al3x

Gerade eben schrieb BOfH_666:

Warum?

auf Jan bezogen.

Deine Anmerkung macht Sinn, kann man sich die Syntax vielleicht besser verinnerlichen....

hm jetzt bin ich raus.....

??

foreach( $i in $items) 
{
if ($i -match "Neuer Ordner")
{ 
    Rename-Item $i.FullName "Blubb"
}}

okay... aber wie löse ich es, wenn auch alle Unterordner umbenannt werden sollen?

Hallo Jan,

danke für die Aufklärung.

Ich dachte -recurse ist notwendig, damit rekursiv durchsucht wird.

Ich habe es nun so probiert,

$folderpath = 'E:\temp'
$items = Get-ChildItem -recurse $folderpath "Neuer Ordner"
foreach( $i in $items) { 
    Rename-Item $i.FullName "Blubb"
}

aber dann ist das Problem wenn der Namen mehrmals vorkommt:

...\Neuer Ordner\...\Neuer Ordner

Servus,

ich versuche gerade alle Ordner namens "Neuer Ordner" unterhalb von e:\temp per PS umzubenennen.

Dabei habe ich an so ein Konstrukt gedacht:

gci -path e:\temp -recurse "Neuer Ordner" |foreach-object rename-item "Neuer Ordner" "Ordner-Bla"

...komme aber wegen invalid-argument irgendwie nicht weiter.

Hat jemand einen Tipp?

@Weingeist, sorry aber deinen Text zu verstehen ist mir zu kompliziert
Ich habe es beschrieben..keine Ahnung was du da rein interpretierst, wer wie wo wann welche Berechtigungen hat oder nicht... und es ging auch nie ums aus der Session kicken....egal wahrscheinlich war die Frage einfach zu trivial.

Danke fürs Lesen.

'closed'

naja Wartungen ist vielleicht etwas übertrieben, es geht nicht um eine hochqualifizierte Konzernlösung, aber es gibt eben auch kleinere Arbeiten, die NICHT per script oder policy erledigt werden/können, da geht man halt mal eben per RDP drauf...aber ich denke wir schließen das dann

Es geht hier weder um eine Fremdfirma, noch um mangelndes Wissen an der Umgebung.

Es geht lediglich drum, sich als lokaler Admin in der eigenen Umgebung auf die eigenen Clients zu connecten und dabei eine InfoMessage abzusetzen, dass eventuell sich anmeldende User informiert werden.

Problem war die Zwangsnutzung von HTTPS/5986 des WAC. HTTP-Listener funktionieren nicht mehr mit dem WAC.

..hab ich probiert, hilft aber nix, wenn wird immer nur ein https-listener auf 443 erstellt.

Ich werde wohl die policy mal komplett neu machen.

Macht es Sinn die rules immer  von autarken Clients zu exportieren und dann in eine GPO zu importieren oder kann man Regeln auch ohne Bedenken direkt auf einem Server in einer GPO festlegen?

Wieso macht man per RDP keine "Wartung"?

Wir connecten uns idR per RDP auf die entfernten Clients wenn exklusiver Zugriff notwendig ist oder auch mal per PS, aber da stellt sich die Frage ja nicht.

Es war hier nur ein Gedanke, ob man eine Nachricht an einen Client (Loginscreen) schicken kann, der darauf hinweißt, dass gerade Wartung durchgeführt wird.

Es funktioniert bei einem Client, wenn man die Einstellungen bzgl Portfreigabe, winrm etc vornimmt.

Knüpfe ich aber eine GPO lt. Anleitung an die OU, wird die Portfreigabe zwar erstellt und auch winrm ist aktiv, aber der port ist nicht offen - trotz angezeigter Freigabe.

