Tag archieven: IT Tips

Eindconclusie: Windows Intune–The Grill

Geplaatst op door

Na Windows Intune goed aan de tand te hebben gevoeld, maken we nu een afsluiting met de eindconclusie aan de hand van de vragen die ik in het begin heb gesteld.

  • Is Windows Intune een goede vervanger voor SCCM, SC Essentials of RES Automation Manager.
    • Voor kleine omgevingen lijkt Windows Intune een goede vervanger van bovenstaande producten, al zijn er minder mogelijkheden met het uitrollen van software. Voor laptops die vrijwel nooit op kantoor komen, komt het beter uit de verf dan de concurrenten, aangezien alles via de cloud loopt en laptops dus ook de updates krijgen als ze aan de andere kant van de wereld verbinding zoeken met internet. Ik mis echter een goede patch functie, zodat msp’s gemakkelijk uitgerold kunnen worden. RES Automation Manager en SCCM bieden echter veel meer mogelijkheden op gebied van software uitrol en kunnen ook software uitrollen naar servers.

 

  • In hoeverre kan Windows Intune mij een goed overzicht geven van al mijn hardware en software
    • De rapporten voor hardware en software inventorisatie zijn er wel. Echter, ik vind ze persoonlijk niet handig in gebruik. RES AM biedt bijvoorbeeld de mogelijkheid om de software en hardware lijst te exporteren naar excel of gelijken/verschillen aan te geven en geeft ook direct aan bij welke clients de software/hardware gevonden kan worden. Voordeel is echter wel dat inventorisaties ook via de cloud binnenkomen en de client dus geen verbinding hoeft te hebben met kantoor, maar alleen met internet, om zijn inventorisatie op te sturen.

 

  • Kan Windows Intune mij helpen in het beheer van lastig te bereiken hardware, zoals laptops van gebruikers die bijna nooit op kantoor zijn (denk aan updates van bedrijfsapplicaties en updaten van windows/microsoft producten).
    • Dit is echt het grootste pluspunt van Windows Intune ten opzichte van alle concurrenten. Beheer op afstand is nog nooit zo makkelijk geweest.

 

  • Is Windows Intune makkelijk te beheren/configureren
    • Het instellen gaat op zich best gemakkelijk. In een klein uurtje heb je de hele basis configuratie wel klaar. Waar je wel zelf over moet nadenken is hoe je de Windows Intune client op de machines van de gebruiker krijgt. De Windows Updates en software ter installatie toevoegen kan in het begin even wat tijd kosten, maar is daarna vrij makkelijk en simpel bij te houden.

 

  • In hoeverre is beheer binnen Windows Intune te splitsen
    • Dit is vrijwel niet te doen. Enige wat je kan instellen is Full Control of Only Read Rights. Meer keuze heb je niet, terwijl dit soms wel wenselijk is. Zeker als in de toekomst mogelijk ook een kleine hoeveelheid servers beheerd kunnen worden, moet dit wel geregeld worden. En soms is scheiding helpdesk (hulp op afstand module) en beheer (windows update) wenselijk (ook binnen kleinere bedrijven) en deze is op dit moment niet te maken.

Dus zou ik Windows Intune aanraden? In sommige situaties wel. Misschien is zelfs een hybride omgeving, waarbij Windows Intune gemixed wordt met een concurrent, soms wel mogelijk. Windows Intune staat echter, nog in de kinderschoenen. Ik kom veel kleine dingen tegen die ik ook al hinderlijk vond in System Center Essentials. Ik hoop dat Microsoft die kleine dingen nog oplost, zoals het installeren van patches, kunnen installeren via een batch-file, server beheer en beheer splitsing… en het product kan veel meer worden buitengezet.

Microsoft Hulp op Afstand als alternatief voor Citrix Shadowing?

Geplaatst op door

Bij steeds meer klanten krijg ik de klacht dat Citrix Shadowing niet lekker (meer) werkt. Een de ene kant loopt men tegen veel bugs aan (zwarte dos-prompts, niet afsluiten van shadowsessies) aan de andere kant loopt men tegen restricties aan die Microsoft in het Windows 2008 platform heeft gebakken, waaronder het niet kunnen shadowen van gebruikers met een andere monitor configuratie dan jezelf hebt.

Op zoek naar een alternatief liep ik tegen Hulp op Afstand aan. Deze bestaat al een tijdje, maar was in het verleden nou niet echt heel handig in gebruik. Toegeven, ook de huidige versie heeft nog een onhandigheid, maar werkt voor de rest wel naar behoren. De onhandigheid zit hem in het feit dat je eerst een server moet selecteren, alvorens je een lijst gebruikers ziet (die op die server zitten). Je moet dus van te voren weten waar de gebruiker zit.

