Schlagwort-Archive: Group Policy Object

apple-quicktime

Tutorial: Apple Quicktime 7.7.9 per GPO deinstallieren

Vorgeschichte:

In Apple Quicktime 7.7.9 wurden am 14. April 2016 zwei kritische Sicherheitslücken (ZDI-16-241, ZDI-16-242) entdeckt. Diese ermöglichen es Angriefern, potentiell schadhaften Code einzuschleusen.

Die Sicherheitsfirma Trend Micro und das US-CERT des Department of Homeland Security empfehlen aus diesem Grund allen Windows Benutzern dringend Apple Quicktime zu deinstallieren. Grund dafür ist die Bekanntgabe von Apple, Quicktime für Windows nicht mehr weiter zu entwickeln bzw. auch keine Sicherheitsupdates mehr dafür zur Verfügung zu stellen. Damit ist die 7.7.9 für Windows die letzte Version der Software.

Die Deinstallation von Apple Quicktime sollte keine weiteren Einschränkungen mit sich bringen. Die Quicktime-Video-Formate werden von empfehlenswerten Mediaplayern wie z.B. dem VLC Player sowieso unterstützt.

Problem:

Ich habe bisher kein Tutorial gefunden wie man Apple Quicktime per GPO deinstallieren kann.

Lösung:

Also habe ich hier ein hoffentlich vollständiges Tutorial für die Deinstallation von Apple Quicktime 7.7.9 erstellt. Alle Schritte habe ich selbst so getestet.

Zuerst noch ein Paar Eckdaten zur Systemumgebung:

Domain Controller: Windows Server 2008 R2 SP1

Clients: Windows 7 Pro oder Ultimate x64 SP1

Deinstallierte Software Version: Apple Quicktime 7.7.9

 

1. Auf dem Domain Controller die Group Policy Management Konsole öffnen.

2. In der OU, in welcher die Computer Objekte liegen, eine neue OU erstellen. Diese könnte z.B. “SoftwareDeploymentTestOU” heissen.

3. Ein neues GPO erstellen. Dieses könnte z.B. “APP_UninstallAppleQuicktime779” heissen.

4. Das GPO folgendermassen editieren:

4.1 Computer Configuration –> Policies –> Administrative Templates –> System –> Logon –> Always wait for the network at computer startup and logon auf “Enabled” stellen.

4.2. Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy –> Startup policy processing wait time auf “Enabled” stellen und  “Ammount of time to wait (in seconds):” auf “30” stellen (“120” ist der default Wert)

4.3. die GPO wie folgt weiterbearbeiten: Computer Configuration –> Policies –>  Windows Settings –> Scripts (Startup/Shutdown) –> Startup

4.4. In der Registerkarte “Scripts” auf “Show Files” clicken und den geöffneten Ordnerpfad Kopieren. Dieser sollte so ähnlich aussehen: “\\domäne.local\SysVol\domäne.local\Policies\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Machine\Scripts\Startup

4.5. Das GPO schliessen.

5. Eine .txt Datei, sie könnte z.B. “UninstallAppleQuicktime779.txt” heissen, erstellen und folgende Zeilen reinschreiben. Die kryptischen Zahlen- und Buchstabenreihe steht in diesem Fall für die sogenannte GUID (Globally Unique Identifier) von Apple Quicktime 7.7.9. Die uninstall GUIDs können in der Windows Registry unter “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall” oder falls es sich um einen 32-bit Installer auf einem 64-bit Windows handelt (wie in unserem Fall) unter HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall gefunden werden.

Folgendes in die .txt Datei reinschreiben:

MsiExec.exe /uninstall {FF59BD75-466A-4D5A-AD23-AAD87C5FD44C} /passive /norestart

6. Das .txt file speichern und die Endung in .bat ändern.

7. Den Ordnerpfad von Punkt 4.4 öffnen und die .bat Datei von Punkt 6 reinkopieren.

8. Erneut das GPO “APP_UninstallAppleQuicktime779” bearbeiten: Computer Configuration –> Policies –>  Windows Settings –> Scripts (Startup/Shutdown) –> Startup

8.1. In der Registerkarte “Scripts” auf “Add…” klicken und die .bat Datei von Punkt 6 auswählen. Alles bestätigen und schliessen.

