Archives For ADMX

Articolo nato da appunti sparsi e tanti link consultati.

Chi lavora nell’ambito IT (o è comunque appassionato, cugino di (TM) o “tu che sai tutto di PC” (cit.)) sa bene che –nella storia– la grande azienda di Redmond è incappata in qualche piccolo scivolone nei rilasci di fix e patch più complesse che, pur andando a correggere alcuni importanti errori, andavano contemporaneamente a crearne di nuovi, costringendo gli sviluppatori a tirare fuori correzioni delle correzioni. Era da diverso tempo che non accadeva in maniera così plateale, fa tutto parte del periodo giugno-luglio che volge ormai al termine, e ha interessato sia Office che Windows.

Microsoft, quanta confusione (storie di KB che correggono KB)

Tutto è più o meno cominciato con quel KB4022725 per Windows, seguito a ruota dall’aggiornamento 1706 di Office 365 ProPlus, entrambi articoli usciti solo una manciata di giorni fa. Se a questi si aggiunge il gran rumore di fondo prodotto nei forum di Social Technet Microsoft e le ripetute lamentele degli utenti, si arriva a un risultato non esattamente soddisfacente. Gli errori fatti nel rilascio patch di giugno si sono trascinati fino a un caldo luglio che ha portato con sé ulteriori anomalie, in buona parte risolte solo ora che anche lui volge al termine.

Tutto torna

Ho dato una rapida occhiata ai ticket che sono stati aperti in helpdesk aziendale (di primo e secondo livello) durante questo “periodo caldo” (e non per colpa delle temperature esterne), e la maggior parte dei casi più eclatanti (e che hanno richiesto maggiore tempo di lavorazione) sono stati proprio quelli che hanno visto come protagonista degli errori generati dai fix di Redmond, tutti arrivati poi a medesima conclusione (un rollback dove assolutamente necessario, l’attesa della correzione dove si poteva stringere i denti e rispettare il ciclo di rilascio di Microsoft).

  • Il KB4022716 del 27 giugno correggeva alcuni problemi relativi a Internet Explorer e Microsoft Edge che però hanno portato a un nuovo bug decisamente più fastidioso e impattante, crash randomici di entrambi i browser durante la navigazione, visitando siti web sempre diversi, assolutamente non collegati tra di loro.
  • Il KB4025342 del 11 luglio corregge questo errore (qui in dettaglio), ma porta con sé un loop di installazione per chi in azienda possiede un WSUS. Il pacchetto terminava la sua installazione senza però “notificare” la riuscita, facendo credere all’OS (e al WSUS) di avere ancora necessità di quel KB. Se ne è parlato in un thread su Social Technet. Microsoft ha corretto in corsa il problema, rilasciando il medesimo KB senza però il bug incluso nel prezzo (cito un intervento di un utente dal forum: Our WSUS just pulled in new updates at 3:30 eastern time and IE KB4025252 appeared again.  This updated KB seems to have fixed the issue. Several workstations no longer show that it’s needed.).

Nel frattempo, anche Office presenta qualche “piccolo mal di pancia” dovuto ai rilasci nel ramo Current, motivo per il quale abbiamo scelto di togliere gli utenti di test da quel gruppo e portarli insieme agli altri in First Release for Deferred Channel. Dei rami di aggiornamenti ne avevo già parlato tempo fa (questo l’articolo: gioxx.org/2016/03/22/office-2016-gestione-tramite-gpo-admx), seppur in maniera poco approfondita.

Cosa fare quindi per modificare il comportamenti degli Office installati nella rete?

