blub

Werde mal drüber nachdenken, inwieweit die Rückfragen für mich zur Lösung der Darstellungsprobleme in IE, Chrome und Firefox beitragen ;-)

 

Ist halt ärgerlich, wenn Miicrosoft ewig lang mein System scannt, mir schließlich meldet, daß es weder mit Hard- noch mit Software Probleme gibt, um nach den Upgrade zu sagen "April, April - das Programm blockiere ich" und mit 4 (1) "Unbekannte Geräte" im Gerätemanager ohne jegliche weitere Info anzuzuzeigen.

 

Zu Deinen Fragen:

- das Backupprogramm ist 2 Jahre alt und solange ich nicht auf das NDAS zugreifen kann, mache ich mir da keine weiteren Gedanken

- Für die aktuellere Paßwortverwaltung müßte ich tief in die Tasche greifen, aber auch sie arbeitet nicht mit Edge, sondern nur mit den anderen Browsern

- der 64-Bit NDAS-Treiber hat einwandfrei mit Win7 gearbeitet, aber der Hersteller Ximeta ist weg vom Fenster, also keine Aktualisierung zu bekommen (in der W10 32-Bit-Version gibt es dieses NDAS-Problem nicht)

- Ich verwende lediglich die Windows-Firewall und die ist aktuell

Ich will Microsoft jetzt nicht verteidigen. Es ist m.E. aber in der Verantwortung des Users, bzw. 3rd Party Herstellern für funktionierende Treiber und Software zu sorgen. Wenn der Hersteller deiner Passwortverwaltung am OS-Update kräfitg mit verdienen will, tja ..,aber dafür kann MS nun nichts.

"Das Programm blockiere ich" kann Windows auch erst sagen, wenn es ausgeführt wird.

Benutze Software von einigermaßen namhaften Herstellern, dann kannst du auf deren Websites immer sehen, unter welchen Betriebssystemen die Software noch lauffähig ist oder was ein Update kostet.

Dein Schicksal mit der Browserdarstellung  ist sicher bedauerlich, aber es ist ein Einzelschicksal. Es wird also an irgendeinem Treiber oder einer Software (auch Malware wäre möglich) liegen, die du bei deinem Inplace Upgrade von Win7 auf Win10 mit rüber gezogen hast.

http://www.mcseboard.de/topic/206870-erhebliche-darstellungsprobleme-im-ie/?p=1304223

blub

Noch ein Tipp:

Installiere den Server zumindest aus Securitysicht (Patches, Security-Policies, Virenscanner, etc.) komplett fertig in einer abgeschotteten Umgebung. Erst dann schieb ihn ins Produktionsnetz und haenge ihn dort mit deinem Skript in die Domäne.

Nicht wie oben geschrieben, die 'restlichen Installationen' erst nach dem Join

Blub

Ein zweiter DC oder 1000€ Einsatz verbessern alleine eine systemisch schlecht aufgesetzte Single-DC Umgebung noch lange nicht. Zum Blumenstrauß der bisherigen Risiken werden nur noch Replikationsprobleme hinzu kommen. 

Verkorkste Umgebungen gerade zu biegen ist meist teuerer, als nur eine neue Hardware dazu zu stellen.

Ganz allgemein gesprochen, ohne Bezug auf das hier besprochen AD!

Wenn du schon mit PS arbeitest, dann nimm get-acl bzw. Set-acl

Blub

Deine gute Passwortverwaltung, dein NDAS bzw. die Treiber dazu, dein Backupprogramm, ggf. personal firewall (wie z.B. das legendäre Zonealarm), etc. wielange laufen die schon? Wann hast du die das letzte mal aktualisiert?

BTW: Inplace auf Win10 upzugraden hat dir niemand geraten. Im Gegenteil!

Fileserver per email abziehen! Das ist raffiniert, die paar winzigen Mails fallen niemandem auf. Außer man kauft Symantec oder Kapersky!

Repadmin -replsum

Repadmin -showrepl

Sollten fehlefrei sein, bevor man beginnt. Ebenso die Eventlogs.

Als QA am Ende ebenso

Blub

Mit dem -lt Operator für Strings musst du sehr aufpassen, ob der wirklich immer das macht und machen wird, was du erwartest!

zählt Java z.b. die letzte Nummer/String immer zweistellig? ( ich würde mir die Java-Versionierung jedenfalls genau ansehen)

'8.0.1010.2' -lt '8.0.1010.13' ->false

oder

'8.0.1010.02' -lt '8.0.1010.13' ->true

die erste Nummer/ String aus deinem Beispiel ist ebenso eine Zeitbombe.

'10.0.1010.13' -lt '8.0.1010.13' -> true

-lt, -gt sind ansich für numerische Werte. -Like und -Match ggf. mit "regular expressions" sind für Strings

Der SCM ist sogar extrem empfehlenswert, um GPOs-Versionen zu verwalten. Den kannst du unabhaengig von anderen Tools installieren.

SCM 4.0!

https://blogs.technet.microsoft.com/secguide/2016/07/28/security-compliance-manager-4-0-now-available-for-download/

Wobei die 1607-GPOs noch nicht verfügbar sind. Ich hoffe, die werden bald implementiert.

Server 2016 TP5 kann man importieren

blub.

Hallo Selcuk

Dafür gibt es Arrays, die du mit beliebig vielen Werten befüllen kannst.

So etwa:

[array]$ages= ""

Do{
    $Age = Read-Host "Please enter your age"
    $ages += $age
} while ($age -ne 200) #Abbruch bei der Eingabe von "200"

$ages

Hallo,

Wenn ich dich richtig verstanden habe, würde ich es so strukturieren.

$myName = "Java" #da unten mit "-eq" gearbeitet wird, ist der genaue String erforderlich. Sonst nimm "-like"
$myVersion = "8 Update 101" #ggf mit Platzhalter "*" arbeiten

$Products = @((Get-WmiObject -Class Win32_Product | Where { $_.Name -eq $myName -and $_.Version -notlike $myVersion })

Foreach ($Product in $Products){
    $Product.IdentifyingNumber
    $Product.Version
    
    #Msiexec......
    
    #aber Win32_Product() hat auch eine eigenen uninstall-Methode
    #$Product.Uninstall()  #https://msdn.microsoft.com/en-us/library/aa394378(v=vs.85).aspx 
}

blub

ich seh's genau andersrum:

Die lokale Verarbeitungsgeschwindigkeit eines leeren Policyteils und eines disabled Policyteils wird exakt gleich sein. Beide male nahe 0. Die 0,35s Zeitdifferenz auf der Website schiebe ich auf Messungenauigkeit.

Ob eine Policy gar nicht, oder eben (unnötigerweise) komplett vom Client bzw. User abgeholt werden muss, das hingegen macht einen Unterschied. Ob User den Unterschied merken, hängt aber von vielen Faktoren ab: Je dünner die Leitungen, je älter die Hardware und Betriebssysteme, je größer die Policies, je mehr User und Clients, je weniger DCs, umso eher wird ein nicht optimiertes GPO-Management ins Gewicht fallen.

aber wiegesagt: abstrakte Theorie . Ich habe jetzt auch keine Lust oder Bedarf hierzu selbst Messungen anzuwerfen.

Hallo,

Soweit ich die GPO Verarbeitung verstehe:

- Jeder Client/ User frägt per LDAP einen DC nach den für ihn passende Policies

- Der DC sendet eine Liste mit LDAP an zugewiesenen GPOs wieder an den Client/ User zurück

- Der Client/ User holt sich die ihm zugewiesenen GPOs vom Sysvol des DCs über SMB

- Abschließend werden die GPOs lokal am Client verarbeitet und auch gecached.

Pro aktiver, angewendeter GPO  geht bei jeder Aktualisierung extra LDAP und SMB Traffik zwischen Client und DC hin-und her. Caching verringert den Traffik sicherlich.

Bei wenigen User/ Clients und Policies macht das Deaktivieren von GPOs sicher nicht viel aus, aber bei vielen GPOs und vielen Clients und vielen Usern multipliziert sich der LDAP/ SMB Traffic. Wenn eine Policy z.B. keinen Userteil enthält, kann/ sollte man sich diesen damit überflüssigen Prozess für diese GPO mit einem einfachen Mausklick zum Deaktivieren der Userobjekte sparen.

Zumindest meine abstrakte Meinung :)

blub

 

 Sämtliche Skripte in unserer Domäne wurden mit VBS erstellt. Es ist noch nicht vorgesehen, diese nach Powershell zu portieren.

Hört sich ja sehr aktuell an! Auf welchem Domain Level lauft ihr denn?

Allerdings noch TP4

Und ich hab mir mal wieder vorgenommen, dort nicht auf die Kommentare zu klicken ...

du verpasst nichts! Die Kommentare sind seit zwanzig Jahren inhaltlich identisch, sofern man von Inhalt sprechen kann

Gibt es eine Möglichkeit mittels GPO oder Registryeintrag wie man die Meldung wegbringt?

 

laut diesem Blog "Nein", zumindest keine supportete

https://blogs.technet.microsoft.com/networking/2015/09/08/changes-to-disable-security-center-notifications-in-windows-10

Neugier: warum ist der Dienst auf allen Clients deaktiviert? Alle heißt wieviele?

blub

Hier wäre ein kompletter 70-411er Kurs in free
https://www.cybrary.it/course/mcsa/

In den Modulbeschreibungen finde ich auch nichts von Cisco-Routern

 

10.10.15/XY/REQ-2015-12345 (User erstellt)

Die Information "User erstellt am 10.10.15" hast du redundant an mindestens drei Stellen

- dieses unstrukturierte Beschreibungsfeld

- im UserCreated-Attribut

- in deinem Ticket REQ-2015-12345

- ..

Redundanz ist nicht gut für Datensätze.

Ich würde ins AD nur Daten schreiben, nach denen man mit LDAP sinnvoll filtern kann.

Prinzipiell ist euer Ansinnen nach "Datenhygiene" sicher sinnvoll.  Useraccounts, von denen keiner mehr weiß, "wer, warum und wann die erstellt bzw. beauftragt hat", sind ein erhebliches Risiko!

blub

Je nach Größe deiner Umgebung würde ich mir ggf. Gedanken machen, z.B. IP-Netze,  Windows Firewall, Active Directory Sites, Netzwerkkomponenten (wie z.B. Firewalls), Security-Tools, GPO-Settings, mobile devices, alt-Linux Systeme, etc,etc. Vieles davon kann zumindest auf IPv4 Adressen basieren, und muss für IPv6-Traffic umkonfiguriert werden oder kann evt. gar nicht mit IPv6 kommunizieren.

Unvorbereitet  läufst du die nächsten 20 Jahre zweigleisig, wenn kein Plan existert, die Migration IPv4 -> IPv6 auch mal abzuschließen. Anstatt Gewinn, zahlst du dann drauf.

Ich bin einfach kein Freund von "schalts halt ein, noch ein Haken irgendwo ... und gut is".

sorry, nochmal das Thema: hast du win7 oder 7.1

Lade dir mal den aktuellsten Agent runter. Möglichst Win7.1

https://support.microsoft.com/de-de/kb/949104

meine Richtung: ggf. arbeitet Win7(ohne SP1)  nicht mit einem 2012-er WSUS zusammen bzw. Win7 kann mit den WSUS 2012-er GPO-Settings noch nichts anfangen.

Laufen alle deine DCs mindestens auf Server 2008 und deine Clients mindestens auf Win7 (Ok, das steht oben schon)?

Sollten wir uns irgendwann mal persönlich treffen, geht eine Runde Weißbier (oder was auch immer ihr trinken wollt!) auf mich