Group Policy Definitions

Mit den Group Policy Definitions gibt Microsoft ja zu einem neuem Betriebssystem jeweils die aktuell gültigen Definitionen mit. Nachdem ein Kollege von mir diese Definitionen bei einem Kunden vom Stand „Windows 10 1607“ auf „Windows 10 1709“ aktualisierte, erhielten wir im GPO Editor folgende Fehlermeldung:

GPO

Richtlinienpräsentationsemelement "CSE_NOBACKGROUND" ... Präsentation "CSE_Drives" ... nicht vorhanden.

Das Problem: Microsoft hat gepatzt! In den „Administrative Templates“ für Windows 10 1703 und Windows 10 1709 fehlt (mindestens) das File „GroupPolicyPreferences.adml“ im Unterordner der entsprechenden Sprache. Nun gibt es zwei Szenarien:

  1. Die Version 1703 oder 1709 wurde als erste Version installiert
  2. Die Version 1703 und / oder 1709 aktualisierte eine bestehende Version

In erstem Szenario muss die Datei zuerst aus einer älteren Version kopiert werden (Links siehe am Ende des Artikels). Anschliessend muss diese noch angepasst werden (siehe Szenario zwei).

Im zweiten Szenario muss die Datei GroupPolicyPreferences.adml im Unterordner der entsprechenden Sprache, angepasst werden:

In Zeile 950 folgende Zeile einfügen (Deutsch):

<checkBox refId="CSE_NOBACKGROUND">Während regelmäßiger Hintergrundverarbeitung nicht übernehmen</checkBox>

GPO2

Original Englisch (Zeile 945):

 <checkBox refId="CSE_NOBACKGROUND">Do not apply during periodic background processing</checkBox>GPO3

Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016

Administrative Templates (.admx) for Windows 10 Creators Update (1703)

Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)

Advertisements

Windows Sperren des PC’s deaktivieren

Eigentlich eine banale Sache, sollte man meinen. Allerdings fand ich bei Google viele verschiedene Möglichkeiten. Nur eine davon funktionierte.

Getestet ist das mit Windows 10 1709. Ich gehe davon aus, dass das auch auf anderen Windows Versionen funktioniert.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Wert "DisableLockWorkstation" (DWORD) erstellen / anpassen
Value = 1

Die Einstellung wird umgehend aktiv. Danach ist ein Sperren des PC’s via Ctrl-L oder „Ctrl-Alt-Del“ und „Sperren“ nicht mehr möglich!

Internet Explorer 11: Startseite setzen

Wir setzen schon lange die Startseite des IE11 bei Kunden via GPO/Registry über folgenden Key:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
Typ: REG_SZ
Name: Start Page
Inhalt: gewünschte URL, z.B. http://intranet/

Bei einigen Benutzern öffnete sich der IE dann aber immer mit den zuletzt geöffneten Tabs. Dafür ist folgende Option verantwortlich:

IE11

Diese kann über folgenden Registry Key angesprochen werden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\ContinuousBrowsing
Typ: REG_DWORD
Name: Enabled
Inhalt: 0 = Disabled; 1 = Enabled

Um IMMER die gewünschte Start-Seite zu öffnen, muss dieser Key auf „0“ gesetzt werden.

BSOD „Inaccessible Boot Device“ nach Windows Update KB4041691

Mehrere PC’s unserer Kunden starteten nach der Installation dieses KB’s nicht mehr. Es wurde ein BSOD mit der Meldung „Inaccessible Boot Device“  angezeigt:

BSODKB4041691_1

Nach einem automatischen Neustart wird der Fehler „Fehlercode: 0xc0000001“ angezeigt:

BSODKB4041691_2

Folgender Lösungsweg (danke an den Blog von Günther Born) funktionierte bei mir:

USB Stick mit Windows 10 über Media Creation Tool erstellen

Start ab diesem Stick

Reparaturoptionen > Command Prompt

Laufwerksbuchstabe der Windows-Installation suchen (ich schau jeweils, ob die zu erwartenden Benutzer unter C:\Users auffindbar sind; nehmen wir als Beispiel E:\)

Dann wechsel auf dieses Laufwerk, und in das Verzeichnis \Windows\System32 wechseln

Folgenden Befehl ausführen:

E:\windows\system32>dism.exe /image:e:\ /get-packages

Es sollten drei Updates mit Status „Installation steht aus“ angezeigt werden.

