Status der Systemwiederherstellung ermitteln

Alle Fragen rund Antworten rund um die ACMP Client Commands und Container
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Guten Morgen,
Anfangs hatte Windows 10 die blöde Eigenheit, das mit jedem Major Update die Systemwiederherstellung deaktiviert und alle Wiederherstellungspunkte gelöscht wurden. Ob das mit 1809 bzw. 1903 immer noch so ist, kann ich aktuell nicht sagen.
Wir haben uns ein CC erstellt, welche per Powershell die Systemwiederherstellung aktiviert, nach unseren Vorstellungen konfiguriert und gleich einen initialen Wiederherstellungspunkt erstellt. Das läuft sehr gut.
Was mir aber noch nicht gelungen ist, in irgendeiner Art und Weise (Wie wäre mir vollkommen egal) bei den Clients abzufragen, ob die Systemwiederherstellung aktiviert bzw. deaktiviert ist. Damit möchte ich einen dynamischen Container zu erstellen, in welchen alle Clients mit deaktivierter Systemwiederherstellung fallen und auf denen dann unser CC ausgeführt wird.

Habt ihr eine Idee, macht ihr etwas an der Systemwiederherstellung per ACMP, bzw. wie geht ihr damit um?
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo Robert-Daniel,

Werte welche von ACMP nicht ausgelesen werden kann man mit einem weiteren Command in Kombination mit benutzerdefinierten Feldern und dem Befehl StoreValueOnServer auslesen.
Dieses benutzerdefinierte Feld kann dann im Container genutzt werden.
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Dennis,

das habe ich verstanden. Die Frage war eher, wie der Status der Systemwiederherstellung auf Clients ermittelt werden kann. Per Powershell scheint dies nicht machbar zu sein.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Kann man hierzu nicht den Registry Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore auswerten?
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Dennis,

stimmt, habe es gerade parallel auch gefunden. Es ist der DWORD-Eintrag "RPSessionInterval" in "Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore"
0 = deaktiviert
1 = aktiviert
rstrui1.jpg
rstrui1.jpg (139.31 KiB) 5032 mal betrachtet

Anbei noch unser CC, falls jemand Interesse hat. Dieses aktiviert die Systemwiederherstellung für C:, setzt das Kontingent auf 10% und erstellt einen initialen Wiederherstellungspunkt.

Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Jetzt habe ich noch ein weiteres Problem.

Ich habe eine Regel, welche abfrägt, ob der DWord-Wert in der Registry fehlt oder ob dessen Wert =0 ist.
acmpregel1.jpg
acmpregel1.jpg (139.86 KiB) 5023 mal betrachtet

Diese Regel habe ich beim Container für die Software als Filter hinterlegt.
acmpregel2.jpg
acmpregel2.jpg (83.92 KiB) 5023 mal betrachtet

Bei meinen Tests, die auf meinen Rechner bescvhränkt waren, hat das problemlos funktioniert. War der Wert "0", ist mein Rechner im Container aufgetaucht, war der Wert "1", war er nicht mehr im Container.

Jetzt habe ich das Command auf alle Rechner, welche den Filterregeln entsprechen losgelassen. Zuerst hat mich gewundert, dass so viele Clients im Container waren. Bei allen sollte die Systemwiederherstellung ja nicht deaktiviert sein. Mach und nach wurde das Command dann ausgeführt, die Clients bleiben aber weiterhin im Container. Stichproben haben ergeben, dass die Wiederherstellung aktiviert wurde und der Wert in der Registry "1" ist.
Im Command ist zu Schluss ein Regelscanner auf den Client eingebaut. Selbst heute, einen Tag später, sind immer noch alle Clients im Container.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Wie ist denn das Ergebnis der Regel bei einen Client in den ClientDetails? Dort gibt es unter Software\Installierte Software den Punkt Regeln.
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Hallo Dennis,

das er klärt es, wobei dann bei den regeln etwas nicht stimmt. So wie ich das sehe, dürfte die regel nicht zutreffen bzw. wahr sein und der Client würde dann auch nicht in den Container fallen.

Hier nochmal die Regel:
acmpregel3.jpg
acmpregel3.jpg (140.15 KiB) 5015 mal betrachtet

Hier das Ergebnis am Client:
acmpregel4.jpg
acmpregel4.jpg (29.61 KiB) 5015 mal betrachtet

Und hier ein Screenshot der Registry, welcher zeigt, dass der Wert auf "1" steht
acmpregel5.jpg
acmpregel5.jpg (96.58 KiB) 5015 mal betrachtet
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Die Regel ist ODER verknüpft. Da es den RegKey RPSessionInterval gibt ist die Regel "erfolgreich".
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
Falaffel
Beiträge: 158
Registriert: Do Feb 04, 2016 5:53 pm

Aber die erste Abfrage ist doch negiert, sprich die Regel dürfte nur wahr werden, wenn der Wert nicht existiert.
Mit freundlichen Grüßen

Robert-Daniel Steichele
r.steichele@gottlob-rommel.de
http://www.gottlob-rommel.de
Antworten