xrated2

Am 19.4.2024 um 20:58 schrieb MurdocX:

1. Entferne "Authentifizierte Benutzer" unter der Delegierung.
2. Entferne "GPO-User-Onedrive" aus der Sicherheitsfilterung
3. Füge "Authentifizierte Benutzer" der Sicherheitsfilterung hinzu

 

So gehe ich vor wenn ich es allen zuweise. Allerdings geht das bei dieser Policy nicht weil das Sharepoint Laufwerk im Explorer sonst bei vielen doppelt erscheinen würde, weil es manuell verlinkt ist. 

P.S wenn man 3. macht, fügt der dann nicht wieder das gleiche wie in 1. hinzu?

P.P.S. bei 2 von 3 PCs ging die GPO ja auf Anhieb

Ich konnte die Fragen nicht so ganz zuordnen.

Wegen dem PC, hatte ich schon geschrieben das Authentifizierte Benutzer auch Computerkonten beeinhaltet.

Am 17.4.2024 um 18:16 schrieb xrated2:

hatte ich schon gesehen, Authentifizierte User ist ja unter Delegation zugewiesen und beeinhaltet standardmäßig auch Computerkonten.

Und wie gesagt, bei manchen PCs geht es, bei anderen nicht.

 

Weiß nicht ob das ein generelles Einstellungsproblem ist wenn andere GPO mit der gleichen Art von Rechtevergabe funktionieren.

Hier 3 Bilder mit den relevanten Einstellungen

vor 6 Stunden schrieb NorbertFe:

 

 

hatte ich schon gesehen, Authentifizierte User ist ja unter Delegation zugewiesen und beeinhaltet standardmäßig auch Computerkonten.

Und wie gesagt, bei manchen PCs geht es, bei anderen nicht.

Bei einem PC habe ich mehrmals neugestartet und gpupdate (auch mit /force) ausgeführt, es ging erst als ich den User direkt der GPO zugewiesen hatte. Irgendwas stimmt da nicht.

Da die GPO nur Settings unter Benutzerkonfiguration hat habe ich eine Gruppe unter Sicherheitsfilterung zugewiesen in der sich die einzelnen User befinden.

Bei einem PC ging es erst als in den User direkt der GPO hinzugefügt habe, ganz seltsam.

Unter Delegation steht auch alles identisch drin mit Leserechten.

Zusätzlich steht dort noch Authentifizierte Benutzer mit Lesen

Hallo

Eine User GPO für automatische Sharepoint Mappings im Explorer habe ich erstellt (das 256 Zeichenlimit scheint nun auch passe zu sein).

Diese habe ich dann einer lokalen Domänengruppe zugewiesen und unter Windows 11 wurde mit gpresult angezeigt das die GPO nicht angewendet wird, wegen Sicherheitsfilterung. Unter Windows 10 bekam ich von dem 1 zugewiesenem User Feedback das das Mapping funktionieren würde.

Jetzt habe ich eine globale Gruppe zugewiesen und das funktioniert unter Windows 11.

War das schon immer so oder ist das wirklich nur bei Windows 11 so?

Ich habe dies wieder aktiviert:

Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

Die Clients laufen seit Corona zu 90% alle im Homeoffice. Es gibt nur 2 Standorte, bei einem ist nur 1 PC und beim anderen ist das Büro nur gemietet mit WLAN Zugang.

Da würde wahrscheinlich sowas mehr Sinn machen:

https://www.policypak.com/resources/pp-blog/windows-update-business/

Aktuell ziehen sich die Clients wenigstens wieder Updates. Ich müsste jetzt mal probieren was passiert wenn ich dieses Setting: 

Zielversion für Funktionsupdates	
22H2

weglasse. Ob der dann WSUS folgt und bei 22H2 bleibt oder auf 23H2 geht.

Der WSUS Server ist an einem anderen Standort. Deswegen macht es keinen Sinn das sich die Clients von dort die Updates holen. Ich habe jetzt aktuell die Option "DisableWindowsUpdateAccess" entfernt aber die Zielversion in der GPO angegeben. Ich habe in WSUS eh immer nur die Funktionupgrades selber gesteuert. Dualscan (Keine Richtlinien für Updaterückstell..) ist auch deaktiviert.

