xrated2

Ist 3min über VPN normal mit 100 Policies? Internet schwankt mal wieder stark.

über gpsvc? das dauert im LAN 4,5min, ist nicht ganz so einfach zu entziffern das Log Ist das ein Problem mit einer CSE? Hier ein Auszug wo eine Lücke zwischen 13:39 und 13:41 ist: GPSVC(2ca8.778) 13:39:33:359 ProcessGPOs(User): Processing extension {FC491EF1-C4AA-4CE1-B329-414B101DB823} GPSVC(2ca8.778) 13:39:33:360 ReadGPOList:++ GPSVC(2ca8.778) 13:39:33:360 CheckGPOs: ReadGPOList count = 0 GPSVC(2ca8.778) 13:39:33:361 CompareGPOLists: The lists are the same. GPSVC(2ca8.778) 13:39:33:361 CheckGPOs: No GPO changes but couldn't read extension {FC491EF1-C4AA-4CE1-B329-414B101DB823}'s status or policy time. GPSVC(2ca8.778) 13:39:33:361 ProcessGPOs(User): Extension {FC491EF1-C4AA-4CE1-B329-414B101DB823} skipped with flags 0x110056. GPSVC(2ca8.778) 13:39:33:362 GetFgPolicySettingImpl (bSync: 0) GPSVC(2ca8.778) 13:39:33:362 ProcessGPOs(User): Policies changed - checking if UBPM trigger events need to be fired GPSVC(2ca8.778) 13:39:33:363 CheckAndFireGPTriggerEvent: Fired Policy present UBPM trigger event for User. GPSVC(2ca8.778) 13:39:33:368 OnPolicyApplicationComplete: Application complete with bConnectivityFailure = 0. GPSVC(2ca8.778) 13:39:33:369 OnPolicyApplicationComplete: Signalling 1 Refresh Policy callers GPSVC(2ca8.2b28) 13:39:33:369 CGroupPolicySession::RefreshGroupPolicyForPrincipal: Completed WaitForSingleObject. GPSVC(2ca8.32c0) 13:39:33:369 Launching user process : CommandLine is <gpscript.exe /RefreshSystemParam> in session 2 GPSVC(2ca8.778) 13:39:33:370 Passive Network deactivated. GPSVC(2ca8.32c0) 13:39:33:370 IsSecureCachingDisabled: secureCachingState = 2. GPSVC(2ca8.778) 13:39:33:371 UpdateWNFTrigger called : bMachine = 0, bEnableWNFTRigger = 0 GPSVC(2ca8.778) 13:39:33:372 StartTaskScheduler status: 0x0 GPSVC(2ca8.778) 13:39:33:377 UpdateWNFTrigger has 2 triggers to process. GPSVC(2ca8.778) 13:39:33:384 UpdateWNFTrigger succeeded. GPSVC(2ca8.778) 13:39:33:385 GPOThread(User): Waiting 0. GPSVC(2644.3180) 13:39:33:392 UpdateUser found no desktop changes. GPSVC(2ca8.32c0) 13:39:33:376 Broadcast message for 0. GPSVC(2ca8.32c0) 13:39:33:591 User Broadcast Sent successfully to session 2 GPSVC(2ca8.32c0) 13:39:33:592 PolicyChangedThread: Leaving GPSVC(2ca8.2b28) 13:41:32:944 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:945 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:946 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:946 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:947 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:947 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:948 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:948 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:950 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:950 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:951 Deleting machine GPSVC(2ca8.2b28) 13:41:32:953 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:954 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:954 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:955 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:955 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:955 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:956 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:956 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:958 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:959 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:959 Deleting machine GPSVC(2ca8.2b28) 13:41:32:963 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:963 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:964 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:964 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:964 