Hoe configureer je dit

Als eerste moet je op al je XenApp servers de ‘Hulp op Afstand’ (Remote Assistance)-feature installeren. Dit kan eenvoudig met een tweetal powershell commando’s en de server hoeft er niet voor te rebooten. Tevens moet deze feature worden geïnstalleerd op de server waarvandaan je de gebruikers wil overnemen (tenzij dit een Windows Vista of Windows 7 desktop is, daar is deze feature standaard al op geïnstalleerd).

Import-Module Servermanager
Add-WindowsFeature Remote-Assistance

imageVervolgens moet je via een GPO Remote Assistance configureren op de XenApp servers, zodat een beperkte groep gebruikers dit ook kan doen op die server. Voer daarvoor de volgende instellingen door:

Computer Configuration/Policies/Administrative Tempates/System/Remote Assistance

  • Offer Remote Assistance: Enabled
    • Helpers: De users of usergroep die rechten hebben om anderen te schaduwen, bv HomeLab\App-Shadowing
  • Solicited Remote Assistance: Disabled (voorkomt dat gebruikers zelf om Hulp of Afstand kunnen vragen)
  • Allow only Vista or later connections: Zorgt ervoor dat er een meer secure verbinding wordt opgebouwd voor de schadow-sessie door af te dwingen dat alleen de nieuwe Hulp op Afstand clients gebruikt mogen worden
  • Turn on bandwidth optimization: Zorgt voor een betere schaduw-sessie. Door alleen de background uit te schakelen, blijft er een goed zichtbare sessie over met minimale compressie. Voor gebruik op een LAN zou dat dit geen probleem mogen zijn.

Vergeet na het aanmaken van de GPO geen GPUPDATE /FORCE uit te voeren op de servers of een tijdje te wachten, alvorens je hulp op afstand wil bieden, anders weigert Windows nog een verbinding op te bouwen.

Voor omgevingen waar RES Workspace Manager (of RES Powerfuse) actief is met Appguard en/of Read only blanketing aktief, moeten de volgende rules worden opgenomen om Hulp op afstand werkend te krijgen (doe je dit niet, dan krijg je de melding dat het opbouwen van een sessie is mislukt of de gebruiker de verbinding niet toestond):

image

msra.exe en raserver.exe willen beiden in ieder geval modify rechten tot c:\windows en c:\windows\system32. Een veiligere rule zou dus ook zijn om c:\windows\* te gebruiken en daar read/execute/modify rechten op te geven. Heb helaas nog niet de tijd gehad om dit verder te ‘verkleinen’.

Hoe gebruik je het?

Om vervolgens Hulp op Afstand te kunnen starten, kun je een shortcut aanmaken naar msra.exe met als parameter /offerra. Dit opent direct het scherm (1) om hulp te bieden met de vraag naar welke server (of pc) je wil connecten. Type de naam van de server of selecteer de server uit de lijst van eerder gekozen servers. remote-assistanceHierna verschijnt een (2) lijst van gebruikers die op deze server zijn ingelogd. Selecteer de gebruiker die je wilt overnemen in de dropdown-box en druk op Next. Je krijgt nu een wit vlak te zien met een paar opties bovenin. Deze opties blijven greyed-out totdat de gebruiker de verbinding heeft geaccepteerd. De gebruiker krijgt op dit moment het verzoek (3) met de naam van de beheerder in beeld. Nadat hij heeft geaccepteerd krijg jij het scherm (4) van de gebruiker te zien en krijgt de gebruiker een taakbalk in beeld ten teken dat hij geschaduwd wordt. Als de gebruiker 2 monitoren heeft, krijg je beide schermen in je beeld, als één groot ‘scherm’. Als je de gebruik wil overnemen klik je op de knop ‘Request Control’, de gebruiker (5) krijgt nu de vraag of hij toestaat dat jij de muis en toetsenbord overneemt. De optie ‘Hiermee kan [beheerder] reageren op UAC’ kan de gebruiker aanvinken als hij ook toestaat dat jij als beheerder eventuele UAC meldingen te zien mag krijgen.

