In der Windows 10 Default-Installation in der paedML ist die automatische Wiedergabe von Medien nicht konfiguriert.
Das heißt, dass z.B. beim Einlegen einer Film-DVD schlicht nichts passiert, kein automatisches Abspielen oder auch keine Aufforderung zum Abspielen, Explorer öffnen, etc.
Ein Blick in die Systemsteuerung über einen administrativen Benutzer verrät den "Gemütszustand" des AutoRuns:
Die Settings hinter den Rollbalken verstecken sich in der Registry unter
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\EventHandlersDefaultSelection]
und parallel
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers]
Das heißt, dass die Settings benutzerbezogen eingestellt werden.
Allerdings ist im Profil AProfLehrer die Systemsteuerung auch deaktiviert, dementsprechend bleiben entweder Gruppenrichtlinien oder ein OPSI-Logon-Script, um die gewünschten AutoRuns auf alle Benutzer zu verteilen.
Für Ersteres gibt es hier ein Beispiel:
Im obigen Beispiel wurde ein GPO "paedMLL_EigeneAnpassungen" mit der Sicherheitsfilterung "Authentifizierte Benutzer" erstellt.
Darin wird nun das Erstellen eines neuen Registrierungselements vorgenommen:
Als Parentkeys dienen immer oben genannte Reg-Keys.
Darunter werden mit dem GPO nun Childkeys erstellt, im Bildbeispiel wird mit dem Childkey "PlayDVDAudioOnArrival" der Autorun von Audio-DVDs konfiguriert.
In das Feld "Schlüsselpfad" muss hier "Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\EventHandlersDefaultSelection\PlayDVDAudioOnArrival" eingetragen werden.
Dazu wird ein Standard-Element des Typ REG_SZ mit den Wertdaten "VLCPlayDVDAudioOnArrival" erstellt.
Der Schritt muss danach noch mit den zweiten Parentkey (UserChosen...) wiederholt werden, da der Autoplay nur funktioniert, wenn es in beiden Parentkeys einen identischen Eintrag gibt.
----
Diese Elemente sorgen nun dafür, dass Audio-DVDs in Zukunft immer nach dem Einlegen ohne weiteres Zutun des Anwenders mit dem VLC Media Player abgespielt werden.
Ob das Implementieren des GPO erfolgreich war, kann man z.B. über die Remote-Registrierung nachschauen, sobald ein Lehrer oder Schüler auf einer Maschine angemeldet ist:
Der Childkey mitsamt Reg-Element wurden korrekt angelegt. Damit funktioniert nun der Autostart für Audio-DVDs.
Eine Sammlung (und auch die Quelle für diesen Blogpost) mit allen gängigen Childkeys und Reg-Werten (auch gültig für Windows 10) gibt es hier: https://smulpuru.wordpress.com/2012/01/29/windows-7-autoplay-registry-settings/
Tipps und Tricks zur Verwendung der paedML Linux. Alles ohne Gewähr! von Johannes Albani
Mittwoch, 4. Dezember 2019
Dienstag, 3. Dezember 2019
Neuer CSV-Import
VORSICHT! WORK IN PROGRESS! Für das beschriebene Vorgehen gibt es keine Gewähr.
Wir sind gerade dabei einen neuen CSV-Import für die paedML zu konfigurieren. Da einiges zu definieren und testen ist, hier meine Work-in-Progress Dokumentation. Alles basiert auf diesem und diesem Artikel von Univention.
Das Vorgehen funktioniert nur mit paedML 7.1 (UCS 4.3).
Um das Modul zu installieren muss auf der Server-Konsole
Wir sind gerade dabei einen neuen CSV-Import für die paedML zu konfigurieren. Da einiges zu definieren und testen ist, hier meine Work-in-Progress Dokumentation. Alles basiert auf diesem und diesem Artikel von Univention.
Das Vorgehen funktioniert nur mit paedML 7.1 (UCS 4.3).
Um das Modul zu installieren muss auf der Server-Konsole
univention-install ucs-school-umc-import
und
univention-install ucs-school-import-http-api
ausgeführt werden.
Nun muss festgelegt werden, welcher User den Import durchführen darf. Dazu klickt man auf der Schulkonsole auf Benutzer --> Gruppen und wählt die Gruppe schule-import-all und klickt auf bearbeiten. Bei Mitglieder dieser Gruppe klickt man auf HINZUFÜGEN und wählt die Benutzer die den Import durchführen dürfen aus, z.B: Administrator und Netzwerkberater, und klickt nochmal auf HINZUFÜGEN. Auf der Seite oben klickt man auf SPEICHERN um die änderungen zu übernehmen.