9. Das so erstellte GPO (bei mir heisst es “APP_UninstallAppleQuicktime779”) in die in Punkt 2 erstellete OU linken (bei mir heisst die OU “SoftwareDeploymentTestOU”)

10. Ein geeignetes Computer Objekt, zum testen in die “SoftwareDeploymentTestOU” moven.

11. Wenn alles geklappt hat, auf alle Clients ausrollen.

Windows_10

Fehler bei der Verarbeitung der Gruppenrichtlinie in Windows 10

Vorgeschichte:

Ich teste zur Zeit Windows 10 in unserer Firma.

 

Problem:

Nachdem ich meiner Firmen-Domäne beigetreten bin ist mir aufgefallen das meine stillen Softwareinstallationen von Java, Flash, Shockwave, Quicktime per GPO (Group Policy Object) unter Windows 10 64-bit final (build 10240) nicht funktionieren.

Stattdessen erhalte ich in der Ereignisanzeige –> Windows-Protokolle –> System des Client Computers folgende Meldung:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei “\\deinedomäne.local\sysvol\deinedomäne.local\Policies\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\gpt.ini von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.

 

Lösung:

Zuerst noch ein Paar Eckdaten zur Systemumgebung:

Domain Controller: Windows Server 2008 R2 SP1

Client: Windows 10 Pro x64 final (build 10240)

Ganz grob ausgedrückt hat es damit zu tun das mit Windows 10 der Zugriff auf UNC Pfade sicherer gemacht wurde (und somit meine Softwareinstallationen per GPO nicht mehr funktionieren)

Mit ein Paar Einstellungen in den lokalen Gruppenrichtlinien des Windows 10 Client Computers lässt sich das Problem aber beheben:

1.  Mit einem lokalen Admin Account einloggen

2. Unter Ausführen (Windows+X, F) “gpedit” eingeben und mit der Enter Taste bestätigen.

3.  Unter Computerkonfiguration –> Administrative Vorlagen –> Netzwerk –> Netzwerkanbieter –> Gehärtete UNC-Pfade mit Doppelklick öffnen

Computerkonfiguration Administrative Vorlagen Netzwerk Netzwerkanbieter Gehärtete UNC-Pfade

Computerkonfiguration Administrative Vorlagen Netzwerk Netzwerkanbieter Gehärtete UNC-Pfade

4.  Im Menü “Aktiviert” wählen und anschliessend im Optionenfenster herunterscrollen und auf den Button “Anzeigen…” klicken.

Gehärtete UNC-Pfade Aktiviert Anzeigen...

Gehärtete UNC-Pfade Aktiviert Anzeigen…

5.  Folgende Einträge machen und mit “OK” bestätigen.

RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0

RequireMutualAuthentication=0,RequireIntegrity0,RequirePrivacy0

6.  Nach einem Neustart sollten die stillen Softwareinstallationen von Java, Flash, Shockwave, Quicktime per GPO auch unter Windows 10 funktionieren.

Apple_Quicktime

Tutorial: Apple Quicktime 7.7.9 per GPO verteilen

Vorgeschichte:

Heutzutage kann man leider nicht auf Apple Quicktime verzichten. Diverse Websites betten ihre Videos oder Musik nur im Quicktime Player ein. Ich suchte, für ca. 60 Clients, nach einer Möglichkeit um Apple Quicktime irgendwie zentralisiert verteilen zu können. Möglichst ohne zusätzliche Software

Ich habe mich für die automatisierte Verteilung per GPO entschieden.

 

Problem:

Alle Tutorials und Howtos zu diesem Thema waren entweder veraltet nicht komplett oder fehlerhaft.