Andere mogelijkheden:

  • Actual size: Geeft de schermen van de gebruiker op ware resolutie weer. Als de gebruiker een groter scherm heeft dan op jou display past, verschijnen er scrollbalken om het beeld.
  • Chat: Geeft de mogelijkheid om met de gebruiker te chatten

Hulp op afstand geeft alle schermen in de taal waarop de gebruiker (of beheerder) Windows heeft ingesteld.

Dag 4: Windows Intune–The Grill

Geplaatst op door

Laatste dag van de Windows Intune review. De nieuwe versie komt er al weer aan, met wat meer functies dan de huidige versie heeft. De nieuwe functies zijn echter vooral gericht op mobiel werken en integratie met de lokale AD.

Deze laatste dag wordt gekeken naar hulp op afstand, verdeling van beheer en rapportage.

Hulp op afstand

intune31Hulp op afstand geeft de gebruiker de mogelijkheid om de beheerders een seintje te geven dat hij met een probleem zit op zijn machine en daar hulp bij nodig heeft. Andersom is het niet nodig, je kunt als beheerder dus niet pro-actief hulp aanbieden. Microsoft gebruikt voor het beheer op afstand een oude bekende, namelijk Microsoft Easy Assist uit de Microsoft Office hoek.

intune80Nadat de gebruiker via zijn Intune client om hulp heeft gevraagd verschijnt er een notitie in de management interface. Hierbij wordt geen actieve pop-up of geluid gegeven, de beheerder moet er dus we op letten. Vanuit Intune kan tevens een email gestuurd worden naar de beheerders met de waarschuwing dat iemand hulp nodig heeft. Windows Intune behandelt het verzoek als ‘kritiek’ met rode kruizen voor de berichten. Daarnaast wordt de client vermeldt, niet de gebruiker die gebruik maakt van de machine. Dat was mogelijk wel handiger geweest bij gebruik van fatclients waar meerdere mensen achter kunnen zitten (flexplekken). Een actieve waarschuwing was daarnaast ook handiger geweest, zoals bijvoorbeeld met een nieuw bericht in Outlook Webaccess. Dat had het geheel iets duidelijker gemaakt voor beheerders.

intune81Voor het bevestigen van het verzoek moet je een aantal website-schermen door, wordt de Easy Assist client op je pc geïnstalleerd en daarna krijg je de interface voor je. De client die de beheerder gebruikt is nog niet Windows 8 en IE10 ready. In de client kun je chatten met de gebruiker en de gebruiker verzoeken om het beeld door te geven en/of de muis van hem hem over te nemen. Als de gebruiker meerdere schermen heeft aangesloten, wordt gevraagd welke van de twee schermen hij wil tonen. Ook bestaat er de mogelijkheid om alleen de applicatie door te geven die het probleem heeft.

Voor rest werkt het redelijk standaard. Je kunt muis en toetsenbord van de gebruiker bedienen en meekijken. Dat werkt allemaal naar behoren, zoals je mag verwachten van Hulp op afstand. Tevens kun je je eigen pc blijven gebruiken, het scherm van de gebruiker komt niet fullscreen over je eigen scherm heen. Verder zijn er geen problemen als je zelf twee schermen in gebruik hebt en de gebruiker er maar één heeft. Dit zou dus een perfecte oplossing zijn voor Remote Desktop Servers, aangezien Microsoft daar sinds Windows 2008R2 een beperking in heeft zitten waarbij je geen enkele schermen kan overnemen als je zelf twee schermen gebruikt (en andersom). Een laatste mooie optie is de mogelijkheid om de sessie op te nemen. Hierdoor kun je het gebruiken om later bijvoorbeeld een kb-artikel te maken op het intranet of het gebruiken voor leer-doeleinden.

Beheer splitsing

intune82Over dit onderwerp kunnen we snel zijn. Het splitsen van beheer is niet mogelijk. Je hebt of volledig beheer of alleen leesrechten. Andere smaken zijn er niet. Daarnaast is er altijd één ‘super-beheerder’. Dat is het account dat is gebruikt voor het ‘kopen’ van Windows Intune. Dit account kan niet verwijderd worden uit de console.

Rapporten

intune85Windows Intune kan enkele basis rapporten tonen op het gebied van Windows Updates, software inventarisatie en uitrol, hardware inventarisatie en licenties. In elk rapport is verder in te zoomen op bijvoorbeeld in het software overzicht is op te vragen welke pc’s de software geïnstalleerd hebben. Het zijn basis rapporten, die voor een kleine organisatie wel ok zijn.

intune86

In de volgende blog trekken we de conclusie over Windows Intune en beantwoorden we de vragen die we op dag 1 hebben gesteld.