zahni

Hi,

offenbar gibt es einmal mal das MOSA und mal MCA. Vielleicht werden die Dokumente irgendwie vermischt?

MOSA:  https://www.microsoft.com/licensing/terms/productoffering/Microsoft365/MOSA

MCA https://www.microsoft.com/licensing/terms/en-us/productoffering/Microsoft365/MCA

WSUS oder alles Online? Beim WSUS könnte dieses Update abgelehnt sein:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB5005112

Ohne dieses Update werden keine aktuellen Updates installiert.

Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon.

https://www.heise.de/news/Microsoft-will-IT-Security-besser-machen-und-startet-Secure-Future-Initative-9352878.html

poste mal ipconfig /all vom Client

Wenn man so ein DEV-Netz betreiben muss und Entwickler keinen Proxy benutzen können, dann muss das Netz eben vollständig isoliert werden. Zugang zum normalen Netz könnten sie dann z.B. über eine Terminal-Lösung bekommen.

vor 3 Minuten schrieb mcdaniels:

Das bringt mich wieder auf den Anfang zurück: Die Option "Herunterfahren" müsste einfach immer ein "Herunterfahren und Updates installieren"

Wie gesagt: Es geht nicht.

Generell: Port based in das VLAN taggen. Der Rest müsste dann eigentlich das L3-Routing im Switch machen. Vermutlich ist da im Netgear was falsch konfiguriert. Vielleicht im Spanning Tree?

Du musst noch ein Wartungsfenster in dieser Zeit definieren. Per Default liegt das, glaube ich, ub 19:00 Uhr. Und es wird meiner Meinung nach nichts nachgeholt. Wenn der PC um 9.00 Uhr noch nicht eingeschaltet ist, klappt es u.U. nicht.

Ganz kurz und allgemein: Das ging zum letzten Mal bei Windows XP. Danach hat Microsoft den Update-Client "verbessert".

Eigentlich kann man die Updates nur noch mittags im Hintergrund installieren. Dann werden sie beim Herunterfahren auch aktiviert.

Wenn man die Glaskugel putzt und darin ein paar verzerrte Bilder sieht... 

Bitte die eigentlich Anforderung aufschreiben. Es gibt für 2FA viele Möglichkeiten. Von RSA gibt es z.B. auch Hardwaretoken, die ihr begrenzten Leben lang ständig neue Nummern auf dem Display anzeigen..

vor 10 Minuten schrieb NilsK:

Und JETZT kommt ihr.

Graf Zahl.

vor 17 Minuten schrieb lotsch17:

Erinnerst Du dich überhaupt an NT 4 SP6 ?  und 6a ?

Ich kenne sogar Windows 2.11. Und DOS (ach, habe ich vergessen). Was sagst Du nun? 

Gerade eben schrieb testperson:

Win Client nicht Admin-Rechte haben?

Ähhh... So genau habe ich das nicht getestet. Ich bin doch Admin

Google sagt u.a.

https://blog.zensoftware.co.uk/Knowledgebase/untangle/wireguard-client-access-for-none-windows-administrator-accounts/

vor 14 Minuten schrieb NilsK:

hat hier schon jemand erwähnt, dass PKI böse ist?

NEIN !!!

Und der WireGuard-Client ist auch unter Windows recht pflegeleicht.

Man kann zwar die Root-Zertifikate mit senden, die müssen dann aber trotzdem beim Endgerät in den richtigen Cert-Store importiert werden, damit man denen vertrauen kann.

Und ja, für Root und Intermediate gibt es eigentlich 2 Stores, Java z.B. sieht das aber oft nicht so. Java, zumindest alte Versionen, wollen die teilweise im gleichen Store.

Falls sich der Keystore bei dem Endgerät in Dateiform editieren lässt, empfehle ich https://keystore-explorer.org/downloads.html 

Das Tool kommt mit sehr vielen Formaten zurecht. OpenSSL ist mir zu anstrengend... 

PS: Und aus eigener Erfahrung: Entwickler wollen sie oft nicht mit Basics (hier: SSL) beschäftigen. Self Signed Zertifikate sind dann eben doch etwas anders. Die muss man aber auch in den Truststore importieren. 

Im Übrigen hat die Version 7.29 eine kritische Sicherheitslücke, Da könnte Dir eine Webseite im Vorbeisurfen den Zugang sperren...

Das Root- und Intermediate-Zertifikat müssen im Terminal importiert werden. (Kurzfassung).

Ich habe mal in die Datei vom Kollegen geschaut (der editiert die nur noch per Hand)

Wichtig ist es den Server nur beim Namen zu nennen, nicht ganze URL mit http:// usw.) Jetzt nach "Unterordner" auf einem Server kann man das Verhalten beeinflussen. So können 2. Anwendungen mit oder ohne IE-Mode benutzt werden.

<site-list version="60">
  <created-by>
    <tool>EMIESiteListManager</tool>
    <version>10.0.14357.1004</version>
    <date-created>12/27/2022 13:24:14</date-created>
  </created-by>
  <site url="Serever1/mysite">
    <compat-mode>IE8Enterprise</compat-mode>
    <open-in>IE11</open-in>
  </site>
  <site url="server2">
    <compat-mode>Default</compat-mode>
    <open-in>MSEdge</open-in>
  </site>
  
</site-list>

Ok, wenn die User aus dem anderen System andere User (z.B. Kunden) sind, muss man die in diesem Fall also nicht lizensieren. Im internen System arbeiten dann interne User mit dem SQL-Server (direkt oder über eine Anwendung).

Nur damit das klar ist.

Wir legen die Datei auf einen echten internen Webserver. Keine Ahnung, ob der per UNC geht.

Nehmen wir mal an, ich bekomme 1x pro Woche eine CSV-Datei aus einem anderen System und  habe mir einen Automatismus gebaut, der diese CSV importiert und möglicherweise aus dem anderen System exportiert. Mir würd im Leben nicht einfallen die User des anderen Systems im SQL-Server zu lizensieren. Das ist ein übliches Szenario.

PS: Gerade bei einem Server:

(das 09-Update bringt einen Fehler und 10 wird installiert). Das hängt teilweise davon ab, welche Updates der Server in der Vergangenheit schon heruntergeladen hatte und dann ersetzt worden sind.

vor 18 Stunden schrieb brickmaker:

Dennoch möchte er weiterhin das Update 2023-09

Einfach auf installieren klicken, Das kommt meist ein Fehler und er ist glücklich.