Archiv des Autors: ictschule

E-Mail Alarm bei Erkennung von Malware

Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nach einem Test wird in SCCM eine Warnung generiert.

Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.

Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.

Danach funktioniert auch der Alarm per Mail.

Smartboardsoftware verteilen

Kommentar verfassen

Diese Anleitung funktioniert bis und mit Version 18.0

Wenn man ein Smartboard kauft, kann man gratis ein Jahr lang Updates der Software installieren. Danach muss man für die Software Lizenzkosten bezahlen. Da wir auf allen Generationen unserer Smartboards die gleiche Software einsetzen wollen, haben wir uns so eine Lizenz gekauft.

Auf dieser Seite findet man die Downloads für administrative Installationen.

Nachdem man sich mit dem Schlüssel authentifiziert hat, kann man die entsprechende Software herunterladen. Neben der Smart Notebook Software sollte man unten auch noch die optionalen Add-on Pakete auswählen. Den Smart Install Manager benötigt man um eine angepasste Installation zu erstellen. Die Gallery Essentials beinhalten die Inhalte der Gallery.

Den System Administrator’s Guide for Windows findet man nur noch online.

Anpassungen vornehmen
Mit dem “Smart Install Manager” kann man die automatische Installation für seine Bedürfnisse konfigurieren. Dazu verwende ich eine virtuelle Maschine.

Als erstes wählt man das Paket aus.

Auf der ersten Seite bestätigt man die Hinweise und gibt den Product key ein.

Ganz unten auf dieser Seite habe ich auch noch “Disable the License Status dialog box” ausgewählt.

Auf der nächsten Seite verhindere ich, dass eine Verknüpfung auf dem Desktop angelegt wird.

Bei der Sprachauswahl wählt man Deutsch aus.

Da die Software zentral verteilt wird, wählt man bei den Updates am besten “Do not install SMART Product Update”.

Die Dateien der Gallery werden auf jeden Computer installiert, damit sie möglichst schnell verfügbar sind und keine unnötige Netzwerklast verursachen. Ich habe die Gallery zur Sicherheit nochmals aus dem Install Manager heruntergeladen, die Ordner sind nicht genau gleich wie beim normalen Download von der Internetseite.

Damit Lehrpersonen untereinander selber erstellte Inhalte der Gallery austauschen können, gibt man eine Netzwerkfreigabe an, auf der alle Lehrpersonen Schreibrechte haben.

Über File -> Publish kann man mit den vorgenommenen Einstellungen eine MST Datei erzeugen.

Nun kann man den Ordner mit dem MSI und die Gallery Ordner auf den Server kopieren und mit der MST Datei eine angepasste Installation auslösen.

Automatische Verteilung mit SCCM
Als erstes kopiere ich die Dateien auf meinen “sources” Ordner in SCCM. Bei der Softwareverteilung über SCCM wird das ganze Paket zuerst auf den Client kopiert und dann lokal installiert. Nicht benötigte Sprach- und Installationsdateien belegen viel Speicherplatz, die bei jeder Installation übers Netzwerk kopiert würden. Daher lösche ich diese vorher (blau markierte Dateien).

In den aufgeräumten Ordner kopiere ich dann die angepasste MST Datei.

smart

Nun kann man in SCCM eine neue Anwendung erstellen.

SCCM schlägt automatisch ein Installationsprogramm vor. Dieses ergänzt man noch mit “TRANSFORMS=smartboard.mst” (oder wie man die MST Datei beim Speichern auch immer genannt hat).

Danach kann man die Anwendung bereitstellen. Mit SCCM 2012 muss man nicht mehr daran denken, den Inhalt vorgängig auf einen Verteilungspunkt (Distribution Point) zu verteilen. Dies wird automatisch abgefragt, wenn man eine Anwendung bereitstellt.

Nachtrag
Falls bereits eine ältere Version der Smartboardsoftware vorhanden ist, wird mit der neuen Version ein Upgrade installiert. Das funktioniert bestens, ausser die Smart Notebook Software ist während diesem Vorgang geöffnet. In dem Fall bleibt eine Installation zurück, die zwar angibt, erfolgreich gewesen zu sein, aber man kann weder die alte noch die neue Version starten. Um diesen Fall abzufangen, deinstalliere ich die alte Version jeweils über eine „Ablösungsbeziehung“, bevor die neue installiert wird. In dem Fall wird ein geöffnetes Smart Notebook Programm geschlossen und deinstalliert, bevor die neue Version installiert wird.

smart2

Backup Config von ProCurve Switch

Kommentar verfassen

Bei mir funktioniert der Download der Konfiguration des Switches über das Webinterface nicht mehr.

