En als ik die oplossing zo snel bekijk gaat dat om statische printers die rechtstreeks worden aangeroepen
Maar dat maakt voor de driver / connectie toch niet uit? In het classic geval is een FolkowYou / Me systeem toch een virtuele printer op de print server en meer niet. Wat is er nu dan zo speciaal?
Direct naar de printer printen is toch iets wat je moet willen ze hebben niet voor niks Branch Office Direct Printing Eerst alles naar de print server sturen is normaal niet nodig.
[Voor 15% gewijzigd door HKLM_ op 26-11-2021 09:59]
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
Probleem is dat voor de klassieke follow-me van Ricoh je wel een opdracht naar een shared printer op de printserver moet sturen omdat de (hebben we het hier over Equitrac?) printserver software een geautoriseerde opdracht moet hebben in de queue zodat hij weet
* wie de opdracht stuurt
* om hoeveel pagina's het gaat
* of het een kleurenafdruk of zwart wit betreft
* etc.
Dat zijn allemaal zaken die de afdruksoftware registreert en koppelt aan een gebruikersdatabase zodat ook zaken als verbruik en verrekening met eventuele costcenters kunnen worden gedaan.
Maar natuurlijk zeker zodat bekend is wie de opdracht stuurt zodat enkel DIE gebruiker vervolgens naar de printer gaat, zijn pas aanbiedt (of inlogt via control panel op de printer) en vervolgens zijn opdracht kan "ophalen" , dat is hoe die follow-me oplossing werkt.
De driver installatie is (an sich) het probleem niet, het toevoegen van een printer connection naar de shared printer wel.
En met de fixes voor PrinterNightMare die MS heeft doorgevoerd kunnen gewone gebruikers niet meer zonder admin rechten een shared printer toevoegen:
Bij mijn werkgever maken we ook gebruik van de Equitrac Follow-me oplossing en zouden we dit voor reguliere eindgebruikers enkel kunnen oplossen door de vermelde registry wijziging door te voeren en mitigations op de printserver toe te passen (enkel trusted printservers toestaan)
Die mitigations beschermen je echter niet volledig tegen de exploit. Daarom is er voor nu gekozen om printing naar de follow-me voor de Azure AD joined devices niet toe te staan (men kan afdrukken via onze Citrix omgeving)
Er wordt gekeken naar een cloud print management oplossing ter vervanging van de huidige Equitrac oplossing, details hierover zijn me nog niet bekend.
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Hold. Step. Move. There will always be a way to keep on moving
D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
A dat is wel balen inderdaad
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
- Uitrol van een hybride omgeving
- Geen VPN ingesteld
- Dit gaat indd om de 2e log in ("Fase 3") waarin de volgende stap "joining your..." is
Misschien is het mosterd na de maaltijd. Maar ik zie dat je een Hybrid Join uitvoert.
Om problemen met Azure PRT te voorkomen dien je de User Status Page op ESP uit te schakelen.
./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage,true --> Assign aan Device groep.
@DJ-B Dit heb ik een aantal keer getest zonder het uit te zetten (policies staan wel gereed mocht het echt te vervelend worden). Het enige dat een hikje heeft, is Onedrive.
Zodra ik later Onedrive alsnog aanmeld, zie dat ik het alsnog goed gaat.
---
Toch bedankt voor het meedenken !
Hold. Step. Move. There will always be a way to keep on moving
D_Jeff schreef op vrijdag 26 november 2021 @ 18:57:
@HKLM_ Helaas is Uni. Print van MS een extra licentie MET extra kosten (4 dollar/maand/user)
Die ga ik er niet doorheen krijgen, omdat er nog een Windows Server AD + GPO mogelijkheden zijn.
Aan de andere kant jammer dat er niet gekozen is voor Papercut. Dat is een kwestie van de installer.exe ombouwen naar een win32 app en bij het installatieveld /gui meegeven. User de wizard laten doorlopen en volia, alle ellende is voorbij
Beetje offtopic wel, maar als je zoekt naar follow-me print oplossing, kijk ook zeker naar Uniflow. Qua licenties transparanter en doorgaans goedkoper en vind ik beter werken dan Papercut. (Papercut heeft wel ondersteuning voor meer type printers, al is dat niet helemaal zo zwart-wit, want wat zou moeten werken, werkt niet altijd.
De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.
Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.
Iemand nog suggesties?
Hold. Step. Move. There will always be a way to keep on moving
De bedoeling is dat Bitlocker, zonder vragen in de achtergrond, ingesteld wordt.