Puoi ricorrere all’uso delle GPO, che reputo la via più comoda e immediata per migrare più PC in un colpo solo. Il comportamento di una installazione di Office fatta tramite Click2Run lo trovi sul sito di Support di Office (qui, per la precisione: support.office.com/en-us/article/Configuration-options-for-the-Office-2016-Deployment-Tool-d3879f0d-766c-469c-9440-0a9a2a905ca8?ui=en-US&rs=en-US&ad=US&fromAR=1), mentre trovi su support.office.com/authredir?url=https%3a%2f%2fsupport.office.com%3a443%2fen-us%2farticle%2fVersion-and-build-numbers-of-update-channel-releases-ae942449-1fca-4484-898b-a933ea23def7%3fui%3den-US%26rs%3den-US%26ad%3dUS%26fromAR%3d1&hurl=m4liUtElQo4FOghQgIRY6JbgTI8LrOMAfWv8uiBuEG0%3d.POsLak2i%2fGs6Exmzf062pgyAG0jqZ4zDu4vtjXF3Q2g%3d&ipt=0&si=1&wctx=70b585db-aec0-4c05-8dd0-e69a5774f03c&wa=wsignin1.0 la mappa di rilascio (con relative versioni) di Office 2016 (a oggi) per ciascun ramo.

Quindi, tanto per capirci, questa è la situazione con una GPO programmata per comandare gli Office ad aggiornarsi direttamente dai server Microsoft, seguendo il ramo di rilascio First Release for Deferred Channel:

Microsoft, quanta confusione (storie di KB che correggono KB) 1

È finita qui? Forse, o almeno per il momento, fino al prossimo giro di roulette ed ennesima scoperta di “cosa si è rotto stavolta“, un gioco che Microsoft conduce in maniera fantastica e appassionante (si nota l’ironia sottile?), dal 1995, anno più, anno meno. Sia chiaro: nessuno è esente da errori, soprattutto i più grandi. L’importante è correggerli, possibilmente senza lasciar passare troppo tempo (e non sempre questo accade) perché forse non ci si rende bene conto di quanto impatto possa dare una “piccola modifica“.

Ora posso smettere di delirare, torno a cuccia.

Adios.

Condividi l'articolo con i tuoi contatti:

Ultima volata della serie corrente sulla questione Office 2016 (365 ProPlus). Come per le versioni ormai superate, anche la nuova suite può essere gestita aziendalmente per mezzo delle GPO, andando ovviamente a installare i file ADMX messi a disposizione da Microsoft. Potete scaricarli dalla pagina microsoft.com/en-us/download/details.aspx?id=49030, quindi farli scompattare in una qualsiasi cartella del vostro server, avrete così a disposizione le cartelle “admin” e “admx” contenenti tutto il necessario.

Per poterli utilizzare, sarà necessario:

  • copiare il contenuto della cartella interessata (nel mio caso admx) in %SystemRoot%\PolicyDefinitions se state lavorando su un singolo domain controller, oppure
  • copiare il contenuto della cartella interessata (sempre admx) in \\dominio.tld\SYSVOL\dominio.tld\Policies (andando a sostituire domain.tld con il vostro dominio, ovviamente) se avete più domain controller e avete centralizzato quel tipo di file (che verranno replicati tra tutti i DC).

Nel mio caso l’opzione è la due, dipende molto da come avete scelto di configurare il vostro ambiente di lavoro aziendale.

A questo punto, aprendo la console di Group Policy Management, dovreste poter notare tutte le nuove voci relative ai programmi che compongono Office 2016. Potrete gestire ogni singola opzione, ogni comportamento, ma soprattutto andare a impostare ciò che riguarda l’aggiornamento della suite sui PC che compongono la vostra rete.

Office 2016: gestione tramite GPO (ADMX)

Si perché, nel caso in cui l’Office 2013 si sia aggiornato in maniera automatica alla versione 2016, il ramo scelto di default dovrebbe corrispondere al Deferred (il Posticipato). Gli aggiornamenti di programma approderanno quindi sulla macchina ogni 4 mesi (solo quelli di programma, quelli di sicurezza restano invece a cadenza mensile), contrariamente a come si era invece abituati con Office 2013.

Per la cronaca: potete verificare voi stessi cosa viene introdotto sia a livello di programma che di sicurezza, basterà semplicemente puntare il vostro browser all’indirizzo technet.microsoft.com/it-it/office/mt465751 e consultare ciò che vi interessa, canale, anno e mese sono selezionabili dal menu di sinistra.