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:965 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:965 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:966 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:968 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:968 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:969 Deleting machine GPSVC(2ca8.2b28) 13:41:32:971 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:972 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:972 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:973 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:973 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:974 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:974 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:974 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:976 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:977 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:977 Deleting machine GPSVC(2ca8.2b28) 13:41:32:981 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:981 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:982 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:982 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:983 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:983 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:983 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:984 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:986 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:986 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:987 Deleting machine GPSVC(2ca8.2b28) 13:41:32:989 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.2b28) 13:41:32:990 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.2b28) 13:41:32:990 Number of readers in the list = 1 GPSVC(2ca8.2b28) 13:41:32:990 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.2b28) 13:41:32:991 CGPUserCollection::RWUnlock called GPSVC(2ca8.2b28) 13:41:32:991 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:992 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.2b28) 13:41:32:992 bMachine = 1 GPSVC(2ca8.2b28) 13:41:32:994 Setting lock state as notLocked GPSVC(2ca8.2b28) 13:41:32:995 CPolicyCriticalSectionCollection: Deleting critical section for UserSid <(null)> GPSVC(2ca8.2b28) 13:41:32:995 Deleting machine GPSVC(2ca8.1c48) 13:42:25:660 CGPApplicationService::IsALockInPlace. GPSVC(2ca8.1c48) 13:42:25:661 CPolicyCriticalSectionCollection: Calling IsALockInPlace GPSVC(2ca8.1c48) 13:42:25:662 CGPApplicationService::IsPolicyProcessingOnAnyThread. GPSVC(2ca8.1c48) 13:42:25:663 CGPUserCollection::RWLock Lock Called to acquire READ Lock GPSVC(2ca8.1c48) 13:42:25:664 CGPUserCollection::Adding reader to Reader list GPSVC(2ca8.1c48) 13:42:25:665 Number of readers in the list = 1 GPSVC(2ca8.1c48) 13:42:25:666 CGPUserCollection::RWLock Lock taken successfully with status 0x0 GPSVC(2ca8.1c48) 13:42:25:667 PolicyApplicationState is False. GPSVC(2ca8.1c48) 13:42:25:668 AsyncThreadsProcessing is False. GPSVC(2ca8.1c48) 13:42:25:669 PolicyApplicationState is False. GPSVC(2ca8.1c48) 13:42:25:670 AsyncThreadsProcessing is False. GPSVC(2ca8.1c48) 13:42:25:671 CGPUserCollection::RWUnlock called GPSVC(2ca8.1c48) 13:42:25:672 Setting lock state as notLocked GPSVC(2ca8.1c48) 13:42:25:673 CGPUserCollection::RWUnlock exited with 0x0 GPSVC(2ca8.1c48) 13:42:25:674 CGPApplicationService::IsAnEventProcessing. GPSVC(2ca8.1c48) 13:42:25:675 CGPRPCServerBase::TryIdleStop trying to stop RPC server GPSVC(2ca8.1c48) 13:42:25:676 CGPService::IsServiceIdle: RPC Server not idle or no RPC calls have been handled yet. GPSVC(2ca8.1c48) 13:42:25:679 ServiceIdleTimerCallback: Service is busy; not stopping.

mit gpresult? Da steht leider nicht drin wie lange jede einzelne GPO läuft. Großartig kopiert wird da auch nichts aber es sind an die 100 GPOs, hauptsächlich Beschränkungen in Windows und für jedes Programm das via WPP verteilt wird.

Mit 20ms könnte ich leben. Liegt es dann an den vielen Policies? Über VPN wartet man da nach gpupdate gut 15min.

select * from Win32_OperatingSystem where ((Version >= "10.0.22000") and (ProductType="1")) An OU dachte ich auch schon aber da müsste man auch immer jede GPO doppelt verlinken und davon gibts sehr viele weil auch u.a. WPP via GPO gesteuert ist. Bei allen Policies geht auch das: https://forsenergy.com/de-de/gpedit/html/277c2b6e-3957-4974-b150-9ba0e5a8ea12.htm Jedoch ist da noch kein Win11 in der Liste. Da bin ich nun leider darauf gestoßen: https://www.windowspro.de/wolfgang-sommergut/admx-fuer-windows-11-windows-10-central-store Das ist ja nachdem ich den Teams Zwang entdeckt habe, auch nicht erfreulich.

Zwischen 10 und 11 gibt es doch einige Unterschiede und bei beiden OS lässt sich leider nicht die selbe GPO verwenden. win11 hide:activation;appsforwebsites;backup;developers;emailandaccounts;optionalfeatures;recovery; troubleshoot;network-proxy;network-dialup;remotedesktop;crossdevice;storagesense;storagepolicies;clipboard;workplace; findmydevice;mobile-devices; network-mobilehotspot; signinoptions win10 hide:activation;appsforwebsites;backup;developers;emailandaccounts;optionalfeatures;recovery; windowsinsider; troubleshoot;network-proxy;network-dialup;remotedesktop;crossdevice;storagesense;storagepolicies;clipboard;workplace; otherusers;datausage; findmydevice;mobile-devices; network-directaccess; network-mobilehotspot; extras; signinoptions Habe 2 Policies erstellt und per WMI filter zugewiesen, der allerdings, so vermute ich die Ausführungszeiten massiv erhöht. Gibts da noch Alternativen ohne das manuell über Rechte (Delegierung) zu steuern?

Bietet Ionos leider nicht an und der RSA fehlt auf deren Server. Selbst wenn die das anbieten weiß ich aber immer noch nicht ob das mit 2 verschiedenen Mailservern funktioniert weil es dann mehrere DNS Einträge für DKIM gibt.

Hallo es geht darum, die Domain (DNS) läuft bei Ionos und die meisten Mails werden über O365 verschickt. Es gibt aber auch einige IMAP Postfächer bei Ionos selber, dass ist so weil es irre viele sind. Ionos selber unterstützt kein DKIM aber O365 tut dies. Jetzt hab ich mal DKIM für O365 gesetzt samt passenden DMARC mit p=none. Täglich kommt von Google ein Statusreport (wieso von Google, was haben die damit zu tun?) das bei O365 alles richtig ist aber die Mails von Ionos unter quarantine landen z.B. <count>1</count> -<policy_evaluated> <disposition>quarantine</disposition> <dkim>fail</dkim> <spf>fail</spf> </policy_evaluated> <domain>mout-bounce.kundenserver.de</domain> Und warum ist da SPF auch noch fail? Laut Provider wäre der korrekt: v=spf1 include:spf.protection.outlook.com include:_spf.perfora.net include:_spf.kundenserver.de ~all Und was ist von der Antwort hier zu halten das Mischbetrieb bei DKIM möglich wäre mit DMARC p=none: https://serverfault.com/questions/1015237/how-does-dkim-work-when-sending-emails-from-multiple-sources-servers Benötigt DMARC funktionierendes DKIM und SPF oder geht auch nur eins von beiden? Und was ist wenn bei den Mails von O365 zwar im Header FROM die richtige Domain steht aber dann von firma.onmicrosoft.com verschickt werden?

Ich dachte immer das betrifft denjenigen der sich auf das jeweilige Gerät schaltet und nicht den Host selber.

wie bereits erwähnt ist es die kostenlose Teamviewer Version, da gibts sowas nicht Teamviewer wird derzeit über WPP mit dem Parameter /s ausgerollt, die Settings dann über GPO konfiguriert

USB Kabel ersetzen?

tvopt file via exe Installation gibts also auch nicht?

Dieses Secret müsste ja dann irgendwo im TV Code stehen.

Wie kommst du auf den Link? TV arbeitet ja ganz normal mit reg files. In früheren Versionen ging das wohl noch, bleibt heute nur noch das erneute ausrollen der Software wenn man die Passwörter geändert hat? Die beziehen sich auch noch auf MSI Files, die man in der kostenlose Variante auch nicht mal bekommt.

