Cryer

Geht mir eher darum, dass man am Ende als Kunde der Depp ist, weil der Aktivierungskey nicht mehr funktioniert oder man im schlimmsten Fall Besuch von der Polizei bekommt unter dem Vorwand der Geldwäsche oder Raubkopie. Interessant auch, dass Microsoft selbst offenbar nur halbherzig bis gar nicht gegen die Betreiber vorgeht, aber der Kunde letztlich trotzdem den Schaden hat. Oder bekommt man bei einem dieser Verkäufer legal einen Aktivierungakey für um die 2€?-4€ Falls ja, super. Falls nein, warum geht MS nicht gegen greifbare Suchmaschinen vor und verpflichtet diese zur Filterung entsprechender Shops, die seit JAHREN aktiv sind.

https://www.billiger.de/baseproducts/76112-microsoft-windows-11-pro?uds=VQf-rgAeMqRuz6IrwhHi3c

Bei einem Shop der seit Jahren gelistet wird und sich auch entsprechend positive Berichte finden lassen würde ich als Laie vermuten, dass das in Ordnung ist. "Legalisierungsprinzip" hin oder her.

Also wenn durch Amazon verkauft wird (Verkäufer) würde ich das mal als vertrauenswürdig einstufen, weil Amazon sich bestimmt nicht mit Microsoft anlegt.

Spannend ist halt, dass von "Aktivierungscode" die Rede ist, aber nirgends etwas von "Lizenz" steht

Lustig ist auch, dass bei manchen Artikeln Versand: Amazon steht, aber ein anderer Verkäufer. Wer soll den da noch durchblicken?

Damit ist meine Frage aber nicht beantwortet.

Wäre dieser Kauf hier nun eine rechtmäßige Lizenz oder könnte man sich auch gleich bei den üblichen Keystores für 2,50€ einen Key holen? (Key != Lizenz)

https://www.amazon.de/Microsoft-Windows-Gerät-Benutzer-Aktivierungscode/dp/B09WHSBPR3

Bei Amazon gibt es einen Microsoft Store, aber ich frage mich, ob der echt ist oder ein Betrug, weil zum einen werden dort Produkte verkauft, die Microsoft eigentlich gar nicht mehr vertreibt, zum Beispiel Windows 7 oder Windows 8 und zum anderen auch Systembuilder-Lizenzen, die deutlich günstiger sind als im Microsoft Store auf deren eigener Homepage.

https://www.amazon.de/stores/page/B8063FFD-2A20-45CE-8E3E-A34201AD8621

https://www.amazon.de/stores/page/B8063FFD-2A20-45CE-8E3E-A34201AD8621/search?terms=windows 11

Ist der UCPD einfach nur eine Gängelung und kann man den problemlos abschalten oder hat er (neben dem theoretischen) auch eine praktische Daseinsberechtigung? So ganz wird das in dem Artikel nicht klar.

Meine Frage an sich beantwortetet es aber nicht, ob man so Sachen wie das Startmenü unter Windows 11 oder das Kontextmenü auch über die GPO-Templates konfigurieren kann.

Ich habe mir die Administrative Templates für Windows 11 24H2 runtergeladen und installiert, da ich so langsam mal beginnen wollte entsprechende GPOs vorzubereiten. Bislang löste ich vieles und das Wichtigste über Registryhacks der GPO, aber erstens deckt das nicht alles ab und zweitens war es mehr ein Behelf.

Ich muss nun aber feststellen, dass man erstaunlich wenig an den Datenschutzeinstellung von Windows 11 per GPO einstellen kann und fast gar nichts beim Startmenü. Google gibt auch immer nur Links zu Seiten, wo die entsprechenden Registryhacks erklärt werden, selbst zu solchen Dingen wie Startmenü linksseitig, klassisches Kontextmenü oder Mehr angeheftete Elemente. Einige Einstellungen funktionieren unter Windows 11 auch gar nicht mehr (wie erwartet).

Verweigert Microsoft hier wirklich Einstellungen für Windows 11 über die GPO oder mache ich was falsch? Gibt es Drittanbieter-Templates, die das Thema abdecken, also ähnlich wie wenn man sich Mozilla oder Google Templates installiert? Ich kann doch nicht unendlich Registryhacks in die GPO machen und mit laufendem Process-Monitor sämtliche Änderungen nachverfolgen die ich über die GUI von Windows 11 vornehme. Das ist auf Dauer zu mühsam, zumal einige Einstellungen an mehreren Stellen was verändern.