Diese müssen wie folgt entfernt werden:

E:\Windows\System32>Dism.exe /image:e:\ /remove-package /packagename:Package_for_RollupFix_Wrapper~31bf3856ad364e35~amd64~~14393.1770.1.6

E:\Windows\System32>Dism.exe /image:e:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~14393.1715.1.10

E:\Windows\System32>Dism.exe /image:e:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~14393.1770.1.6

Die Deinstallation des zweiten Updates dauert 5-10 Minuten, je nach System. Dieses Update wurde bei einem PC mit einem Fehler entfernt, war dann aber trotzdem weg. Auf einem zweiten PC bleibt das Problem bestehen, hier arbeite ich noch daran.

Danach kann der PC neu gestartet werden.

Der erste Start dauerte bei mir eine gefühlte Ewigkeit, vermutlich waren es 10-30 Minuten. Danach wurden die Updates (Kumulatives Update KB4041691 und das Delta-Update dazu) erneut installiert, was ebenfalls nochmals ca. 10 Minuten dauerte. Danach liess sich der PC aber mehrfach problemlos neu starten.

Das Update wurde danach im Updateverlauf als erfolgreich installiert angezeigt.

Der PC war bisher aber Offline zu seinem WSUS, daher kann ich noch nicht abschliessend beurteilen, ob die Updates nun definitiv installiert sind.

Edit 13. Oktober 2017:

Die reparierten PC’s liefen danach einwandfrei. Auch via WSUS kamen keinerlei „schädlichen“ Updates mehr rein. Ein PC konnte ich nicht reparieren, dieser musste neu aufgesetzt werden.

Microsoft hat das ganze inzwischen recht ausführlich dokumentiert. Ich habe in der Zwischenzeit auch bereits zwei PC’s mithilfe dieser Anleitung repariert, die das Update installiert, aber noch nicht neu gestartet haben (Szenario 2). Auch das funktionierte einwandfrei. Ist aber ein riesen Aufwand bei ca. 30 betroffenen Geräten… 😦

Weitere Links dazu:

faq-o-matic.net

blog.workinghardinit.work

 

Office Picture Manager installieren

Bis Office 2010 war jeweils das recht beliebte Tool „Office Picture Manager“ mit dabei. Damit konnten Fotos bearbeitet, verkleinert, komprimiert, zugeschnitten, etc. werden.

Bei den neuen Office Versionen fehlt ein vergleichbares Tool.

Das Programm kann via Sharepoint Designer 2010 nach-installiert werden:

Download via:

http://www.microsoft.com/de-DE/download/details.aspx?id=24309 (64bit)

https://www.microsoft.com/de-DE/download/details.aspx?id=16573 (32bit)

Bei der Installation muss „Anpassen“ gewählt werden. Danach kann bei der Selektion der Komponenten nur der Picture Manager ausgewählt werden:

PictureManager01

Danke an Markus Ritzmann von it-logbuch.ch.

HP ThinClients: Symantec Antivirus installieren (Fehler 2503)

Auf HP ThinClients (in unserem Falle t520, aber vermutlich gilt dies für alle ähnlichen Geräte), konnten wir die Antivirenlösung Symantec Endpoint Protection nicht installieren. Wir erhielten immer den „Fehler 2503. RunScript wurde aufgerufen, obwohl kein Skript für die Ausführung markiert ist“:

SEP01

Wir haben heraus gefunden, dass das Problem darin besteht, dass die Terminals (Windows 10 Enterprise LTSB IoT) eine zu kleine Temp-Partition hatten. HP konfiguriert eine RAM-Disk Z: mit 253MB Grösse, und biegt dann die System-Variablen „TEMP“ und „TMP“ auf Z:\TEMP um.

SEP benötigt für die Installation aber mehr Platz, und schlägt darum fehl.

Wir haben dann die Umgebungsvariablen auf C:\TEMP umgeschrieben. Dies kann gemütlich mit GPP’s erledigt werden:

SEP02

Pfad:

Computerkonfiguration\Einstellungen\Windows-Einstellungen\Umgebung

 

Windows 10: Aktivierung

Wenn der (elektronische) Key für Windows 10 nicht bekannt ist, und sich Windows eigentlich automatisch selber aktivieren sollte, dies aber nicht tut, kann folgendes versucht werden:

powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey"

Der erhaltene Key kann dann in der Systemsteuerung als Windows Key angegeben werden. Damit sollte sich Windows aktivieren lassen (vorausgesetzt, man besitzt eine gültige Lizenz!)