Man kann dies aber auch über SSH mit SCP erreichen. Dies ist aber standardmässig nicht aktiviert.

Dies muss also zuerst mit folgendem Kommando auf dem Switch aktiviert werden:

(config)# ip ssh filetransfer

Danach kann man pscp beim gleichen Hersteller wie putty herunterladen. Auf der Kommandozeile wechselt man zum Verzeichnis mit der pscp.exe (oder fügt das Verzeichnis zur Path Variablen hinzu). Nun kann man die Konfigurationsdatei mit folgendem Befehl herunterladen.

pscp -scp -l USERNAME -pw PASSWORD –2 SWITCH-IP:cfg/running-config c:\switch.cfg

Active Directory Based Activation

Kommentar verfassen

Es gibt drei verschiedene Möglichkeiten, Volumenlizenzen von Windows und Office zu aktivieren.

MAK: MAK steht für Multiple Activation Key. Dies ist ein Schlüssel, der anders als ein privater Schlüssel für mehrere Computer zur Aktivierung verwendet werden kann.
KMS: KMS steht für Key Management Service. Hier installiert man einen Dienst auf einem Server, bei dem sich die Clients aktivieren.
ADBA: ADBA steht für Active Directory Based Activation. Hier läuft die Aktivierung über das Active Directory. Fürs Einrichten benötigt man zwar einen Server, danach theoretisch nicht mehr.

ADBA bietet viele Vorteile, kann aber erst ab Windows 8 und Office 2013 verwendet werden. Ausserdem wird ein Active Directory Schema ab Version 2012 benötigt.

Wenn diese Voraussetzungen erfüllt sind, kann man auf einem Server die Rolle “Volumenaktivierungsdienste” hinzufügen.

Nach der Installation muss man die Volumenaktivierung mit den “Volumenaktivierungstools” konfigurieren. Hier ändert man nun die Vorauswahl auf “Aktivierung über Active Directory”.

Den benötigten KMS Hostschlüssel bekommt man auf der Lizenzierungsseite von Microsoft. Optional kann man einen anderen Anzeigenamen verwenden.

In meinem Fall fehlte der verlangte “Windows Srv 2012R2 DataCtr/Std KMS for Windows 10” Schlüssel. Der KMS Key für “Windows Server 2012 R2” funktioniert nicht für Windows 10. Nachdem der richtige Schlüssel im Lizenzierungsportal freigeschaltet wurde, funktionierte auch die Lizenzierung.

Zum Schluss muss man auf “Schliessen” klicken und nicht auf “Weiter”.

Um Office 2013 zu aktivieren, muss man Datei Office2013VolumeLicensePack_x86_de-de.exe herunterladen und ausführen (für Office 2016 findet man die Datei hier). Dabei werden erneut die Volumenaktivierungstools geöffnet.

Hier kann man nun analog zu der Aktivierung von Windows vorgehen. Im ADSI Editor kann man nun die beiden eingetragenen Lizenzen überprüfen.

Problem mit OSD

Kommentar verfassen

Neuaufsetzen von nicht bekannten Computern hat mit dem neuen SCCM problemlos funktioniert. Wenn aber einer dieser Computer bereits bekannt ist und erneut neu aufgesetzt werden sollte, brach die Tasksequenz mit folgender Meldung ab:

BOM not found on policy reply
…
Failed to download policy {irgendeine Nummer} (Code 0x80004005).

Gemäss diesem Technet-Blog hat das mit einem Windows Update zu tun, das nicht mehr ausgeliefert wird, aber in der Datenbank nicht vollständig gelöscht wurde.

Im Blog werden zwei Möglichkeiten beschrieben. Die erste ist, beim Neuaufsetzen keine Updates mehr ausliefern (ist ja nicht so wichtig, da die meisten beim build&capture Vorgang schon ins Grundimage aufgenommen werden. Da es aber später auch Updates von Updates geben wird, wollte ich darauf nicht verzichten. Ziel soll es sein, nach dem Neuaufsetzen ein möglichst aktuelles System mit allen Updates zu erhalten. Also musste ich den zweiten beschriebenen Weg gehen und mit dem Microsoft SQL Server Management Studio die entsprechenden Einträge aus der Datenbank löschen.

Bei mir gab es zwei Einträge, die ich beide sowohl von “PolicyAssignment” als auch von “DepPolicyAssignment” löschen musste. Danach funktioniert das Neuaufsetzen auch mit aktiviertem Software Update Schritt wieder problemlos.

Educanet2 Accounts

Kommentar verfassen

Wegen wenigen Schüler/-innen, bei denen wir keine Schülerdaten an Webservice-Anbieter übermitteln dürfen, habe ich meine ursprüngliche Anleitung entsprechend angepasst.