Danke für deine superschnelle Antwort, aber ich denke es macht wenig Sinn sich noch mit etwas zu befassen, das in absehbarer Zeit abgelöst wird.

Momentan verwende ich die unter Windows Server 2022 vorhandene Softwareinstallation via GPO um Software auf die Clients zu verteilen. Für das bisschen Software ist das bei mir auch ausreichend. Ich brauche nichts professionelles mit Hunderten von Funktionen und Möglichkeiten. Alles funktioniert soweit, aber nur solange die Geräte direkt im Unternehmensnetzwerk sind. Es funktioniert aber nicht mehr, wenn die Geräte mittels VPN verbunden werden / sind.

Daher suche ich eine einfache Möglichkeit der Softwareverteilung die auch funktioniert, wenn die Geräte mittels VPN verbunden sind. Es darf gerne mit PSAppDeployToolkit kompatibel sein, aber wie gesagt nutze ich bislang nur die Verteilung mittels *.msi und alles was eine freie Verteilungssoftware zusätzlich kann ist ein netter Bonus.

Die Software sollte leicht zu bedienen sein und die Anzahl der Clients unbegrenzt. Wichtig ist, dass man verschiedene Gruppen von Clients erstellen kann, so wie das in der GPO auch gesteuert werden kann. Nicht jede Software wird auf jedem Rechner benötigt. Wenn die Software die vorhandene AD-Struktur erkennt / übernimmt, wird das natürlich gerne genommen. Gibt es da etwas?

Ich benutze die GPO um eine handvoll Software auf die Clients zu verteilen. (Server: Windows Server 2022; Clients: Windows 10/11),

Jetzt habe ich aus versehen auf einigen Clients eine Software deinstalliert und nun wird sie aber auch nicht mehr installiert. Weder Neustart hilft, noch ein "gpupdate / force". Außerdem scheint die Gruppenrichtlinie laut "gpresult /r" nicht mehr angewandt zu werden. Auf Rechnern auf denen die Software noch nicht installiert wurde, wird die GPO aber ausgeführt. Es scheint, dass die Richtlinie immer nur einmal ausgeführt wird und danach nicht mehr.

Was kann ich nun machen, damit die Software auf den Clients auf denen ich sie gelöscht habe wieder verteilt wird?

vor 3 Stunden schrieb Nobbyaushb:

Ist doch egal was davor hängt

Die VM bekommt eine IP die mit den anderen auf der LAN Party reden kann und ungleich dem Netz mit der FRITZ!Box/Internet ist

die Fritte hat ja per default die 192.168.178.1/24

Gib dem XP doch das Netz 192.168.24.x/24 

Die Adressen müssen natürlich auf der Party abgestimmt werden 

 

Mache ich das dann via Bridged-Mode? Ich bin etwas irritiert, weil nach meiner Gedankenlogik müssen die Datenpackete von der VM zur Netzwerkkarte des Host, von dort zum Router, von dort wieder zur Host-Netzwerkkarte der anderen Spieler und dann in die VM der anderen Spieler und umgekehrt. Wenn ich jetzt der Netzwerkkarte der VM ein anderes Segment an IP-Adressen zuweise als beim Host oder der FritzBox schneide ich doch die Verbindung ab? Gebe ich dem Host 192.168.2.x und der FritzBox 192.168.178.1 komme ich schließlich auch nicht mehr auf die FritzBox.

Entschuldigt, wenn ich mich da gerade dämlich anstelle. Das ganze geht wohl schon in Richtung Netzwerk-Segmenttrennung und Firewalltechniken und das ist echt nicht mein Gebiet, weswegen ich dieses spezielle Thema inzwischen auch im Geschäft an eine externe Firma übertragen habe. (Generell das Thema Security)

Wie mache ich das bei einer FritzBox ohne, dass ich die VMs vorher mit der FritzBox verbinde?

Dann haben die VMs aber keinen Kontakt mehr untereinander, weil keinen Kontakt mehr zum Router der ja als Switch / Wlan Host fungiert.

