tobi987654321
Goto Top

Notebook von VAMT verwaltet, herausfinden woher

hallo zusammen,

ein Kunde von uns bereitet Notebooks zum wiederverkauf auf.
Er macht das Notebook platt, installiert ein neues Betriebssystem, bereitet es auf und verkauft es an den Endkunden.

Jetzt kam es manchmal vor, dass die Notebooks von einem VAMT-Server verwaltet wurden, man selber das aber nicht mitbekommen hat. Erst der Endkunde, der das Notebook registrieren wollte, hat dann ein Fehler bekommen.

Jetzt zu meiner Frage:
weiß jemand ob man schon im vorraus herausfinden kann, ob das Notebook über einen VAMT-Server verwaltet wurde bzw. optimalerweise noch, wer es verwaltet?

gibt es irgendwelche APIs oder Software die das herausfinden kann?

Besten Dank schon mal
Tobias

Content-Key: 23054631956

Url: https://administrator.de/contentid/23054631956

Printed on: May 26, 2024 at 06:05 o'clock

Member: Bingo61
Bingo61 Dec 14, 2023 at 11:09:54 (UTC)
Goto Top
Member: Lochkartenstanzer
Lochkartenstanzer Dec 14, 2023 at 11:15:06 (UTC)
Goto Top
Zitat von @tobi987654321:

Erst der Endkunde, der das Notebook registrieren wollte, hat dann ein Fehler bekommen.

Wieso registrieren? Korrektes OS und ggf Lizenz drauf und fertg. Oder habt Ihr Firmenkunden die die Dinger wieder per Volumenlizenz bespielen wollen?

lks
Member: tobi987654321
tobi987654321 Dec 14, 2023 at 11:15:20 (UTC)
Goto Top
danke für deinen Link.
Allerdings muss der Rechner ja dann im Netzwerk sein, wo es vom VAMT gemanaged wurde.
Die bekommen aber Notebooks angeliefert und haben dann keinen Zugriff auf die Kundenumgebung..
Es geht auch nicht darum, dass man das Notebook irgendwie aus dem VAMT befreien kann sondern nur darum, ob es verwaltet wird oder nicht . Sprich: wird der Kunde es ohne Probleme aktivieren können oder nicht.
Member: mayho33
mayho33 Dec 14, 2023 at 11:21:15 (UTC)
Goto Top
Hi,
Normalerweise sollte das kein Problem sein. Hier wird ja nur der angegebene KMS-Key mit dem Windows auf dem Client aktiviert werden soll gegen den VAMT-Server geprüft. Beide müssen sich natürlich in der gleichen Domain befinden oder einem entsprechend konfigurierten Forest.
Wurde der Client ordnungsgemäß bereinigt, sollte dieser ja gar nicht mehr wissen wo er sich melden muss. Einzig Intune stellt da eventuell eine Ausnahme dar, wenn vielleicht der OEM-Key im BIOS/UEFI für die Aktivierung verwendet wurde und die ID des Clients nicht aus Intune gelöscht wurde.

Ganz sicher bin ich mir da aber nicht. Es sollte im BIOS/UEFI irgendwo einen Button geben wo man die Registrierungs-Informationen zurücksetzen kann. Es könnte natürlich auch sein, dass der Dienstleister das Gerät gar nicht gelöscht hat wie vorgeschrieben, sondern nur zurückgesetzt. Dann sind derart Daten wie du das beschreibst noch vorhanden.
Member: tobi987654321
tobi987654321 Dec 14, 2023 at 11:30:22 (UTC)
Goto Top
ok.
hier mal ein einfaches Beispiel dass ich Laie es auch verstehe face-smile

1. Kunde A rangiert ein Notebook aus und verkauft es an Aufbereiter B
--> wir nehmen an Kunde A hat das Notebook nicht aus seinem VAMT deregistriert.

2. Aufbereiter B kann es so platt machen, dass der Endkunde C es ohne probleme registrieren kann?

habe ich das richtig verstanden?
oder MUSS Kunde A es aus seinem VAMT rausnehmen, damit man es danach in irgendeiner Art und Weise bei MS registrieren/aktivieren kann?
Member: Lochkartenstanzer
Lochkartenstanzer Dec 14, 2023 at 11:33:21 (UTC)
Goto Top
Zitat von @tobi987654321:

Er macht das Notebook platt, installiert ein neues Betriebssystem, bereitet es auf und verkauft es an den Endkunden.

Wenn das tatsächlich so sein sollte, sollte eigentlich für das OS keine Veranlassung geben, sich am Server zu melden. Denn da sollten alle swensentlichen Informationen weg sein.

lks
Member: tobi987654321
tobi987654321 Dec 14, 2023 at 11:36:14 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @tobi987654321:

Er macht das Notebook platt, installiert ein neues Betriebssystem, bereitet es auf und verkauft es an den Endkunden.

