StefanWe

vor einer Stunde schrieb MurdocX:

Und schon vorwärts gekommen? Am Einfachsten ist es wie schon geschrieben über eine Schleife.

 

@testperson

Bei der Alternative gibts keinen Alarm? 

ja vielen Dank. Die Variante mit der Schleife ist super. Auf die Idee, die Gruppe zuvor in ein Array zu packen, bin ich echt nicht gekommen.

vor 19 Minuten schrieb cj_berlin:

Moin,

 

entweder ein eigenes Try/Catch für jeden Aufruf (das würde man vermutlich ohnehin in einer Schleife machen, dann wäre es nur ein Try/Catch - in der Schleife halt), oder Add-ADPrincipalGroupMembership mit mehreren Gruppen verwenden, oder aber ein Trap - dann aber aufpassen, in welchem Scope die Aufrufe sind - Trap springt immer hinter das Ende des Script Blocks, in den der Fehler aufgetreten ist (hier wäre die Schleife evtl. ungünstig).

 

Wie meinst du das mit einer Schleife?

Hallo,

mir ist die Tage leider etwas blödes in meinem Script aufgefallen. Und zwar füge ich ein User Objekt in mehrere Gruppen hinzu. Das Hinzufügen  habe ich in ein try catch gebaut. 

Leider war eine der Gruppen in der Mitte mittlerweile gelöscht. Das Script lief, hat den User in die ersten Gruppen aufgenommen, bei der 3. ist es dann in den Catch gesprungen und hat die restlichen Gruppen nicht verarbeitet.

Jetzt meine Frage, wie würde man dies so optimieren, das das Script sauber läuft aber auch das Logging so ist, das man später genau sehen kann, was ist schief gelaufen?

Aktuell

try {
   	Add-ADGroupMember -Identity "Group2" -Members $sAMAccountName
    Add-ADGroupMember -Identity "Group3" -Members $sAMAccountName
    Add-ADGroupMember -Identity "Group4" -Members $sAMAccountName
    Add-ADGroupMember -Identity "Group5" -Members $sAMAccountName
    Add-ADGroupMember -Identity "Group6" -Members $sAMAccountName

 	    
} catch { Write-Host "$($_.Exception.Message)"}  

Für jedes cmdlet ein eigenes try Catch?

Hallo,

Windows Hello for Business ist ja eine tolle Sache. Kennwortlose Authentifizierung.

Aber wenn der Benutzer sein Kennwort nicht mehr kennt und die Anmeldung beim Benutzer auf WHFB only eingestellt ist, wie kann er sich an einem neuen PC anmelden, an dem er zuvor noch nie war?

Hallo,

wir wollen unsere Admin Accounts absichern, so dass die Anmeldung nur mittels Smartcard möglich ist. 
jetzt haben wir yubikey getestet was soweit gut funktioniert. Allerdings muss auf dem Remote Endpoint der Minidriver von yubikey installiert sein. Das würde ich gern vermeiden. 
 

habt ihr eine Idee wie es bei yubikey ohne geht, oder kennt ihr Alternative Smartcards wo ich den Driver für Rdp Zugriffe auf dem Remote Endpoint nicht installieren muss?

vor 35 Minuten schrieb testperson:

Hi,

 

schau dir mal die smartmontools (smartmontools) an.

 

Gruß

Jan

Hi,

das ist ja das Tool, welches ich heute schon nutze. Nur leider hilft es nicht bei ssds. Die Dinger gehen einfach kaputt, obwohl smartctl sagt, alles gut.

vor 34 Minuten schrieb Nobbyaushb:

Wir haben das bei uns anders gelöst.

 

Für die wichtigen Rechner gibt es immer einen in Reserve, der identisch eingerichtet ist.

