Montag, 8. November 2021

Google Chrome Roamingprofile in der PaedML

 

Google Chrome verliert nach einem Neustart des PCs die zuletzt gespeicherten Daten wie Lesezeichen oder die Historie.

 

Das liegt daran, das Chrome alles nach appdata/local speichert. Da das Benutzerprofil, nachdem abmelden vom PC gelöscht wird, gehen auch die Chrome Einstellungen verloren. 

 

Dieses Problem lässt sich umgehen, indem man einen Regkey per GPO verteilt. 

 

HKLM/ Software\Policies\Google\Chrome\RoamingProfileSupportEnabled

Windows:REG_DWORD auf 1 setzen.

 



 

 

Donnerstag, 2. September 2021

PrintNightmare in der paedML

Sicherlich haben es schon alle mitbekommen, bzw. auch die letzten Wochen und Monate mitverfolgt -> Microsoft hat ein gewaltiges Drucker-/Sicherheitsproblem.

Die Auswirkungen des letzten Microsoft Patchdays im August 2021 lassen auch die paedML nicht unberührt, da seit dem letzten Update eingeschränkte Benutzer (=keine Administrationsrechte) keine Drucktreiber mehr installieren dürfen.

Hat zur Folge, dass man bei einer Anmeldung als Lehrer oder Schüler erst sehr lange (5 bis 10 Minuten) auf die Anmeldung warten muss und dann die Vertrauensstellungs-Abfrage für die Druckerinstallation kommt, die nur abgebrochen werden kann.

Der Trick, bzw. der mittlerweile wieder zwingend benötigte Standard ist der damalige Druckerinstallationsmechanismus aus der paedML 7.0, bzw das OPSI-Paket "druckertreiber". 

Die Vorgehensweise ist in Kapitel 6.6 des Administrationshandbuchs 7.0 vom 04.04.2019 beschrieben -> LMZ-Handbücher 

Dadurch werden die Drucktreiber auf den Clients vorinstalliert und sind bei der Anmeldung und Druckerverbindung schon vorhanden. 

Montag, 19. Juli 2021

Windows Updates kastrieren

In einem Gastbeitrag auf meinem Blog wurde vor 2 Jahren vorgeschlagen, dass man Windows-PCs jeden Zugang zu Updates abdrehen kann. Ich selbst bin von dieser Methode nicht begeistert und werde sie an meiner Schule auch nicht einsetzen, ich hatte aber bezüglich der Einstellung mehrere Rückfragen. Daher möchte ich Ihnen hier die Überarbeitete Richtlinie vorstellen, die mit von Herrn Hadouchi der TesKa Karlsruhe zur Verfügung gestellt wurde. 

Die folgenden Einstellungen sollten Windows-Clients jeden Zugang zu Updates verwehren, da sie als Update-Pfad nur sich selbst fragen dürfen (127.0.0.1). Updates können zwar weiterhin über Opsi verteilt werden, aber die volle Verantwortung liegt nun beim Netzwerkbetreuer/Dienstleister. Setzen Sie diese Richtlinie von daher nur in vollem Bewusstsein der Konsequenzen ein. 

Durch die Folgende Richtlinie ist auch nicht speziell für die paedML Linux/GS sondern beschränkt generell Windows in den folgenden Bereichen, auch wenn teilweise die Einstellungen in der paedML L/GS z.B. schon mit configW10 oder Gruppenrichtlinien eingeschränkt war.  Dies betrifft:

- Windows Telemetrie

- Insider Preview

- Microsoft Store

- Windows Defender Antivirus, bzw. dessen Definitionsupdates

- Windows Update

Folgende Gruppenrichtlinien unterbinden die oben genannten Verbindungen zu Microsoft:

Donnerstag, 15. Juli 2021

WebUntis per LDAP mit paedML Linux/GS-7.2 verbinden

WARNUNG: Dieses Dokument beschreibt nur die Verbindung über LDAP, nicht LDAPS, daher ist die Kommunikation NICHT gesichert. Hier scheint ein Lösungsansatz beschrieben zu sein, aber ich konnte diesen noch nicht verifizieren. 
https://help.univention.com/t/ldaps-mit-lets-encrypt/18452

Klarstellung: Es wird hier nur die Synchronisation der Schülerkonten beschrieben! Lehrerkonten sind zwar denkbar, wird aber in untenstehender Lösung nicht beschrieben, da ich die Verwaltung der Lehrer-Konten der Schulleitung überlasse und das Risiko nicht auf die Netzwerkbetreuung verlagern möchte. 

Schritt 1: Firewall 

Firewall per Browser öffnen (10.1.0.11) und als Administrator anmelden. 

Klick auf Firewall --> NAT

Auf Hinzufügen (Pfeil nach unten) klicken um eine neue Regel zu erstellen. 

Protokoll auf TCP/UDP umstellen, 

Bei Quelle auf "Zeige Erweiterte", 

dann bei Quelle "Einzelner Host oder Alias" mit der IP 213.208.138.146 eintragen.

Bei Ziel auf INTERNET adress mit Zielportbereich LDAP einstellen. 

Umleitungsziel "Einzelner Host" auf 10.1.0.1, als Umleitungsport "Anderer" mit "7389" wählen. 

Beschreibung ergänzen, z.B. "LDAP-Weiterleitung für WebUntis"

Unten auf Speichern klicken und die Regel anwenden lassen. 

Schritt 2: WebUntis Konfigurieren

In WebUntis als Admin auf "Administration" --> "Integration" klicken und LDAP auswählen. 

Den Haken "aktiv" erst NACH Fertigstellung setzen!

Bei "LDAP Server URL" ist "ldap://8.8.8.8" ist die IP oder URL der Schule anstelle der 8.8.8.8 einzutragen.

Für "LDAP Benutzer" verwenden Sie den LDAPSuche-Account mit "uid=ldapsuche,cn=users,dc=paedml-linux,dc=lokal", 

das LDAP Passwort zu diesem ist auf dem Server unter /etc/ldapsuche.secret zu finden.

Der "Userfilter" mit (&(objectclass=ucsschoolStudent)(uid={0})) fragt in dieser Konfiguration nur Schüler ab, falls auch Lehrer gefunden werden sollen muss die Konfiguration angepasst werden. 

BaseDn für Benutzersuche: ou=schule,dc=paedml-linux,dc=lokal

LDAP Mail Attribut: mailPrimaryAddress

Haken bei "Unbekannten Benutzer nach erfolgreicher Anmeldung anlegen" und

"Anmeldung für nicht identifizierten Benutzer verbieten" setzen. 

LDAP Personenrolle Attribut: ucsschoolSourceUID

Bei den weiteren Einträgen habe ich keine Lehrer importiert, daherist bei "Lehrkraft" auch die "Standard-Benutzergruppe" auf  "<Auswahl>". 

In der Kategorie Schüler:

Personenrolle: schule-student

Personenidentifzierung: Einzelattribut

LDAP ID Attribute: ucsschoolRecordUID

Elementdaten ID Feld: externKey

Einen Klick auf speichern sollte die Konfiguration hinterlegen. Klicken Sie auf Test und geben Sie Benutzer und Passwort eines SchülerInnen Accounts ein, die Abfrage sollte "ldap connection ist ok" und etwas wie "found uid=maxi.muster,cn=schueler..." ausgeben. 

Nach erfolgreichem Test den Haken "aktiv" ganz oben setzen und speichern. 

Ich werde die Vorhandenen Schüler Accounts meiner Schule zum Schuljahreswechsel löschen, dann können sich unsere Schüler mit ihren Computerraum-Anmeldedaten bei WebUntis anmelden. Durch die erstmalige Anmeldung wird jeweils ein neuer Account erschaffen und über den Schlüsselvergleich direkt mit dem Stammdaten/Stundenplänen der Schülerinnen und Schüler verknüpft. 


Dienstag, 22. Juni 2021

Windows 10 Update 2004

 Hallo!

Mich erreichten ein paar Zuschriften bezüglich des Zwangsupdates von Windows 10 auf Version 2004. Ich äußere mich an dieser Stelle aber nur als Netzwerkberater meiner Schule, keine offizielle Empfehlung. 

Um das Update besser beherrschen zu können bin ich wie folgt vorgegangen:

  • Per Opsi auf allen Clients das Paket "config-win10" mit der Property "config_updates" "LocalPeerToPeer" erneut ausrollen. Updates werden dann unter den Clients selbst verteilt ohne die Internetleitung zu sehr zu belasten. 
  • Das Laufwerk K (Programme) wird unter 2004 nicht mehr korrekt installiert. Dazu gibt es eine Standard-Lösung, die man bei der Hotline erfragen kann. Hier eine Zusammenfassung (ohne Gewähr):

Die Datei \\server\netlogon\programme.bat bearbeiten und die Zeile 

@net use K: /DELETE

durch 

rem @net use K: /DELETE

ersetzen. 

Eine neue Gruppenrichtlinie anlegen und unter Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Laufwerkszuordnungen auf Neu -> Zugeordnetes Laufwerk auswählen

Aktion: Aktualisieren

Speicherort: \\server\programme

Beschriften als: Programme

Laufwerkbuchstabe: K

Danach noch auf dem Opsi mit Putty ein "samba-tool ntacl sysvolreset" ausführen.