Wenn das tatsächlich so sein sollte, sollte eigentlich für das OS keine Veranlassung geben, sich am Server zu melden. Denn da sollten alle swensentlichen Informationen weg sein.

lks

ich habe das so verstanden, dass irgendwie die Hardware-Infos vom Notebook bei MS registriert sind. und wenn man ein neues Windows drauf installiert und installiert, dass dann nicht aktiviert werden kann weil es eben über die Hardware gesperrt ist..
Member: Franz-Josef-II
Franz-Josef-II Dec 14, 2023 at 13:37:15 (UTC)
Goto Top
Wenn ein Firmen- oder Schulgerät mit dem Endpoint Manager verwaltet wird, dann ist dort ein Hardwarehash z.B. über den Autopilot, hinterlegt der beim ersten Start abgefragt wird und das Gerät kommt in die Verwaltung und nicht heraus. Bei Microsoftgeräten habe ich es selbst noch nicht gemacht, nur bei iPads und es sollte eigentlich inetwa gleich sein.

Bei unseren Geräten steht dann am Bildschirm: Das Gerät wird von Franz-Josef_II verwaltet ...... und er kann nichts tun, außer Servierbrett oder Blumenuntersetzer ­čśé

Wenn ich es versehentlich nicht gelöscht habe, muß ich es eben nachholen.
Member: tobi987654321
tobi987654321 Dec 14, 2023 at 14:03:49 (UTC)
Goto Top
Zitat von @Franz-Josef-II:

Wenn ein Firmen- oder Schulgerät mit dem Endpoint Manager verwaltet wird, dann ist dort ein Hardwarehash z.B. über den Autopilot, hinterlegt der beim ersten Start abgefragt wird und das Gerät kommt in die Verwaltung und nicht heraus. Bei Microsoftgeräten habe ich es selbst noch nicht gemacht, nur bei iPads und es sollte eigentlich inetwa gleich sein.

Bei unseren Geräten steht dann am Bildschirm: Das Gerät wird von Franz-Josef_II verwaltet ...... und er kann nichts tun, außer Servierbrett oder Blumenuntersetzer ­čśé

Wenn ich es versehentlich nicht gelöscht habe, muß ich es eben nachholen.

ok, also wenn Kunde, der das Notebook aussortiert hat, nicht aus seinem VAMT rausnimmt, kann man nix machen? Könnte man aber ohne Zugriff auf das Firmennetzwerk erkennen, dass das Gerät durch VAMT gesperrt ist?
Member: Lochkartenstanzer
Lochkartenstanzer Dec 14, 2023 at 14:10:18 (UTC)
Goto Top
Zitat von @tobi987654321:

ok, also wenn Kunde, der das Notebook aussortiert hat, nicht aus seinem VAMT rausnimmt, kann man nix machen? Könnte man aber ohne Zugriff auf das Firmennetzwerk erkennen, dass das Gerät durch VAMT gesperrt ist?

Beim aktivieren des Windows spätestens soltle sich das bemerkbar machen. Deswegen sage ich ja, wenn der "refurbischer" das ordentlich macht und da ein aktiviertes Windows draufpackt, sollte das problemlos gehen.

lks
Member: tobi987654321
tobi987654321 Dec 14, 2023 at 14:47:37 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @tobi987654321:

ok, also wenn Kunde, der das Notebook aussortiert hat, nicht aus seinem VAMT rausnimmt, kann man nix machen? Könnte man aber ohne Zugriff auf das Firmennetzwerk erkennen, dass das Gerät durch VAMT gesperrt ist?

Beim aktivieren des Windows spätestens soltle sich das bemerkbar machen. Deswegen sage ich ja, wenn der "refurbischer" das ordentlich macht und da ein aktiviertes Windows draufpackt, sollte das problemlos gehen.

lks

ok, ich denke aber, dass sie das Windows nicht aktivieren und es ohne Lizenz verkaufne. das müsste ich aber nochmal nachfragen.
Member: Franz-Josef-II
Franz-Josef-II Dec 14, 2023 updated at 17:12:35 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Beim aktivieren des Windows spätestens soltle sich das bemerkbar machen. Deswegen sage ich ja, wenn der "refurbischer" das ordentlich macht und da ein aktiviertes Windows draufpackt, sollte das problemlos gehen.

Er kommt gar nicht bis zum aktivieren, zumindest wenn er eine Internetverbindung hat und ich vermute, daß wenn er das System ohne Netzwerk startet, einrichtet und einen MAK-Key eingibt, daß dann trotzdem bei der ersten Internetverbindung Schluß ist.