Ich habe mir mit VMWare Workstation eine XP VM erstellt und darin verschiedene Spiele installiert, die darunter problemlos funktionieren. Nun wollen meine Geschwister und ich eine LAN-Party machen um die alten Klassiker wieder spielen zu können. Die alten Spiele haben ja noch den klassischen LAN-Modus

Soweit erstmal kein Problem, allerdings müssen die VMs über die verschiedenen Hosts ja irgendwie miteinander kommunizieren, also Netzwerk.

Gibt es eine Möglichkeit die VMs so miteinander zu verbinden, dass sie sich zwar im Netzwerk sehen, aber gleichzeitig keinen Kontakt ins Internet haben? Über die Gründe der Sicherheit muss ich in diesem Forum ja keine Worte verlieren.

Ich bin dabei eine GPO zu erstellen, die folgendes machen soll:

Auf Computern soll beim Start folgendes .bat-Script ausgeführt werden:

powershell.exe -ExecutionPolicy Bypass -File "\\ip\share\scripts\setFollowMeNormalAsDefault.ps1"

Wichtig: Führe ich das .bat-Script als angemeldeter Benutzer manuell aus funktioniert das aufgerufene PowerShell-Script und macht was es soll. Ein Berechtigungsproblem liegt also nicht vor.

Dazu gehe ich in im GPO-Editor unter "Computerkonfiguration" -> "Richtlinien" -> "Windows-Einstellungen" -> "Scripts (Start/Herunterfahren)" und habe dort das Script wie folgt beim "Start" eingetragen"

Zitat

\\ip\share\scripts\setFollowMeNormalAsDefault.bat

Ich habe es auch mit dem Standardpfad probiert, mit dem PowerShell-Script direkt im entsprechneden Reiter und und und. Es will aber einfach nicht funktionieren.

Die GPO wird einfach erstellt und erstmal auch nichts an den Sicherheitsfiltern oder so geändert (Authentifizierte Benutzer)

Kurze Info, warum das Script nicht unter Benutzerkonfiguration erstellt wird: Es gibt Benutzer mit Tablets / Laptops und bei denen soll der FollowMe Normal-Drucker nicht zwangsweise auf Standard eingestellt werden. Das soll nur bei den Computern in den Dienststellen passieren, dann aber egal wer sich anmeldet.

Habt ihr eine Idee, wo das Problem liegen könnte?

Ich habe einen RDS 2022 und leider trennen die Benutzer immer nur die Verbindung anstatt sich ordentlich abzumelden. Da kann man reden und schreiben was man will.

Nun will ich immer, dass wenn ein Benutzer eine getrennte Sitzung wiederherstellt ein Hinweis erscheint, dass man sich doch bitte ordetnlich abmelden soll.

Dazu habe ich ein kleienes Script geschrieben. Dieses ist jetzt (zum testen) erstmal so gestaltet, dass es immer ausgeführt wird und etwas anzeigt, egal ob eine getrennte Sitzung erkannt wurde oder nicht, einfach nur um sicher zu gehen, dass die Aufgabe überhaupt ausgeführt wird.

In der Aufgabenplanung auf dem RDS habe ich folgendes eingestellt:

Tab "Allgemein":

Name: "Überwachung der Sitzungstrennung"

Sicherheitsoptionen:

Benutzerkonto: Administrator (Habe auch "System" probiert)

Unabhängig von der Benutzeranmeldung ausführen

Mit höchsten Privilegien ausführen

Tab "Trigger":

Trigger: Bei Verbinden mit Benutzersitzung

Jeder Benutzer

Verbindung mit lokaler Computer (Habe auch "Verbinden mit Remotecomputer" getestet)

Aktiviert

Tab "Aktionen":

Aktion: Programm starten

Pfad ist ein lokaler Pfad auf dem RDP. Habe ich über "Duchsuchen" ausgewählt

Was mache ich falsch? Kann jeand helfen?

Am 17.5.2024 um 19:25 schrieb cj_berlin:

Siehst Du, und für Windows-Menschen ist ein Service-Account einer, unter dem ein Dienst ausgeführt wird 😊

 

Drum frage ich ja.

OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute.