Tornando all’aggiornamento, potete pilotarlo tramite Computer ConfigurationPoliciesAdministrative TemplatesMicrosoft Office 2016 (Machine)Updates, dove troverete le opzioni riguardanti l’aggiornamento automatico (Enable Automatic Updates), il ramo di aggiornamento (Update Branch), e l’eventuale path di aggiornamento se diverso dai server Microsoft ufficiali (Update Path), insieme a nuove opzioni (rispetto al 2013) che potete scoprire voi stessi, scegliendo se utilizzarle o meno.

In base al ramo scelto, ogni macchina (alla ricezione dell’aggiornamento delle proprie GPO), andrà automaticamente a verificare la presenza di aggiornamenti e la proporrà all’utente al momento opportuno, un po’ come è sempre successo con la versione precedente della suite di Microsoft.

Condividi l'articolo con i tuoi contatti:

Da un’esigenza nata per non far andare in crash un particolare componente aggiuntivo installato su Excel nasce anche questo articolo. Avete presente quando si apre un documento di Word da un’unità di rete e compare quel messaggio che ne impedisce qualsiasi modifica oltre la lettura? Premendo il pulsante di sblocco tutto tornerà a funzionare alla perfezione. Si chiama “Modalità Protetta” (o Protected View, su Office in lingua originale). Si può disabilitare facilmente su un dominio tramite GPO, ecco come.

microsoft-office-2013

Il necessario per partire

Il mio articolo si basa ovviamente su Office 2013 ma potrete seguire gli stessi consigli anche per Office 2010 (e volendo anche Office 2007 nonostante si tratti di una versione del software ormai parecchio superata). Per evitare di inventare la ruota ancora una volta conviene scaricare e affidarsi agli Administrative Template di Office 2013 scaricabili direttamente sul sito di Microsoft: microsoft.com/en-us/download/details.aspx?id=35554 (32 e 64 bit).

Scompattate il file in una qualsiasi cartella, esploratela e andate in “admx“. Copiate tutti i file con estensione admx che trovate nella cartella principale insieme alla cartella en-us e it-it all’interno di %Systemroot%\PolicyDefinitions (che tipicamente corrisponde a C:\Windows\PolicyDefinitions), rispondete si al solito messaggio che vi informa della presenza di una cartella en-us all’interno della destinazione, verranno aggiunti i file di localizzazione dei nuovi template di Office 2013 (se volete approfondire l’argomento ADMX c’è sempre la Technet a disposizione).

Excel_ProtectedView-1

Modifica del comportamento di Word ed Excel

Nuova GPO, un nome che possa parlare al posto vostro (per individuare la stessa GPO facilmente in futuro) e questo set di modifiche:

  • User Configuration / Policies / Administrative Templates
    • Microsoft Excel 2013/Excel Options/Security/Trust Center/Protected View
      • Do not open files from the Internet zone in Protected View Enabled
      • Do not open files in unsafe locations in Protected View Enabled
      • Open files on local Intranet UNC in Protected View Disabled
      • Turn off Protected View for attachments opened from Outlook Enabled

e vale ovviamente la stessa cosa per Microsoft Word:

  • Microsoft Word 2013/Word Options/Security/Trust Center/Protected View
    • Do not open files from the Internet zone in Protected View Enabled
    • Do not open files in unsafe locations in Protected View Enabled
    • Open files on local Intranet UNC in Protected View Disabled
    • Turn off Protected View for attachments opened from Outlook Enabled

Per Microsoft Office 2010 e 2007 la cosa cambia ben poco, dovrete solo cercare e installare gli Administrative Templates adatti alla suite interessata e andare a ritoccare grosso modo le stesse voci. Noterete che nel blocco sopra riportato ho incluso anche l’apertura dei documenti da percorsi UNC, da siti web e “Unsafe locations” (Unsafe in base a quanto stabilito da Office stesso). Sempre e comunque occhio a cosa modificate se non siete sicuri dell’esigenza o di quello che state facendo.

Buon lavoro!

Condividi l'articolo con i tuoi contatti: