xrated2

Könnte man die nicht einfach selbst signieren?

Na Super. Also über Registry kann man die wenigstens noch vollständig verbieten?

Offiziell nicht, siehe Kommentar dort

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen. btw. hier Seite 49 https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso? Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

OT: hat jemand Macros bei Non VL deaktivieren können? siehe https://www.windowspro.de/wolfgang-sommergut/makros-office-2016-2019-einschraenken-blockieren-gruppenrichtlinien

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt." Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU. Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

Hallo mit PRTG ist mir aufgefallen das die Errorcounts stetig steigen bei den vhdx Dateien im Virtual Storage Device Sensor. Ich habe herausgefunden das die WMI Abfrage wie folgt ist: SELECT Name, ReadBytesPersec, Timestamp_Perftime, Frequency_PerfTime , WriteBytesPersec, ErrorCount FROM Win32_PerfRawData_Counters_HyperVVirtualStorageDevice Könnt ihr das bitte mal im WMI Tester bei euren Servern unter Angabe des Controllers machen? Das Tool muss nicht installiert werden. https://www.de.paessler.com/tools/wmitester Es gibt sogar Fehler bei den ISO Dateien die angezeigt werden, scheint also nicht unbedingt Hyper-V spezifisch zu sein. Bei Remoteverbindung muss man evtl. noch eine Firewallrule aktivieren: Windows-Verwaltungsinstrumentation (WMI eingehend)

Hallo ich hatte letzthin etwas sehr merkwürdiges. Der DC und weitere Server laufen auf 2016 Hyper-V Core. Es ist ein Supermicro mit Quad Intel i210 NIC. Das Problem war das ein PC zeitweise den DC nicht erreichen konnte und damit meine ich das nicht mal der Ping funktionierte. Nach ein paar Minuten ging es dann wieder. Eine andere VM auf dem selben Hypervisor funktionierte dagegen die ganze Zeit. Dann ist mir eingefallen das das NIC Teaming besonders war. Ich hatte wie empfohlen Switch unabhängig und dynamisch eingestellt. Da ist mir aber irgendwann im Log der MAC Adress conflict aufgefallen. Siehe: https://social.technet.microsoft.com/wiki/contents/articles/31357.hyper-v-troubleshooting-mac-address-conflict-event-16945.aspx Unter Core kann man die MAC aber nicht so einfach ändern wie beschrieben, ich habe dann mit einem MAC Changer Tool die MAC geändert, allerdings nicht vom Team sondern vom Public Switch weil kein anderer Adapter angezeigt wurde. Könnte dies das Problem verursacht haben? Edit: Also das Problem der Nichterreichbarkeit lag an einem VPN Client, auf sowas muss man mal kommen.

Hatte ich auch schon mal verwendet aber da ich noch andere Policy dieser Art benutze wo ich dem User lokale Adminrechte je nach PC Name erteile, wäre es nicht schlecht wenn man bei einer Methode bleibt denke ich. gefährlich?

Hallo es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern. Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum. Die Einstellung: Gruppenname Administratoren (integriert) Beschreibung modified by nonadmin gpp Alle Mitgliederbenutzer löschen Aktiviert Alle Mitgliedergruppen löschen Deaktiviert Mitglieder hinzufügen BUILTIN\Administrator DOMAIN\IT-Helpdesk DOMAIN\helpdesk DOMAIN\Domänen-Admins Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Nein Nur einmalig anwenden Nein Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf. Weiß jemand wieso?

Das ist die Idee

Gibt es eigentlich wirklich keine Möglichkeit WSUS beizubringen das die Updates nur an einem bestimmten Standort runtergeladen werden?

Ich denke nicht

Bei mir werden überhaupt keine Vorlagen angezeigt. Wenns nicht geht dann entferne ich die Webrolle eben wieder.