Ich finde bei Teamviewer nur Anleitungen wie man das Passwort über eine Neuinstallation des Clients mittels export/import von tvopt festlegt. Ich möchte das aber zentral und jederzeit über GPO ändern. Zudem aktualisiert sich Teamviewer sowieso von selber, wieso soll ich das dann nochmal ausrollen? Nun habe ich zuerst PermanentPasswort aus der Registry von einem PC zum anderen PC übertragen, leider funktionierte das Passwort dann nicht mehr. Wenn man die Settings exportiert, kann man das Passwort ja nochmal extra eingeben, es erscheint dann in der Datei unter: [HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer\Temp] "SecurityPasswordExported" Dadurch das die Passwörter immer anders encodiert erscheinen, weiß ich nicht ob man das dann unter PermanentPasswort eintragen könnte. Hat da jemand Erfahrung mit?

nein, an wen hast du denn da gedacht?

Vor allem wirft MS auch noch mit verschiedenen Begriffen um sich, die teilweise noch veraltet oder ausgetauscht wurden und die Lizenzierung ist der reinste Alptraum. Beratung wäre gut aber ich glaube nicht das die jemand im Detail macht ohne das ganze Projekt durchzuführen. Die ganzen Fragen kommen vor allem auch daher weil ich nicht mal die richtige Lizenz habe um diese ganzen Features auszuprobieren. Aber wenn ich den richtigen Weg wüsste könnte man sich da schon reinarbeiten.

Bei den automatischen Labels widersprechen sich die Aussagen, MS schreibt das E5 oder ähnlich erforderlich ist aber ich habe auch Screenshots gesehen wo der AzInfoProtection_UL reichen würde. Dann steht geschrieben das wenn bei Einsatz von Labels die Dateien verschlüsselt werden, man kein DLP mehr mit Inhaltssuche durchführen könne. Und ohne Verschlüsselung machen die Labels ja keinen Sinn oder? Was AzureAD angeht, in gewisser Weise gibts das ja schon durch die ganzen Office 365 User oder braucht man dazu auch noch die Endgeräte im Azure AD? Geht das alternativ auch über Defender Endpoint (Device Onboarding in DLP)? Habe jetzt konkret die Anforderung das es um einen bestimmten Folder geht mit Firmenknow was in XLS steckt. Das könnte man ja mit DLP und Suche nach bestimmten Formelbestandteilen oder RegEx abfangen das sowas nicht an die Öffentlichkeit gelangt. Dann gibts im selben Ordner aber noch Daten in allen möglichen Formaten und Inhalten die von anderen Firmen und allen möglichen Mitarbeitern gespeichert werden und die nur an die Firma rausgeschickt werden dürfen von der sie stammen. Ich sehe nicht wie man das automatisch machen sollte ausser das der Chef jede einzelne Freigabe abnicken muss. In Sharepoint lässt sich glaube ich auch nicht einstellen das ein bestimmter Ordner nur an ganz bestimmte externe Leute geteilt wird, da gibts nur bestehende Gäste oder alle Gäste.

Von ISDecisions gibt es ein Tool wo man z.B. erkennt wenn ein MA massenhaft Dateien löscht, kopiert oder was auch immer. Bei MS ist das deutlich komplizierter als ich dachte, neben DLP wo man in den Dateien gezielt nach Patterns sucht gibt es noch Sensitivity labels (was darf der User damit tun) und WIP App-Schutzrichtlinien (welche Apps dürfen zugreifen). Setzt von Euch jemand sowas ein? Muss man dann bei diesen Labels jede einzelne Datei von Hand einstellen oder wie geht das? Ist bei der Sache zwingend Azure AD erforderlich? Es wird im Moment nur OnPremise AD eingesetzt.

