al3x

Servus, nö wie gesagt da sind nur Drucker oder Switche bzw. Server drin. Problematisch wäre es dann wohl eher, wenn dort auch AD-Clients drin wären, die somit nicht wüssten zu welchem Standort sie gehören..welcher DC der präferiert werden soll..?!

Hallo Leute,

 

folgende Situation, 2 "Standorte" sind per Glasfaser fest verbunden.

An jedem Standort steht ein DC und es existiert für die Clients jeweils ein eigenes Subnet, welches auch im AD-Standorte/Dienste hinterlegt ist.

 

Nun existieren aber auch 2 Subnetze übergreifend an beiden Standorten ( Subnet A = Drucker, Subnet B = Management).

Bisher habe ich zwar keine Nachteile feststellen können, aber wie bildet man diesen Fall am Besten im AD ab?

Es ist doch nur möglich ein Subnet einem der Standorte zuzuordnen oder?

Noch ein Nachtrag:

Kann mir jemand folgendes Verhalten erklären?

 

Per GPO (s.Bild) wird eine eingehende Regel für die Domäne aktiviert, "lokale FW-Regeln anwenden" steht auf "Nein".

Die Regel kommt beim Client auch an, allerdings ist der Bereich Domäne nicht aktiviert!? Funktionieren tut die Regel aber!

Gleiche Einstellungen sind zB auch bei Remotedesktop gemacht, aber dort ist "Domäne" beim Client aktiv!

FYI
Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10.

Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.

 

Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?

 

Hallo.

Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren.

Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ?

 

Ich würde für logisch halten:

 

Firewallstatus = Ein

eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat)

ausgehende Verbindungen = nicht konfiguriert oder Zulassen

 

Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt.

Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.

Hallo Norbert,

hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..

 

 

erzeugt unter Win10, wirken soll es auf Win7 und Win10 Clients

Hallo Gemeinde,

 

ich weiß ein altes Thema, aber folgendes Szenario, der RDP-Zugriff soll per GPO erlaubt werden, aber ich kann den Fehler nicht finden.

Die GPO einer Test OU beinhaltet:

1. das Starten des Remotedesktopdienstes -> Win-Einstellungen / Sicherheitseinstellungen / Systemdienste / Remotedesktopdienste = starten

2. die Firewallausnahme eingehend für RDP -> Win-Einstellungen / Sicherheitseinstellungen / Win FW erweiterte Sicherheit / eingehend = vordefinierte Regel "Remotedesktop" für Domäne und Privat

 

In dieser OU sind insgesamt 5 GPOs angelegt und in 3 davon sind Änderungen der Firewall definiert. Bei den 3en gilt jeweils "lokale FW-Regeln anwenden = nein" in den globalen Einstellungen, bei den restlichen 2 GPOs steht der Wert auf "nicht konfiguriert".

Es gibt 2 aktivierte RDP Einträge in der lok.FW:

Remotedesktop [Domäne]      GPO=ja

Remotedesktop [Domäne]      GPO=nein

 

Die Regeln der 3 GPOs überschneiden sich nicht. So gesehen wäre die Reihenfolge der Anwendung ja auch egal und alle Regeln sollten sich addieren - heißt, die lok. Regeln greifen nicht und die 3 definierten sind aktiv.

Dennoch werden die "GPO-Regeln" ignoriert.

 

Setze ich bei allen 3 GPOs den Wert "lokale FW-Regeln anwenden = nicht konfiguriert", dann funktioniert es, sobald die lokalen Einstellungen gesetzt sind - ist ja auch verständlich. Aber warum greift es nicht, wenn nur die GPO-Regeln zugelassen sind?

 

Wo hab ich meinen Denkfehler? Hab ich was vergessen?

 

 

 

eija es kann aber ja auch vorkommen, dass man sich auf nem Kundenserver aufschalten muss und kein Client zur Verfügung steht..

ansonsten habt ihr natürlich recht ;)

vor 30 Minuten schrieb Sunny61:

Aber deshalb musst doch nicht die Remoteunterstützung auf dem DC installieren.

