CoNtAcT2000

Ist zwar schon etwas älter der Post...aber egal. Wir schauen uns ebenfalls aktuell nach einer 2FA um. Um unteranderem OWA, VPN und RDS mit RDGW abzusichern. Diesbezüglich hatten wir uns jetzt gerade DUO angeschaut und mit dem Hersteller besprochen. Für VPN und OWA - passt DUO ganz gut. Aber für RDS mit RDGW passt diese Software einfach nicht, denn bei dem Einsatz der Software fallen quasi die Regelsätze des RDGW komplett weg. Steht auch so in deren Doku. Da macht man also ein größeres Scheunentor auf, als dass man einen Nutzen von 2FA hat. Daher sehen wir uns jetzt nach was anderem um.

Dann probiere es mal aus. Bei mir hat er ohne das umwandeln in String den distinguished name in extensionAttribute1 geschrieben. Warum auch immer. Danke für den Hinweis, das geht natürlich auch.

So, etwas am Code rumgepfuscht, nun hat es funktioniert. Das Write-Host an der Stelle war definitiv störend. Das Umwandeln in String musste allerdings sein. clear $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department,extensionAttribute1,Enabled | Where-Object {$_.Enabled -like "true"}| Sort-Object -Property SamAccountName foreach ($user in $users) { # Pruefen ob Attribut Department gesetzt ist, falls nein, naechstes Objekt if ($user.Department){ # Pruefen ob extensionAttribute1 fuer den Benutzer gesetzt ist, falls ja, extensionAttribute1 zuruecksetzen if ($user.extensionAttribute1) { Set-ADUser –Identity $user.SamAccountName -Clear "extensionAttribute1" } $String = $user.Department.ToString() Write-Host Username: $user.SamAccountName Attribut1: $String # Setze extensionAttribute1 Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } }

Es funktioniert auch nicht, wenn ich das Write-Host weglasse. Fehlermeldung: Set-ADUser : add In C:\Temp\Department.ps1:4 Zeichen:1 + Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (TESTUSER:ADUser) [Set-ADUser], ADInvalidOperationException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADUser

Der Inhalt den ich aus user.department auslese wird an der Stelle $String nicht ausgegeben. Das ist das Problem. extensionAttribute1 ist derzeit bei jedem User leer und soll gefüllt werden mit dem derzeitigen Inhalt aus user.department Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} Eigentlich sollte die Ausgabe so aussehen: Set-ADUser -Identity Username -Add @{extensionAttribute1="BisherigerWertAus$User.department"} dann wäre das Kommando in Ordnung und ich könnte es abschicken. Habe ich genauso eben probiert: Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 = "$($User.Department)" } Habe ich probiert. Funktioniert bei mir nicht. Ausgabe: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry

Das Write-Host ist ja nur mal dazu da die Ausgabe zu checken...

Hallo Leute, ich muss den Inhalt des Attribut "department" in ein extensionAttribute umschreiben. Nur leider gibt er mit den Inhalt von $Skript an dieser Stelle nicht aus. Hab auch versucht mit $user.department - aber auch das funktioniert mit dieser Formatierung nicht. Da mache ich wohl was falsch. $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department, extensionAttribute1 | Select-Object SamAccountName,Department,extensionAttribute1 foreach ($user in $users) { $String = $user.department | Out-String Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } Ausgabe sieht dann immer wie folgt aus: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry Könnt ihr mir bitte diesbezüglich weiterhelfen? VG CoNtAcT2000

Gefordert/gewünscht ist ein vollwertiger Windows Desktop. So wie ihn der User gewohnt ist - UND vor allem, dass wir ihn mit wenig Aufwand mit unserer kleinen Mannschaft betreiben und verwalten können - ohne viel zu großen Aufwand noch zusätzlich auf die wenigen halbwegs versierten Admins im Backend zu ziehen - und unsere normalen Techniker kaum noch mithelfen können. Okay, dann scheint das also eigentlich für uns auch nicht von Nutzen zu sein. Wird es wohl am besten sein, wie ich es mir von Anfang an gedacht habe - VMs aufsetzen mit Software vom SCCM versorgen, aus de Maus. Zum Shared Desktop - Wenn man 5 Programme nutzt und nichts anderes darf der User starten etc. dann mag das wunderbar funktionieren. Ist bei uns aber nicht so. Klar könnte man machen, aber das ist nicht gewünscht! Und teilweise auch nicht praktikabel weil wir X unterschiedliche Anforderungen haben. Von technischen Zeichner, Mediengestalter, Werkstattmechaniker, Sachbearbeiter......... Software nicht TS fähig, nutzt keinen normalen Speichern Dialog und die Leute speichern sinnlos auf den Server............. da gibt es soooooo unendlich viele Baustellen mit dem Shared Desktop. Mit genügend Manpower und Aufwand evtl. natürlich betreibbar, aber für uns ist das leider völlig unpraktikabel.

Wir haben uns bereits vor Jahren mit Citrix rumgeärgert - damals mit XenDesktop 7-7.6. Sorry, aber das Produkt und der Hersteller gehen einfach mal gar nicht. Es war ein sehr teures Projekt für uns und für den Hersteller ein absoluter Imageverlust...Aber da will ich gar nicht weiter drauf eingehen. Der Hintergrund warum wir aktuell nach weiterer Virtualisierung schauen ist ganz einfach, dass Homeoffice und flexibles Arbeiten immer mehr benötigt/gefordert wird. Aktuell schalten sich unsere User über das RDWeb - RD-Gateway auf ihren Arbeitsplatzrechner per RDP auf. Dazu muss aber dann der Computer auch laufen - was unter anderem Ärger mit dem Brandschutz gibt etc. Allerdings ist ein einfacher Hardwareclient halt immer noch die preislich günstigste Bereitstellung eines Arbeitsplatzes. Mit der TSFarm2016 haben wir jetzt schon einige Jahre Erfahrung sammeln können. zum Bereitstellen von Applikationen sehr gut. Funktioniert super. Haben dann versucht den Benutzern mal nen shared Desktop zur Verfügung zu stellen, aber das ist nicht praktikabel..... zu viele Dinge die einfach nicht so gut funktionieren wie auf nem vollwertigen Client Desktop. (Auch vor dem Hintergrund, dass die meisten unserer User sind NICHT wirklich IT erfahren sind, auch wenn sie schon 30 Jahre mit nem Computer arbeiten) Da Citrix nicht mehr in die Tüte kommt, haben uns aktuell noch VMWare Horizon und Microsoft angeschaut. Microsoft ist für uns aktuell das Produkt mit dem wir testen möchten. Da man unter anderem in Lizenzangelegenheiten, Patches etc. nur nach einem Hersteller schauen muss. Auch haben wir für uns festgestellt, dass wir die tollen Features von Citrix oder VMware eigentlich überhaupt nicht brauchen. Wir haben nicht die Situation, dass wir 3 Images mit 10 Anwendungen pflegen und zur Verfügung stellen und warten können. Wir haben SEHR viele unterschiedliche Bereiche und XXX Anwendungen. Für uns ist eine vollwertige virtuelle Maschine für jeden User die beste und die einfachste Lösung (auch die technisch teuerste). Diese können unsere Techniker problemlos mit dem SCCM weiterhin in Eigenregie verwalten. Von daher wäre für uns ein hochverfügbarer Hypervisor schon gewünscht. Alles andere bekommen wir auch mit dem zur Verfügung stehenden Personal nicht gehandelt. Im Prinzip könnten wir auch einfach hingehen und unsere VM´s auf HyperV oder VMWare einfach mit nem Skript und ner vorgefertigten Installation erstellen, dann wäre der Drops auch gelutscht. Aber da fehlt mir in diesem Bereich die Erfahrung ob VDI noch entscheidende Vorteile für unseren Zweck bietet - oder ob wir/ich für unser Vorhaben da komplett falsch denken.

Es geht um ne VDI Infrastruktur mit der wir mal testen wollen, ob das was für uns ist. ohhhh ooookkaaaayyyy. Dann lasse ich da mal lieber die Finger von dem Cluster. Dann müssen wir doch noch Hardware zusätzlich beschaffen Danke für die Info. Aber dann mal die Frage, warum ist der Cluster danach aufgelöst? Ich mein, man will doch auch unter einer VDI Struktur nen hochverfügbaren Hypervisor haben?