Zudem haben wir die SSD auf Verdacht alle 18 Monate getauscht 

 

Ausfall der Produktion ist um Längen teurer

 

my2cents

Rechner in Reserve haben wir auch. Für die Rechner mit Spindelplatte lassen wir die Werte in unser Splunk laufen und können damit sehr gut erkennen, ob eine Platte sich dem Lebensende nähert. Leider geht es eben bei ssds nicht. 
 

regelmäßig die Platten tauschen wäre natürlich auch eine Idee, wobei ich natürlich die Vorhersage um Längen besser finde ;)

die Frage ist natürlich, ob es technisch überhaupt möglich ist, zu erkennen, das eine SSD sich dem Lebensende nähert. Ggf die Writes Auslesen und ab hohen Werten das schon mal die Platte tauschen.

vor 16 Stunden schrieb Damian:

Hi,

 

für solche Dinge empfehlen sich in der Regel die Tools der SSD-Hersteller.

 

VG

Damian

Mh, könnte ich beim nächsten Mal probieren. 

falls noch jemand eine andere Alternative kennt, immer her damit. Hintergrund ist, das ich gerne bei unseren 300 Rechnern in der Produktion automatisiert prüfen möchte, wenn sich eine Festplatte dem Lebensende nähert. 

Hallo,

bei Spindel Festplatten lässt sich relativ leicht anhand der Smart Werte bzw. sobald defekte Sektoren auftreten, erkennen, ob diese defekt werden. So dass man sie austauschen kann. 
ich prüfe dies täglich automatisiert mittels smartctl. 
 

leider klappt dies bei ssd nicht. Trotz das Smart (auch per crysteldiscinfo geprüft) sagt die Festplatte ist in Ordnung, stürzt der pc ab oder bootet nicht. Ssd getauscht, alles wieder ok. 
 

habt ihr eine idee, wie man zuverlässig ssds und nvme prüfen kann?

vor 21 Stunden schrieb NilsK:

Moin,

 

die kommt aus einer separaten ADM-/ADMX-Datei? Ich würde nicht ausschließen, dass das einfach falsch implementiert ist. Oder, wie Jan auch schon sagt - der Loopback-Modus greift ja gerade in die Verarbeitung ein. Ebensogut kann es also sein, dass der das Verhalten erzeugt. Da musst du dann parallel auch noch die Policies in den Blick nehmen, die auf das Computerkonto wirken.

 

Wie verhält es sich, wenn du "normale" GPO-Einstellungen (also solche, die nicht aus einem separaten ADM/ADMX kommen) aus dem administrativen Zweig auf diese Weise setzt?

 

Gruß, Nils

 

Verhalten ist identisch.

Ich habe aber gerade festgestellt, auf einem anderen PC, auf dem nicht der Loopbackverarbeitungsmodus aktiv ist, ist die Einstellung richtig gesetzt. Es wird also doch am Loopback liegen.

Leider finde ich gerade kein Dokument, welches die Reihenfolge nochmal genau beschreibt, aber beim näher drüber nachdenken müsste diese ja wie folgt sein.

User Einstellung "My Users defaults" wird verarbeitet 

User Einstellung "My Special settings" wird verarbeitet

Loopback Computerobjekt beginnt

Da die GPO "My Users defaults" auch auf das Computerobjekt angewendet wird, weil oben definiert", wird diese erneut abgearbeitet und damit überschreibt sie die Einstellungen aus der "special" Policy. -> Mist ;)

vor 9 Minuten schrieb testperson:

 

 

Ist es denn auch tatsächlich die Einstellung aus "My User Default Settings"? Was sagt denn ein "gpresult /f /h gpo.html & gpo.html" woher die Einstellung kommt?

 

leider ja. Dort werden beide Gruppenrichtlinien als angewendet angezeigt. beim rsop.msc sieht man ja auch genau, welche Einstellung von welcher GPO umgesetzt wird.

Und nur um ganz sicher zu sein, die "My User defaults..:" ist NICHT erzwungen. Und selbst wenn ich meine "My User special..." auf erzwungen setze, wird die Einstellung nicht gesetzt, sondern immer wieder durch die defaults überschrieben

vor 41 Minuten schrieb NilsK:

Moin,

 

um welche Einstellung geht es denn genau, die nicht das gewünschte Verhalten zeigt? 

 

Gruß, Nils

 

Um eine Google Chrome Einstellung

[code]

Erstellung von Roaming-Kopien für Google Chrome-Profildaten aktivieren

[/code]

In der My Defaults wird sie auf "aktiv" gesetzt und in der "My special" auf deaktiviert.