Gemäss der Hilfe zur Synchronisation mit Webweaver muss man zwei Exceldateien erstellen.

Lehrkräfte
Diese beiden Dateien erstelle ich aus Lehreroffice. Für die Lehrkräfte wählt man “Adressen” unter “Allgemeines”. Allenfalls muss man noch unter Ansicht “Alles” auswählen. Nun kann man die ganze Tabelle über “Bearbeiten” –> “Tabelle kopieren” in Excel einfügen und die nicht gebrauchten Spalten löschen.

Schüler und Klassen
Für die Schülerdatei erstellt man über “Tabellen” –> “Neue Tabelle” eine neue Tabelle.

Durch einen Doppelklick auf die Spaltenüberschrift kann man die Spalte anpassen. Wie im Bild oben kann man nun auf vorhandene Felder zurückgreifen, um die Spalten korrekt füllen zu lassen. Bei “Inhalt” benötigt man der Reihe nach:

[schueler.name]
[schueler.vorname]
[schueler.klasse]
[schueler.birthdate]
[schueler.klasse.teacherid.nachname] [schueler.klasse.teacherid.vorname]
[schueler.key]
[schueler.userdefined_1]

Bei “Klasse” wählt man (Alle) oder eine Gruppe wie z.B. eine eigens erstellte Gruppe “Accounts ab 4. PS”, die dynamisch alle Schüler/-innen auflistet, die bei der Klasse eine der Zahlen von 4 bis 6 beinhaltet.

Die Tabelle kann man kopieren und in eine vorbereitete Excel Datei einfügen. Auf einem zweiten Arbeitsblatt stehen dann nur noch die wirklich benötigten Spalten, bei mit einer Wenn-Dann Funktion überprüft wird, ob ein “x” im “Freifeld 1” gesetzt ist und in dem Fall den Lehrerofficeschlüssel bei Vor- und Nachnamen setzt.

Die so entsprechende Tabelle kopiere ich und setze dann nur die Werte (ohne Formeln) in eine neue definitive Exceldatei für die Schüler.

Wenn man die beiden Dateien erstellt hat, kann man mit der Synchronisation beginnen. Dazu wählt man beim WebWeaver Desktop “Administration”.

Nach der Auswahl der Institution kann man aus dem Menü “Im-/Export” “Synchronisation” wählen.

Im sich öffnenden Fenster kann man nun die vorher erstellten Dateien eintragen.

Am Schluss bekommt man eine Datei mit den Passwörtern der neuen Schüler/-innen und Lehrkräften.

unpersonalisierte Accounts

Kommentar verfassen

Scheinbar benötigt man eine Einwilligung der Eltern, wenn man Schülerdaten wie Vor- und Nachname an Webservice-Anbieter übermittelt. Wir haben diese Einwilligung bei unseren Eltern nun eingeholt.

Nun ja, damit fängt das Problem ja erst an…

Bei uns werden die Schüler/-innen im Sekretariat mit VRSG verwaltet. Dort hat jede Schülerin und jeder Schüler einen eindeutigen Schlüssel (meist ID und 6 Ziffern – z.B. ID123456) der ausserhalb des Programms keinen Bezug zu der Schülerin, resp. dem Schüler aufweist. Dieser Schlüssel wird beim Import in Lehreroffice synchronisiert. Damit haben wir eine Möglichkeit, einen unpersonalisierten Account zu erstellen, der aber intern einer Person zugeordnet werden kann.

Ich musste dies nun umsetzen. In diesem Jahr haben alle Eltern die Einwilligung gleichzeitig erhalten. In Zukunft werden die Eltern in der dritten Primarschule informiert und erhalten die Elterneinwilligung zum Unterschreiben. Die Lehrpersonen machen dann bei den Kindern, die keinen personalisierten Account haben dürfen, ein “x” in das “Freifeld 1” in Lehreroffice. Somit kann in den Sommerferien bei der Erstellung der persönlichen Accounts, die die Schüeler/-innen bei uns ab der vierten Primarschule bekommen, darauf Rücksicht genommen werden. Das grössere Problem sind Accounts für Schüler/-innen die neu zuziehen. Da kann der Account auch erst erstellt werden, sobald die Eltern die Elterneinwilligung unterschrieben haben und man weiss, ob man einen personalisierten Account erstellen darf. Ist zwar umständlich und langsamer, aber dafür haben Juristen und Datenschützer wahre Freude an uns …

Serverspeicher: Berichte und Kontingente

Kommentar verfassen

Mit dem Ressourcen Manager für Dateiserver (File Server Resource Manager, FSRM) kann man Speicherkontingente und Speicherberichte auf dem Dateiserver verwalten.

