Schlagwort-Archive: ConfigMgr

Infineon TPM Security Update installieren

Veröffentlicht am von
2

In dieser Kurzmitteilung möchte ich demonstrieren, wie wir mit einer ConfigMgr-Task Sequence Infineon TPM Security Updates für HP-Geräte installieren. Eine Übersicht der Updates gibt es hier: HPSBHF03568 rev. 11 – Infineon TPM Security Update.

Vorbereitung

  1. Die Update-Dateien von HP herunterladen und entpacken
  2. Einfache Packages ohne Programm erstellen

Die einzelnen Schritte

  1. BitLocker anhalten
    1. manage-bde -protectors c: -disable -rebootcount 0
  2. BIOS-Passwort temp. leeren
    1. BiosConfigUtility64.exe /nspwdfile:““ /cspwdfile:“password.bin“ /log
  3. OSManagedAuthLevel > 4
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4
  4. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  5. Computer neu starten
    1. shutdown -r -t 0
  6. Update installieren
    1. SLB 9656 (TPM 1.2) > SP82407
      1. IFXTPMUpdate_TPM12_v0434.com /update /logfile:C:\Temp\TPMUpdate.log
    2. SLB 9660 (TPM 1.2) > SP82133
      1. IFXTPMUpdate_TPM12_v0443.com /update /logfile:C:\Temp\TPMUpdate.log
    3. SLB 9670 (TPM 1.2) > SP87753
      1. TPMConfig64.exe -s -a1.2 -xVTx
    4. SLB 9665 (TPM 2.0), SLB 9670 (TPM 2.0) > SP87753
      1. TPMConfig64.exe -s -a2.0 -xVTx
  7. Computer neu starten
    1. shutdown -r -t 0
  8. OSManagedAuthLevel > 2
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 2
  9. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  10. Computer neu starten
    1. shutdown -r -t 0
  11. TPM Chip initialisieren
    1. powershell.exe -command „& {Initialize-Tpm}“
  12. BIOS-Passwort setzen
    1. BiosConfigUtility64.exe /nspwdfile:“password.bin“ /cspwdfile:““ /log
  13. BitLocker aktivieren
    1. manage-bde -protectors c: -enable

Weiterlesen

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

Veröffentlicht am von
Antworten

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen 
    New-ADServiceAccount -Name gMSA-SQL `
    -DNSHostName cm1.intern.einfaches-netzwerk.at `
    -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
    -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren 
    Add-WindowsFeature -Name RSAT-AD-Tools
Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
      Weiterlesen

Teil 29: Festplatten mit 64k-Units formatieren

Veröffentlicht am von
Antworten

Als Vorbereitung für Configuration Manager Technical Preview möchte ich die Testversion von SQL Server 2014 installieren. Dafür verwende ich den Server CM1 mit folgender Konfiguration:

Die Festplatten mit 64k-Units formatieren (Disk Partition Alignment Best Practices for SQL Server) gilt als Best Practice, um die beste Performance zu erreichen.
CM-001

Festplatten mit 64k-Units formatieren

  1. Als Administrator an CM1 anmelden
  2. Command Prompt (Admin) starten
  3. Mit folgendem Befehl diskpart starten 
    diskpart.exe
  4. Mit folgendem Befehl die vorhandenen Disks auflisten 
    list disk

    SQL64K-001

  5. Die letzte Disk ist Disk 5, Disk 3 und 4 habe ich bereits auf diese Weise formatiert
  6. Mit folgenden Befehlen die Festplatte mit 64k-Units formatieren 
    select disk 5
create partition primary align=1024
assign letter H
format fs=ntfs unit=64k label="SQLLog" nowait

    SQL64K-002

  7. Mit exit diskpart beenden
  8. Mit folgendem Befehl die Bytes Per Cluster überprüfen 
    fsutil fsinfo ntfsinfo h:

    SQL64K-003

  9. Der hier wichtige Wert ist Bytes Per Cluster: 65536