//abgetrennt von: https://www.mcseboard.de/topic/203800-zertifikatvorlagen-am-certsrv-werden-nicht-angezeigt/ Habe dazu folgendes gefunden: Did you specify "LoadDefaultTemplates = 1" in your CAPolicy.inf file before installing and setting up the CA role? If not, you'll need to manually define your published templates using the Certificate Templates snap-in tool. CAPolicy.inf habe ich nicht. In der Zertifikatvorlagenkonsole (verwalten wählen bei Zertifizierungsstelle/Vorlagen) habe ich eine Vorlage dupliziert aber da taucht immer noch nichts im Webserver auf. Weiß jemand wie das geht? An den Userrechten sollte es nicht liegen, da als Administrator angemeldet.

Hallo leider gibt es keinen Exchange sondern nur einen ältere Kerio Mailserver der nur eine einzelne einheitliche Signatur unterstützt, es werden aber mehrere (ca. 10) benötigt, da in der Signatur auch ein Anschreiben als Vorlage untergebracht werden soll da die Vorlagen von Outlook in einem Drittprogramm nicht funktionieren. Mir fallen da gleich mehrere Varianten ein um dies umzusetzen: 1. Per Policy die Signaturdateien bei der Anmeldung auf den Client kopieren 2. Bei C:\Users\%username%\AppData\Roaming\Microsoft\Signatures einen Link auf den Server erstellen (link auf UNC geht aber glaube nicht?) 3. Tools wie OutlookSignature, ist aber recht aufwendig und könnte problematisch sein (Plugins allgemein) 4. Ordnerumleitung über Policy (aber das gäbe ja wieder nur individuelle Speicherorte) 5. Offlinedateien Ideen?