 

Lösung:

Also habe ich hier ein neues und hoffentlich vollständiges Tutorial für Apple Quicktime 7.7.9 erstellt. Alle Schritte habe ich selbst so getestet bis es schlussendlich geklappt hat.

Zuerst noch ein Paar Eckdaten zur Systemumgebung:

Domain Controller: Windows Server 2008 R2 SP1

Clients: Windows 7 Pro oder Ultimate x64 SP1

Verteilte Software Version: Apple Quicktime 7.7.9

 

1. Den Offline installer von Apple Quicktime ohne iTunes herunterladen von http://www.chip.de/downloads/Apple-QuickTime_12999337.html.

2. Zum weiterarbeiten brauchen wir 2 .msi Dateien. Und zwar die “AppleApplicationSupport.msi” und die “QuickTime.msi”. Quicktime kann ohne vorher installiertes Apple Application Support nicht installiert werden. Beide Dateien können wir folgendermassen aus der “QuickTimeInstaller.exe” Datei extrahieren:

2.1. Die heruntergeladene “QuickTimeInstaller.exe” Datei mit dem Programm 7-zip entpacken. 7-zip kann hier heruntergeladen werden: http://www.7-zip.org/. Nun sollten unter anderem die “AppleApplicationSupport.msi” und die “QuickTime.msi” angezeigt werden.

3. Zusätzlich brauchen das Programm “Orca” welches teil des “Windows Installer 4.5 SDK” ist. Das Windows Installer 4.5 SDK kann von http://download.microsoft.com/download/7/c/4/7c426dfc-46e2-4ded-bab4-3b33600ad7d1/msi45sdk.msi oder alternativ von https://mega.co.nz/#!aAIyUbJY!P9Vkd6JcpCatLtjePG-1F2dGxNB0Jtgi2T7Uuk-7VqI heruntergeladen werden.

3.1. Das heruntergeladene “msi45sdk.msi” ebenfalls mit dem Programm 7-zip entpacken.

3.2. Nach dem entpacken sollte nun eine Datei namens “orca.msi” vorhanden sein.

3.3. “orca.msi” mit doppelclick ausführen und installieren.

4. Das Programm “Orca” starten und die “AppleApplicationSupport.msi” Datei von Punkt 2.1 per drag and drop in Orca öffnen.

5. In Orca folgendes ausführen:

5.1. View –> Summary Information… wählen.

5.1.1. Im Feld “Languages” alles löschen ausser 1031. 1031 steht für Deutsch. Danach mit “OK” bestätigen.

5.2. Danach in der linken Fensterhälfte auf die Tabelle “Property” wechseln und dort den Eintrag “ProductLanguage” auf 1031 ändern.

5.3. Speichern über File –> Save.

6. Das Programm “Orca” erneut starten und die “QuickTime.msi” Datei von Punkt 2.1 per drag and drop in Orca öffnen.

7. In Orca folgendes ausführen:

7.1. View –> Summary Information… wählen.

7.1.1. Im Feld “Languages” alles löschen ausser 1031. 1031 steht für Deutsch. Danach mit “OK” bestätigen.

7.2. Danach in der linken Fensterhälfte auf die Tabelle “Property” wechseln. Dort den Eintrag “ProductLanguage” auf 1031, und den Eintrag “SCHEDULE_ASUW” auf “0” ändern.

7.3. In der Tabelle “LauchCondition” den Eintrag “NOT BNEWERPRODUCTISINSTALLED” mit dem Befehl “Drop Row” löschen

7.4. In der Tabelle “Shortcut” den Eintrag “QuickTimePlayer_Desktop” mit dem Befehl “Drop Row” löschen

7.5. Speichern über File –> Save.

8. Einen Netzwerk Share erstellen auf den “Authenticated Users” “Read & execute” Berechtigungen haben.

9. Die geänderten .msi Dateien (“QuickTime.msi” und “AppleApplicationSupport.msi”) von Punkt 5.3 und 7.5 in den Netzwerk Share von Punkt 8 kopieren.