Ik weet dat het mogelijk is om dit in te stellen bij "Endpoint" en als Cloud Policy -- maar beide geven niet het gewenste effect.
Het beste dat ik tot zover werkend heb, zijn de meldingen dat bitlocker vereist is. Negeer je de meldingen, gebeurt er niets.
Iemand nog suggesties?
ook al gekeken naar Endpoint Security - > Disk encryption?
Ik ben op een VM Windows 11 aan het testen voor een mogelijke volgende uitrol (toekomst).
Ik heb binnen Intune een test user aangemaakt, in aparte groep geplaatst enz. en toegevoegd voor het meenemen binnen profielen en andere applicatie configuraties. Eigenlijk hetzelfde als de reeds functionerende inrichting.
Als ik de VM start kom ik netjes bi het aanmeldscherm voor de organisatie. Echter bij fase 2 slaat het systeem de installatie van apps over. Net als of hij bij het indexeren geen apps kan vinden en dus niet installeert. Alles nagelopen maar kan het niet vinden. Groepslidmaatschap staat bij diverse apps juist ingevuld.
Iemand een idee?
Edit
Op een of andere manier na een keer opnieuw opstarten van de VM zijn de apps wel geรฏnstalleerd.
Mogelijk een GUI bug.
[Voor 19% gewijzigd door panomi op 08-01-2022 15:44]
Hebben meer mensen de ervaring dat het pushen van MSI files vanuit Intune niet lekker loopt via line-of-business en die wil niet installeren.
Maak ik er een Windows App (32) package van via de tool en de MSI met de .intunewin extentie staat die na het pushen er zeer snel zonder issues op. Iemand een idee waar dat aan kan liggen? Ik gebruik namelijk dezelfde silent parameters
[Voor 8% gewijzigd door HKLM_ op 11-01-2022 20:05]
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
@HKLM_
1) Hoe groot is de MSI (jn MB / KB)?
2) Heb je in een VM de MSI al eens afgetrapt om te zien wat het allemaal doet?
3) HOOFDLETTER-parameter vereist?
Hold. Step. Move. There will always be a way to keep on moving
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee
Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus welโฆ dat is natuurlijk prima maar wel vreemd.
[Voor 3% gewijzigd door HKLM_ op 11-01-2022 20:42]
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
1: +- 100MB
2: ja en dat werkt gewoon (msiexec /i "GitHubDesktopSetup-x64.msi" /q)
3: nee
Het commando msiexec /i "GitHubDesktopSetup-x64.msi" /q wordt ook gebruikt in de Intunepackage en dan werkt het dus welโฆ dat is natuurlijk prima maar wel vreemd.
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
------------------------------
Edit, dit maal met voorbeeld:
De enigste parameter die je nog wil meegeven is /q in het veld "Command-Line arguments"
[Voor 16% gewijzigd door D_Jeff op 11-01-2022 20:58]
Hold. Step. Move. There will always be a way to keep on moving
/i -- dude, remove it -- Die heb je daar helemaal niet nodig. Intune voert zelf /i of /a uit (afhankelijk van de keuze die je maakt: user / system).
Feitelijk wordt er nu 2x /i gedaan en dat snapt msiexec.exe niet
De enigste parameter die je nog wil meegeven is /q
Mmmmm okรฉ maar dit commando maakt Intune er zelf van hoor
Plaatje is van de Intune package. Ik zal morgen dan eens een MSI package maken zonder de i
Edit a thx ik gaf het commando op zal het eens met alleen /q proberen thx
[Voor 4% gewijzigd door HKLM_ op 11-01-2022 21:02]
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
Ik heb hier een vreemd issue met enkele devices die op geen enkele manier updates binnen kunnen halen.
Ik zie volgende foutmeldingen in zowel de ScanAgent.log als de WUAHander.log
ScanAgent.log
WUAHandler.log
Als ik via CCMTrace de error opzoek, dan kom ik volgende uit:
Error 0x87d00631 betekent โScan retry Pendingโ
Error 0x80244007 betekent โSame as SOAPCLIENT_SOAPFAULT - SOAP client failed because there was a SOAP fault for reasons of WU_E_PT_SOAP_* error codes.โ
Als ik zoek op foutmelding 0x80244007, dan kom ik enkele hits tegen in Google. Ik heb de aanpassingen in web.config en een IIS reset geprobeerd, maar dat biedt niet veel soelaas.