Windows-Komponenten/Windows UpdateAusblenden
Richtlinie	Einstellung	Kommentar
Clientseitige Zielzuordnung aktivieren	Aktiviert	
Zielgruppenname für diesen Computer	K5-PC
Richtlinie	Einstellung	Kommentar
Internen Pfad für den Microsoft Updatedienst angeben	Aktiviert	
Interner Updatedienst zum Ermitteln von Updates:	http://k5aux.ad.xxx.com:8530
Intranetserver für die Statistik:	http://k5aux.ad.xxx.com:8530
Alternativen Downloadserver festlegen:	
(Beispiel: https://IntranetUpd01)
Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist	Deaktiviert
Erzwingen Sie nicht das Anheften von TLS-Zertifikaten für den Windows Update-Client, um Updates zu erkennen.	
Wählen Sie das Proxy Verhalten für den Windows Update-Client zum Ermitteln von Updates aus:	
Richtlinie	Einstellung	Kommentar
Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird	Aktiviert	
Suchhäufigkeit für automatische Updates	Aktiviert	
In folgenden Abständen (Stunden)
nach Updates suchen:	1
Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden
Richtlinie	Einstellung	Kommentar
Zielversion des Funktionsupdates auswählen	Aktiviert	
Für welche Windows-Produktversion möchten Sie Funktionsupdates erhalten? Beispiel: Windows 10	Windows 10
Zielversion für Funktionsupdates	
22H2





Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden
Richtlinie	Einstellung	Kommentar
Beim Empfang von Qualitätsupdates auswählen	Aktiviert	
Anzahl der Tage, die der Empfang eines Qualitätsupdates nach der Freigabe zurückgestellt werden soll:	30
Qualitätsupdates aussetzen ab	
(Beispiel für das Format jjjj-mm-tt: 2016-10-30)
Richtlinie	Einstellung	Kommentar
Zeitpunkt für den Erhalt von Vorabversionen und Funktionsupdates auswählen	Aktiviert	
Wie viele Tage nach dem Erstellen eines Funktionsupdates möchten Sie die Aktualisierung zurückstellen, bevor Sie für das Gerät angeboten wird?	30
Vorabversionen oder Funktionsupdates aussetzen ab:	
(Beispiel für das Format jjjj-mm-tt: 2016-10-30)



Windows-Komponenten/ÜbermittlungsoptimierungAusblenden
Richtlinie	Einstellung	Kommentar
Downloadmodus	Aktiviert	
Downloadmodus:	LAN (1)

Nachdem jetzt die Pakete über WPP wieder funktionieren (die Pakete werden ja über WSUS installiert) ist mir aufgefallen das Windows 10 und 11 keine MS Updates von WSUS bekommen.

Fehler im Eventlog: 0x8024002e

Im WSUS ist eingestellt das sich die Clients von MS direkt runterladen sollen, dass hat bisher auch so funktioniert.

Wsus ist mit Port 8530 http eingestellt.

Wenn ich diese Option

https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetCommunicationManagement::RemoveWindowsUpdate_ICM&Language=de-de

 DisableWindowsUpdateAccess

auf 0 stelle dann funktionieren die Updates wieder aber dann ist WSUS ja komplett ausgehebelt oder?

Ja irgendwie muss es so gewesen sein. Aber auf dem Server hatte WPP be revise auch schon gemeckert das es ungültig ist. Vielleicht war das schon länger so.

Und der Client hat wohl einfach nur nach Ablauf des Zertifikats nichts mehr installiert.

WPP hatte ich schon vor einiger Zeit aktualisiert, da scheint ja nichts mehr neues zu kommen.

Merkwürdig ist eben das die Pakete ja schon seit einiger Zeit ungültig waren aber sich erst durch den Zertifikatwechsel nicht mehr installieren ließen.

Ach ist das mit "resign" gemeint, hatte ich ganz übersehen. Da dachte ich eher das heisst soviel wie Paket "kündigen".

Aber was ist denn da die Ursache?

Bei WPP ist nach vielen Jahren das Zertifikat abgelaufen. 

Habe also ein neues erstellt innerhalb WPP und es via GPO mit der bekannten Methode an die Clients verteilt.

Zwischendurch am Server das alte Zertifikat gelöscht und später wieder importiert (von einem Client) als es nicht mehr ging, weiß nicht ob das der Fehler war. Kann ich mir aber nicht vorstellen. Privater Schlüssel scheint laut certlm noch da zu sein.

Das seltsame ist das die meisten Pakete nicht mehr funktionieren, neuere d.h. von diesem und letzten Jahr anscheinend schon. Die Frage ist, was da passiert ist? Scheint schon mit dem ablauf des alten Zertifikates zu tun haben.

Wenn man in WPP beim betroffenen Paket auf revise geht "verfication of file signature failed" beim .cab file. 

Die Clients bringen den Fehler "einige Dateien sind nicht signiert" 800B0109 

Cab File von WPP:

Wenn ich auf dem Server das entsprechende .cab File von WPP raussuche steht bei Signatur:

Ein erforderliche Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. 

Als Signaturzeitpunkt steht: Nicht verfügbar

Unter Signaturliste steht:

WPP Self-Signed sha1 Nicht verfügbar
WPP Self-Signed sha256 Nicht verfügbar

In dem Zertifikat selber steht sha512

Lösung:

Signieren des cab files mit dem neuen Zertifikat.

Als erstes habe ich dann in certlm für User erneut das neue Zertifikat inkl. private key importiert, sonst findet es signtool nicht. Man könnte aber auch das pfx mit signtool direkt angeben.

