Windows Update Client for Windows 7: March 2016

Microsoft hat für Windows 7 SP1 und Windows Server 2008 R2 einen verbesserten Windows Update Client veröffentlicht. Hier geht’s zu den Downloads:

Die Updates wie in Teil Windows 7 Standardsoftware vorbereiten und Teil Windows 7-Image mit MDT erstellen beschrieben zum MDT Build Share hinzufügen.

UPDATES-001

Local Administrator Password Management installieren und konfigurieren

Inhaltsverzeichnis

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen

Teil 28f: Arbeitsordner auf Windows 7 konfigurieren

Microsoft hat Work Folders for Windows 7 – Deutsch als msu-Dateien veröffentlicht.

x86: http://www.microsoft.com/de-DE/download/details.aspx?id=42559
x64: http://www.microsoft.com/de-DE/download/details.aspx?id=42558

Die Installation kann man beim Aufsetzen mit MDT automatisieren. Wie das geht, habe bereits in mehreren Teilen hier im Blog gezeigt (z.B.: Teil 27f: DirectAccess und Windows 7-Clients konfigurieren).

Damit die Arbeitsordner auf Windows 7 funktionieren, muss mindestens Windows 7 Professional und IE9 verwendet werden. Außerdem müssen die Windows 7-Rechner Mitglied der Domäne sein. Für Heimnutzer empfiehlt der Hersteller das Upgrade auf Windows 8.1.

Arbeitsordner auf Windows 7 einsetzen – Schritte:

  • Password Autolock deaktivieren
  • WorkFolders für Windows 7 herunterladen und installieren

Password Autolock deaktivieren

  1. Als Administrator an APP1 anmelden
  2. PowerShell als Admin starten
  3. Mit folgendem Befehl Password Autolock für die Domäne deaktivieren
    Get-SyncShare -Name "Arbeitsordner Linz" `
        Set-SyncShare -PasswordAutolockExcludeDomain "intern.einfaches-netzwerk.at"
  4. PowerShell Cmdlet
    WORKFOLDERS_WIN7-001
  5. Alle Fenster schließen

WorkFolders für Windows 7 herunterladen und installieren

  1. Als User1 an CLIENT3 anmelden
  2. Die Datei Windows6.1-KB2891638-x64.msu von http://www.microsoft.com/de-DE/download/details.aspx?id=42558 nach c:\Temp herunterladen und mit einem Doppelklick installieren
  3. Rechner neu starten und wieder anmelden
  4. Start > Systemsteuerung > System und Sicherheit > Arbeitsordner
    WORKFOLDERS_WIN7-002
  5. Arbeitsordner einrichten
    WORKFOLDERS_WIN7-003
  6. Geben Sie stattdessen eine Arbeitsordner URL ein
    1. https://arbeitsordner.einfaches-netzwerk.at > Weiter
      WORKFOLDERS_WIN7-004
  7. Anmeldeinformationen eingeben
    1. Benutername: user1
    2. Passwort: Password1 > OK
      WORKFOLDERS_WIN7-006
      Weiterlesen