PowerShellAdmin

Warum nicht lieber über GPOs steuern?

Warum will ich sowas haben oder anders gesagt, habe ich davon wirkliche Vorteile?

Gehen tut so ziemlich alles ...

Also ich hatte ein ähnliches Szenario unter ex2010.

Fachlich will ich das jetzt aber nicht diskutieren.

Persönliches Postfach für Mitarbeiter wurde aufgrund eines zentralen Postfaches abgeschafft.

Der interne E-Mail-Versand sollte bestehen bleiben.

Hier wurden zwei Transportregeln angelegt - Scopes jeweils auf die betroffenen Emailadressen

a) eingehende Weiterleitung an zentrales Postfach für bestimmte Postfächer

b) NDR bei Versand außerhalb der Organisation - das kann man aber auch global machen ( ausgehend hier von deinem x )

VG PSAdmin

vor 22 Minuten schrieb testperson:

In deinem Fall müsste es

Start-Process powershell -Credential $credential -ArgumentList $("-File " + $script)

sein. (Optimalerweise bzw.) ich baue mir das immer so:

$PowerShellPath = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
$PowerShellArgs = $("-NoProfile -ExecutionPolicy Bypass -File " + $script)
Start-Process $PowerShellPath -Credential $credential -ArgumentList $PowerShellArgs

 

Stimmt so nicht mit dem -File, er nimmt es als Default Parameter :) 

Also hinter das File gehört eine Pipe.

Das war auch in der Vorlage bereits so angegeben.

VG PSAdmin

vor 8 Minuten schrieb testperson:

Du liest ein verschlüsseltes Passwort aus der Datei ein, verschlüsselst es nochmal und entschlüsselst es wieder.

Du müsstest wohl den mittleren Part raus lassen.

 

Ansonsten teste es einfach erstmal mit Zugangsdaten im Plaintext. Wenn das läuft, den nächsten Step machen.

da wundert mich der Dialog nicht ...

Soweit es sich um einen lokalen Benutzer handelt, entspricht der Hostname der lokalen Domain.

Zu dem Thema ist auch bei MSXFAQ ein umfassender Artikel.

https://www.msxfaq.de/code/powershell/pspasswort.htm

Schliesse Mal bitte ISE und teste den Aufruf direkt über die PowerShell.exe.

Ich nehme an da stimmt was mit den Pfaden und / oder Variablen nicht.

Ise ist da leider etwas trügerisch.

Entferne bitte den folgenden Auszug, das ist nicht korrekt. Der gewünschte Script wird via Variable Script definiert, das PSC ist eine zusätzliche Erweiterung der Konsole - hatte ich lediglich für die vsphere Erweiterung verwendet.

-PSConsoleFile "C:\tools\usv_shutdown\test.ps1

Danke @Testperson für die Ergänzung ;) hing hier gerade noch an andern Themen man nennt es glaube ich Arbeit... bzw. bin jetzt auf'm Heimweg.

Die Datei am besten mit den Zielnamen und Zielpfad initial erzeugen und sicherstellen, dass der Domainnutzer korrekt angegeben ist z.B. domain\sammaccountname.

So wie ich es rauslese, wird hier eine Ver- und Entschlüsselung mit dem zusätzlichen Key empfohlen.

Die Passwortcontainer müssen vorab erzeugt werden. Das Auslesen innerhalb 2. sollte hier auch verbessert werden.

Das Beispiel ist an der Stelle veraltet.

Viel Spaß :)

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/convertto-securestring?view=powershell-6

https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/convertfrom-securestring?view=powershell-6

Also das Thema liegt gefühlte 5 Jahre zurück. Als Leitfaden ...

1. Folgender Skript wird initial getriggert und ruft einen PowerShellSkript auf - shutdown.bat  - ich hatte hier direkt die vmware module eingebunden, kannst du bei Bedarf wegehhauen

echo Shutdown of all VM’s and ESX hosts is launched at >> C:\tools\usv_shutdown\log\alert.txt
echo %date% %time% >> C:\tools\usv_shutdown\log\alert.txt
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "& 'C:\tools\usv_shutdown\runasAdministrator.ps1'" -PSConsoleFile "C:\tools\usv_shutdown\vim.psc1"

2.PowerShellSkript - Initialisierung Powershell: Ich hatte damals Probleme mit den entsprechenden Berechtigungen, die wurden nicht sauber übergeben.Die Aufgabe hiervon ist die PowerShell für den eigentlichen Skript anzustarten.

Hinweis: Die notwendigen Credentials müssen vorher angelegt werden. Da gibt es heute auch bessere Methoden.

cls
#legt Ausführungsbenutzer fest
$user= "********"
#lädt Passwortdatei 
$File="C:\tools\usv_shutdown\credentials\*******.pwd"
$password = Get-Content $File | ConvertTo-SecureString
#erzeugt die Credentials
$credential = New-Object System.Management.Automation.PsCredential($user,$password)
#eigentlicher PS Skript, der z.B. als Admin etc ausgeführt wird
$script = "C:\tools\usv_shutdown\multithread.ps1"
#Skript Aufruf
Start-Process powershell -Credential $credential $script #-ArgumentList 

#schließt den Intialisierungsskript

3. Eigentlicher Zielskript - Hier kannst du dann mit deinen Bedürfnissen loslegen.

Wie du Emailsverschickst usw, das darfst du gerne recherchieren.

Du solltest erstmal in ruhe definieren was du möchtest. Sprich dich nochmal die Anforderungen prüfen.

Beispiel:

5 Min Stromausfall danach erfolgt Triggerung. Unter 3. Werden bei mir parallel in mehrere Jobs - je ESXi Host (alle Gäste  -VMs) und  Bleche heruntergefahren.

Hier gibt es sicher mehrere Wege ans Ziel...