10. Auf dem Domain Controller die Group Policy Management Konsole öffnen.

11. In der OU in welcher die Computer Objekte liegen, eine neue OU erstellen. Diese könnte z.B. “SoftwareDeploymentTestOU” heissen.

12. Ein neues GPO erstellen. Dieses könnte z.B. “APP_AppleQuicktime779” heissen.

13. Das GPO folgendermassen editieren:

13.1. Computer Configuration –> Policies –> Software Settings –> Software Installation –> (rechtsklick) –> New –> Package…

13.2. In den Netzwerk Share von Punkt 8 navigieren und die “AppleApplicationSupport.msi” auswählen welche wir in Punkt 9 dort abgelegt hatten. Mit “open” bestätigen.

13.3. Im Fenster “Deploy Software” die Option “Advanced” wählen.

13.4. In die Registerkarte “Deployment” wechseln. Dort den “Deploymet type” auf “Assigned” setzen.

13.5. Ebenfalls auf der Registerkarte “Deployment” auf “Advanced” klicken. Haken bei “ignore language when deploying this package” und “Make this 32-bit X86 application available to Win64 machines.” setzen.

13.6. Computer Configuration –> Policies –> Administrative Templates –> System –> Logon –> Always wait for the network at computer startup and logon auf “Enabled” stellen.

13.7. Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy –> Startup policy processing wait time auf “Enabled” stellen und  “Ammount of time to wait (in seconds):” auf “30” stellen (“120” ist der default Wert)

13.8. Computer Configuration –> Policies –> Software Settings –> Software Installation –> (rechtsklick) –> New –> Package…

13.9. In den Netzwerk Share von Punkt 8 navigieren und die “QuickTime.msi” auswählen welche wir in Punkt 9 dort abgelegt hatten. Mit “open” bestätigen.

13.10. Im Fenster “Deploy Software” die Option “Advanced” wählen.

13.11. In die Registerkarte “Deployment” wechseln. Dort den “Deploymet type” auf “Assigned” setzen.

13.12. Ebenfalls auf der Registerkarte “Deployment” auf “Advanced” klicken. Haken bei “ignore language when deploying this package” und “Make this 32-bit X86 application available to Win64 machines.” setzen.

13.13. Alles bestätigen und das GPO schliessen.

14. Das so erstellte GPO (bei mir heisst es “APP_AppleQuicktime779”) in die in Punkt 11 erstellete OU linken (bei mir heisst die OU “SoftwareDeploymentTestOU”)

15. Ein geeignetes Computer Objekt, zum testen in die “SoftwareDeploymentTestOU” moven.

16. Wenn alles geklappt hat, auf alle Clients ausrollen.

Adobe_Flash_Player

Tutorial: Adobe Flash Player 29.0.0.171 per GPO verteilen

Vorgeschichte:

Heutzutage kann man leider immer noch nicht ganz auf den Adobe Flash Player verzichten. Dieser ist aber ein grosses Sicherheitsrisiko wenn man nicht ständig aktualisiert. Ich suchte also, für ca. 50 Clients, nach einer Möglichkeit den Adobe Flash Player irgendwie zentralisiert verteilen zu können. Und das möglichst ohne Zusatzsoftware.

Ich habe mich für die automatisierte Verteilung per GPO entschieden.

 

Problem:

Alle Tutorials und Howtos zu diesem Thema waren entweder veraltet oder nicht komplett.

 

Lösung:

Also habe ich hier ein neues und hoffentlich vollständiges Tutorial erstellt. Alle Schritte habe ich selbst so getestet bis es schlussendlich geklappt hat.

Zuerst noch ein Paar Eckdaten zur Systemumgebung:

Domain Controller: Windows Server 2016 Standard

Clients: Windows 7 Pro/Ultimate x64, Windows 10 Pro x64

Verteilte Software Version: Adobe Flash Player 29.0.0.171

 

1. Der Link zum Adobe Flash Player .msi Installationsprogramm zum Weiterverteilen (full installer) https://www.adobe.com/ch_de/products/flashplayer/distribution3.html funktioniert leider nicht mehr. Unter diesem Link kann man aber einen Antrag auf Weiterverteilung der Software bei Adobe stellen. Wenn dieser genehmigt wird, kann man danach die .msi Dateien von Adobe herunterladen.