Ik heb voor de rest al volgende acties ondernomen op de getroffen clients:
- Reinstall SCCM client
- Reset WSUS client (by stopping the service and remove the content of SoftwareDistribution)
- Registry.pol heraangemaakt
SSL is uitgeschakeld op zowel de IIS WSUS website, op de SUP server als op de SCCM Management server. Dus daar kan het ook niet liggen.
Ik denk ook niet dat er iets anders in de netwerk infrastructuur (daar heb ik ook verder geen zicht op) de boel ophoudt, want dit is verspreid over meerdere toestellen in verschillende locaties. Alsook met toestellen die enkel thuis verbonden staan.
Iemand een idee hoe ik dit kan oplossen? Ik ben er bijna heel de week mee bezig geweest en men wordt een beetje kribbig omdat de 'cijfers niet kloppen'.
Misschien weet iemand het hier, ik heb het namelijk nog niet kunnen testen.
Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)
Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
Onze laptops zijn voorzien van bitlocker maar de policy en keys worden door ons AV pakket gepushte en opgeslagen (vraag me niet waarom ze hier ooit voor gekozen hebben)
Nu wil ik Intune gaan gebruiken voor bitlocker en daar ook de keys in opslaan. De keys kan ik met powershell uitlezen en opslaan maar kan ik ook de Intune bitlocker policy pushen zonder gedoe? Of moeten de laptops eerst decrypt worden en dan weer geencrypt?
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Ik vermoed dat je eerst een decrypt zult moeten uitvoeren voordat je dit met Intune kunt doen. Ik denk dat je nu in Intune een melding gaat krijgen dat het volume al encryot is en dat het daardoor wordt geskipped.
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.
Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.
Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Vandaag ben ik er niet aantoe gekomen. Had nog wat issues met de auto MDM join policy i.c.m onze hybrid join Maar goed dat is nu opgelost! Ik hoop het morgen of vrijdag te kunnen testen dank beide.
๐ฉโ๐ -> Astronauts use Linux because you cant open Windows in space <- ๐
Die conclusie kan voorbarig zijn. Als de policy gewoon standaard bitlocker gebruikt, zouden de devices na verandering van policy prima hun keys kunnen publishen in Intune.
Ik heb alleen geen ervaring met die actie van 3rd party naar Intune, maar alleen met Bitlocker management console naar SCCM en SCCM naar intune.
Bitlocker server database was gecrashed en we konden via policy de meeste keys terugkrijgen in SCCM.
Daarom zeg ik ook " ik vermoed"
Ik heb zelf niet in deze situatie gezeten, dus ik kan niet uit ervaring praten.
Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.
Microsoft Windows:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)
Eerst alles naar de print server sturen is normaal niet nodig.
:strip_icc():strip_exif()/u/90717/crop55df23e5b61e8_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/403510/tweakers.net.jpg?f=community)
:strip_exif()/u/91615/hann1bal.gif?f=community)
/u/159259/crop56718d78b7ebf_cropped.png?f=community)
:fill(white):strip_exif()/f/image/mlS7QTXeRFiv8Aq0paLpSV18.png?f=user_large "https://tweakers.net/i/hwDjWCmY1xHz59oZhnN5yyg19wM=/800x/filters:strip_exif()/f/image/mlS7QTXeRFiv8Aq0paLpSV18.png?f=fotoalbum_large")
:strip_icc():strip_exif()/u/335968/crop57d2c94ca341d_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/312731/sdffsd.jpg?f=community)
maar dit commando maakt Intune er zelf van hoor 
:fill(white):strip_exif()/f/image/GUbTqe6b9F6CzOIakb1Cui33.png?f=user_large "https://tweakers.net/i/80kKromHazKbB7dsZFDUNYL6zoo=/800x/filters:strip_exif()/f/image/GUbTqe6b9F6CzOIakb1Cui33.png?f=fotoalbum_large")
:strip_icc():strip_exif()/u/465602/crop59bbd5b6caf7a_cropped.jpeg?f=community)
:fill(white):strip_exif()/f/image/XJfDQ6JBonmeKWip84ZMQLC5.png?f=user_large "https://tweakers.net/i/m_RvucbIzxqMl7O0F3uyo7hRqGQ=/800x/filters:strip_exif()/f/image/XJfDQ6JBonmeKWip84ZMQLC5.png?f=fotoalbum_large")
:fill(white):strip_exif()/f/image/wN9i1vbtQW4OzCylwJitHbYV.png?f=user_large "https://tweakers.net/i/F_4hNqk3QmheZl2uaplP3R8Fl8s=/800x/filters:strip_exif()/f/image/wN9i1vbtQW4OzCylwJitHbYV.png?f=fotoalbum_large")
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community)
