xrated2

Von ISDecisions gibt es Fileaudit, damit kann man z.b. Masscopy überwachen und eMails verschicken oder ein Script starten. Gibt noch einige andere Programme die das können aber die gehören noch zu den günstigen.

kostenloses Hyper-V 2019 installieren und da drin dann die notwendigen VM

Hallo

bin grad am überlegen von OpenVPN auf die VPN Lösung von MS umzustellen damit die VPN Anmeldung simultan mit der Windows Anmeldung passiert und der Domänenserver immer erreichbar ist.

Ausserdem ist dann kein separater User notwendig (beim einbinden von AD User aus verschiedenen OU in OpenVPN hatte ich Probleme).

Erforderlich ist u.a. Split Tunneling und eigenes Subnet für die Clients. Wäre auch schön wenn man dem Client DNS Einstellungen mitgeben könnte, geht das überhaupt?

Wenn man unter Routing&RAS ein eigenes Subnet definiert kann man keine DHCP Optionen definieren.

Sowas wie Push DNS Einstellungen finde ich auch nicht. Muss man das alles im Client einstellen und via GPO ausrollen? Split Tunnel und DNS Einstellungen müssten ja im Netzwerkadapter einstellbar sein.

Bei einem extra Subnet für die VPN Clients, muss man dann auch wie bei OpenVPN eine Route am Router setzen? Das würde es schwierig machen in der Umstellphase beide Lösungen zu nutzen.

Beim Protokoll dachte ich an SSTP.

Es war unter Programme nicht mehr aufgeführt.

Das im Eventmanager nachzuforschen dürfte sehr mühselig sein weil der Zeitraum sehr groß ist.

Vielleicht hab ich Office wirklich vergessen zu kontrollieren, es war jedenfalls mit WPP ausgerollt und ist in WPP als installiert aufgeführt. Aber Teamviewer war 100% drauf.

Ohne Adminrechte und mit ausgeblendeten  Settings?

nein, wenn er zurückgesetzt gewesen wäre hätte er ja keinen Zugriff auf die Domäne mehr gehabt. Und dem User hätten auch die Rechte gefehlt.

Gibt es bei Windows VPN Server eigentlich auch eine Push DNS Einstellung wie bei OpenVPN was dann auf dem entsprechendem Adapter dem Client mitgegeben wird?

Also andere Programme waren noch da die ich über WPP installiert hatte

Hallo

ich hatte heute etwas merkwürdiges. Es geht um ein W10 Notebook das ich in der Firma komplett eingerichtet habe mit Office, Teamviewer, OpenVPN etc.

Der User hat keine Adminrechte aber einen Domänenuser.

Allerdings wird es ausschließlich aus dem Ausland genutzt und Verbindung zum DC gibt es nur wenn OpenVPN aufgebaut ist. 

Dann sah ich als das Gerät im Ausland benutzt wurde das Teamviewer und Office 365 nicht mehr installiert waren. Beides hatte ich über WPP installiert. Im Log sieht man sogar noch das Teamviewer installiert wurde. Laut User fehlten die Programme von Anfang an. Die Installation vom Gerät war auch schon etliche Wochen her.

OpenVPN ging auch nicht weil der User nicht mehr in der "OpenVPN Administrators" Gruppe war. Habe die Vermutung das die auch nur funktioniert ist wenn der DC erreichbar ist wegen entsprechender Fehlermeldung (DC nicht erreichbar) bei auflisten der Gruppe über cmd.

Verbindung zum DC über VPN ging daher auch noch nie und hatte schon selbst Probleme reinzukommen, nur lokaler Administrator auf dem PC ging noch weil DC nicht erreichbar. Musste dem User das Administrator PW sagen um Teamviewer zu installieren. Dies wird alle 2 Wochen durch LAPS geändert.

Hat jemand eine Idee warum die Programme verschwunden sind?

OpenVPN die Einwahl funktioniert ja leider erst nach der Windows Anmeldung. Haltet ihr es für Essentiell in der Konstellation wenn die VPN Anmeldung zusammen mit der Windows Anmeldung z.B. über Windows VPN Server erfolgt? Mit OpenVPN geht das ja glaube leider nicht.

Eine synchrone Windowsanmeldung ist nicht aktiv, sonst könnte man sich ja gar nicht anmelden.

Das fatale ist ja das man ohne VPN sich nicht mit administrativen Domänenbenutzer anmelden konnte. Es gingen auch solche nicht die schon einmal angemeldet waren. Aber der User selbst konnte sich noch anmelden mit seinem Domänenuser.

Ich hatte teilweise das Gefühl mich schon selbst ausgesperrt zu haben. Das LAPS Passwort war auch schon abgelaufen aber der PC hatte noch das alte. Zum Glück war lokal beim User never expire aktiv.

https://www.drwindows.de/news/keine-gratis-lizenzen-mehr-fuer-microsoft-partner

https://www.it-business.de/2-update-microsoft-streicht-gratislizenzen-fuer-partner-microsoft-rudert-zurueck-a-845092/

Laut 2. Link soll MS ja wieder zurückgerudert haben, fragt sich wie lange.

Der allgemeine Verlauf ist ja schon beachtlich.

Irgendwann gibts gar keine Partner mehr und MS regelt alles selbst über die Cloud und verfügt über alle Daten weil es keine Onpremise Server mehr gibt.

Da fehlt dann nur noch ein Crash bei MS und die Wirtschaft steht.

Ah verstehe, wo soll ich die Dateien ablegen? Im Moment gibt es noch keinen Fileserver im AD.

Ich dachte unter NETLOGON soll alles rein was mit Anmeldung und Skripts zu tun hat.

Hallo

ich habe eine GPP die Dateien von einem Folder im Netlogon Share auf den Client kopiert.

Das funktioniert soweit, nur ist es so das ich nicht möchte das alle User auf diese Dateien zugreifen können.

Deswegen habe ich in diesem Folder bei den NTFS Berechtigungen die Gruppe Authentifizierte Benutzer eingeschränkt in dem ich eine Bedingung hinzugefügt habe, die so aussieht:

Benutzer - Gruppe - Mitglied von allen Elementen - Wert - Name der Gruppe

Wenn der User (der natürlich Mitglied der Gruppe ist) angemeldet ist kann ich im Explorer weiterhin auf die Dateien zugreifen, nur funktioniert die Policy leider nicht mehr. Was hab ich da falsch gemacht?

ok, egal 

hab jetzt eine Policy mit BITS Limit in der Geschwindigkeit erstellt welche mit WMI Filter nur für VPN Clients gilt. Praktischerweise kann man da sogar 2 verschiedene Limits je nach Zeit angeben.

Und 2 Policies mit mit Downloadmode 3 oder 100, je nachdem in welcher OU der Client steckt. Bei 3 gibts ja kein BITS, ich hoffe das da die Updates wirklich von Peers und nicht vom WSUS runtergeladen werden.

Ich verstehe die Logik von MS nicht. Der Patch ist im WSUS doch eigentlich sprachunabhängig freigegeben, nur runterladen tut er bestimmte Sprachen die man einstellt. Und der Client geht dann her und fragt den WSUS ob er nicht nur der Patch freigegeben ist, sondern ob er auch auf WSUS runtergeladen ist und lädt ihn dann bei Mode 3 letztendlich irgendwo aus dem Netz?

Wie oben beschrieben hört sich das aber so an das die Clients im Downloadmodus 3 den WSUS fragen was freigegeben ist aber dann direkt als erstes versuchen die Patches von peers im Internet zu ziehen.

Also bei englischen Clients einfach Downloadmodus auf 3 und der kann sich die selbst aus dem Netz ziehen?

Was ist eigentlich wenn bei einem deutschen OS nachträglich Englisch hinzugefügt wird, braucht der dann deutsche oder englische Patches? Hilft mir da eine OSLanguage Abfrage via WMI?