Moin ein riesen Problem ist z.B. das in der Vergangenheit MA ausgeschieden sind und dann Daten inkl Kunden zu Konkurrenzfirmen mitgenommen haben. Das kam sogar schon mehrmals vor. Da laut Chef anscheinend eine einzelne Datei schon kritisch ist, reichen Zugriffsberechtigungen wohl nicht und sehe bis jetzt nur Sharepoint + DLP und evtl. noch AdminDroid als Lösung. Was ich bis jetzt rausgefunden habe ist wohl auch O365 Business Premium + Compliance Addon möglich. O365 Defender oder Azure AD scheint man wohl auch zu brauchen um die Geräte zu überwachen. Macht da MS selber eigentlich auch Beratung oder verkaufen die nur?

Hallo es geht um eine Firma die stark gewachsen ist (30-40 MA) und die Dateien alle auf einem QNAP Nas liegen. Das Problem ist das es gewisse Ordner mit schützenswerten Daten gibt, die im Falle von Ausscheiden diverser Mitarbeiter zu Konkurrenzfirmen auch schon mal abhanden gekommen sind. Noch viel größeres Problem ist das jeder MA auf alle Kundendaten zugreifen darf, weil für jeden einzelnen Kunden völlig unterschiedliche MA zuständig sind hat bis jetzt aus Zeitmangel niemand Zugriffsberechtigungen gesetzt. In dem NAS gibts nur die Möglichkeit alle Dateizugriffe täglich in ein csv zu exportieren was nicht sehr praxisgerecht ist. Ausserdem gibt es mit dem NAS einen Single Point of Failure und da sowieso fast alle MA von Remote arbeiten, dachte ich an Sharepoint als Ersatz. Wenn man da die Klassifizierung über Compliance Center (DLP) für gewisse Ordner/Dateien bräuchte, damit der User die Datei z.B. nur öffnen und speichern aber nicht kopieren, drucken oder wo anders hochladen darf, dann bräuchte jeder User mindestens eine Office E5 Lizenz, richtig? Oder auch AzureAD? Lässt sich sowas überhaupt praxisgerecht implementieren wenn z.b. mit Exceldateien gearbeitet wird? Copy&Paste ins andere Dokument wird ja dann auch nicht mehr funktionieren. Dann habe ich noch bei Sharepoint gesehen gibt es so Sachen wie Admindroid um z.B. zu sehen wenn jemand größere Dateimengen kopiert. Aber einzelne Dateien fallen da nicht auf, nur wenn man gezielt sucht. Mit welchen Lösungen lässt sich Datenklau verhindern? Gibt es andere Lösungen ausser Sharepoint +DLP die in Frage kommen würden? Das Problem ist doch schon mal das jeder alles sieht oder?

Bringt vielleicht ein zweiter Domänenuser mit lokalen Adminrechten was wenn man denen ein Loginscript zuweist wo ein Logout ausgeführt wird. Aber das macht es auch nicht sicherer.

Hallo ist das richtig das man bei Teams das Filesharing nicht extra unterbinden kann bei Kommunikation z.B. Besprechung mit externen Usern? Ich hätte gern das Filesharing nur intern erlaubt ist. Geht das nur mit Dataloss Protection? Hat das schon mal jemand extra gebucht pro User z.B. bei einer Office E3 Lizenz? Dort kann man ja z.b. bestimmte Dateiendungen blockieren sowie "Restrict access to content for people outside the organization". Oder Dateien je nach Klassifizierung von FCI sperren. Ist es möglich das nur externe User Dateien hochladen? Habe dazu nichts gefunden.

Gut, dann kann man sich wenigstens das rumgemurkse mit dem Machinewide Installer sparen. Da ging nämlich das Outlook Addin nicht. Wo ich mir noch nicht sichern bin ob bei der Umstellung von O365 Home auf Business das nachinstalliert wird, wenn man die Lizenz ändert oder ob man Office neu installieren muss.

Wenn man Office 365 Business oder Enterprise als CTR über das ODT installiert, wird da eigentlich Teams automatisch mitinstalliert?