xrated2

Hatte das Thema auch, es werden sämtliche Accounts mitgezielt inkl. Administrator etc.

Was nicht gezählt wird sind deaktivierte User.

Es gibt keine Möglichkeit User bei den Lizenzen rauszunehmen so wie bei den Vorgängerversionen.

https://social.technet.microsoft.com/Forums/en-US/f844451a-5bd2-4cbe-a031-86fe514ffabc/server-2019-essentials-user-licensing-limitation?forum=ws16essentials

Was sich MS in letzter Zeit alles rausnimmt ist bodenlos.

Nachträglich umstellen kanns der User aber auch unabhängig von der Einstellung oder?

Genau da hatte ich es ja eingestellt aber der User hats trotzdem umgestellt.

vor 59 Minuten schrieb MurdocX:

 

@xrated2 du meinst diesen Dialog?

Ja genau das! "Benachrichtigung anzeigen" meint das andere Bild oder?

Du wirfst mir ja vor etwas "wild" zu konfigurieren aber dann wird etwas vorgeschlagen was noch viel wilder ist.

Die Sprache über "Einstellungen" hinzufügen da hatte ich kein Problem zumindest unter 1809.

Oder man extrahiert sich über Fiddler die entsprechende Sprache als appx und kann das dann über install-appxpackage installieren.

Bin noch nicht dahinter gekommen wie man mit WPP ein appx installiert, denn die werden ja als User und nicht als System installiert. Auch die Abfrage ob die App installiert ist, ist nicht ganz einfach.

Ich werde bestimmt nicht alle Inbound Regeln ändern wenn du das meinst

Wo genau?

Wenn in öffentlichen Netzen wie z.B. Flughafen nicht alles offen sein sollte.

Scheint wohl eher zielführend zu sein die User aufzuklären was sie verwenden sollen.

vor 6 Stunden schrieb MurdocX:

Wenn du diese dementsprechend konfigurierst, kann Dir "Privat" oder "Öffentlich" (oder Domäne) vollkommen egal sein  

Das halte ich für keine gute Idee

Hier noch ein besseres Script

$vpnname = "bla"

$vpn = Get-VpnConnection | where {$_.Name -eq $vpnname}
if ($vpn.ConnectionStatus -eq $null)
        {
            write-output "VPN Connection $vpnname doesnt exist!"
            Exit
        }

while ($true)
        {   
            $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname}
            if ($vpn.ConnectionStatus -eq "Disconnected")
                {
                    $processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue
                    if($processactive -eq $null)
                        {
                            $cmd = $env:WINDIR + "\System32\rasphone.exe"
                            $expression = "$cmd -d $vpnname"
                            Invoke-Expression -Command $expression 
                        }
                }
            
            start-sleep -seconds 5
        }

Man kann in der VPN Verbindung sogar nachträglich einen Autologin einschalten und der ist in der rasphone.pbk als Autologon Parameter aber bei der Erzeugung der Verbindung über Powershell kann man den leider nicht setzen.

Hallo

es geht darum wenn ein PC in ein neues Netz gehängt wird hat der User die Wahl ob es Privat oder Öffentlich sein muss. Dummerweise klicken da einige auf Öffentlich und die seltsamsten Probleme tauchen auf.

Ich habe eine GPO unter Computer\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerklisten-Manager-Richtlinien

Nicht-identifizierte Netzwerke: Privat, Benutzer kann Ort nicht ändern

Netzwerke werden identifiziert: Privat

Trotzdem hatte ich bei einem neuen PC schon wieder das Problem. Mir ist aufgefallen das wenn man die GPO nicht explizit öffnet sondern unter Einstellungen schaut, stehen da RegKeys.

Geht das allgemein nicht oder spinnt die Policy? 1903 habe ich schon hochgeladen nach SYSVOL. 

Auf der anderen Seite, wenn jemand ein öffentliches Netz nutzt sollte er vielleicht die Möglichkeit haben zum umstellen. Aber das Netz daheim mit VPN sollte eben Privat sein.

vor 3 Stunden schrieb FocusName:

 

- nach neustart und gpupdate /force soll ich neustarten aber danach ist die schriftart weiterhin nicht im FONTS ordner installiert.

 

Dauert manchmal einfach ein wenig, hatte ich auch schon oft

Hallo

ich habe eine GPO und weil es nur einen User gibt der diese nicht bekommen soll habe einen WMI Filter erstellt um nicht noch eine Gruppe erstellen zu müssen.

Mir ist klar das die WMI Filter Performance kosten aber ich habe bis jetzt nur 2 Filter.

Es handelt sich um eine GPO für den Benutzer wo Schreibzugriff auf USB verhindert wird. 

Im WMI Filter habe ich:

SELECT * from Win32_ComputerSystem WHERE NOT UserName LIKE 'domain\\user'

Kann das sein das die nicht geht weil die GPO mit "System" ausgeführt wird oder ist da ein Fehler drin?

Auf meinem PC (ohne Domain) scheint die Abfrage mit Paessler WMI Tester zu funktionieren wenn ich den Computernamen statt Domain angebe.

Mit "als Pfad kopieren" bekommt man keinen anklickbaren Link

Es gibt zwar Laufwerkmappings aber etliche User wollen einen UNC Pfad pfad für Outlook den sie dann einen Kollegen schicken. Und mit Laufwerksbuchstaben macht Outlook keinen Link daraus. Nun könnte man aber das manuell im Explorer reinpasten aber das ist wohl schon zuviel Arbeit.

Und auf der anderen Seite habe ich schon einige Anwendungen gesehen die nicht mit Laufwerkmappings zurechtkommen. Wenn man z.B. Bitlocker aktiviert kann man den Schlüssel nicht auf ein Netzwerklaufwerk speichern.

Prinzipiell läuft das ganze jetzt.

Habe mich nur gefragt wie man denn die Netzwerkumgebung über VPN nutzen kann, weil ist ja anderes Subnet.

WINS ?

vor 3 Stunden schrieb Nobbyaushb:

Ich würde heute, wenn ich die Wahl hätte, nicht wieder in die IT gehen

Seh ich genauso, vor allem gesundheitlich. Und die wenigsten können die Leistungen nachvollziehen die man bringt, es fällt nur auf wenn irgendwas nicht funktioniert. Und der Markt ist imho total überlaufen, die Firmen haben oft irrwitzige Vorstellungen beim Personal.

Im Bereich der Administration wird auch meist gespart, dazu noch Verlagerung zu externe Firmen oder Ausland. Ich habe schon 2x in großen Firmen erlebt wie fast die ganze IT Abteilung aufgelöst wurde.

Funktioniert die Replizierung von SYSVOL sauber?

Rufst du die GUI vielleicht mit dem falschen Benutzer auf?

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen.

Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird.

Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe?

Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien
Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben

Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist):

@echo off
ipconfig | find "192.168.3.1" >nul
if %errorlevel%==0 goto inoffice
rasdial | find "bla" >nul
if %errorlevel%==0 goto connected
rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla
exit/b
:connected
echo Already connected
exit/b
:inoffice
echo No VPN needed

Also bei mir ist der Besitzer die Domänen-Admins, gibt ja noch andere Admingruppen

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch:

Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24"

Und dazu noch die DNS und Suffix mitgeben:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14"

Das VPN allgemein:

Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling 

Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen:

HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList

Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

Ach so ist das.

In OpenVPN ist das mit den Netzen etwas anders.

Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist.

Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht?

Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte.

Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen: 

Ich habe jetzt das gemacht:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru

Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.
 

Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.