Richtlinien (GPOs) auf einem Rechner zurücksetzen

Manche Einstellungen bleiben auch wenn man Richtlinien von der OU entfernt oder den Rechner aus der Domäne nimmt. Möchte man das der Rechner wieder das Default Set an Richtlinien verwendet helfen diese Befehle (CMD als Admin):

RD /S /Q „%WinDir%\System32\GroupPolicyUsers“
RD /S /Q „%WinDir%\System32\GroupPolicy“
gpupdate /force

WSUS Clean Up

Ein WSUS oder SCCM bedarf leider der ständigen Pflege. J.C. Hornbeck hat kürzlich dazu einen sehr guten Blog Artikel verfasst:

https://blogs.technet.microsoft.com/configurationmgr/2016/01/26/the-complete-guide-to-microsoft-wsus-and-configuration-manager-sup-maintenance/

Happy Clean Up!

Neue Updates im Überblick behalten

Möchte man sich alle Updates anzeigen lassen die am WSUS neu hinzugekommen sind kann man dies per Powershell tun. Folgendes Skript holt alle Updates und Treiber die seit einer bestimmten Anzahl von Tagen hinzugefügt wurden oder eine neue Revision erhalten haben und exportiert sie als CSV (Achtung, RSAT Tools müssen installiert sein). In Excel öffnen, als Tabelle formatieren und schon hat man den Überblick:
# Script um alle Updates in einem bestimmten Zeitraum vom WSUS anzuzeigen
$Wsusname = $DeinWSUSServer # WSUS Name in Anführungszeichen
$port = 8530 # WSUS Port
$Zeitraum = 38 # Zeitraum in dem Updates eingesehen werden sollen (letzte X Tage)
function Select-FileDialog
{
param([string]$Title,[string]$Directory,[string]$Filter="All Files (*.*)|*.*")
[System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms") | Out-Null
# UZ: replaced OpenFileDialog by SaveFileDialog
$objForm = New-Object System.Windows.Forms.SaveFileDialog
$objForm.InitialDirectory = $Directory
$objForm.Filter = $Filter
$objForm.Title = $Title
$Show = $objForm.ShowDialog()
If ($Show -eq "OK"){
Return $objForm.FileName
}
Else {
Write-Error "Operation cancelled by user."
}
}
$ausgabepfad = Select-FileDialog -Title "Select a file" -Directory "$env:USERPROFILE\Desktop" -Filter "csv |*.csv"
$Datum = Get-Date
$Fromdate = $Datum.AddDays(-$Zeitraum)
$wsus = Get-WsusServer -Name $wsusname -PortNumber $port
$updatescope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
$updatescope.FromArrivalDate = $fromdate
$updatescope.UpdateTypes = "SoftwareUpdate"
$wsus.GetUpdates($updatescope) |Select @{Name='Product Title';Expression={$_.ProductTitles}}, Title, MsrcSeverity, @{Name='Link to KB';Expression={$_.AdditionalInformationUrls}}, Description, UpdateClassification, HasEarlierRevision, CreationDate, ArrivalDate, UpdateType, PublicationState, State, HasSupersededUpdates, Issuperseded|Export-Csv -Delimiter "`t" -Encoding Unicode -NoTypeInformation -Path $ausgabepfad -force
$updatescope.UpdateTypes = "Driver"
$wsus.GetUpdates($updatescope) |Select @{Name='Product Title';Expression={$_.ProductTitles}}, Title, MsrcSeverity, @{Name='Link to KB';Expression={$_.AdditionalInformationUrls}}, Description, UpdateClassification, HasEarlierRevision, CreationDate, ArrivalDate, UpdateType, PublicationState, State, HasSupersededUpdates, Issuperseded|Export-Csv -Delimiter "`t" -Encoding Unicode -NoTypeInformation -Path $ausgabepfad -force -append

Neue Update Klassen und Produkte am WSUS ausgeben

Folgendes Skript liest die neusten Produkte und Klassifizierungen am WSUS aus und hilft den Überblick zu behalten:


[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | out-null
$wsus = Get-WsusServer -Name $DeinWSUSServer -PortNumber 8530
$wsus.GetUpdateClassifications("$((Get-Date).AddDays(-100))","$(Get-Date)") | select Title, Description, Releasenotes, arrivaldate
$wsus.GetUpdateCategories("$((Get-Date).AddDays(-100))","$(Get-Date)") | select Title, Description, arrivaldate

Windows 10 Preview ISOs mit dem neusten Build selbst erstellen

Microsoft veröffentlicht die ISOs von Windows 10 Preview zum download teilweise leider nur in „slow Track Geschwindigkeit“ (besonders die Enterprise Version). Möchte man ein System mit dem neusten Windows 10 aufsetzen muss man so also erst einen älteren Build installieren und diesen dann hochpatchen, was einige Zeit dauern kann.

Man kann sich aber ein ISO mit dem neusten Image auch selbst erstellen. Windows 10 nutzt für den BUILD Upgrade Prozess ESD Files welche alle Daten enthalten die man benötigt um eine vollständige ISO zu erstellen. Um an das ESD File zu gelangen gibt es zwei Möglichkeiten:

  • Man lässt einen Client den neusten Build downloaden (Windows Update) und fischt das ESD File (install.esd) von der Platte sobald der abgeschlossen ist.
  • Man ermittelt mit einem Netzwerk Monitoring Tool die download Adresse des ESD Files während es heruntergeladen wird und lädt es anschließend selbst von Windows Update runter.

Hat man das ESD File kann man es mit einem Tool wie „esd-decrypter-wimlib-4“ ganz einfach in ein ISO umwandeln. Mit der ISO kann man dann ganz normal verfahren wie mit allen anderen ISOs auch.

Miniaturansichten von Modern UI Apps fehlen

Miniaturansichten von Modern UI Apps werden im modernen Startmenu nicht angezeigt wenn die Anzeige der Miniaturansichten auf Netzwerkordnern deaktiviert ist. Ich habe den Bug an Microsoft reported und es wird vermutlich irgendwann ein Fix dafür geben.

[Update] Das Fix wird im März 2015 Rollup Update enthalten sein.

HTML 5 Videos in Internet Explorer 11 werden nicht abgespielt

Spielt der IE 11 keine HTML 5 Videos ab sollte man folgenden Key in der Registry suchen:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
„2701“=dword:00000003

Damit HTML 5 Videos abgespielt werden können muss das DWORD auf 0 stehen. Wird die Setting per Preference gesetzt kann man diese nicht einzeln in der GUI verändern sondern nur über den Schieberegler. Hat man individuelle Settings wird der Schieberegler aber nicht mehr angezeigt. Mit einem XML Editor kann man die GPO aber manuell bearbeiten.

Windows 8.1 Update 1 via WSUS

Windows 8.1 Update 1 ist derzeit noch nicht via WSUS verteilbar. Der Grund scheint zu sein, dass der ältere WSUS 3.x des Server 2008R2 in Verbindung mit HTTPS Probleme macht.

http://blogs.technet.com/b/wsus/archive/2014/04/08/windows-8-1-update-prevents-interaction-with-wsus-3-2-over-ssl.aspx

Update KB2871690 – Endlosschleife beenden

Das Update KB2871690 erzeugt bei vielen Windows Server 2012 Installationen einen Fehler. das Update kann nicht installiert werden. Um das Problem zu beheben einfach Secure Boot im UEFI für die Dauer der Installation deaktivieren und das Update lässt sich installieren. Danach kann man Secure Boot wieder aktivieren.