Nun muss eine passende Konfigurationsdatei nach /var/lib/ucs-school-import/configs/user_import.json kopiert werden.
Der Inhalt wird für die paedML Linux z.B: so aussehen:
{ "csv": { "mapping": { "Skript 4": "record_uid", "Vornamen": "firstname", "Familienname": "lastname", "Klasse": "school_classes" } }, "scheme": { "username": { "default": "<:umlauts><firstname>[0].<lastname><:lower>[COUNTER2]", "student": "<:umlauts><firstname:alphanum>[0:10].<lastname:alphanum><:lower>[COUNTER2]", "teacher": "<record_uid><:lower>[COUNTER2]" } }, "school": "schule", "password_length": 8 }Der Import schluckt nun den "Export für paedML"-Export aus ASV-BW sobald er in CSV umgewandelt wird.
Sonntag, 13. Oktober 2019
VAMT-Fehler bei Proxy activate
Bei VAMT kommt es hin und wieder zu Fehlern, sobald man nach der Key-Installation Diese über "Proxy activate" bei Microsoft aktivieren möchte:
1) “VAMT reported that the response from the activation server did not match the request”
Dieser Fehler taucht seit VAMT 2 (u.A. auch in der paedML Linux 5.1) immer wieder auf. Hier erwartet der MS-Aktivierungsserver eine andere Regionaleinstellung von der anfragenden Station (hier die AdminVM).
Damals wie heute hilft es, die Regionaleinstellung in der Systemsteuerung der AdminVM zu manipulieren:
Bei 3) tauscht man das Komma gegen einen Punkt und bei 4) den Punkt gegen eine Leerstelle aus. Danach ist dieser Fehler behoben und die Geräte können aktiviert werden.
2) "The request failed with http status 417:Expectation Failed"
Dieser sehr seltene Fehler wird vom Squid verursacht, wenn es bei der HSTS-Kommunikation (HTTP Strict Tansport Security) zu einem Fehler kommt.
Lösen lässt sich das Problem, indem man die Zeile
ignore_expect_100 on
in die Datei /etc/squid/squid.conf auf dem paedML Server schreibt und den Squid dann neustartet.
1) “VAMT reported that the response from the activation server did not match the request”
Dieser Fehler taucht seit VAMT 2 (u.A. auch in der paedML Linux 5.1) immer wieder auf. Hier erwartet der MS-Aktivierungsserver eine andere Regionaleinstellung von der anfragenden Station (hier die AdminVM).
Damals wie heute hilft es, die Regionaleinstellung in der Systemsteuerung der AdminVM zu manipulieren:
Bei 3) tauscht man das Komma gegen einen Punkt und bei 4) den Punkt gegen eine Leerstelle aus. Danach ist dieser Fehler behoben und die Geräte können aktiviert werden.
2) "The request failed with http status 417:Expectation Failed"
Dieser sehr seltene Fehler wird vom Squid verursacht, wenn es bei der HSTS-Kommunikation (HTTP Strict Tansport Security) zu einem Fehler kommt.
Lösen lässt sich das Problem, indem man die Zeile
ignore_expect_100 on
in die Datei /etc/squid/squid.conf auf dem paedML Server schreibt und den Squid dann neustartet.
Donnerstag, 26. September 2019
Microsoft 365 mit per Powershell mit Zugangsdaten versorgen
Wenn man seinen Schülerinnen und Schülerin über einen Rahmenvertrag eine Office 365 Lizenz geben möchte muss dies über die Azure-Cloud erfolgen. Hier sammle ich die Befehle die zum Hochladen der Benutzerdaten benutze.
Die folgenden Befehle sind KEIN SKRIPT! Die Befehle sollten einzeln ausgeführt werden und einzelne Teile gegebenenfalls angepasst werden.
Modul installieren
zu Cloud verbinden
Modul aktivieren
Zum Auflisten aller Befehle:
Zum Auslesen der verfügbaren Lizenzen:
Alle User in der Cloud löschen (VORSICHT! ALLE User außer dem Admin werden gelöscht!)
Ließt die CSV Datei der paedML Importliste aus
Die Importierten Daten haben die Attribute Klasse, Vorname, Nachname, Benutzername und Passwort. Sie können nun für jeden User in der Liste eine Aktion ausführen lassen. Im Beispiel wird für jeden User der Vorname ausgegeben.