Bericht
Unter Speicherberichteverwaltung kann man direkt einen Bericht starten oder eine neue Aufgabe planen, die dann regelmässig ausgeführt wird.

Man kann auswählen, was der Bericht soll und muss ihm einen Namen geben. In diesem Beispiel (Dateien nach Besitzer) wird ausgegeben, wer wie viel Platz auf dem Server benötigt.

Auf der Registerkarte Bereich kann man angeben, welche Ordner da miteinbezogen werden sollen.

Mit den Registerkarten “Zustellung” und “Zeitplan” kann man steuern, wer diesen Bericht wie oft per Mail zugesandt bekommt. Die Berichte werden zusätzlich noch unter “C:\StorageReports” abgelegt.

Kontingente
Mit der Kontingentverwaltung kann man Kontingente für einzelne Ordner erstellen. Ich wollte keine harten Kontingente erstellen. Besser schien mir, dass der Benutzer ein Mail erhält, sobald er mehr als eine festgelegte Grenze in seinem Userhome speichert.

Dazu erstellt man zuerst eine Kontingentvorlage mit den gewünschten Eigenschaften.

Die Benachrichtigung kann man mit einem eigenen Betreff und Nachrichtentext anpassen.

Nun kann man das Kontingent erstellen. Dazu wählt man den Speicherort (z.B. die Freigabe der Userhomes) und wählt die vorher erstellte Vorlage. Wichtig ist, dass man “Vorlage autom. anwenden, Kontingente in Unterordnern erstellen” auswählt.

Somit wird pro Unterordner (also pro Userhome) ein Kontingent erstellt.

Sobald das Kontingent überschritten wird, bekommt der Benutzer ein Mail, das ihn darauf aufmerksam macht. Er kann aber trotzdem z.B. die Datei “die das Fass zum überlaufen bringt” normal speichern und sich erst später ans aufräumen machen. Ist irgendwie freundlicher als harte Kontingente.

Medien- und ICT-Konzept: 1. Sitzung

Kommentar verfassen

Wie hier beschrieben haben wir eine Arbeitsgruppe gebildet, die ein lokales “Medien- und ICT-Konzept” erarbeiten soll. Zur Vorbereitung der einzelnen Mitglieder standen diverse Informationen bereit.

In einem ersten Schritt ging es darum, Ziele (grün) und allfällige Stolpersteine (rot) zu erfassen, die wir in der ganzen Arbeit am Konzept nicht aus den Augen verlieren wollen.

Danach wurde versucht, die gefundenen Ziele und Stolpersteine zu gruppieren und durch wenige, aussagekräftige Punkte zu ersetzen, die möglichst alles abdecken, was genannt wurde.

Dabei haben wir festgestellt, dass die Stolpersteine oft nur eine Negierung der Ziele waren. Auf diese haben wir verzichtet und nur noch einen Stolperstein, der eine Aussage über eine Negierung hinaus machte aufgenommen.

Folgende Ziele sind dabei herausgekommen:

Schulleiter übernehmen Schlüsselrolle (Führung und Qualitätssicherung).
Alle beteiligten Stufen und Gemeinden halten sich ans Konzept.
Es ist klar, WER WANN WAS macht.
Digitale Geräte und Kompetenzen werden in allen Fächern zielgerichtet angewendet.
Weiterbildung wird angeboten und ist verbindlich.
Es existiert ein pädagogischer Support.

Als Stolperstein blieb dann nur noch:

fehlende Ressourcen

Der ganze Prozess wird einiges an Zeit benötigen und voraussichtlich auch nie ganz abgeschlossen sein.

Dies ist der Vorschlag vom Institut ICT & Medien:

In einem weiteren Schritt wollten wir zu erreichende Meilensteine definieren und mit einem Datum versehen. Da sind wir aber noch nicht fertig geworden. Als Vorlage bei der Erarbeitung der Meilensteine kann man z.B. die Konzeptbausteine des Instituts ICT & Medien verwenden, die etwas ausführlicher beschrieben sind, als das “Original” des Zürcher ict-guide.