Hallo,

ich habe scheinbar gerade einen Knoten im Knopf, oder MS hat irgendetwas an der Verarbeitungsreihenfolge der Richtlinien geändert. Nutzen tue ich Windows 10 21H2 CU August 2022.

Meine OU und GPO Struktur sieht wie folgt aus

[code]

domain

  ou=company

       GPO= My User Default Settings

       ou=standart1

           out=Benutzer

           GPO= My special User Settings

      ou=standort2

[/code]

In den My User Default Settings habe ich eine GPO Einstellung auf Aktiv gesetzt. In der My special User Settings habe ich die selbe Einstellung auf deaktiviert gesetzt.

Effektiv greifen am Client aber nur die Einstellung aus der obersten GPO. Also die My User default Settings. Um auszuschließen, das die GPO "My special settings..." auch zieht, habe ich eine andere Einstellung dort konfiguriert und siehe da, sie wird angewendet. Auch gpresult /H zeigt mir, das die GPO verarbeitet wird. 

In der Vererbungsreihenfolge auf der OU Benutzer sehe ich auch, das die "My user default ..." an stelle 2 steht und die "my user special..." an Position 1 ist. Demnach sollte sie ja eine höhere Priorität haben.

Mir ist eigentlich seit Jahren die Methode des am nächsten am Objekt liegendste Setting gewinnt. Siehe https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien

Deaktiviere ich die Einstellung in der "My User default Settings" so zieht diese Einstellung aus der "my special user..." ebenfalls. Nur in Kombination leider nicht.

Ist euch da etwas anderes bekannt? Einzig, an den Systemen ist die Loopbackverarbeitung aktiv, aber die sollte ja in diesem Fall die Reihenfolge ja nicht verändern.

Hallo,

nicht ganz technisch, sondern eher organisatorisch gefragt. Wie handhabt ihr das Lifecycle Management von Webseiten auf SharePoint?

es entstehen ja doch schnell viele Seiten. Oft werden Seiten angefragt, zwei Dokumente abgelegt und dann passiert nichts mehr. 
 

wie geht ihr mit so etwas um, um den Überblick zu behalten?

vor einer Stunde schrieb winmadness:

Es ist immer gut gleich im Eingangsposting den Fehler so genau wie möglich zu beschreiben. Mit Deinem zweiten Posting hast Du das Problem exakter beschrieben. Eine Frage hätte ich noch:

D.h. eure Webseite ist auf den betroffenen Clients seit der Ergänzung des AAAA Records nicht mehr erreichbar, aber eine Seite wie heise.de mit IPv4 und IPv6 Records sind erreichbar - richtig? Wenn ja, wird eure Website evtl. über das Intranet (z.B. VPN-Verbindung) angesprochen? Was sagt der ping und nslookup auf einem der betroffenen Clients.

 Genau. Nachdem ich den aaaa wieder gelöscht habe, geht es bei dem Betroffenen auch wieder. 
 

Meine Annahme war, den aaaa record zu setzen und Rest macht der Client bzw. Netzwerkstack vom Client. Sind übrigens Windows 10 Clients. Also ich habe erwartet, dass der Client, wenn er nicht den v6 Host erreichen kann, automatisch den v4 versucht. 
 

ich kann es nur leider gerade nicht nachstellen, da ich den öffentlichen Eintrag wieder entfernt habe. 

vor 4 Stunden schrieb winmadness:

Wie Du richtig erkannt hast sind bei einigen Routern das IPv6 Protokoll nicht aktiviert. Über diese Website kannst Du auf den Clients testen, ob das IPv6 Protokoll unterstützt wird.

Auf den Clients mit IPv6 Unterstützung kannst Du über die Befehle

ping -6 a.domain.de
nslookup a.domain.de

übprüfen ob der Webserver über IPv6 erreichbar ist bzw. welche IP-Adressen verfügbar sind.

Über die MXToolbox kannst Du die DNS Records (z.B. AAAA Lockup) für Deinen Webserver abfragen.

Falls Du über eine DNS Anfrage die korrekte IPv6 Adresse für Deinen Webserver erhälst, dieser aber über einen ping bzw. Browser nicht über IPv6 erreichbar ist, dann liegt es an den Einstellungen auf dem Webserver. Hier mal die Firewall-Settings, Konfiguration der Netzwerkkarte, Switch, Provider Unterstützung etc. prüfen, ob IPv6 aktiviert ist.

