen
  • Gruppenrichtlinienobjekt erstellen
  • Sicherheitsfilter konfigurieren und GPO verknüpfen
  • Installation auf CLIENT001 überprüfen

Mehr Informationen zum Thema Gruppenrichtlinien gibt es bei Microsoft Technet Online: http://technet.microsoft.com/de-de/windowsserver/bb310732.aspx

Dateifreigabe für die Softwareverteilung erstellen

Auch wenn in meinem einfachen Netzwerk keine x86-Rechner vorhanden sind, möchte ich zeigen, wie man die Verteilung des UE-V Agents für x86 und x64 konfiguriert. Der Agent soll auf allen Rechnern in meiner Domäne verteilt werden (Domain Computers). Später kann ich mit MDT den UE-V Agent gleich beim Aufsetzen der Rechner installieren.

  1. Als Administrator an SERVER02 anmelden
  2. Windows Explorer starten
  3. Den Ordner D:\SoftwareDeployment erstellen
  4. Den Ordner als SoftwareDeployment$ freigeben
    UEV_INST-002
  5. Folgende Freigabe-Berechtigungen vergeben
    1. Everyone > Allow > Read
    2. Administrators > Allow > Full Control
      UEV_INST-003
      Weiterlesen

Teil 24: Installation von UE-V vorbereiten

Microsoft User Experience Virtualization (UE-V) ist Teil des Microsoft Desktop Optimization Pack (MDOP) und wird zum Synchronisieren von Windows- und Anwendungseinstellungen eingesetzt.

Auf der Client-Seite muss dafür ein Agent (UE-V Agent) installiert und mittels Gruppenrichtlinien konfiguriert werden. Auf der Server-Seite muss ein Storage für die Einstellungen in Form einer Dateifreigabe konfiguriert werden.

Standardmäßig werden Microsoft Office 2007 / 2010, einige Windows 8 Apps, Internet Explorer 8 / 9 / 10 / 11 und Microsoft Calculator, Notepad, WordPad synchronisiert. Mit Hilfe des UE-V 2.0 Generators können eigene Templates erzeugt werden. Auf der Microsoft User Experience Virtualization (UE-V) 2.0 Template Gallery stehen verschiedenste Templates zur Verfügung. So auch für Microsoft Office 2013.

Installation von UE-V vorbereiten – Schritte:

  • Sicherheitsgruppe in Active Directory erstellen
  • Den Ordner UE-V Settings Storage erstellen und Berechtigungen konfigurieren
  • Vorlagedateien für UE-V in den zentralen Speicher kopieren
  • Installationsdateien vorbereiten

Als Grundlage für die Installationsvorbereitung verwende ich http://technet.microsoft.com/en-us/library/dn458926.aspx

Wie bekomme ich MDOP (Microsoft Desktop Optimization Pack)? http://go.microsoft.com/fwlink/?LinkId=322049

Sicherheitsgruppe in Active Directory erstellen

Im Folgenden werde ich eine Sicherheitsgruppe für die Benutzer erstellen, deren Einstellungen synchronisiert werden sollen. Den UE-V Agent sollen alle Windows 7 und Windows 8-Computer automatisch installieren. Software und Einstellungen werden mittels Gruppenrichtlinien verteilt.

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Active Directory Users and Computers
  3. haimann.local\Einfaches-Netzwerk erweitern
  4. Die OU Sicherheitsgruppen rechts anklicken und im Kontextmenü New > Group anklicken
    UEV_PREP-001
  5. New Object – Group
    1. Group name: UE-V Users > OK
      UEV_PREP-002
      Weiterlesen

Teil 23d: MBAM Clients verwalten

MBAM Clients verwalten – Schritte:

  • Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen
  • BitLocker-Wiederherstellung durchführen
    • Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen
    • Option 2: Der Benutzer ruft den Helpdesk an
  • MBAM Reporting
  • TPM-Verwaltung
  • PIN ändern

Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen

Weil die Intervalle für die Client Wakeup Frequency (90 Minuten) und Status Reporting Frequency (720 Minuten) lang sind, möchte ich für die ersten Tests diese Zeiten verkürzen, damit es was zu sehen gibt. Dazu sind 3 Einträge in der Registry am MBAM Client notwending.

  1. Als Administrator an CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Registrierungs Editor starten
    regedit
  4. Folgende Einträge ändern
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement]
    "ClientWakeupFrequency"=dword:00000001
    "StatusReportingFrequency"=dword:00000001
  5. Folgenden Eintrag hinzufügen
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM] 
    "NoStartupDelay"=dword:00000001
    
  6. Mit folgendem Befehl den MBAM Agent neu starten
    net stop mbamagent && net start mbamagent
  7. Alle Fenster schließen
  8. CLIENT004 herunterfahren

 BitLocker-Wiederherstellung durchführen

  1. CLIENT004 vom Netz trennen, damit kein BitLocker Network Unlock (Teil 20d) durchgeführt wird
  2. BitLocker-PIN einmal falsch eingeben
  3. Für die BitLocker-Wiederherstellung die ESC-Taste drücken
  4. Die ersten 8 Stellen der Recovery-ID notieren: 163BD258

Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen

  1. Der Benutzer geht zu einem Computer in der Nähe im Unternehmensnetzwerk
  2. Internet Explorer starten
  3. https://mbam.haimann.local aufrufen
  4. Hinweis bestätigen > Fortsetzen
    MBAM_RESTORE-001
  5. BitLocker-Wiederherstellungsschlüssel anfordern
    1. Recovery-ID: 163BD258
    2. Grund: PIN/Passphrase verloren > Schlüssel anfordern
      MBAM_RESTORE-002 Weiterlesen