Massenrollout über Active Directory Gruppenrichtlinien (GPO)

Was diese Anleitung abdeckt

Dies ist das Vorgehen, mit dem ein Windows-Administrator Zeuslock in einem Rutsch auf jeden domänengebundenen Endpunkt ausrollt, ohne einzelne Maschinen anzufassen. Zwei Artefakte werden verteilt: die Zeuslock-Browsererweiterungen für Edge und Chrome (über ADMX-Richtlinien) und das MSI des Zeuslock-Desktop-Agents (über Computerkonfiguration → Softwareinstallation). Endbenutzer sehen nichts — bei der nächsten Anmeldung ist die Erweiterung erzwungen installiert und der Agent-Dienst läuft.

Voraussetzungen

• Eine Active-Directory-Domäne mit mindestens einem schreibbaren Domänencontroller und funktionierendem SYSVOL.
• Die Group Policy Management Console (GPMC) auf Ihrer Admin-Workstation installiert (Teil von RSAT).
• Ein Konto mit Domänen-Admin-Rechten oder Mitgliedschaft in Gruppenrichtlinienersteller-Besitzer mit delegierten Verknüpfungsrechten auf der Ziel-OU.
• Domänengebundene Endpunkte mit Windows 10 (1809+) oder Windows 11.
• Eine UNC-Freigabe, auf die die Gruppe Domänencomputer Lesezugriff hat, für das MSI.
• Ein Enrollment-Token aus Einstellungen → Rollout in der Operator-Konsole unter app.zeuslock.ai.

Teil 1 — Browsererweiterungen per ADMX erzwingen

1. ADMX-Bundle von Zeuslock importieren

Laden Sie das aktuelle Bundle auf Ihrer Admin-Workstation:

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest.zip" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force

Kopieren Sie die Dateien in den zentralen Speicher unter SYSVOL, damit jeder DC dieselben Vorlagen ausliefert:

$Store = "\\domain.controller\SYSVOL\domain\Policies\PolicyDefinitions"
Copy-Item "$env:TEMP\zeuslock-admx\Zeuslock.admx" -Destination $Store -Force
Copy-Item "$env:TEMP\zeuslock-admx\en-US\Zeuslock.adml" -Destination "$Store\en-US\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\fr-FR\Zeuslock.adml" -Destination "$Store\fr-FR\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\es-ES\Zeuslock.adml" -Destination "$Store\es-ES\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\de-DE\Zeuslock.adml" -Destination "$Store\de-DE\" -Force

2. GPO anlegen und verknüpfen

1. Öffnen Sie GPMC (gpmc.msc).
2. Rechtsklick auf Ihre Domäne → Gruppenrichtlinienobjekt hier erstellen und verknüpfen…. Benennen Sie es Zeuslock - Browsererweiterungen.
3. Rechtsklick auf das neue GPO → Bearbeiten.
4. Verknüpfen Sie es zunächst mit Ihrer Pilot-OU (z. B. OU=Pilot,OU=Workstations,DC=corp,DC=local), nicht mit der Domänenwurzel.

3. Erzwungene Installation für Edge konfigurieren

1. Navigieren Sie zu Computerkonfiguration → Richtlinien → Administrative Vorlagen → Microsoft Edge → Erweiterungen.
2. Öffnen Sie Liste der Apps und Erweiterungen, die zwangsweise installiert werden, konfigurieren → Aktiviert.
3. Klicken Sie auf Anzeigen… und fügen Sie exakt diesen Eintrag hinzu:

iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx

4. Für Google Chrome wiederholen

Unter Computerkonfiguration → Richtlinien → Administrative Vorlagen → Google → Google Chrome → Erweiterungen wiederholen Sie dieselben Schritte mit identischer Erweiterungs-ID und Update-URL.

Teil 2 — Desktop-Agent-MSI verteilen

1. MSI auf einer UNC-Freigabe bereitstellen

Kopieren Sie ZeuslockAgent.msi auf eine Freigabe, auf die Domänencomputer lesen dürfen (nicht nur Domänenbenutzer — die Installation läuft als SYSTEM):

$Share = "\\fileserver\Software\Zeuslock"
icacls $Share /grant "Domänencomputer:(OI)(CI)RX"

2. Enrollment-Token einschleusen

Der Agent benötigt ZEUS_ENROLL_TOKEN zur Installationszeit. Softwareinstallation per GPO kann MSI-Eigenschaften nicht direkt übergeben; wählen Sie einen der beiden Wege.

