Gruppenrichtlinien Scripten

freak1051

Ensign
Registriert
Dez. 2012
Beiträge
198
Hallo zusammen,

ich wurde von meinem Chef vor ne kleine Aufgabe gestellt.

Ich arbeite als SPS´ler in einer Maschinenbaufirma. Seit längerem nutzen wir PC´s in unseren Anlagen für einfachere Aufgaben:
  • Spiegelung des HMI´s über VNC
  • Socketserver, um per Befehl aus der SPS den PC zu steuern (Bsp.: Webinterface einer Anlagenkomponente öffnen...)
  • USV-Management

All diese Funktionen waren bisher auf einem Consumer Mini-PC mit Win 10 Pro realisiert. Diese hatten eine OEM Lizenz. Ich hab ein PC gepflegt, davon ein Image gezogen und vervielfältigt.

Diese Prozedur hat soweit geklappt.

Nun wurde aber aus stabilitätsgründen auf Industrie-PC´s mit Windows 10 Enterprise LTSC 2019 getauscht.

Geplant ist, dass diese PC´s irgendwann über Ein Paketverwaltungs-Tool (Matrix42) unserer IT betankt werden. Hier gibt es noch an anderer Stelle Probleme, die hier aber erst mal irrelevant sind und auch nicht diskutiert werden müssen. Evtl. kommt hier noch ein anderer Thread.

Nun muss ich vorübergehend die PC´s manuell aufsetzten. Bzw. ich baue gerade eine Anleitung, damit dieser Prozess von einem Azubi getätigt werden kann.

Die PC´s hängen in keiner Domäne, haben kein AD, telefonieren mit keinem Server oder sonstiges. Sie liegen lediglich in einem gekapselten privaten Maschinennetz und bekommen kein Zugriff auf Internet.

Nun müssen einige Programme Installiert werden, Firewall-Einstellungen getätigt werden, optische Anpassungen usw. All dies sind dinge, die ich einigermaßen gut dokumentieren kann, oder alternativ Automatisieren.
Die Portfreigabe welche unsere USV´s brauchen, um mit einer USV mehrere PC´s steuern zu können habe ich per PS automatisiert.

Nun steh ich vor dem Problem der GPO´s.

Als Beispiel soll/muss ich das Benachrichtigungscenter deaktivieren. In summe sind es um die 10 Gruppenrichtlinien die man meist nur aktivieren muss, eine davon etwas anpassen. Dies zu dokumentieren geht, wird aber wenn ich das einem Azubi hinlege wahrscheinlich schief gehen.

Nun war mein Plan, dass ich hierzu eine Art Skript schreibe, welches ausgeführt werden muss und die Richtlinien werden angepasst.

Bestenfalls CMD/Batch oder PS.

Ich könnte sicher den Umweg über Registry-Einträge gehen, allerdings weis ich nicht woher ich die passenden Einträge herausfinde (als Bsp. Benachrichtigungscenter deaktivieren).

Gibt es hier eine Art Suche/Zuordnungstabelle, welche Richtlinie welcher Reg-Eintrag ist? Oder kann man so etwas per Batch/PS schreiben. Hier alle Richtlinien reinschreiben, deren zustand (Aktiv/inaktiv) setzten und somit vereinfachen?
 
Ich werf hier mal Ansible in den Raum. Zudem vielleicht als Tipp: Extern die IT einkaufen, wenn dann was kracht oder die Produktion deswegen mal steht, dann haften die dafür. Zwar sehr teuer, aber dafür mehr Sicherheit.
 
  • Gefällt mir
Reaktionen: Mr.Rofl
Wow, schon mal vielen dank für die Info. Werd im folgenen das ein oder andere kommentieren :
p4cx schrieb:
Extern die IT einkaufen
Haben wir uns tatsächlich auch überlegt. Allerdings laufen auf den PC´s keine wichtigen aufgaben. Wie schon gesagt, ne spiegelung vom HMI. Wenn das nicht tut, läuft die Anlage dennoch. Wenns nach mir geht, aber gern.. wenns nämlich iwie ned vorran geht, nervts ganz schön :)

kartoffelpü schrieb:
Das hört sich sehr interessant an. Bedeutet aber, dass ich zusätzlich erst ein Tool intallieren muss.
Aber was auf dieser Seite viel Interessanter ist ist folgender Satz:

"The easiest way to migrate local GPO settings between computers is to manually copy the contents of %systemroot%\System32\GroupPolicy folder (by default, this directory is hidden) from one computer to another with replacing its contents (after you replaced the files, run policy update manually using the command gpupdate /force or by restarting your PC)."