1.1. Die Download-Links für die .msi Dateien scheinen aber immer noch aktiv zu sein. Lediglich die Seite zum Verteilen der .msi Dateien scheint Adobe deaktiviert zu haben. Hier die download links zu den Adobe Flash Player 29.0.0.171.msi Dateien:

https://fpdownload.adobe.com/get/flashplayer/distyfp/current/win/install_flash_player_29_active_x.msi

install_flash_player_29_active_x.msi

https://fpdownload.adobe.com/get/flashplayer/distyfp/current/win/install_flash_player_29_plugin.msi

install_flash_player_29_plugin.msi

2. Wenn man die nötigen Dateien heruntergeladen hat; einen Netzwerk Share erstellen (z.B. \\FileServer01\GpoDistribution) der von allen Clients erreicht werden kann und auf den “Authenticated Users” “Read & execute” Berechtigungen haben.

3. Das heruntergeladene Adobe Flash Player .msi Installationsprogramm auf den Share ablegen.

3.1. In vielen Tutorials wird beschrieben wie z.B. mit “orca” oder ähnlichen Tabellen Editor Programmen die Properties der .msi Datei bearbeitet werden müssen, um z.B. in der Tabelle “Property” die Eigenschaft “AgreeToLicense” vom defaultwert “No” auf “Yes” umzustellen etc. Ich hingegen habe die heruntergeladene .msi Datei nicht verändert und auch keine zusätzliche .mst Datei generiert.

4. Auf dem Domain Controller die Group Policy Management Konsole öffnen.

5. In der OU in welcher die Computer Objekte liegen, eine neue OU erstellen. Diese könnte z.B. “SoftwareDeploymentTestOU” heissen.

6. Ein neues GPO erstellen. Dieses könnte z.B. “APP_AdobeFlashPlayerAX2900171” heissen.

7. Das GPO folgendermassen editieren:

7.1. Computer Configuration –> Policies –> Software Settings –> Software Installation –> (rechtsklick) –> New –> Package…

7.2. In den Netzwerk Share von Punkt 2 navigieren und die “install_flash_player_29_active_x.msi” auswählen welche wir in Punkt 3 dort abgelegt hatten. Mit “Open” bestätigen.

7.3. Im Fenster “Deploy Software” die Option “Advanced” wählen.

7.4. In die Registerkarte “Deployment” wechseln. Dort den “Deploymet type” auf “Assigned” setzen.

7.5. Ebenfalls in die Registerkarte “Deployment” auf “Advanced…” klicken. Haken bei “ignore language when deploying this package” und “Make this 32-bit X86 application available to Win64 machines.” setzen. Mit “OK” bestätigen.

8. Computer Configuration –> Policies –> Administrative Templates –> System –> Logon –> Always wait for the network at computer startup and logon auf “Enabled” stellen.

9. Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy –> Specify startup policy processing wait time auf “Enabled” stellen und  “Ammount of time to wait (in seconds):” auf “15” stellen (120 ist der default Wert). Man kann den Wert aber auch anpassen. Ich verwende für mich 15 Sekunden.

10. Das so erstellte GPO (bei mir heisst es “APP_AdobeFlashPlayerAX2900171”) in die in Punkt 5 erstellete OU linken (bei mir heisst die OU “SoftwareDeploymentTestOU”)

11. Ein geeignetes Computer Objekt, zum testen in die “SoftwareDeploymentTestOU” moven.

12. Wenn alles geklappt hat, auf alle Clients ausrollen.

13. Dasselbe gilt auch für die Verteilung für Plug-in-basierte Browser, bzw. install_flash_player_29_plugin.msi welches für Mozilla Firefox benötigt wird.