Správa windows 10 v podniku Lubomír Ošmera Pár tipů na úvod • Winver • Whoami • Shutdown -r –g –t 0 • Kopírování • Mocné pravé tlačítko • Mbrgpt.exe MAP • Hardware compatibilita v celém prostředí Upgrade Anylitics Jak se zbavit ModerNUI • Get-AppxPackage | Remove-AppxPackage • Get-AppXProvisionedPackage -Online | Remove- AppxProvisionedPackage –Online • Get-appxpackage –allusers | Remove-AppxPackage Jedině je zakázat? • Pouze Enterprise, Education Roaming profiles Ukladá se v rámci profilů: – Control panel – Plocha – Pozadí barvy – Nastavení Windows a aplikací – Taskbar – Jaké jsou problémy? Screen z registrů Povolení registru • Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C urrentVersion\Explorer • Value: SpecialRoamingOverrideAllowed • Type: REG_DWORD • Value: 1 Creators update 1703 Bude se Nebude se již Modern UI se nahrazovat ukládat do složky zatím nepřenáší tilestartmenu SyncSettings dobře DEPLOYMENT WINDOWS 10 Jak instalovat bezobslužně a bezstarostně 1) Ať nemusím klikat všechny možnosti 2) Ať je již v image vše připraveno a nadbytečnosti odstraněny 3) Ať se dějí akce navíc (aby už byl počítač připojený do domény, měly nastavenou tapetu) 4) Ať mohu instalaci provést na desítkách PC současně Windows systém image manager • Tvorba bezobslužné instalace Odebrání modern-ui Přidání driverů do image Updaty • Přidání updatu do existujícího image • dism /image:“D:\Deployment\mount“ /Add-Package /PackagePath:“D:\Deployment\updates\KB2751352\“ Sysprep – zachycení a aplikace obrazu • C:\Windows\System32\sysprep • dism /Capture-Image /ImageFile:“Z:\MyNewInstall.wim“ /CaptureDir:“C:“ /Name:“My Windows 10“ /Compress:fast /Verify /Bootable /CheckIntegrity • DISM /Apply-Image /ImageFile:“Z:\MyNewInstall.wim“ /index:1 /ApplyDir:“C:“ /Verify /CheckIntegrity • bcdboot C:\Windows Sysprep – jak zachovat PnP drivery • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Setup\Sysprep\Settings\sppnp • Vytvoříme NEW DWORD • Jméno ji dáme PersistAllDeviceInstalls (hodnota 1) PŘÍPRAVA IMAGE SKRZ MDT Konfigurační skripty • Bootstrap.ini • Configsettings.ini BOOTSTRAP.INI • SkipBDDWelcome=YES • UserID=Administrator UserPassword=Pa$$w0rd UserDomain=Domena.com Nastavení parametrů configsettings.ini • SLShareDynamicLogging - (UNC cesta) - Cesta pro centrální logování na server. • OSInstall - (YES/Y/NO) - indikuje instalaci operačního systému. • ComputerName - název počítače. • dle OS. • KeyboardLocalePE - (cz-CZ nebo 0409:00000409) - definice klávesnice pouze pro Windows PE. Výchozí je nastavení dle OS. Přeskakující parametry - příklady • SkipSummary - (YES/NO) - přeskočit zobrazení sumarizace informací před spuštěním instalace operačního systému. • SkipFinalSummary - (YES/NO) - přeskočit sumarizaci na úplném konci instalačního procesu. • SkipWizard - (YES/NO) - přeskočí kompletního průvodce. Použijte, pokud nechcete přeskakovat jednotlivé stránky. • SkipCapture - (YES/NO) - přeskočí dialog s dotazem na provedení capture (sejmutí) image na existujícím počítači a provedení kompletní zálohy počítače. Kompletní parametry • http://www.optimalizovane-it.cz/deployment/automatizace- procesu-nasazeni-pomoci-mdt-soubory-bootstrap.ini-a- customsettings.ini.html Příklad z ukázky Taskbar a start menu • Konfigurace v AnswerFile souboru • Microsoft-Windows-ShellSetup\StartPanelLinks • Microsoft-Windows-Shell-Setup\TaskBarLinks Automatická tvorba názvu stanice Tvorba jména na základě sériových čísel Náhodné jméno pro Computername Nezapomenout na update deployment share Finální konfigurace bezobslužné instalace MDT pokračování • UserDataLocation=NETWORK • UDShare=\\SRV01\MigData$ • UDDir=%OSDComputerName% Monitoring Logy Jak číst logy C:\SMSTSLog\SMSTS.log C:\Windows\Temp\DeploymentLogs. The BDD.log Configuration manager Trace Log – free nástroj Ostatní drivery • Exe soubory – instalovat jako běžné aplikace • Problém – co když jednomu ID odpovídá více různých driverů Sysprep by MDT • SkipCapture=NO PowerShell skripty v MDT NASTAVENÍ SYSTÉMU WINDOWS Public versus private interface • Kde se dá v grafice nastavit? • set-netconnectionprofile Neustále se mi to připojuje na wifi a neupřednostnuje • Get-NetIPInterface • Set-NetIPInterface -InterfaceIndex 12 -InterfaceMetric 15 Další možnost může být nastavení v biose File associations • Nejde již přes GPO Preferences • Důvod: user-based, nikoli systém-based nastavení • GPO nastavení • Computer Configuration > Administrative Templates > Windows Components > File Explorer Start menu layout část 1 Start menu layout část 2 • Export-StartLayout –Path ./sablona2.xml Computer Configuration > Policies > Administrative Templates > Start Menu and Taskbar Start menu layout část 3 – nepovolení