Nehme ich den Rechner aus der OU, komplett ohne GPO, und setze eine lokale Portfreigabe, dann muss der HTTPS-Listener neu initialisiert werden...verschiebe ich dann den Rechner wieder in die OU und lösche die lokale Freigabe wieder, dann greift wieder die Freigabe über die GPO und der Port bleibt auch offen. Ich kann das aber nicht für jeden Client einzeln machen

Ich habe in der OU 6 "Firewall-GPOs", die jeweils für sich einen oder mehrere sep. Ports freigeben (je nach Anwendung)..dachte schon ob es irgendwie an der Reihenfolge der GPOs liegt, finde aber nix Widersprüchliches.

bei allen GPOs ist eingestellt:

• Richtlinien / ../ Sicherheitseinstellungen / eingehende Regeln -> jeweilige Ports definiert
• AdminVorlagen / Windows Defender / Domänenprofil -> WindowsDefender - Alle Netzwerkverbindungen schützen = aktiviert

da die Ports ja immer unterschiedlich sind, dürfte sich ja auch nix überschneiden!?

okay....obwohl winrm eingerichtet und eingehend/5986 aktiv ist, scheint es ein Problem zwischen FW und dem HTTPS-Listener zu sein.
manuell funktioniert es ...aber als GPO nach dem howto scheint dies das Problem zu sein..ich bin etwas überfragt

-> also die FW-Regel wird sauber eingetragen, aber netstat zeigt keinen Port 5986, obwohl winrm quickconfig durchläuft... das scheint das Problem zu sein!

Ideen?

Hallo Martin,

ich habe alles nach og Anleitung gemacht und in der CA sieht man die ausgestellten WinRMSSL-Zertifikate von den Servern und Clients. Bis auf den fqdn sind die ja analog.

Unterscheiden sind per default Memberserver und Client was das CA-Chain-Vertrauen angeht? Wie kann ich das prüfen? Ich habe hier Server und Clients nicht unterschiedlich behandelt.

Enter-PSSession : Beim Verbinden mit dem Remoteserver "FQDN" ist folgender Fehler aufgetreten: WinRM kann den Vorgang nicht abschließen. Überprüfen Sie, ob der
angegebene Computername gültig, der Computer über das Netzwerk erreichbar und eine Firewallausnahme für den WinRM-Dienst aktiviert ist und den Zugriff von diesem Computer zulässt.
Standardmäßig wird der Zugriff auf Remotecomputer innerhalb desselben lokalen Subnetzes von der WinRM-Firewallausnahme für öffentliche Profile eingeschränkt. Weitere Informationen
finden Sie im Hilfethema "about_Remote_Troubleshooting".
In Zeile:1 Zeichen:1
+ Enter-PSSession -ComputerName FQDN -UseSSL
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (FQDN:String) [Enter-PSSession], PSRemotingTransportException
    + FullyQualifiedErrorId : CreateRemoteRunspaceFailed

..das ist die Meldung beim Verbindungsversuch.

-FQDN ist erreichbar

-WinRM aktiviert

PS C:\WINDOWS\system32> winrm quickconfig -transport:https
Der WinRM-Dienst wird auf diesem Computer bereits ausgeführt.
WinRM ist bereits für die Remoteverwaltung auf diesem Computer eingerichtet.

-FW-Ausnahme auf tcp/5986 eingehend eingetragen

Hallo.. ich habe hierbei folgendes Problem:

1) Alle Serversysteme lassen sich zB über Enter-PSSession -ComputerName fqdn -UseSSL erreichen.

2) Alle Clientsysteme, die die gleichen Einstellungen besitzen wie o.g. Server (eingehend HTTPS:5986, Zertifikat, winrm quickconfig -transport:https, etc) liefern über

Enter-PSSession -ComputerName fqdn -UseSSL die ErrorID: CreateRemoteRunspaceFailed

Eine reine HTTP-Verbindung über Enter-PSSession -ComputerName fqdn funktioniert.

Bisher habe ich keine Erklärung gefunden, was bei den Clients der Unterschied ist. Hat hier jemand ne Idee?

Hi,

spricht etwas dagegen WinRM-HTTPS (Zertifikate) auch auf den DCs zu nutzen?

In div. Anleitungen wird immer nur auf die Dom.Computer hingewiesen:

https://www.infrastrukturhelden.de/microsoft-infrastruktur/active-directory/windows-winrm-ueber-https/

..closed

Hallo,

ich habe hier ein Problem mit einer DHCP-Reservierung auf einem 2012R2.