Doch, wenn man die GPO-Verwaltung auf dem DC nutzt schon! Deinstalliert man das Feature, ist die Regel wieder verschwunden.

 

Macht man es über die Serververwaltungstools von nem Client aus, dann natürlich nicht.

 

 

Hallo Norbert,

habs gefunden, auf dem DC war das Feature "Remoteunterstützung" nicht installiert

 

vor 5 Minuten schrieb Dukel:

Vielleicht unter ausgehend statt eingehend.

Nein, die Anfragen gehen ja auf den Clients ein.

btw unter ausgehend ist die Liste noch viel kürzer...

 

Hallo zusammen,

ich wollte in einer 2012R2er Domäne die Remoteunterstützung per GPO mit Hilfe der "Firewall mit erweiterter Sicherheit"aktivieren.

Entgegen der Anleitnungen im Netz findet sich hier aber keine vordefinierte Regel für die Remoteunterstützung.

 

Fehlt hier etwa irgendeine aktuellere policy?

Hallo Leute,

ich stehe gerade auf dem Schlauch. In einer Domäne gab es bisher für vereinzelte PC´s (Win7+10)  WinRM Zugriff, heißt

 

-WinRM wird bereits ausgeführt

-WinRM ist für die RemoteVerwaltung eingerichtet

-lokale Firewallausnahme besteht

 

Nun sollte WinRM/WinRS auf allen Domänen-Rechnern (PC´s) aktiviert werden, Vorgegangen wurde lt.

WinRM per GPO

 

Diese 3 Einstellungen wurden also gesetzt.

Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Dienst == aktiviert

Computerkonfiguration => Richtlinien => Windows-Einstellungen =>Sicherheitseinstellungen => Systemdienste == automatischer Start

Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Eingehende Regeln

 

Trotzdem funktioniert der Remotezugriff auf die Clients (nach Reboot) nicht, auch nicht auf die, die vorher funktioniert haben.

Winrs error:Der Client kann keine Verbindung mit dem in der Anforderung angegebenen Ziel herstellen. Stellen Sie sicher, dass der Dienst auf dem Ziel ausgeführt wird und die Anforderungen akzeptiert. Lesen Sie die Protokolle und die Dokumentation für den WS-Verwaltungsdienst, der auf dem Ziel ausgeführt wird. Hierbei handelt es sich meistens um IIS oder WinRM. Wenn das Ziel der WinRM-Dienst ist, führen Sie den folgenden Befehl auf dem Ziel aus, um den WinRM-Dienst zu analysieren und zu konfigurieren: "winrm quickconfig".

 

Auf dem Zielrechner:

PS C:\Windows\system32> winrm enumerate winrm/config/listener
Listener [Source="GPO"]
    Address = *
    Transport = HTTP
    Port = 5985
    Hostname
    Enabled = true
    URLPrefix = wsman
    CertificateThumbprint
    ListeningOn = null

PS C:\Windows\system32> get-service winrm

Status   Name               DisplayName
------   ----               -----------
Running  winrm              Windows-Remoteverwaltung (WS-Verwal...

 

 

Wurde hier etwas übersehen?

 

 

Nachtrag:

kann es damit zusammenhängen? Folgendes habe ich mal testweise noch aktiviert:

Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Dienst =>CredSSP-Auth zulassen

Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Client =>CredSSP-Auth zulassen

Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmeldeinformationen => Delegierung von aktuellen Anmeldeinfos zulassen

     ==> Serverliste = WSMAN/dc1.domain.loc, WSMAN/dc2.domain.loc

 

 

winrs aus der cmd funktioniert immer noch nicht, aber eine Remote Powershell-Registerkarte von einem Client auf einen anderen Client (als Domainadmin) funktioniert jedoch.

 

Danke dir!

Cooolio :jau:

 

Herzlichen Dank, funktioniert! Damit komm ich klar. Werde dann mal bisschen mit rum spielen :thumb1: ​

Da Du nicht spezifiziert hast, aus welcher CSV-Datei das Datum ausgelesen werden soll, hab ich einfach mal den jetzigen Status Quo als Vorlage benutzt.

Ich empfinde Powershell-Code immer viel weniger kryptisch als batch und für Leute mit Basis-Englisch-Kentnissen ansatzweise intuitiv. Es könnte also so aussehen:

$DatumHeute = Get-Date -Format 'yyyyMMdd'
$QuellPfad = 'der Pfad den Du beackern möchtest'
$ZipDatei = Join-Path -Path 'Pfad zum Verzeichnis in dem die Zip-Datei landen soll' -ChildPath ($DatumHeute + '.zip')

Get-ChildItem -Path $Pfad -Filter *.zip -File | Remove-Item -Force
Start-Process -FilePath zip.exe -ArgumentList "$ZipDatei $QuellPfad\*.csv $QuellPfad\*.pdf"
Get-Date | Out-File -FilePath 'Log-Datei incl. Pfad' -Append -Encoding utf8
Start-Process -FilePath outlook.exe -ArgumentList "/a $ZipDatei"

Mit aktuellem Windows und Powershell (W10 und PS 5) könntest Du Dir das Zip-Tool auch noch sparen. Diese Funktionalität ist inzwischen eingebaut. Es wäre auch möglich die Zip-Datei aus der Powershell heraus zu versenden. Dann kannst Du das Alles per Aufgabenplanung starten und brauchst Dich in Zukunft nicht mehr manuell drum kümmern.

 

Edit: Achja … ganz vergessen: Welche CSV-Datei soll denn dann als Quelle für Dein Datum dienen? … die Erste? … die Letzte? … die Kleinste? … die Größte? .. die Jüngste? … die Älteste? … usw.  ;-)

 

hmmmmm :) das sieht von der Menge ja recht übersichtlich aus. Muss ich mal Testen....jedenfalls vielen Dank für den Input!

 

Welche csv wäre eigentlich egal, da in allen das gleiche Datum drin steht.

hi,

also eigentlich nix dramatisches, in einem Ordner liegen .csv und .pdf, ich erstelle eine zip aus allen Dateien und benenne die zip mit dem aktuellen Datum.

(->Jetzt soll das Datum aber ja aus einer der csv gelesen und als Dateiname benutzt werden):

 

for /F "Tokens=1-4 delims=." %%i in ('date/t') do set date=%%k%%j%%i

if exist "pfad\*.zip" del "pfad\*.zip"

 

zip.exe "pfad\%date%.zip" "pfad\*.csv" "pfad\*.pdf"

 

echo %date% , %time% >> pfad-zu-logfile

 

copy "pfad\%date%.zip" "backuppfad"

 

start outlook.exe /a "pfad\%date.zip%"

hi Jan, würde ich auch, wenn ich wüsste wie :D *Asche auf mein Haupt* ​

okay super das klappt!

Kennst du auch die Lösung für Batch? Denn nun habe ich Batch und PS gemischt :-D

ok, werde ich später testen...thx schon mal

02;1;1;STCK;15449.4;15449.4;308988;19;2935.39;5500002194;;;85477;;Modell4711;981080;20171110;;;;;;

 

 

Das ist zwar die 2. Zeile, aber hier steht auch ein Datum. Wäre in dem Fall, sofern ich mich nicht verzählt habe der 17. Wert.

 

Wenn es sowieso keine Header gibt, kannst Du auch einfach die erste Zeile einlesen, die entsprechende Stelle mittels SubString Methode rausfräsen und das einer Variable zuweisen. Also so ungefähr:

$DatumsString = (Get-Content -Path 'voller Pfad zu Deiner CSV-Datei' | Select-Object -First 1 ).SubString(37,8)

 

ok hier komm ich zumindest mal an einen Wert, allerdings zeigt er mir das 37. Zeichen und nicht die 37. Spalte