Diesen Vorgang könnte ich doch per Batch Automatisieren. Von einem Master-PC den GroupPolicy Ordner sichern, und per Skript austauschen. Es müssen eh ein paar daten mittels USB auf den PC geladen werden.
Es gibt zwar ein paar Warnungen wegen:

  • Internen Pfaden wegen unterschiedlichen PC-Namen --> Diese heißen erstmals alle gleich, da ich über ein sktript nach dem definierten namen suche, und gegen einen vom Inbetriebnehmer eingegebenen in einer batch austausche
  • irgendwas mit Domäne: Hab ich hier nicht
  • ADMX-Templates hab ich (noch) nicht. Wenn das so klappt brauch ich es denke ich auch nicht.

Um es zu spezifizieren: Ich muss ein paar richtlinien bzgl Benachrichtigungen aktivieren (Dass diese meldungen unten rechts nicht kommen, wenn z.B. der Defender sagt :Alles is gut.) ich deaktiviere das Komplette benachrichtigungspanel und (nicht schlagen) ich gebe einen Fake-Wsus server ein um Updates zu unterbinden. Die rechner kommen über einen Router von uns gesichert nicht ins internet, dann will ich auch nicht das er meckert.

Das wären alles änderungen die die Warnungen mMn nicht betreffen, oder?

@TheCadillacMan und @eyedexe Vielen dank für die links, die helfen auf jeden fall.

@SPB Das klingt sau interessant. Nur versteh ichs nicht so ganz, und weis nicht ob das mit Kanonen auf Spatzen geschossen ist :)
 
PHuV schrieb:
Ansible ist super für Unix/Linux, aber nix gut für Windows.
Ich habs mal genutzt um ein paar Sachen zu konfigurieren und zu installieren - da hats super funktioniert. Jedoch stimmt das schon, der Fokus liegt definitiv auf Unix.
Wenn mans an nen Azubi auslagern kann und es nicht allzu häufig vorkommt, dann würd ich es auch manuell kopieren. Ich hab nur mal ein Clusterfuck mit diversen Windows und Linuxmaschinen, basierend auf verschiedener Architekturen und einem PXE-Setup zum automatischem Reinstall der Betriebsysteme betreut und da war Ansible ein Segen.
 
Ja diese PXE-Geschichte hängt noch an 2 Anderen Themen: Zum einen kann das UEFI vom Hersteller das aktuell irgendwie nicht. Der Start und DCHP-Request klappt, der PC bekommt eine IP. Nun sollte vom PC ein "geb mir ein Image" kommen, es herrscht aber Funkstille. Dieses Thema betreue ich aber eh nicht.. Da hab ich (ehrlich gesagt) mal gar keine Ahnung davon :)

Des weiteren gibt es hier noch ein Lizenz-Problem, welches ich/wir nicht verstehen. Hab ich in einem Anderen Thraead mal konktretisiert. Kannst ja gern mal lesen :)

Aktuell ist der status so: Die 50 PC´s die an Lager sind müssen nun händisch gemacht werden. Währenddessen schauen wir dass die PXE-Geschichte läuft, oder alternativ brauchen andere Lieferanten/Hardware.
Aber bis das läuft, muss ich auf Azubi.exe zurückgreifen
 
  • Gefällt mir
Reaktionen: p4cx
freak1051 schrieb:
Aber was auf dieser Seite viel Interessanter ist ist folgender Satz:
Auf genau das wollte ich hinaus (Verzeichnis kopieren und dann per Script wiederherstellen). Das Tool wird ja erst weiter unten erwähnt.
 
Das dachte ich mir eben auch. Das Verzeichnis ist ja nicht so Groß. Und ich kopiere eh einen Ordner auf C:/.

Darin ist ne Feste Struktur in form von Ordnern drin, in welcher Reihenfolge was gemacht werden muss. Hier könnte ich locker das Backup des master-PC´s legen und in irgend ein Skript was ausgeführt wird den Kopiervorgang legen.

Rechte usw. sind eh kein Problem, da wir komplett Lokal und als Admin arbeiten. Somit fast am einfachsten.. Super Tipp, Danke!
 
p4cx schrieb:
Ich habs mal genutzt um ein paar Sachen zu konfigurieren und zu installieren - da hats super funktioniert. Jedoch stimmt das schon, der Fokus liegt definitiv auf Unix.
Vor allen Dingen haben wir hier mit Gruppenrichtlinien und Co. zu tun, das würde ich schon tunlichst mit Mircosoft-Mitteln lösen.
 
  • Gefällt mir
Reaktionen: freak1051 und p4cx
Zurück
Oben