Danke dir. 

Mir ist bewusst, das es an den Einstellungen vom Router oder Client geht. Bei mehreren Hundert Mitarbeitern im Home Office kann ich aber nicht jeden korrekt einstellen.

Meine Frage ist, wie ich bei uns die Einstellungen ggf. verändern muss, damit der v4 Weg immer funktioniert. Prinzipiell müsste der Client wenn er einen Abfrage macht, welche IP der Name A.domain.DE hat, sowohl einen A als auch AAAA rekord zurück bekommen. Im besten Fall kann der Client nun den AAAA nutzen, wenn er ihn nicht erreicht, weil der Client nicht komplett v6 kann, oder der Router v6 deaktiviert hat, soll er halt den Fallback nehmen.

Bei uns sah es eher danach aus, dass der Client partou sich über v6 verbinden wollte, dies aber nicht ging, weil augenscheinlich der Router es nicht sauber geroutet hat.(Reine Vermutung)

Andere Clients wo v6 sauber konfiguriert war, oder ganz deaktiviert war, da ging der Zugriff ohne Probleme.

Hallo,

wir haben uns für unsere Webserver zusätzlich IPv6 Adressen geben lassen um diese gleichzeitig über v4 und v6 zu veröffentlichen. Grundsätzlich funktioniert v6. Ist also korrekt eingerichtet.

Wir haben für den ersten Webserver A.Domain.DE den A Record 1.2.3.4 bei unserem öffentlichen DNS Provider. Nun soll für alle nativen Clients der Webserver über v6 ebenfalls erreichbar sein. Also haben wir im DNS einen AAAA Eintrag A.domain.DE erstellt mit unserer IPv6 Adresse.

Nach einiger Zeit (DNS Replizierung usw.) funktioniert dies auch bei einigen Clients. Bei vielen aber leider nicht. Durch die Bank weg waren eigentlich alle Provider wie z.B. Telekom, Vodafone betroffen. Es war auch egal, ob Fritz Boxen oder Speedports Zuhause waren. 

Ich tippe darauf, das einige IPv6 abgeschaltet haben. ggf. am Router, mal am PC. aber nicht beides. Jedenfalls funktioniert es leider nicht.

Was mich aber wundert, z.B. www.heise.de ließ sich immer aufrufen. Und die haben ihre Einträge ja auch sowohl mit A als auch AAAA Records veröffentlicht. 

Kennt jemand die Herausforderung und hat eine Idee, was wir falsch gemacht haben?

vor 5 Minuten schrieb NorbertFe:

Dann stimmen eure onboarding prozesse nicht. Wie oft denn noch. ;) Wenn du erst im AD den Nutzer anlegst und ihn synchen (mit Lizenz) läßt, dann wird logischerweise ein Online-Postfach angelegt, weil der User eben nicht on-prem die notwendigen Attribute erhalten hat. Also leg den Nutzer entweder gleich mit der On-Prem EAC oder Exchange Powershell an und bearbeite hinterher die Gruppenmitgliedschaften. Das ist das, was ich oben schon erwähnte.

yes sir ;) 

Spaß bei Seite. Werde ich machen. Ist zwar etwas b***d aber ok.

vor 1 Minute schrieb testperson:

Das würde nur passieren, wenn du den "kompletten Benutzer" online-only anlegst. Sobald das AD Schema um Exchange erweitert ist und AD Sync eingerichtet wurde, wird für gesyncte User (AFAIK) erst ein Postfach provisioniert sobald das On-Premises Attribut "proxyAddresses" gefüllt wurde. Und das wird unter Anderem bei New- / Enable-RemoteMailbox gefüllt.

Mir ist allerdings in der Vergangenheit auch passiert, das sobald ein Benutzer on Premise ohne Postfach erstellt wurde und diesem eine Exchange Online Lizenz zugewiesen wurde, dieser User direkt in Ex Online ein Postfach nach dem Sync erstellt wurde. Und dann war der On Premise Exchange nicht in der Lage, die Verbindung zwischen dem User und dem Ex Online Postfach zu erkennen.