Hallo Leute, ich habe heute eine neue RDS-Farm mit Server 2019 aufgebaut. Nun bin ich an dem Punkt, dass ich den Virtualisierungshost hinzufügen soll. Hier wurde ich gerne unseren bestehenden Hyper-V 2016 Cluster eingeben. Dann kommt das Menü "Blah blah...auf Server X wird Rolle Y installiert wollen Sie wirklich, Server wird bei Bedarf neugestartet". Ähhhhhhhh, normal Mut zur Lücke. Aber da auf den Hyper V Maschinen """ein paar""" Server rennen, wärs echt uncool, wenn der da was platt macht und evtl. sogar noch die Server rebootet. Hat das schonmal jemand gemacht? Ich würde sagen er erkennt, dass da die Rolle schon verfügbar ist und macht nichts, außer dass die RDS Konfiguration dann vollständig ist. Aber äh, kann ja mal nicht schaden in die Runde zu fragen :) VG Michael

Hallo Leute, wir nutzen in unserer Umgebung einen Proxyserver. Diesen bekommen die Benutzer per GPO/GPP gesetzt, inkl. Ausnahmeliste. So nun arbeiten ja immer mehr User von unterwegs aus und müssen sich dann mit dem Proxy rumärgern und diesen aus/einschalten je nachdem ob Sie sich im internen Netz bewegen oder nicht. Die User sind in der Regel keine Admins auf den Computern. Meine Idee - ich schreibe ein Skript, welches diesen Aufwand übernimmt. $Status = Test-Connection yourdomain.local -Quiet if ($Status) { #Write-Host "Proxy aktivieren, da im internen Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "1" }else { #Write-Host "Proxy deaktivieren, da im privaten Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "0" } dieses Skript checkt ob die Domäne erreichbar ist. Falls ja, BENUTZER PROXY aktivieren, falls nein, den BENUTZER PROXY deaktivieren. Dieses Skript wird an 3 Events geknüpft und funktioniert auch soweit wunderbar. (Die Idee stammt von hier: https://www.gruppenrichtlinien.de/artikel/proxy-automatisch-an-und-ausschalten-proxy-switcher) So, nun möchte ich allerdings auch, dass der SYSTEMPROXY geändert wird! Im obigen Skript ne Zeile zusätzlich einhängen fürs dazufügen netsh winhttp set proxy proxy-server="yourproxyserver:8080" bypasslist="yourbypasslist" bzw. fürs rausnehmen netsh winhttp reset proxy funktioniert schon mal nicht => fehlende Berechtigung. Okay, dann mal versucht per GPO einen geplanten Task anzulegen, der im System Kontext gestartet wird und ausführbar ist. Task wird angelegt, funktioniert aber leider auch nicht, da dem User die Rechte fehlen. Habt ihr eine Lösung für meine Idee? Mir fällt gerade sonst nichts dazu ein. Vorab vielen Dank. Gruß Michael

Danke für den Link. Schaue ich mir mal genau an. Man muss also wenn man von betrieblichem Windows auf eine betriebliche virtuelle Maschine mit Windows zugreift auch ne VDA Lizenz haben? Dachte das wäre mit der Betriebssystemlizenz abgedeckt (oder war das nur bis Win7 so?) Das hab ich bisher so noch nie gehört. Dachte nur wenn der Zugriff von privaten Geräten oder Linux aus ist, dass man dann VDA benötigt. Das hier hatte ich dazu gefunden, war mir jetzt aber nicht sicher ob das aktuell ist, deswegen mein Post hier. Windows 10 VDA Anwendungsbeispiele VDA (Virtual Desktop Access) wird benötigt, wenn von Nicht-Windows-Rechnern (Mac, Thin Client, Linux PCs etc.) auf virtuelle Windows-Desktops zugegriffen werden soll, beispielsweise: Ausführung von mehreren Windows-Instanzen auf dem eigenen Rechner für Test und Entwicklung. Ausführung von Windows 10 auf Servern im Rechenzentrum oder in der Azure-Cloud (VDI bzw. Virtual Desktop Infrastructure). Von Thin Clients, von Tablets und beispielsweise von Zuhause wird auf den virtuellen Desktop zugegriffen. Reines BYOD. Mitarbeiter nutzen ihren virtuellen Desktop ausschließlich von eigenen Devices wie Notebooks oder Tablets. Externe Mitarbeiter bekommen Zugriff auf einen im Rechenzentrum gehosteten virtuellen Desktop.

Ooookay. Bist dir da sicher, dass man auf jedenfall SA aufs Windows braucht bzw. VDA Lizenzen? Wenn die Ubuntu Clients allerdings Windows Maschinen wären, bräuchte man kein SA/VDA? Gibts das irgendwo konkret nachzulesen. Hab da bisher noch nichts zu gefunden.

Danke für Eure Antworten. Kannst mir grad noch sagen auf was und wie ich das genau prüfe, damit auch alles korrekt gelöscht ist?