Da kann der"refurbischer" gar nichts tun, weil der PC in MEINEM System ist und wenn er es kann, dann habe ICH ein Sicherheitsproblem.
Member: ChriBo
ChriBo Dec 14, 2023 at 17:30:42 (UTC)
Goto Top
Hi,
meinst du von VAMT oder Autopilot Registrierung ?
Ein Problem mit einer ehemaligen VAMT Registrierung ist mir nicht bekannt.
d.h wahrscheinlich meint dein Kunde daß die Geräte noch per Autopilot verwaltet werden.
dies kann nicht (!) durch eine Neuinstallation, sei es manuell oder über das MAR Programm inklusive Schreiben der neuen Lizenz in das BIOS erkannt oder geändert werden.
Wir haben uns eine eigene Software dafür geschrieben, da wir auch sehr häufig Probleme im Wiederverkauf mit Geräten hatten die noch durch Autopilot verwaltet wurden.
deine Frage:
gibt es irgendwelche APIs oder Software die das herausfinden kann?
kann also mit Ja beantwortet werden.
Mehr kann ich dir leider auch nicht helfen.

Gruß
CH
Member: mayho33
mayho33 Dec 17, 2023 at 15:56:29 (UTC)
Goto Top
Zitat von @tobi987654321:

ok.
hier mal ein einfaches Beispiel dass ich Laie es auch verstehe face-smile

1. Kunde A rangiert ein Notebook aus und verkauft es an Aufbereiter B
Ganz genau!

--> wir nehmen an Kunde A hat das Notebook nicht aus seinem VAMT deregistriert.
Das muss er rein theoretisch auch nicht. DAs Notebook hat der Dienstleister so platt zu machen, dass das NB gar nicht mehr weiß, dass es sich beim VMAT XY melden muss.

2. Aufbereiter B kann es so platt machen, dass der Endkunde C es ohne probleme registrieren kann?
habe ich das richtig verstanden?
Genau dessen Aufgabe wäre es das NB entsprechend zu plätten.


oder MUSS Kunde A es aus seinem VAMT rausnehmen, damit man es danach in irgendeiner Art und Weise bei MS registrieren/aktivieren kann?
Wie gesagt: Ein NB weiß erst wo es sich wegen der Lizenz melden muss, wenn man ihm das sagt. Das lässt mich vermuten, dass der Dienstleister das nicht ordnungsgemäß gemacht hat.

Eine Ausnahme wäre Intune in Verbindung mit dem OEM-Key der bei vielen Geräte im BIOS/UEFI hinterlegt ist. Da wäre es erforderlich, dass die ID des Gerätes aus Intune des Verkäufers bereinigt wird (macht man aus vielen Gründen).
Member: Franz-Josef-II
Franz-Josef-II Dec 18, 2023 at 06:53:40 (UTC)
Goto Top
Guten Morgen

Jetzt habe ich ein Verständnisproblem:

Zitat von @mayho33:
Das muss er rein theoretisch auch nicht. DAs Notebook hat der Dienstleister so platt zu machen, dass das NB gar nicht mehr weiß, dass es sich beim VMAT XY melden muss.

Wenn er das kann dann ginge das auch mit einem gestohlenem NB. Mein Wissensstand: Der Client meldet sich beim Aktivieren mit seinem Hardwarehash bei Microsoft und MS schaut nach, ob der irgendwo ..... somit kann der Aufbereiter gar nichts löschen etc. Das kann nur und ausschließlich der dem der Intune gehört, wo es registriert ist.

Zitat von @mayho33:
Eine Ausnahme wäre Intune in Verbindung mit dem OEM-Key der bei vielen Geräte im BIOS/UEFI hinterlegt ist. Da wäre es erforderlich, dass die ID des Gerätes aus Intune des Verkäufers bereinigt wird (macht man aus vielen Gründen).

Hat mit dem Key nichts zum tun, nur mit dem Hardwarehash. Wird das NB entsprechend verändert, dann schauts anders aus.


Wie gesagt, mein Wissensstand, liege ich falsch?
Member: mayho33
mayho33 Dec 18, 2023 at 09:46:32 (UTC)
Goto Top
Zitat von @Franz-Josef-II:
Wie gesagt, mein Wissensstand, liege ich falsch?

Da könntest du schon richtig liegen! Ich habe mich nicht so eingehend mit dem Thema befasst.

Soweit mit bekannt ist, ist das aber eben genau die Art der Aktivierung mit den im BIOS hinterlegten Informationen. Das kann man aber ändern indem diese Infos zurückgesetzt werden. Dann bekommt das Gerät einen neuen Hash oder ID für TPM. Zumindest kenne ich das von LENOVO und HP so bei Business-Geräten.

Mir scheint dass hier der Dienstleister Bockmist gebaut hat...