CoNtAcT2000

Ist zwar schon etwas älter der Post...aber egal. Wir schauen uns ebenfalls aktuell nach einer 2FA um. Um unteranderem OWA, VPN und RDS mit RDGW abzusichern. Diesbezüglich hatten wir uns jetzt gerade DUO angeschaut und mit dem Hersteller besprochen. Für VPN und OWA - passt DUO ganz gut. Aber für RDS mit RDGW passt diese Software einfach nicht, denn bei dem Einsatz der Software fallen quasi die Regelsätze des RDGW komplett weg. Steht auch so in deren Doku. Da macht man also ein größeres Scheunentor auf, als dass man einen Nutzen von 2FA hat. Daher sehen wir uns jetzt nach was anderem um.

Dann probiere es mal aus. Bei mir hat er ohne das umwandeln in String den distinguished name in extensionAttribute1 geschrieben. Warum auch immer. Danke für den Hinweis, das geht natürlich auch.

So, etwas am Code rumgepfuscht, nun hat es funktioniert. Das Write-Host an der Stelle war definitiv störend. Das Umwandeln in String musste allerdings sein. clear $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department,extensionAttribute1,Enabled | Where-Object {$_.Enabled -like "true"}| Sort-Object -Property SamAccountName foreach ($user in $users) { # Pruefen ob Attribut Department gesetzt ist, falls nein, naechstes Objekt if ($user.Department){ # Pruefen ob extensionAttribute1 fuer den Benutzer gesetzt ist, falls ja, extensionAttribute1 zuruecksetzen if ($user.extensionAttribute1) { Set-ADUser –Identity $user.SamAccountName -Clear "extensionAttribute1" } $String = $user.Department.ToString() Write-Host Username: $user.SamAccountName Attribut1: $String # Setze extensionAttribute1 Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } }

Es funktioniert auch nicht, wenn ich das Write-Host weglasse. Fehlermeldung: Set-ADUser : add In C:\Temp\Department.ps1:4 Zeichen:1 + Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (TESTUSER:ADUser) [Set-ADUser], ADInvalidOperationException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADUser

Der Inhalt den ich aus user.department auslese wird an der Stelle $String nicht ausgegeben. Das ist das Problem. extensionAttribute1 ist derzeit bei jedem User leer und soll gefüllt werden mit dem derzeitigen Inhalt aus user.department Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} Eigentlich sollte die Ausgabe so aussehen: Set-ADUser -Identity Username -Add @{extensionAttribute1="BisherigerWertAus$User.department"} dann wäre das Kommando in Ordnung und ich könnte es abschicken. Habe ich genauso eben probiert: Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 = "$($User.Department)" } Habe ich probiert. Funktioniert bei mir nicht. Ausgabe: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry

Das Write-Host ist ja nur mal dazu da die Ausgabe zu checken...

Hallo Leute, ich muss den Inhalt des Attribut "department" in ein extensionAttribute umschreiben. Nur leider gibt er mit den Inhalt von $Skript an dieser Stelle nicht aus. Hab auch versucht mit $user.department - aber auch das funktioniert mit dieser Formatierung nicht. Da mache ich wohl was falsch. $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department, extensionAttribute1 | Select-Object SamAccountName,Department,extensionAttribute1 foreach ($user in $users) { $String = $user.department | Out-String Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } Ausgabe sieht dann immer wie folgt aus: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry Könnt ihr mir bitte diesbezüglich weiterhelfen? VG CoNtAcT2000

Gefordert/gewünscht ist ein vollwertiger Windows Desktop. So wie ihn der User gewohnt ist - UND vor allem, dass wir ihn mit wenig Aufwand mit unserer kleinen Mannschaft betreiben und verwalten können - ohne viel zu großen Aufwand noch zusätzlich auf die wenigen halbwegs versierten Admins im Backend zu ziehen - und unsere normalen Techniker kaum noch mithelfen können. Okay, dann scheint das also eigentlich für uns auch nicht von Nutzen zu sein. Wird es wohl am besten sein, wie ich es mir von Anfang an gedacht habe - VMs aufsetzen mit Software vom SCCM versorgen, aus de Maus. Zum Shared Desktop - Wenn man 5 Programme nutzt und nichts anderes darf der User starten etc. dann mag das wunderbar funktionieren. Ist bei uns aber nicht so. Klar könnte man machen, aber das ist nicht gewünscht! Und teilweise auch nicht praktikabel weil wir X unterschiedliche Anforderungen haben. Von technischen Zeichner, Mediengestalter, Werkstattmechaniker, Sachbearbeiter......... Software nicht TS fähig, nutzt keinen normalen Speichern Dialog und die Leute speichern sinnlos auf den Server............. da gibt es soooooo unendlich viele Baustellen mit dem Shared Desktop. Mit genügend Manpower und Aufwand evtl. natürlich betreibbar, aber für uns ist das leider völlig unpraktikabel.

Wir haben uns bereits vor Jahren mit Citrix rumgeärgert - damals mit XenDesktop 7-7.6. Sorry, aber das Produkt und der Hersteller gehen einfach mal gar nicht. Es war ein sehr teures Projekt für uns und für den Hersteller ein absoluter Imageverlust...Aber da will ich gar nicht weiter drauf eingehen. Der Hintergrund warum wir aktuell nach weiterer Virtualisierung schauen ist ganz einfach, dass Homeoffice und flexibles Arbeiten immer mehr benötigt/gefordert wird. Aktuell schalten sich unsere User über das RDWeb - RD-Gateway auf ihren Arbeitsplatzrechner per RDP auf. Dazu muss aber dann der Computer auch laufen - was unter anderem Ärger mit dem Brandschutz gibt etc. Allerdings ist ein einfacher Hardwareclient halt immer noch die preislich günstigste Bereitstellung eines Arbeitsplatzes. Mit der TSFarm2016 haben wir jetzt schon einige Jahre Erfahrung sammeln können. zum Bereitstellen von Applikationen sehr gut. Funktioniert super. Haben dann versucht den Benutzern mal nen shared Desktop zur Verfügung zu stellen, aber das ist nicht praktikabel..... zu viele Dinge die einfach nicht so gut funktionieren wie auf nem vollwertigen Client Desktop. (Auch vor dem Hintergrund, dass die meisten unserer User sind NICHT wirklich IT erfahren sind, auch wenn sie schon 30 Jahre mit nem Computer arbeiten) Da Citrix nicht mehr in die Tüte kommt, haben uns aktuell noch VMWare Horizon und Microsoft angeschaut. Microsoft ist für uns aktuell das Produkt mit dem wir testen möchten. Da man unter anderem in Lizenzangelegenheiten, Patches etc. nur nach einem Hersteller schauen muss. Auch haben wir für uns festgestellt, dass wir die tollen Features von Citrix oder VMware eigentlich überhaupt nicht brauchen. Wir haben nicht die Situation, dass wir 3 Images mit 10 Anwendungen pflegen und zur Verfügung stellen und warten können. Wir haben SEHR viele unterschiedliche Bereiche und XXX Anwendungen. Für uns ist eine vollwertige virtuelle Maschine für jeden User die beste und die einfachste Lösung (auch die technisch teuerste). Diese können unsere Techniker problemlos mit dem SCCM weiterhin in Eigenregie verwalten. Von daher wäre für uns ein hochverfügbarer Hypervisor schon gewünscht. Alles andere bekommen wir auch mit dem zur Verfügung stehenden Personal nicht gehandelt. Im Prinzip könnten wir auch einfach hingehen und unsere VM´s auf HyperV oder VMWare einfach mit nem Skript und ner vorgefertigten Installation erstellen, dann wäre der Drops auch gelutscht. Aber da fehlt mir in diesem Bereich die Erfahrung ob VDI noch entscheidende Vorteile für unseren Zweck bietet - oder ob wir/ich für unser Vorhaben da komplett falsch denken.

Es geht um ne VDI Infrastruktur mit der wir mal testen wollen, ob das was für uns ist. ohhhh ooookkaaaayyyy. Dann lasse ich da mal lieber die Finger von dem Cluster. Dann müssen wir doch noch Hardware zusätzlich beschaffen Danke für die Info. Aber dann mal die Frage, warum ist der Cluster danach aufgelöst? Ich mein, man will doch auch unter einer VDI Struktur nen hochverfügbaren Hypervisor haben?

Hallo Leute, ich habe heute eine neue RDS-Farm mit Server 2019 aufgebaut. Nun bin ich an dem Punkt, dass ich den Virtualisierungshost hinzufügen soll. Hier wurde ich gerne unseren bestehenden Hyper-V 2016 Cluster eingeben. Dann kommt das Menü "Blah blah...auf Server X wird Rolle Y installiert wollen Sie wirklich, Server wird bei Bedarf neugestartet". Ähhhhhhhh, normal Mut zur Lücke. Aber da auf den Hyper V Maschinen """ein paar""" Server rennen, wärs echt uncool, wenn der da was platt macht und evtl. sogar noch die Server rebootet. Hat das schonmal jemand gemacht? Ich würde sagen er erkennt, dass da die Rolle schon verfügbar ist und macht nichts, außer dass die RDS Konfiguration dann vollständig ist. Aber äh, kann ja mal nicht schaden in die Runde zu fragen :) VG Michael

Hallo Leute, wir nutzen in unserer Umgebung einen Proxyserver. Diesen bekommen die Benutzer per GPO/GPP gesetzt, inkl. Ausnahmeliste. So nun arbeiten ja immer mehr User von unterwegs aus und müssen sich dann mit dem Proxy rumärgern und diesen aus/einschalten je nachdem ob Sie sich im internen Netz bewegen oder nicht. Die User sind in der Regel keine Admins auf den Computern. Meine Idee - ich schreibe ein Skript, welches diesen Aufwand übernimmt. $Status = Test-Connection yourdomain.local -Quiet if ($Status) { #Write-Host "Proxy aktivieren, da im internen Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "1" }else { #Write-Host "Proxy deaktivieren, da im privaten Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "0" } dieses Skript checkt ob die Domäne erreichbar ist. Falls ja, BENUTZER PROXY aktivieren, falls nein, den BENUTZER PROXY deaktivieren. Dieses Skript wird an 3 Events geknüpft und funktioniert auch soweit wunderbar. (Die Idee stammt von hier: https://www.gruppenrichtlinien.de/artikel/proxy-automatisch-an-und-ausschalten-proxy-switcher) So, nun möchte ich allerdings auch, dass der SYSTEMPROXY geändert wird! Im obigen Skript ne Zeile zusätzlich einhängen fürs dazufügen netsh winhttp set proxy proxy-server="yourproxyserver:8080" bypasslist="yourbypasslist" bzw. fürs rausnehmen netsh winhttp reset proxy funktioniert schon mal nicht => fehlende Berechtigung. Okay, dann mal versucht per GPO einen geplanten Task anzulegen, der im System Kontext gestartet wird und ausführbar ist. Task wird angelegt, funktioniert aber leider auch nicht, da dem User die Rechte fehlen. Habt ihr eine Lösung für meine Idee? Mir fällt gerade sonst nichts dazu ein. Vorab vielen Dank. Gruß Michael

Danke für den Link. Schaue ich mir mal genau an. Man muss also wenn man von betrieblichem Windows auf eine betriebliche virtuelle Maschine mit Windows zugreift auch ne VDA Lizenz haben? Dachte das wäre mit der Betriebssystemlizenz abgedeckt (oder war das nur bis Win7 so?) Das hab ich bisher so noch nie gehört. Dachte nur wenn der Zugriff von privaten Geräten oder Linux aus ist, dass man dann VDA benötigt. Das hier hatte ich dazu gefunden, war mir jetzt aber nicht sicher ob das aktuell ist, deswegen mein Post hier. Windows 10 VDA Anwendungsbeispiele VDA (Virtual Desktop Access) wird benötigt, wenn von Nicht-Windows-Rechnern (Mac, Thin Client, Linux PCs etc.) auf virtuelle Windows-Desktops zugegriffen werden soll, beispielsweise: Ausführung von mehreren Windows-Instanzen auf dem eigenen Rechner für Test und Entwicklung. Ausführung von Windows 10 auf Servern im Rechenzentrum oder in der Azure-Cloud (VDI bzw. Virtual Desktop Infrastructure). Von Thin Clients, von Tablets und beispielsweise von Zuhause wird auf den virtuellen Desktop zugegriffen. Reines BYOD. Mitarbeiter nutzen ihren virtuellen Desktop ausschließlich von eigenen Devices wie Notebooks oder Tablets. Externe Mitarbeiter bekommen Zugriff auf einen im Rechenzentrum gehosteten virtuellen Desktop.

Ooookay. Bist dir da sicher, dass man auf jedenfall SA aufs Windows braucht bzw. VDA Lizenzen? Wenn die Ubuntu Clients allerdings Windows Maschinen wären, bräuchte man kein SA/VDA? Gibts das irgendwo konkret nachzulesen. Hab da bisher noch nichts zu gefunden.

Danke für Eure Antworten. Kannst mir grad noch sagen auf was und wie ich das genau prüfe, damit auch alles korrekt gelöscht ist?

Hallo Leute, evtl. könnt ihr mir bei dem folgenden Vorhaben weiterhelfen. Ausgangssituation: 2x Domänencontroller 2012R2, Funktionsebene und Schema ebenfalls 2012R2 Diese sollen auf 2019 upgedated werden. Hier ist es mir am liebsten über ne saubere Neuinstallation statt Inplace Upgrade. Allerdings sollen dabei IP und NAME der Domänencontroller beibehalten werden. (da gibt´s mit Sicherheit X Firewall Regeln und Einstellungen die entweder auf IP oder den Namen verweisen - kein Bock daran auch noch zu fummeln.) Außer DNS und DFS haben die DC´s keine weiteren Rollen. Meine Überlegung war, einen DC runterstufen und entfernen, dann einen frischen 2019er aufsetzen, dem identische IP und Namen zu vergeben und dann als neuen DC aufzunehmen. Dann das Ganze nochmal mit dem zweiten DC. Spricht da was dagegen? Gibts da Stolpersteine wo man aufpassen muss? Finde im Netz immer nur Postings wo neue DC´s mit neuem Namen IP aufgesetzt werden um die alten abzulösen. Vorab vielen Dank! VG Michael

Hallo Leute, folgende Überlegung. Man hat 6 Clients mit Ubuntu. Man hat einen "Server" ebenfalls mit Ubuntu, dieser stellt 6 Windows 10 Pro (oder 11 Pro) Maschinen virtuell über VirtualBox zur Verfügung. Es wird von den 6 Ubuntu Maschinen per RDP auf die virtuellen Windows 10/11 Maschinen zugegriffen und gearbeitet. Ist es in dieser Situation mit den Windows10/11 Pro Lizenzen getan, oder benötigt man noch weitere Lizenzen? Danke für Eure Hilfe. VG Michael

Ich hab es zwischenzeitlich zum Glück gelöst. Der Zauber ist halt in der Powershell CIM zu benutzen statt WMI. Vorher hat der Konfigurationsvorgang insgesamt ca 8 Minuten für einen Eintrag auf den beiden Server gedauert - jetzt sind es noch 30-40 Sekunden je nachdem wie schnell man die beiden nötigen Variablen von Hand eintippt. $RdsGwRap = Get-CimInstance -Namespace "root/CIMV2/TerminalServices" -ClassName "Win32_TSGatewayResourceAuthorizationPolicy" -ComputerName $Server $RdsGwRap = Invoke-CimMethod -Namespace "root/CIMV2/TerminalServices" -ClassName "Win32_TSGatewayResourceAuthorizationPolicy" -ComputerName $Server -MethodName Create -Arguments @{Name = "$ComputerName"; Description = ""; Enabled = $true; ResourceGroupType = "CG"; ResourceGroupName = "DOMAIN\"+"$ComputerGroup"; UserGroupNames = "DOMAIN\"+"$UserGroup"; ProtocolNames = "RDP"; PortNumbers = "3389"}

Hallo Leute, wir haben hier eine hochverfügbare RDS Farm mit Server 2016. Im Remotedesktop Gateway werden ja die Ressourcenautorisierungsrichtlinien (RD-RAP) konfiguriert. Nun haben wir dort bereits ca 1000 Einträge drin (Die Leute schalten sich im Homeoffice auf Ihren PC auf, daher haben wir auf dem Gateway eine 1:1 Beziehung und so viele Einträge). Ich finde, das sind nicht wirklich viele Einträge für so ein System. Nun habe ich mir kleine Powershell Skripts geschrieben, welche eine neue RD-RAP anlegen bzw. löschen um das ganze nicht immer elendig von Hand klicken zu müssen. Funktioniert auch alles. Allerdings ist das ganze Handling mittlerweile grottenlahm! (Am Anfang war es deutlich zackiger!) Alleine das löschen einer RD-RAP dauert > 3 Minuten auf einem Server - und da wir 2 Gatewayserver haben, dauert alleine dieser kleine Vorgang > 6 Minuten! Ist alles kein Beinbruch, aber es nervt gewaltig, vorallem bei mehreren Änderungen. Import-Module RemoteDesktopServices Remove-Item -path "RDS:\GatewayServer\RAP\$Computername" -Confirm:$False -Recursive Beim ausführen des Kommandos rödelt der WMI Provider Host mit ca 18% auf der Kiste. Man sieht im Eventlog unter WMI-Activity auch dass da was gemacht wird. (Event ID 5857) Nur warum der "Mist" so dermaßen lang dauert, erschließt sich mir nicht. Kann doch net sein, dass das Ding bei den wenigen Einträgen schon dicke Backen macht? Jemand ne Idee/Lösung woran ich schrauben kann? LG CoNtAcT2000

Wir haben hier auch ne 2016er Farm am laufen. Und da gab es mit den Druckern am Anfang auch Probleme. Grundsätzlich haben bei mir die Terminalserver bei mir immer Ihrer eigenen GPO´s => Loopbackverarbeitungsmodus auf "Ersetzen" Ich weise die Drucker per GPP den Benutzern auf dem TS zu und bei jeden Abmeldevorgang werden alle Drucker mit nem Skript gelöscht. Das funktioniert bisher immer sauber und zuverlässig. @echo off reg delete "hkcu\printers\connections" /f

Für die Nutzer die bei uns Home Office machen, haben wir die zwanghafte Passwortänderung derzeit außer Kraft gesetzt. Wollten da nicht noch unnötig in Probleme stolpern, hatten aktuell genug mit anderen Dingen zu tun.

Du berechtigst Gruppe 1 auf Sammlung A und Sammlung B. Selbst wenn Sammlung A die gleichen Anwendungen zur Verfügung stellt wie Sammlung B, ist und bleibt es dennoch ein Unterschied. Wenn ich eine Anwendung von Sammlung A starte, lande ich auf Servern die Sammlung A angehören. Wenn ich eine Anwendung von Sammlung B starte, lande ich auf Servern die Sammlung B angehören. Falls wir da aneinander vorbei reden, musst du mal genauer und ausführlicher formulieren, was du tust.

Hast du denn auch entsprechenden Regeln auf dem Gateway erstellt, die dem User den Zugriff auf Client 1 und Client 2 erlauben? Die Meldung sagt eigentlich aus, dass für den User kein Zugriff auf die entsprechende Ressource eingerichtet ist.

Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch.

Hallo Leute, Wir betreiben eine hochverfügbare RDS2016 Umgebung und nutzen darüber auch die Funktion "Verbindung mit einem Remote-PC herstellen", damit die User sich auf Ihren Arbeitsplatz Computer verbinden können, um im "HomeOffice" zu arbeiten. Meines Wissens nach, ist die Registerkarte/Funktion allderdings nur verfügbar, wenn man die Seite mit dem Internet Explorer öffnet, da ein ActiveX Addin geladen werden muss. (Microsoft Remote Desktop Services Web Access Control (MsRdpClientShell). Weder mit Chrome, Firefox oder dem alten Edge funktioniert das. Mit dem neuen Edge wohl auch nicht, da ja Chromium basiert. Gibt es evtl. mittlerweile eine Möglichkeit das auch mit nem anderen Browser hinzubekommen? Vielen Dank. Gruß CoNtAcT2000