• Empfohlen: ein Transform mit Orca oder WiX erzeugen:

cscript WiRunSQL.vbs ZeuslockAgent.mst "INSERT INTO Property (Property, Value) VALUES ('ZEUS_ENROLL_TOKEN', 'zk_live_xxxxxxxxxxxx')"

• Alternative: das Token vorab via GPO-Registry-Voreinstellung schreiben, bevor das MSI läuft:

New-Item -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Name "EnrollToken" -Value "zk_live_xxxxxxxxxxxx" -PropertyType String -Force

3. Softwareinstallationspaket erstellen

1. Bearbeiten Sie in GPMC ein neues GPO namens Zeuslock - Desktop-Agent.
2. Gehen Sie zu Computerkonfiguration → Richtlinien → Softwareeinstellungen → Softwareinstallation.
3. Rechtsklick → Neu → Paket…. Navigieren Sie über den UNC-Pfad (niemals über einen Laufwerksbuchstaben): \\fileserver\Software\Zeuslock\ZeuslockAgent.msi.
4. Wählen Sie Zugewiesen. Wenn Sie ein Transform erzeugt haben, wechseln Sie zu Erweitert und hängen ZeuslockAgent.mst im Reiter Änderungen an, bevor Sie bestätigen.
5. Verknüpfen Sie das GPO mit derselben Pilot-OU.

4. Optional — Geplante Aufgabe als Fallback

Softwareinstallation scheitert manchmal an langsamen Leitungen oder ausgelasteten Endpunkten. Ergänzen Sie das GPO durch eine geplante Aufgabe, die einmal beim Start als SYSTEM läuft:

msiexec /i \\fileserver\Software\Zeuslock\ZeuslockAgent.msi /qn /norestart ZEUS_ENROLL_TOKEN=zk_live_xxxxxxxxxxxx /l*v C:\Windows\Temp\zeuslock-install.log

Verifikation

Starten Sie einen Testrechner neu (kein einfaches gpupdate /force — Softwareinstallationsrichtlinien greifen ausschließlich beim Boot, vor der Benutzeranmeldung, weil das MSI Dienste installiert). Dann auf dem Endpunkt:

gpresult /h C:\Temp\gpreport.html
Start-Process C:\Temp\gpreport.html

Im Report müssen beide Zeuslock-GPOs unter Angewandte GPOs auftauchen und das MSI in Softwareinstallation gelistet sein. Anschließend Richtlinie und Dienst prüfen:

Get-Service ZeuslockAgent
# Erwartet: Status Running, Starttyp Automatic

Start-Process "chrome.exe" "chrome://policy"
# Suchen Sie nach ExtensionInstallForcelist mit iicgcadhcgbckmpapjihechjpgcdamhd

Typische GPO-Stolperfallen

• ADMX am falschen Ort. Vorlagen unter C:\Windows\PolicyDefinitions\ auf einem einzelnen DC sind für die anderen DCs und GPMC unsichtbar. Immer den zentralen SYSVOL-Speicher nutzen.
• Neustart vergessen. gpupdate /force wendet die meisten Richtlinien an, aber nicht die Softwareinstallation. Die zuständige CSE läuft nur in der Bootphase vor der Anmeldung, weil das Installieren eines Dienstes im laufenden Benutzerkontext riskant ist.
• MSI-Code 1603 ohne Token. Der Agent verweigert die Registrierung ohne Token und liefert 1603. Wenden Sie das .mst-Transform an, schreiben Sie den Registry-Wert vorab, oder nutzen Sie den Scheduled-Task-Fallback.
• Konflikt mit ExtensionInstallBlocklist. Ein Platzhalter in der Sperrliste schlägt die Forcelist, sofern die Zeuslock-Erweiterungs-ID nicht zusätzlich in der ExtensionInstallAllowlist steht.
• Zu enge WMI-Filter. Ein Filter wie Win32_OperatingSystem WHERE Version LIKE '10.0.19%' schließt Windows 11 aus. Besser Caption LIKE 'Microsoft Windows 1%' verwenden oder den Filter weglassen.

Rolloutplan in Ringen

1. Ring 0 (Tag 0): IT-Pilot-OU — 10 bis 20 Endpunkte. ADMX-Anwendung, MSI-Installation, Forcelist und Agent-Dienst validieren.
2. Ring 1 (Tag 7): eine Fachabteilung (50 bis 200 Endpunkte). Beobachten Sie in der Operator-Konsole die Findings-Volumina und im Helpdesk die Tickets.
3. Ring 2 (Tag 14): die übrigen Fachabteilungen in Wellen, mit 7 Tagen Abstand zwischen den Wellen.
4. Ring 3 (ab Tag 21): GPOs an die Domänenwurzel hängen, die Pilot-OU explizit per Sicherheitsfilterung ausnehmen.

Wenn alle Ringe grün sind, schalten Sie die Zeuslock-Richtlinie von Monitor auf Anonymize und schließlich auf Block, gemäß der empfohlenen Sechs-Wochen-Kadenz. Siehe Erste Erkennung Schritt für Schritt für das, was nach Aktivierung des Agents zu erwarten ist.