Microsoft verlangt einen Ländercode beim Zuweisen der Lizenz
In der Abteilung kann die Klasse abgelegt werden.
Für meine Schule habe ich die Parameter wie folgt gesetzt:
Das Passwort ist nicht sehr sicher, aber kann von den Lehrern gut kommuniziert werden.
Es sieht bei uns dann so aus "SGGG13-1-Office!"
Das Anlegen komplett:
Die User werden nun angelegt und die Lizenz zugewiesen.
Die folgenden Befehle sind KEIN SKRIPT! Die Befehle sollten einzeln ausgeführt werden und einzelne Teile gegebenenfalls angepasst werden.
Modul installieren
Install-Module MSOnline
zu Cloud verbinden
Connect-MsolService
Modul aktivieren
Import-Module MSOnline
Zum Auflisten aller Befehle:
Get-Command -Module MSOnline
Zum Auslesen der verfügbaren Lizenzen:
Get-MsolAccountSkuKopieren Sie die gewünschte Lizenz, sie muss später beim Benutzer anlegen mitgegeben werden.
Alle User in der Cloud löschen (VORSICHT! ALLE User außer dem Admin werden gelöscht!)
Get-MsolUser -all | Remove-MsolUser -Force
Ließt die CSV Datei der paedML Importliste aus
$users=Import-Csv -Path 'H:\paedml_import_liste.csv'
Die Importierten Daten haben die Attribute Klasse, Vorname, Nachname, Benutzername und Passwort. Sie können nun für jeden User in der Liste eine Aktion ausführen lassen. Im Beispiel wird für jeden User der Vorname ausgegeben.
foreach($user in $users){ Write-Host $user.Vorname}Die Azure-Cloud Benötigt für New-MsolUser (Neuer User anlegen)
-UserPrincipalNameDer Loginname mit Domäne z.B. vname.nname@meineschule.onmicrosoft.com
-DisplayNameDer angezeigte Name
-FirstName -LastNameVor- und Nachname (eventuell nicht unbedingt benötigt?)
-PasswordDas Passwort darf den Benutzernamen NICHT enthalten!
-ForceChangePassword $trueDer User muss das Passwort beim ersten Login ändern, $false falls nicht
-DepartmentDie passende Lizenz, welche mit Get-MsolAccountSku ausgelesen wurde
-LicenseAssignment *****schule:OFFICESUBSCRIPTION_STUDENT
Microsoft verlangt einen Ländercode beim Zuweisen der Lizenz
-UsageLocation de
In der Abteilung kann die Klasse abgelegt werden.
Für meine Schule habe ich die Parameter wie folgt gesetzt:
New-MsolUser -UserPrincipalName "$($as.Benutzername).365@****schule.de" -DisplayName "$($as.Vorname) $($as.Nachname)" -FirstName $as.Vorname -LastName $as.Nachname -Password "$($as.Klasse)-Office!" -ForceChangePassword $true -Department $as.Klasse -LicenseAssignment ****schule:OFFICESUBSCRIPTION_STUDENT -UsageLocation de
Das Passwort ist nicht sehr sicher, aber kann von den Lehrern gut kommuniziert werden.
Es sieht bei uns dann so aus "SGGG13-1-Office!"
Das Anlegen komplett:
$users=Import-Csv -Path 'H:\paedml_import_liste.csv'
foreach($user in $users){ New-MsolUser -UserPrincipalName "$($user.Benutzername).365@****schule.de" -DisplayName "$($user.Vorname) $($user.Nachname)" -FirstName $user.Vorname -LastName $user.Nachname -Password "$($user.Klasse)-Office!" -ForceChangePassword $true -Department $user.Klasse -LicenseAssignment ****schule:OFFICESUBSCRIPTION_STUDENT -UsageLocation de
}
Die User werden nun angelegt und die Lizenz zugewiesen.
Sonntag, 23. Juni 2019
Fehlende Gruppenrichtlinien für Windows Update & Store
Aktualisierung Juni 2021:
Eine Offizielle Version dieser Richtlinie wird nicht erscheinen, da dies alle Updates für Windows generell abdreht. Ich (J. Albani) werde sie in meiner Schule so nicht umsetzen sondern die Zwangsupdates zulassen und dann gegebenenfalls Nacharbeiten durchführen. Für die Windows 10 Version 2004 gibt es eine Anleitung von Herrn Rosenfelder bei der paedML Hotline.
Johannes Albani
In der paedML Linux 7.1 fehlen nach aktuellem Stand wichtige Gruppenrichtlinien, um Windows Update richtig zu kontrollieren.
Ohne diese Gruppenrichtlinien verbinden sich alle PCs an der paedML vorbei zum Windows Update-Server bei Microsoft und lassen womöglich die komplette Internetverbindung einbrechen.
Gut nachvollzogen werden kann dies in der access.log des Squidmoduls auf dem paedML Server.
Insgesamt betrifft es bei Windows 10 folgende Module:
- Insider Preview
- Microsoft Store
- Windows Defender Antivirus, bzw. dessen Definitionsupdates
- Windows Update
Der Windows Defender Antivirus sollte natürlich nur deaktiviert werden, sofern ein anderes Anti-Virenprogramm zum Einsatz kommt.
Folgende Gruppenrichtlinien unterbinden alle betroffene Verbindungen zu Microsoft:
Donnerstag, 2. Mai 2019
Installationsprobleme älterer Hardwareklassen in OPSI 4.1
Das Bootimage des OPSI 4.1, basierend auf Ubuntu 18.04, hat ein Problem bei der Installation von älteren Hardwareklassen, festgestellt an HP Elite 8200 PCs.
Hier kommt es beim Ausführen der opsi-local-image-Produkte sporadisch zum Fehler "Login failed: getrandom() initialization failed. (_ssl.c:726)".
Die Abhilfe dagegen:
1) Per putty auf die "abgestürzten" Geräte verbinden, Benutzer: root Passwort: linux123
2) /usr/sbin/rngd -b -r /dev/urandom -o /dev/random eingeben
3) master.py eingeben
Danach läuft das oli-Produkt weiter.
Je nach Situation müssen obige Befehle pro oli-Produkt ausgeführt werden, bei einer Windows-Installation dementsprechend ein Mal für -prepare und ein Mal für -win10x64.
Die Befehle werden mit dem nächsten Bootimage-Release integriert, aktuell befindet sich dieses Bootimage noch im testing-Repository.
Quelle: https://forum.opsi.org/viewtopic.php?f=25&t=10931
Hier kommt es beim Ausführen der opsi-local-image-Produkte sporadisch zum Fehler "Login failed: getrandom() initialization failed. (_ssl.c:726)".
Die Abhilfe dagegen:
1) Per putty auf die "abgestürzten" Geräte verbinden, Benutzer: root Passwort: linux123
2) /usr/sbin/rngd -b -r /dev/urandom -o /dev/random eingeben
3) master.py eingeben
Danach läuft das oli-Produkt weiter.
Je nach Situation müssen obige Befehle pro oli-Produkt ausgeführt werden, bei einer Windows-Installation dementsprechend ein Mal für -prepare und ein Mal für -win10x64.
Die Befehle werden mit dem nächsten Bootimage-Release integriert, aktuell befindet sich dieses Bootimage noch im testing-Repository.
Quelle: https://forum.opsi.org/viewtopic.php?f=25&t=10931
Maximale Länge der Rechnernamen
Durch Zufall bin ich letztens auf einen Fehler in der Windows-Installation in Bezug auf die maximale Länge der Rechnernamen gestoßen.
Sobald der Rechnername mehr, als 14 Zeichen hat, endet die Windows-Installation in einem Problem mit der unattend.xml-Datei.
Der Fehler kommt allerdings erst kurz bevor die eigentliche Windows-Installation endet und in die Installation des OPSI-Client-Agent übergeht. Das heißt, je nach Rechnergeschwindigkeit sind bis dahin schon 30 bis 45 Minuten vergangen, was dann etwas ärgerlich ist.
Dokumentiert wurde das Problem bei UIB hier schon vor einiger Zeit https://forum.uib.de/viewtopic.php?f=7&t=1243&sid=6f365afb81aaabfd24e07014d28dd9d0&start=10
Sobald der Rechnername mehr, als 14 Zeichen hat, endet die Windows-Installation in einem Problem mit der unattend.xml-Datei.
Der Fehler kommt allerdings erst kurz bevor die eigentliche Windows-Installation endet und in die Installation des OPSI-Client-Agent übergeht. Das heißt, je nach Rechnergeschwindigkeit sind bis dahin schon 30 bis 45 Minuten vergangen, was dann etwas ärgerlich ist.
Dokumentiert wurde das Problem bei UIB hier schon vor einiger Zeit https://forum.uib.de/viewtopic.php?f=7&t=1243&sid=6f365afb81aaabfd24e07014d28dd9d0&start=10
Abonnieren
Posts (Atom)