Hier mal 2 Abfragen für die Ermittlung von VPN und Nicht deutscher Sprache:

Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND Destination Like '192.168.200.%') 
Select * FROM Win32_OperatingSystem WHERE Not OSLanguage='1031'

https://blogs.technet.microsoft.com/mniehaus/2016/08/16/windows-10-delivery-optimization-and-wsus-take-2/

So let’s assume we have a Windows 10 1511 or Windows 10 1607 PC configured to talk to WSUS, and it checks for updates.  What happens?  Here’s the basic flow with the default settings:

-The PC talks to WSUS to determine what updates are needed.

-For each needed update, the PC checks with the Delivery Optimization service (on the internet) to find any applicable peer PCs that already have the needed content.

-If peers are available,, the PC will try to get the content from the peers.

-If some or all of the content isn’t available from a peer, or if no peers are available, the remainder will be retrieved from WSUS.

Ist das bei 1903 immer noch der Fall mit Downloadmodus auf 3? Das ist ja genau das was ich brauche für solche "Offshore" Clients.

Was passiert eigentlich bei englischen Clients im LAN (also in der Zentrale mit dem WSUS) wenn Downloadmodus auf 100 ist und auf WSUS nur deutsche Updates runtergeladen werden? Bekommt der gar kein Update? Das sind aktuell nur 2 PCs und das lohnt sich ja gar nicht die englischen Updates auf WSUS runterzuladen.

Achso, dann hatte ich schon wieder einen Denkfehler. Dachte das wegen der WMI Abfrage das der Client erst erneut ziehen muss. Werd wohl langsam zu alt dafür 

Wenn die GPO erst nach 1-2Std. aktualisiert ist hat der PC die Updates vielleicht schon mit voller Geschwindigkeit gezogen.

Hab mal geschaut, als Installationszeitpunkt für Updates habe ich Freitag 12:00 festgelegt, wenn man davon ausgeht das die Leute nicht erst Mittags zum arbeiten anfangen müsste das wohl so ok gehen.

Dann werde ich das mal auf 1mbit/s drosseln, danke soweit.

Ja das ist momentan der einzige Client (von insgesamt 2) im Ausland der neu ausgerollt wird, deswegen.

Das mit der WMI Abfrage ist interessant.

Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen. 

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt.

Zweiter WSUS wäre zuviel Aufwand.

So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

vor 12 Minuten schrieb lefg:

Bei uns heiss es, der Soldat kann gar nicht so dumm denken wie es kommen kann. Tscha

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders.

Es wäre gut wenn man das alles zentral steuern kann, gerade hinsichtlich GPO. Gibt einige Sachen die blockiert werden sollen. Verwaltung über Teamviewer ist ätzend.

ok, siehst du denn Gründe die dagegen sprechen den ins AD aufzunehmen wenn er den DC nur über VPN sieht?

Die "normalen" GPO müssten ja im Background alle x Std. ausgeführt werden.

Hallo

wenn jetzt ein MA ausschließlich im Ausland arbeitet und nie in der Zentrale ist wo das Active Directory ist, frage ich mich gerade ob es Sinn macht das Windows 10 Gerät ins AD aufzunehmen. VPN läuft über OpenVPN also ist beim anmelden kein DC erreichbar. Dann funktionieren doch schon mal einige Policies (GPP, Loginscript, Netzlaufwerke, Drucker ?) nicht so wie ich verstanden habe, richtig? 

Macht das mit AD Mitgliedschaft Sinn oder nicht? Gehen dann nur die genannten Features nicht?

Eine synchrone Anmeldung wird bei allen Clients nicht forciert.

Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe:

https://theitbros.com/active-directory-cached-credentials/

Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet? Oder wird immer nur der älteste Login überschrieben?

Danke da hatte ich einen Denkknoten. Also hab ich den jetzt einfach manuell in die RDP Gruppe gesteckt. Im AD hat er User und Gruppenverwaltungsrechte in einer bestimmten OU.