změn uživateli TaskBar Zdroj: https://docs.microsoft.com/en-us/windows/configuration/configure-windows-10-taskbar Možnosti Windows 10 jako služby • Od července 2017 Servisní aktualizace jsou stále povinné !! • Current branch for business (minimálně 4 měsíce po vydání balíků), mohu odkládat • LSTB – HLAVNÍ VERZE Windows, vždy po 2 – 3 letech, navíc volitelná (bankomaty…) Jak zkrotit updaty • Minimálně čtyři měsíce od vydání nové hlavní verze • Jednotlivá vydání podporována po dobu 18 měsíců • Feature update maximum odložení 180 dní / 365 (Creators) • Quality update maximum odložení 30 dní • Pozastavit spouštení updatů Active Hours • Od Anniversary Update • 18 hodin maximum v Creators • Nevykonává se restart • ADMX for Windows 10 • GPO: Computer Configuration / Administrative Templates / Windows Components / Windows Update/ Turn off Autorestart for updates in active hours GPO politiky Co po Active hours • Pouze, pokud se některé updaty instalují • Lze nastavit pevně now nebo čas restartování • Settings -> Windows Update GPO politiky Šetřeme upload dat u uživatelů • Computer Configuration\Administrative Templates\Windows Components\Delivery Optimization Nefunguje správně včetně WSUS Metered connections • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost • 1 nebo 2 Zákaz služby Windows Update • Bezpečnostní riziko • Vypne absolutně všechny update windows, i důležité servisní! HROMADNÁ SPRÁVA OVLADAČŮ Devices • Kontrola podepsaných ovladačů na 32 bit systémech – verifier • driverquery –si info o ovladačích, příslušných inf souborech, vlastnostech • Od Windows Vista 64 BIT nahoru blokace nepodepsaných driverů • bcdedit /set testsigning on • bcdedit /set testsigning off Devices Hromadná správa driverů Cmdlet Description Enable-PnpDevice Enables a PnP devi • Remote Desktop – nedoporučované řešení ce. Disable-PnpDevice Disables a PnP devi • Hromadně Powershell remoting nebo ce. Devcon Get-PnpDevice Displays information about PnP devices. Get- Displays detailed pr • PnPutil.exe /add-driver PnpDevicePropert operties for a PnP d E:\AMDdrivers\*.inf /install y evice. • Nefunguje devmgmt.msc!!! Shared Folders drivers • Kde hledá Windows – postupně Driver Store a devicepath, Windows Update • Od Windows Vista vždy instaluje Drivery z DriverStoru • Úprava v registrech na cestě HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version Shared folder pro drivery Skrz Group Policy Úprava hodnoty registru Oprava služeb a driverů • Msconfig.exe • Ntbtlog.txt (C:\Windows) Ukázka ntbtlog.txt Vzdálená správa Jak vzdáleně spravovat Windows 10 zařízení DŮLEŽITÉ PORTY • 3389 – vzdálená plocha • 5985 – vzdálená správa • 5986 – šifrovaná vzdálená správa (v domeně defaultně autentizace pomocí Kerberos) Jak zapnout hromadně vzdálenou plochu Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host / connections Allow users to connect remotely by using RemoteDeskto p Services PowerShell Remoting – motivace . Vzdáleně ovládat velké množství počítačů . Pouštět napřímo příkazy na vzdáleném zařízení . Neomezené možnosti konfigurace . Snadné nastavení Požadavky Windows Remote Management na obou počítačích PowerShell na obou počítačích! Vzdálené připojení bez Powershellu Jak probíhá zpracování příkazu Zdroj: https://technet.microsoft.com/en-us/library/ff700227.aspx Zapnutí • Winrm qc • Příp. Enable-PSRemoting –force • Jak zapnout skrze GPO? • Vypnutí • winrm delete winrm/config/Listener?Address=*+Transport=HTTP • winrm delete winrm/config/Listener?Address=*+Transport=HTTPS Povolení samotné služby Winrm • Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service. • Vyhledáme politiku “Allow remote server management through WinRM Povolení samotné služby Winrm Computer Configuration > Preferences > Control Panel Settings > Services Povolení samotné služby Winrm GPO Windows firewall Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Commands Invoke- Command Connect- Enter- PSSession PSSession Receive- Exit- PSSession PSSession Disconnect- PSSession Persistent session vs. jednorázové • Get-pssession • New-pssession –ComputerName LON-CL1 • Enter-PSSession –name Session1 • Exit-PSSession • Disconnect-PSSession –name Session1 • Remove-PSSESSION –name Session1 • Jednorázově: Enter-pssession –computername LON-CL2 Jak spouštět hromadné příkazy • Invoke-Command -ComputerName LON-CL1, LON-CL2 –FilePath C:\Test\Sample.ps1 – Nic se nikam nekopíruje • Invoke-command -ComputerName LON-CL1, LON-CL2 –ScriptBlock {..} Jak spouštět na žádané počítače • $computername = “PRAH01“,“PRAH07“,“SRVFILE“ • $computername = Get-ADComputer -Filter ‘Name -like “PRAH*“‘ | select - expand Name SDÍLENÍ SLOŽEK ELEGANTNĚ Sharing folder • Nijak nepoznam