Ich kann bei meinem PC mit Enterprise den Appstore nach wie vor öffnen. Ist aber eh egal da die PCs um die es geht nur Pro haben. Abgeändertes Script was ich gefunden habe: # Functions Function WriteLog { [CmdletBinding()] param ( [Parameter(Mandatory=$TRUE)][ValidateNotNullOrEmpty()][string]$LogFile, [parameter(Mandatory=$TRUE)][ValidateNotNullOrEmpty()][string]$LineOfText ) try { Add-Content -Value "$(Get-Date) - $LineOfText" -LiteralPath $LogFile -ErrorAction Stop }Catch [System.Exception] { Write-Warning -Message "Unable to append log entry to $LogFile file" } } $LogFile = $env:windir+"\Logs\RemovedApps.log" # Get a list of all apps WriteLog -LogFile $LogFile -LineOfText "Starting built-in AppxPackage and AppxProvisioningPackage removal process" $AppArrayList = Get-AppxPackage -PackageTypeFilter Main | Select-Object -Property Name, PackageFullName | Sort-Object -Property Name # White list of appx packages to keep installed $WhiteListedApps = @( "1527c705-839a-4832-9118-54d4Bd6a0c89", "c5e2524a-ea46-4f67-841f-6a9465d9d515", "E2A4F912-2574-4A75-9BB0-0D023378592B", "F46D4000-FD22-4DB4-AC8E-4E1DDDE828FE", "InputApp", "Microsoft.AAD.BrokerPlugin", "Microsoft.AccountsControl", "Microsoft.AsyncTextService", #"Microsoft.BingNews", #"Microsoft.BingWeather" "Microsoft.BioEnrollment", "Microsoft.CredDialogHost", "Microsoft.DesktopAppInstaller", "Microsoft.ECApp", "Microsoft.GetHelp", "Microsoft.Getstarted", "Microsoft.HEIFImageExtension", "Microsoft.LanguageExperiencePackde-de", "Microsoft.LockApp", "Microsoft.MicrosoftEdge", "Microsoft.MicrosoftEdgeDevToolsClient", #"Microsoft.MicrosoftOfficeHub", #"Microsoft.MicrosoftSolitaireCollection", #"Microsoft.MixedReality.Portal", "Microsoft.Messaging", #"Microsoft.Microsoft3DViewer", "Microsoft.MicrosoftStickyNotes", "Microsoft.MSPaint", "Microsoft.Office.OneNote", "Microsoft.PPIProjection", #"Microsoft.ScreenSketch", "Microsoft.SkypeApp", "Microsoft.StorePurchaseApp", "Microsoft.VP9VideoExtensions", "Microsoft.WebMediaExtensions", "Microsoft.WebpImageExtension", "Microsoft.Win32WebViewHost", "Microsoft.Windows.Apprep.ChxApp", "Microsoft.Windows.AssignedAccessLockApp", #"Microsoft.Windows.CallingShellApp", "Microsoft.Windows.CapturePicker", "Microsoft.Windows.CloudExperienceHost", "Microsoft.Windows.ContentDeliveryManager", #"Microsoft.Windows.Cortana", "Microsoft.Windows.HolographicFirstRun", #"Microsoft.Windows.NarratorQuickStart", "Microsoft.Windows.OOBENetworkCaptivePortal", "Microsoft.Windows.OOBENetworkConnectionFlow", "Microsoft.Windows.ParentalControls", "Microsoft.Windows.PeopleExperienceHost", "Microsoft.Windows.Photos", "Microsoft.Windows.PinningConfirmationDialog", "Microsoft.Windows.SecHealthUI", "Microsoft.Windows.SecureAssessmentBrowser", "Microsoft.Windows.ShellExperienceHost", "Microsoft.Windows.StartMenuExperienceHost", "Microsoft.Windows.XGpuEjectDialog", "Microsoft.WindowsAlarms", "Microsoft.WindowsCalculator", "Microsoft.WindowsCamera", "microsoft.windowscommunicationsapps", "Microsoft.WindowsMaps", "Microsoft.WindowsSoundRecorder", "Microsoft.WindowsStore", "Microsoft.XboxIdentityProvider", "Microsoft.XboxGameCallableUI", #"Microsoft.Xbox.TCUI", #"Microsoft.XboxApp", "Microsoft.XboxGameCallableUI", #"Microsoft.XboxGameOverlay", #"Microsoft.XboxGamingOverlay", "Microsoft.XboxIdentityProvider", #"Microsoft.XboxSpeechToTextOverlay", #"Microsoft.YourPhone", "SonicWALL.MobileConnect", "Windows.CBSPreview", "windows.immersivecontrolpanel", "Windows.PrintDialog" ) # Loop through the list of appx packages foreach ($App in $AppArrayList) { # If application name not in appx package white list, remove AppxPackage and AppxProvisioningPackage if (($App.Name -in $WhiteListedApps)) { #WriteLog -LogFile $LogFile -LineOfText "Skipping excluded application package: $($App.Name)" } else { # Gather package names $AppPackageFullName = Get-AppxPackage -Name $App.Name | Select-Object -ExpandProperty PackageFullName $AppProvisioningPackageName = Get-AppxProvisionedPackage -Online | Where-Object { $_.DisplayName -like $App.Name } | Select-Object -ExpandProperty PackageName # Attempt to remove AppxPackage if ($AppPackageFullName -ne $null) { try { WriteLog -LogFile $LogFile -LineOfText "Removing application package: $($App.Name)" Remove-AppxPackage -Package $AppPackageFullName -ErrorAction Stop | Out-Null } catch [System.Exception] { WriteLog -LogFile $LogFile -LineOfText "Removing AppxPackage failed: $($_.Exception.Message)" } } else { WriteLog -LogFile $LogFile -LineOfText "Unable to locate AppxPackage for app: $($App.Name)" } # Attempt to remove AppxProvisioningPackage if ($AppProvisioningPackageName -ne $null) { try { WriteLog -LogFile $LogFile -LineOfText "Removing application provisioning package: $($AppProvisioningPackageName)" Remove-AppxProvisionedPackage -PackageName $AppProvisioningPackageName -Online -ErrorAction Stop | Out-Null } catch [System.Exception] { WriteLog -LogFile $LogFile -LineOfText "Removing AppxProvisioningPackage failed: $($_.Exception.Message)" } } else { WriteLog -LogFile $LogFile -LineOfText "Unable to locate AppxProvisioningPackage for app: $($App.Name)" } } } WriteLog -LogFile $LogFile -LineOfText "Removal process completed"

z.b. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore RemoveWindowsStore

Würde mich wundern wenn das über Registry ginge, habe ziemlich viel probiert. Die Policies gehen teilweise nicht mal unter Enterprise. Das einzige was bei mir funktioniert ist entweder Zugriff aufs Filesystem unter %programfiles%\WindowsApps\Microsoft.WindowsStore* blockieren um den Store komplett zu deaktivieren inkl. aller Apps oder ein Powershell Script mit einer Whitelist (Get-AppxPackage -PackageTypeFilter Main | Select-Object -Property Name, PackageFullName | Sort-Object -Property Name), welches alle anderen Apps entfernt. Da taucht dann SonicWALL.MobileConnect auf aber eben auch ca. 50 andere Apps von Windows. Nun bin ich mir nicht so sicher ob das eine gute Idee ist eine statische Whitelist anzulegen wenn da bei der nächsten Windows Version womöglich wieder Apps dazu kommen.