  •  Das Opsi-Paket  paedml-login NACH dem Updatevorgang ausrollen. Dadurch wird unter anderem der Desktophintergrund wieder richtig dargestellt. 

Montag, 7. Juni 2021

W10AdminVM: RSAT Tools ab 2004

Aktuell rollt Microsoft die Zwangsupdates auf Windows 10 2004 aus, wovon auch die W10AdminVM betroffen ist.

Nach dem Update funktionieren die RSAT Tools zur Verwaltung der Serverkomponenten (Gruppenrichtlinien, Druckverwaltung, etc.) nicht mehr, da Microsoft die Implementierung geändert hat.

Die (Re-)Installation der RSAT Tools geschieht über PowerShell:


1) Befehl für die Abfrage des aktuellen Installationsstatus der einzelnen Tools:

Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State

IdR. ist die Ausgabe in der Spalte State "Not Present"


2) Befehl für die Installation aller RSAT Tools:

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online

Die Installation dauert je nach System 5 bis 10 Minuten. Danach sind alle Verwaltungskomponenten wieder verfügbar.


Eine Übersicht für die granulare Installation einzelner Tools findet man auf Windows-FAQ.de


Dienstag, 13. April 2021

App-Repository auf Nextcloud-VM erweitern

Das App-Repository auf der Nextcloud-VM ist per Whitelist eingeschränkt, somit können außer Let's Encrypt und Admin-Diary keine weiteren Apps aus dem Univention Repository installiert werden.

Für die Anpassung/Erweiterung des lokalen App-Centers muss man sich per Administrator auf der Nextcloud-VM einloggen, über "System" in die Univention Configuration Registry wechseln und als Suchwort "repository" eingeben


Hier ist der Eintrag "whitelist" zu bearbeiten und kommagetrennt um die jeweilige App-ID zu erweitern (hier am Beispiel Guacamole)


Die jeweilige einzutragende App-ID bekommt man aus dem Online App-Katalog der Univention-Seite.

Wählt man hier die gewünschte App aus, wird in der URL-Leiste die zugehörige App-ID angezeigt (hier am Beispiel Microsoft 365 Connector ist die ID "office365")


Montag, 12. April 2021

Homeoffice-Tweak Opsi-Client-Agent

Wenn man Notebooks, die in der paedML integriert und installiert sind, zum Arbeiten im Homeoffice mitnehmen möchte, kann der Opsi-Client-Agent außerhalb des paedML-Netzwerks durchaus nerven.

Der Timeout lässt sich mit zwei Hostparametern unabhängig voneinander anpassen. 

Zuerst geht man im Opsi Config Editor in die Server-Konfiguration und hier in den Baum "opsiclientd"


Hier fügt man per Rechtsklick auf den freien, blauen Bereich einen neuen Standard-Konfigurationseintrag hinzu


1) Verkürzen des Timeouts

Konfigurationseintrag: opsiclientd.config_service.connection_timeout

Mit dem obigen Eintrag kann man den Timeout auf den zugehörigen Property-Wert in Sekunden reduzieren. 
Hinweis: Das Reduzieren auf z.B. 10 Sekunden kann in langsamen Netzwerken zu Problemen führen, da der Timeout ggf. zu kurz ist, um eine Verbindung zum OPSI-Depot aufzubauen. Deshalb ist der Eintrag der Kritische von beiden.

2) Frühzeitige Aktivierung des Cancel-Button

Konfigurationseintrag: opsiclientd.config_service.user_cancelable_after

Mit diesem Eintrag wird der Cancel-Button im Client-Agent nach dem zugehörigen Property-Wert in Sekunden aktiviert.

3) Eine Beispielkonfiguration kann so aussehen


Aktivierung: Zur Aktivierung der neuen Konfiguration müssen die Geräte, bzw. der Opsi-Client-Agent zwei Mal gestartet werden -> Beim ersten Start zieht der Agent sich die neue Konfiguration und setzt sie beim zweiten Start dann um.

Samstag, 20. Februar 2021

PC-Einstellungen für Bluetooth freischalten

In der paedML ist der Zugriff auf die PC-Einstellungen und damit auf die Geräte-Settings standardmäßig per GPO deaktiviert.
Dadurch können u. A. auch keine Bluetooth-Geräte gekoppelt werden, was aktuell bzgl. Bluetooth-Headsets für Videokonferenzen für Probleme sorgt.