Um dann aber wieder auf das Thema zu kommen:

Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen?

vor 11 Stunden schrieb NorbertFe:

und? Geht’s dir jetzt besser? ;)

Warum so aggressiv?

vor 11 Stunden schrieb NorbertFe:

Dann weißt du ja, wie alt diese policies sind. Nicht mehr oder weniger bedeutet das.

Und viele funktionieren noch und einige offensichtlich nicht mehr. Wissen tut es offenbar keiner, verlassen kann man sich auf nichts und das Chaos ist wie immer perfekt. Typisch Microsoft. Aber gut, dass die ja selbst nicht mehr wissen, was die eigentlich machen, beweisen sie ja Monat für Monat mit dem Patchday, wovor jeder Admin inzwischen zittert und besser mal mind. eine Woche aufschiebt bis andere das Versuchtskanickel gespielt haben. Nichtmal eine Beschreibung bzw. anwendbaren Systeme können sie anpassen und eher weniger erfahrene Admins wie ich rennen dann ins offene Messer (und werden dann noch angemacht, weil suggetiert wird, dass sie noch aktuell sind und funktionieren.)

vor 9 Stunden schrieb Dukel:

@Cryer Wo siehst du den Unterschied zwischen Funktions und Service Account?

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich.

Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

Da steht aber "Mindestens". Also gehe ich davon aus, dass es auch unter späteren Versionen von Windows funktioniert und die Richtlinie an den Clients die notwendigen Einstellungen vornimt. Wenn das nicht der Fall ist, dann ist die Beschreibung schlichtweg Müll, weil dann die entsprechenden Versionen von Windows gelistet sein sollten, bzw. (weil Windows XP schon lange aus dem Support ist) als Veraltet gekennzeichnet sein oder am besten gar nicht mehr erst zur Verfügung stehen. Ich denke so siehts eher aus. Immerhin ist es ein Windows Server 2022 von dem wir hier sprechen.

Ich habe auch schon andere Richtlinien gesehen, wo explizit dann beispielsweise einfach nur "Windows Vista" oder Windows 8 / 8.1 steht. Ich sehe da bei mir keinen Denkfehler.

Ist das, was du da beschreibst nicht ein Funktionsaccount?

Ja, sind sie.

Kannst du mir auch bitte die Frage beantworten, was dann die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" noch soll?

Natürlich hätte ich es testen können, aber ich verstehe auch gerne was ich mache.

Weil manche Leute ihr Laptop / Tablet mitnehmen und nicht von überall aus die Möglichkeit haben sich mit unserem Server zu verbinden, der aktuell primär für die persönliche Authentifizierung und Richtlinienvergabe zuständig ist.

Es gibt eine zweite Plattform (Citrix Workspace) unserer übergeordneten Organisation, auf die ich aber keinen großen Einfluss habe, wo sich die Leute über den Browser anmelden und wo im Grunde auch alle Daten bislang liegen. Nur kann man dort nicht hineinscannen. Das ganze soll bis zum Herbst komplett geändert werden und die Citrix-Plattform wegfallen, aber aktuell läuft das noch so.

Aktuell sind wir halt mitten im Umstellungsprozess. Später wird dann natürlich nur noch auf unseren Server gescannt werden können (Siehe anderer Thread von mir) Viele nutzen auch den Komfort des Scan-to-Mail, ist aber halt nicht für alle gleichermaßen praktisch.

Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann.

Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann.

Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden.

Ich würde gerne die Datei- und Druckfreigabe aktivieren, allerdings zeigt die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" keine Wirkung.

Eine Recheche brachte das Ergebbnis, dass das wohl über "Richtlinien" -> "Windows-Einstellungen" -> "Windows Defender Firewall mit erweiterter Sicherheit" -> "Eingehender Regel" gemacht werden muss.

So ist es zumindest hier beschrieben.

Frage 1: Ist das richtig?

Frage 2: Wozu gibt es dann die GPO-Einstellung "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen", wenn die eh nichts bringt? Die Richtlinie habe ich natürlich im Bereich Domäneprofil vorgenommen.

Systeme: Windows Server 2022, Richtlinie soll auf Windows 10-Systemen angewandt werden, bzw. dort teste ich es gerade.

Südwest Deutschland