Der Befehl lautet dann

signtool sign /v /fd sha1 /tr http://timestamp.digicert.com /td sha1 /n "WPP Self-Signed" cabfile

signtool sign /v /as /fd sha256 /tr http://timestamp.digicert.com /td sha256 /n "WPP Self-Signed" cabfile

Es ist O365. Dann werde ich wohl alle Adressen als Verteilerlisten neu anlegen müssen.

Frag mich nicht was die da veranstalten.

Zu den Regeln habe ich nichts über Variablen gefunden d.h. zumindest %%To%% geht schon mal nicht

https://learn.microsoft.com/en-us/exchange/policy-and-compliance/mail-flow-rules/actions?view=exchserver-2019

lässt sich das auch nur auf bestimmte Adressen einschränken? Es geht um ein Postfach mit ca. 300x Alias

Wenn es die Empfängeradresse anzeigt an die ursprünglich gesendet wurde, anzeigt wäre schon damit geholfen.

Weiß der Geier warum es in Outlook nicht möglich ist, die Formel [SearchFromEmail] aber nicht [SearchToEmail] als Spalte hinzuzufügen.

Leider funktionert das Addin nicht bei freigegebenen Postfächern.

Über IMAP wird die eMail Adresse auch angezeigt, nur in Outlook eben nicht.

Ich schaue mal ob dieses Plugin reicht.

Hallo

Wenn man ein Postfach mit mehreren Alias Adressen hat, dann wird von Outlook nur der Name und nicht die eMail Adresse als Empfänger angezeigt.

Gibt es eine Möglichkeit das in Outlook anzuzeigen ohne Verteilergruppen zu benützen?

Ich habe darauf basierend getestet:

https://www.vboffice.net/en/developers/display-recipients-email-addresses/

Private WithEvents m_Inbox As Outlook.Items


Private Sub Application_Startup()
  Dim Session As Outlook.NameSpace
  Set Session = Application.Session
  
  Set m_Inbox = Session.GetDefaultFolder(olFolderInbox).Items
  
End Sub

Private Sub m_Inbox_ItemAdd(ByVal Item As Object)
  AddAddresses Item, False
End Sub


Private Sub AddAddresses(Item As Object, ByVal IsSentMail As Boolean)
  Dim Recipients As Outlook.Recipients
  Dim R As Outlook.Recipient
  Dim UserProps As Outlook.UserProperties
  Dim Prop As Outlook.UserProperty
  Dim Adr As String
  Dim FieldName As String
  
  
    FieldName = "RecipientAddress"
    Set Recipients = Item.Recipients
    For Each R In Recipients
      Adr = Adr & R.Address & "; "
    Next
    'If Len(Adr) Then
     ' Adr = Left$(Adr, Len(Adr) - 2)
    'End If
  
  
  If Len(Adr) Then
    Set UserProps = Item.UserProperties
    Set Prop = UserProps.Find(FieldName, True)
    If Prop Is Nothing Then
  
        Set Prop = UserProps.Add(FieldName, olKeywords, True)
  
    End If
    Prop.Value = Adr
    Item.Save
  End If
End Sub

aber alles was ich da erhalten habe war eine LDAP Adresse von Exchange: /o=ExchangeLabs/ou=Exchange Administrative Group .... die nicht die Mail Adresse enthält sondern nur einen CN vom Postfach.

Dagegen die From Adresse lässt sich recht einfach mit der Formel [SearchFromEmail] als Spalte anzeigen, nicht aber die Empfängeradresse.

Geht das nur durch Auswertung vom Header?

in anderen Foren ist es üblich alte Threads weiter zu führen um nicht die Suchergebnisse vollzumüllen.

Ich will von Teamviewer weg und Remotehilfe scheint von den Features auszureichen bis auf die Sache mit UAC.

Ist schon alt aber ich frage mich ob man heute sowas noch so verwenden sollte. 

Dieser abgedunkelte Bildschirm macht doch eigentlich nur Sinn wenn der User entsprechende (Admin)Rechte am PC hat oder? b***d wäre natürlich wenn ein nicht erlaubtes Script das Adminpwd hätte.

Vom Funktionsumfang täte die Remotehilfe voll reichen sofern man UAC abändert.

Bis jetzt reicht der einzelne User mit einer O365 Lizenz für die Vorgaben.

Ich habe die User in Azure als externen User erstellt. Wichtig ist das man dort User statt Gast auswählt.

Als Gast könnte man zwar Sharepoint benutzen aber nichts verwalten.

Wenn der User die Einladung annimmt sieht man das ExternalAzureAD dabei steht (ist wohl ein B2B User, der dann keine neue Lizenz benötigt).

Dann kann man mit dem zweiten Sharepoint ganz normal arbeiten und auch Adminrechte zuweisen.

Ich habe jetzt einen Admin User in dem zweiten Tenant angelegt und schaue grade nach Testlizenzen für O365 Basic. Vielleicht reicht das ja schon das der Sharepoint in dem zweiten Tenant erscheint.