Tritt auch bei Rechnern mit einer einzelnen Festplatte oder SSD auf. Auch bei 0815 Neuinstallation von Windows.

Nein das sind alles völlig verschiedene Computer. Anwendungs- und Dienstprotokolle/Microsoft/Windows/Stordiag

Mir sind diese Fehler übrigens auch auf jedem Windows 10 PC aufgefallen, schon merkwürdig das man da keine näheren Gründe kennt

Sonicwall wird von einer Firma in Kanada verwaltet und wir dürfen da nur als User mit drauf. Die meinten eben das da nur die App möglich wäre. Die genauen Gründe sind mir nicht bekannt, kann gut sein das die zusätzlichen Support vermeiden wollen. Habe mal selber die Konfig Dateien der App und Vollversion verglichen, die sehen ziemlich verschieden aus. Vielleicht kennt sich ja hier jemand aus um zu sehen ob man das adaptieren kann. Darum geht es: https://www.microsoft.com/de-de/p/sonicwall-mobile-connect/9wzdncrdsfkz#activetab=pivot:overviewtab Ich dachte erst das ist eine normale SSTP Verbindung aber die Authentifizierung läuft über diese App. Und das scheint ja eigentlich nur für Handy & Co gedacht zu sein laut da: https://www.sonicwall.com/de-de/products/remote-access/vpn-clients/ Tja und bei 10 Professional konnte ich wirklich nichts finden das man Installationen aus dem Appstore verbieten kann, die Policies funktionieren allesamt nicht mehr seit den letzten Upgrades. Genauso wie man bei den normalen Office Versionen nicht mehr offiziell den Speicherort einschränken kann oder das dieser standardmäßig nicht in der Cloud ist.

Hallo leider gibt es einige Mitarbeiter die eine bestimmte App aus dem Appstore benötigen (Sonicwall VPN) und angeblich soll die Vollversion vom VPN Client nicht funktionieren. Am liebsten wäre mir es gäbe diesen Appstore gar nicht... Jetzt ist es aber so das es nicht gewünscht ist das die Mitarbeiter irgendwelche Apps installieren und nur diese eine benützen dürfen. Gibt es da keine Möglichkeiten dies einzugrenzen? Das einzige was funktioniert den Appstore komplett zu verbieten wenn man den Zugriff auf %programfiles%\WindowsApps\Microsoft.WindowsStore* verbietet per Policy aber dann geht eben gar nichts mehr. Es kann doch nicht angehen das man sich die Mühe macht um alles zu reglementieren und dann MS über den Appstore alles wie ein offenes Scheunentor freigibt. Ich bin tierisch angenervt weil MS alle paar Monate alles auf den Kopf stellt und funktionierende Policies dann nicht mehr funktionieren nur weil sie ihre Produkte beschneiden und einem Enterprise andrehen wollen.

Bin ich grad in Kontakt, bis jetzt erstmal das übliche mit allem was möglich ist updaten. Was bei Core auch kein Vergnügen ist. Die 545s Intel konnte man noch über eine Boot ISO updaten aber bei den Enterprise SSD geht das nur mit einem speziellen Tool unter Windows, was sich zum Glück auch installieren ließ. Offiziell gibts bei Core ja keine Grafik aber letztendlich gehen die meisten Sachen dann doch. Manchmal gibts auch Stordiag 500 oder 509. Und das kurioseste war das diese Fehler mal 3x hintereinander im exakt 4Std. Takt auftraten also die Minute war gleich. Wie soll man das denn rausfinden wenn es keine Stordiag Diagnose wie bei Windows 10 gibt?