Zurück zur Übersicht

Active Directory Änderungen mit Powershell

Kommentar verfassen

Jeden Sommer lösche ich automatisiert die Accounts der Schüler/-innen, die nicht mehr bei uns zur Schule gehen und erstelle danach die neuen Accounts. Die Accounts werden aus dem ersten Buchstaben des Vornamens und dem Nachnamen gebildet, also im Stil von v.nachname. Wenn der Account bereits existiert, kann man so den zweiten Buchstaben des Vornamens verwenden, also vo.nachname und so weiter. Trotzdem können noch Probleme auftreten. So haben wir z.B. drei Schüler mit dem gleichen Namen und weitere Fälle mit doppelten Namen. Auch wenn die Lehrpersonen untereinander abmachen, welcher Schüler welchen Accountnamen besitzt, habe ich dann beim automatischen Abgleich auch schon den falschen Account gelöscht.

Seit wir Lehreroffice zusammen mit VRSG benutzen, haben wir in unseren Daten einen eindeutigen Schlüssel, der in VRSG produziert wird und dann in Lehreroffice übernommen wird.

Dieser Schlüssel kann nun gebraucht werden, um die Accountdaten eindeutig einem Schüler zuzuweisen.

Bei der Erstellung der neuen Accounts in diesem Sommer habe ich diesen Schlüssel als “Beschreibung” ins Active Directory importiert.

Damit ich beispielsweise beim Löschen der Accounts der ausgetretenen Schüler/-innen diese ID statt der Namen vergleichen kann, müsste ich aber warten, bis alle Schüler/-innen, deren Account vor diesem Sommer erstellt wurden, aus der Schule ausgetreten sind, was doch einige Jahre warten bedeuten würde…

Manuell die ID bei all diesen Schüler/-innen nachzutragen, bedeutet wahrscheinlich mehrere Tage Arbeit und ist dann auch noch fehleranfällig. Powershell bietet mit Set-ADUser eine Möglichkeit, die Benutzeraccounts nachträglich automatisiert zu bearbeiten. Man benötigt also eine passende CSV-Datei mit den Lehrerofficeschlüsseln und ein Skript.

CSV-Datei
Die CSV-Datei benötigt einen passenden Wert wie den ganzen Namen und den neuen Eintrag für die Beschreibung. Damit die Namen übereinstimmen, müssen sie auf dem gleichen Weg erstellt werden, wie ich das jeweils für die neuen Accounts mache. Dazu kopiert man von jeder Schulgemeinde in Lehreroffice alle Schüler (oder eine Gruppe) in eine Exceltabelle und löscht in diesem Fall alle Spalten ausser Vorname, Nachname und Schlüssel.

Damit die Namen brauchbar sind, muss man einiges ersetzen. Bisher sind mir folgende Zeichen untergekommen: ä,ö,ü,é,è,ë,á,ó,Û,ú,ò,ô,ï. Ausserdem ersetze ich alle Leerschläge, Bindestriche – und Apostrophe ‚. Dies kann man in Excel mit “Suchen und Ersetzen” erreichen oder mit einer verschachtelten “wechseln” Funktion. Da man in Excel nicht beliebig viele Funktionen verschachteln kann, habe ich die Funktion auf drei Schritte aufgeteilt:

=WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(Tabelle1!A1;“ „;““);“-„;““);“‚“;““);“ä“;“ae“);“ö“;“oe“);“ü“;“ue“);“é“;“e“);“è“;“e“)

=WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(WECHSELN(A1;“ë“;“e“);“à“;“a“);“ó“;“o“);“Û“;“U“);“ú“;“u“);“ò“;“o“);“ô“;“o“);“ï“;“i“)

=WECHSELN(WECHSELN(WECHSELN(B1;“Ä“;“Ae“);“Ö“;“Oe“);“Ü“;“Ue“)

Danach erhält man bereinigte Vor- und Nachnamen. Praktisch wäre es, wenn Lehreroffice bei den Personaldaten zwei Spalten mit den um Sonderzeichen bereinigten Vor- und Nachnamen bereitstellen würde. So etwas würde von zu wenigen gewünscht, war die Antwort auf eine Anfrage, die schon länger zurückliegt.

In einer neuen Tabelle kann man nun die bereinigten Vor- und Nachnamen und den Schlüssel bereitstellen. Um den Vor- und Nachnamen in eine Zelle zu bekommen, kann man diese Formel benutzen (Blattname und Zellename anpassen):

=Tabelle2!C1&“ „&Tabelle2!F1

Nun kann man die Datei als CSV speichern. Excel exportiert standardmässig mit Strichpunkt als Trennzeichen, Powershell mit Komma. Daher ersetze ich im CSV jeweils noch alle ; mit ,.

Skript
Um nun dem Schülernamen den passenden Schlüssel hinzuzufügen kann man folgendes Powershellskript verwenden:

Import-CSV „C:\PS\leoid.csv“ | ForEach-Object {
Get-ADUser -Filter „name -eq ‚$($_.name)'“ |
Set-ADUser -Description $_.LeoID
}