Die Client-MAC war bereits mal reserviert, aus irgendeinem Grund gab es aber ein Problem und die Lease bzw die Reservierung wurde dann gelöscht und beim Versuch sie neu einzutragen erscheint nun immer folgende Meldung:

"Die angegebene Adresse ist nicht verfügbar"

Die MAC lässt sich mit keiner IP reservieren, ohne dass es auf dem Server zu einer Fehlermeldung kommt. Die DB-Überprüfung liefert eine konsistente DB. Ich vermute, dass die MAC irgendwo in der DB - was über die DHCP-GUI nicht sichtbar ist, noch vorhanden ist und es deshalb zu dem Problem kommt.

Versucht habe ich ein:

netsh dhcp server v4 delete filter <MAC>

...dies führt aber zu "Adressmuster ist in keiner Liste enthalten".

Hat vielleicht noch jemand eine Idee?

Hallo Gemeinde,

ich habe einen W2016 auf dem schon länger ein WinAdminCenter seinen Dienst verrichtet und funktioniert hat.

Aktuell ist jetzt die Version 2009 installiert und ich habe Probleme mich zu verbinden. Seit wann das Problem vorliegt kann ich nicht sagen, fakt ist es hat funktioniert und dann wurden nur Win- & WAC-Updates installiert.

Die Verbindung bzw Anmeldung an der Oberfläche klappt, aber bei der Verbindung zu den hinterlegten Servern erscheint immer folgender Auth-Fehler:

Zum Ausführen des einmaligen Anmeldens mit dem Windows-Konto muss unter Umständen die eingeschränkte Kerberos-Delegierung eingerichtet werden.

Fehler:

Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu konfigurieren: "winrm quickconfig".

Da weder an dem WAC-GW noch an den Zielservern (bewusst) etwas verändert wurde und ich mit der Meldung nix anfangen kann, hoffe ich nun auf eure Unterstützung.

-testweises deaktivieren der FW auf einem Ziel bringt nix

-winrm quickconfig bringt nix

-WS-Verwaltungsdienst läuft

Sowohl als auch.. Datenbank und Filesystem.

hm, ich dachte ja zuerst an independant disks, aber das betrifft ja nur die snapshots.

War nur so ein Gedanke, aber selbst wenn man VM-Dateien (vmx, vmdk) filesystemseitig auf RO setzen würde, würde vermutlich die VM gar nicht erst starten...

Am 16.5.2020 um 15:52 schrieb testperson:

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

die beiden Einträge gibt es nicht - müssen dann wohl angelegt werden

Ansonsten vielen Dank für die rege Beteiligung an dem Thema

Hallo,

ein altes, abgelöstes System (vSphere VM) wird nur noch zu Recherchezwecke benötigt.

Es würde also nahe liegen, den jetzigen Zustand "einzufrieren" und nur noch eine readonly-VM bereitzustellen, dann würde man sich auch die regelmäßige Datensicherung sparen.

Weiß jemand, ob sowas mit VMWare zu realisieren ist?

vor 17 Minuten schrieb testperson:

Hi,

 

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

 

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

 

Gruß

Jan

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

Guten Morgen in die Runde,

ist es eigentlich mittlerweile "safe" globale Proxysettings wie

-Proxyserver

-Port

-lokale Adressen umgehen

-IPs für die kein Proxy benutzt werden soll

über einen systemweiten GPO-Schalter zu setzen oder sollte man hier sicherheitshalber über RegKeys gehen?

Das wäre dann immer noch browserunabhängig.

Hallo zusammen,

kann sich bzw mir jemand folgendes Verhalten erklären?

DC´s stehen in Subnet A

interner Webserver steht in Subnet B

Keine Firewall dazwischen.

Im DNS ist ein statischer Rekord eingetragen für xxx.domain.de

-> ping und nslookup aus beiden Subnetzen auf xxx.domain.de ist korrekt

-> https://xxx aus beiden Subnetzen geht ebenfalls

-> https://xxx.domain.de aus Subnetz B geht

-> https://xxx.domain.de aus Subnetz A geht nicht! - Warum?

-> https://xxx.domain.de testweise von extern geht auch, Webserver nimmt also nicht nur Anfragen vom eigenen Subnet an.