Der "Problemverursacher" ist das GPO "paedMLL_Benutzer":


Um die Einstellung zu negieren, müssen das umgekehrte Setting in einem eigenen GPO deaktiviert und gleichzeitig die Geräte-Einstellungen sichtbar gemacht werden:


Mit dem Eintrag "showonly:bluetooth" werden nur die Geräte-Einstellungen angezeigt, der Rest wird ausgeblendet:


Montag, 15. Februar 2021

Wakeup on LAN via Opsi

Da dies mein erster Poste im inoffiziellen paedML-Linux Blog ist, wollte ich mich ganz kurz vorstellen:
  • arbeite seit April 2019 bei der teska(technischer schulsupport karlsruhe)
  • betreue paedml linux + windows und wenns sein muss auch lmn
  • scripte ab und an ein paar Sachen, welche das Leben einfacher machen sollen
... und aus diesem Grunde schreibe ich hier diesen Eintrag:

opsi-teska-wakeup:

Im Grunde gehts darum, relativ komfortabel die Rechner über Opsi aufwecken zu können und die WOLs der Rechner dann im opsi-config-editor bearbeiten zu können. Hierzu müssen die Rechner per Drag/Drop einfach in Ihre WOL Gruppe gezogen werden, siehe Bild wie das aussehen könnte:




Installiert wird das ganze Script mit dem onliner auf backup(opsi)-server:

wget -O /tmp/setup-wakeup.sh https://raw.githubusercontent.com/kratzersmz/opsi-teska-wakeup/main/setup-wakeup.sh && /bin/bash /tmp/setup-wakeup.sh


Danach müsst Ihr den opsi-config-editor refreshen(gegenläufige Pfeile oben links)

Das Script erstellt direkt schon zwei wakeup-gruppen für euch. Ihr könnt aber selbst welche erstellen nach euren eigenen Bedürfnissen. Hier einfach eine Untergruppe bei wakeup erzeugen. Wichtig ist hier nur, dass die formate der wakeups stimmen:
XX-XX wobei nur in vollen Zehnerschritten gearbeitet werden darf. Z.B. 12-50 ist erlaubt, 12-52 jedoch nicht!


An die Ferien wurde auch gedacht:
Rechte Maustaste auf den Parent Ordner wakeup -> dann bei Beschreibung off eintragen(standardmässig steht hier on)


Für die Advanced User:

Ihr könnt für jeden wakeup, also z.B. 07-00 auch noch Tage definieren. Wenn Ihr Rechte Maustaste auf 07-00 geht -> Gruppe bearbeiten
könnt Ihr bei Beschreibung Wochentage definieren.




Z.B. sollen die Rechner am Montag, Dienstag, Freitag und Sonntag starten,
trag Ihr hier 1,2,4,7 ein.Gebt ihr nichts an, wird automatisch Mo bis Fr. angenommen.



WLAN MAC Adressen automatisiert hinzufügen

Hier eine kleine Beschreibung inkl. Script, wie man völlig automatisiert die WLAN MAC Adressen zu einer paedML Linux hinzufügen kann.

Das git-repo findet Ihr unter:

https://github.com/kratzersmz/opsi-wlan-mac

Funktionsweise des Scripts:

  • das Script holt sich zuerst alle Windows Rechner vom server
  • danach speichert es rechnername und existierende macs in ein dict, welche vom server ausgelesen wurden
  • dann geht das Script die auf dem opsi Server alle Rechner durch und sucht bei den networkcontroller nach der Beschreibung "wireless". Dies hat sich bei Fujitsu Laptops als ein sicheres Merkmal für eine WLAN Netzwerkwerkkarte bewährt. Falls euere Hardware hier andere Merkmale hat, bitte melden, dann kann ich das Script erweitern.
  • Wenn ein Netzwerkcontroller mit den gerade beschriebenen Merkmalen gefunden wurde, vergleicht er anhand der dict Liste vom Server ob die MAC schon bekannt, falls nein, fügt er diese hinzu

 

Installation des Scripts:

Verbindet euch per putty mit eurem backup(opsi)-server. Ganz wichtig noch, das Opsi-Product "hwaudit" muss installiert sein auf den Clients. Vergewissert euch, dass ihr root seid! Dann folgendes:

wget -O /root/wlan-mac-adding.py https://raw.githubusercontent.com/kratzersmz/opsi-wlan-mac/main/wlan-mac-adding.py

nun könnt ihr mit:

python /root/wlan-mac-adding.py

das Script starten. Dann kommt noch eine kleine Info auf Englisch, Ihr müsst dann noch Enter drücken.
Das ganze müsste dann ungefähr so ablaufen:




Wichtig wäre hier noch, schaut bitte vorher, ob Ihr vom backup(opsi server) ohne Probleme zum server connecten könnt. Also vom backup sollte ein "ssh server.paedml-linux.lokal" ohne Fehlermeldungen möglich sein!