Ich habe es jetzt mit New-RemoteMailbox probiert. User wurde on Premise angelegt, taucht im Exchange als Office 365 Postfach auf, ist aber nach 5 Minuten noch nicht im Office 365 Portal, noch im Exchange Online sichtbar. (Vermutlich ist der Sync noch nicht gelaufen)

Was ich jetzt aber nicht schlimm finde. 

Jetzt aber doof gefragt, durch das *-RemoteMailbox erhält der User die Attribute für Exchange. Würde also doch bedeuten, sobald irgendwann der Sync läuft, wird das Exchange Online Postfach eingerichtet. Es kann mir aber nicht passieren, das ein Ex Online Postfach eingerichtet wird, der On Premise Exchange dies aber nicht mitbekommt.

Richtig?

vor 11 Stunden schrieb NorbertFe:

Genau, ihr solltet die Prozesse erstmal nochmal prüfen. ;) und die Lizenz nicht vergessen.

Das ist genau der Punkt. Der User muss im Active Directory angelegt werden. Er kommt in eine Gruppe. Durch den ADConnect wird der User synchronisiert, und die Lizenz automatisch durch die Gruppe zugewiesen. Das dauert. 

Die Frage ist ja, wenn ich einen User erstelle im Active Directory, kann ich diesem doch nicht sofort eine Remote Mailbox erstellen. Oder doch?

Hallo,

wir betreiben derzeit Exchange als hybride Lösung. Nur wenige Benutzer sind online. Das soll auch so bleiben, erstmal. Dennoch, wenn ein neues Postfach benötigt wird, muss dieses ja on premise angelegt werden, bevor es verschoben werden kann. Dabei ist der jeweils Sync von adconnect zu beachten. 
 

wie legt ihr die Postfächer an, am besten gescripted, damit diese in eins in die cloud wandern und man nicht sich ewig mit der Erstellung und dem Verschieben beschäftigt?

ich glaube ich konnte das Problem selbst lösen. MFA mit conditional Access ist sofort aktiv, sobald die erste Regel erstellt und für einen User / Gruppe greift. Sobald man MFA per User aktiviert, wird conditional Access deaktiviert und MFA ist für alle Dienste aktiv.

Hallo,

ich bin gerade dabei und teste bzw. bereite den Rollout für Azure MFA vor. Aktuell habe ich einen kleinen Personenkreis auserkohren und diese in der per User MFA Konsole auf "erzwungen" gesetzt.

Im selben Schritt möchte ich eine Cloud Anwendung für MFA erzwingen. Daher habe ich Conditional Access so konfiguriert, das nur diese User und nur für diese Cloud App MFA genutzt werden soll. Es handelt sich bei der Cloud App NICHT um Teams.

Dennoch, verlangt nun Teams bei jeder Anmeldung eine MFA Authentifizierung. Auch, als ich eben auf das portal.azure.com zugegriffen habe, musste ich mich mittels MFA authentifizieren. Ich frage mich, woher kommt das. Ist das by Design?

Ich möchte zur Zeit erstmal nur die eine Cloud App mittels MFA absichern, sonst nichts.

Ist ja mit Always On VPN auch genau so mies. Keine schöne Lösung.

Gerade eben schrieb NorbertFe:

Gibts doch von diversen Anbietern. Was genau ist denn das Ziel? Absicherung von rdp/lokalen Sessions per MFA oder noch mehr?

Genau. Es reicht die lokale, interaktive Anmeldung. Von diversen Anbietern, richtig. Aber durch unseren vorhandenen M365 Vertrag und der bereits im Einsatz befindetn MS MFA Lösung, würden wir diese natürlich auch gerne für die lokale Anmeldung mit nutzen, um nicht noch ein weiteres MFA Produkt kaufen zu müssen.

Hallo,

bei uns kam die Frage auf, ob wir mittels MFA die interaktive Anmeldung von kritischen Personen absichern können. Bspw. der HR Abteilung. Dafür müsste es ja einen Credential Provider von MS geben. Ich habe da aber bis jetzt nichts gefunden. Ist euch so etwas bekannt?