Man kann auch via Batch-Datei eine Art Triggerfile erzeugen, parallel läuft in der Prozessplanung der alle X Minuten die Datei prüft und bei Befund die Datei verschiebt und anschließend die gewünschten Routinen ausführt.

Was interessieren mich deine Fehler von gestern.

Zur Frage - Schau dir mal meinen Vorschlag an...  Das müsste eigentlich so noch laufen. Die Umsetzung ist nicht so kompliziert :)

Hallo,

eine Idee wäre es eine Batch zu starten, aus der eine PS mit entsprechenden Berechtigungen instanziert wird.

Hatte bei einer Dell UPS (gibt es zwischenzeitlich nicht mehr) ähnliche Probleme und mir damals über die Hauruckaktion geholfen.

Batchdatei startet PowerShell Skript "Anlauf Skript"

"Anlauf Skript"  startet separate Instanz von PowerShell mit entsprechenden Credentials - die Credentials wurden verschlüsselt übermittelt.

Dahinter liefen dann die eigentlichen Skript der mehrere Shutdown Skripte (Threads) parallel angestartet hat.

Edit: Die Batch war sehr einfach:

echo Shutdown of all VM’s and ESX hosts is launched at >> C:\tools\usv_shutdown\log\alert.txt
echo %date% %time% >> C:\tools\usv_shutdown\log\alert.txt
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "& 'C:\tools\usv_shutdown\runasAdministrator.ps1'" -PSConsoleFile "C:\tools\usv_shutdown\vim.psc1"

vor einer Stunde schrieb ehcm:

Korrekt, der SRV-DC1 ist ein Domänencontroller.

 

Mir ist die Sicherheitslücke gerade nicht bewusst, kann mich kurz jemand aufklären?

Minima Prinzip - ein DC ist ein kritisches System und wir hier mit potentiellen Schwachstellen ausgestattet.

Guten Abend,

richtig wurde mit CrystalDiskMark geprüft. Lasse hier morgen nochmal das IOMeter drüber laufen.

Die Thematik ist nicht mein täglich Brot aber das ist mein Verständnis:

Read Policy:

Bei SSD Raids wenig sinnvoll, geht wohl auf die Timings und die Synergie ist hier wenig gegeben.

Write Policy:Der Performancegewinn von Zurückschreiben besteht zwar auch bei SSD Raids, allerdings ist der Vorteil hier deutlich überschaubarer. Es ist eine Abwegung des Risikos - auch mit BBU und UPS (beides vorhanden)

Strip Size:

Mein altes Verständnis war hier, dass der SweetPoint bei 64KB für gemische Umgebungen ist.

Die 256KB kamen aufgrund der 4x SchreibSpindeln  ( 8 Disk Raid 10) = 1 MB

Die Annahme ist aber scheinbar nicht richtig, da die 1MB auch wieder in 4KB Blöcke aufgespalten werden.

Fallback auf 64KB ?

Disk Cache:

Hier hilft weder die BBU und UPS - daher je nach Risikobewertung zu deaktivieren.

Zusammenfassend:

Da das Risiko in der kleinen Umgebung überschaubar ist, bleibt Zurückschreiben nun aktiviert, eine Risikobewertung zum DiskCache schaue ich mir aber nochmal an.

Ein Vorteil vom Zurückschreiben scheint hier auch eine Entlastung der Schreibzugriffe der SSD, da sich diese hier reduzieren.

Das Thema Fastpath werde ich mir aber nochmal anschauen, dass ist ausschließlich bei Durchschreiben und keinen Vorauslesen verfügbar.

https://www.dell.com/support/manuals/de/de/dedhs1/poweredge-rc-h840/perc10_ug_pub/fastpath?guid=guid-107ce12d-6522-4716-a9a4-ec0a92c1130d&lang=en-us

Hier profitieren aber ausschließlich Pakete < Strip Size.

Also write back ist nicht immer in der Konstellation empfohlen und war hier auch nicht die Ursache.

Mindestens ein Teil der Ursache ist die Thindisk, die Thickdisk ist beim seq q32t1 und 4 KB q8t8 deutlich gestiegen.

Ich werde denke ich nochmal die Stripesize prüfen, die scheint mit 256kb nicht optimal zu sein.

Die Performance der Test-VM war erstmal schlechter als erwartet.

Ich gehe davon aus, dass hier ein falsches Alignment und der Thinmodus des Gast Ursache war. Auch der VM Disk Controller ist hier erstmal auch schlecht für einen Test...- womöglich noch Mal auf Paravirtual prüfen.

Am Montag gibt's erstmal eine Klärung mit dem Dell Support.

Habe hier auch von schlechter Raid10 Skalierung von 8 gegen 4 Disks gelesen. 

Guten Abend zusammen,

also von der Kapazität haben wir keine Probleme, entsprechend wurde ein Raid 10 ausgewählt. Da sind bereits Puffer und weitere Systeme berücksichtigt.

Hinzu kommt der Sachverhalt, dass ich bei Bedarf einfach weitere 8 Disks einbauen kann, da haben wir also genügend Kapazitäten.

Grundlegend ist besteht die Frage ob 2xRaid10 mit je 4 Disks oder 1 Raid10 mit 8 Disks.

Vor einigen Jahren bin ich mit kleinen Raid1 Clustern gut gefahren - SAS HDD != SSD.

Wenn ich mir die Erfahrungen aber so durchlese, macht hier das Splitting aber kein sinn.

Raid60 ist bei 8 Disks natürlich auch raus - zwar realisierbar, aber kein mehrwert gegenüber Raid10 bei 8 Disks.

VG PSADMIN

Moin,

mich würde hier mal eure Meinung zu folgenden Szenario interessieren.

Wir haben hier ein solides Blech (20 Core, 256GB RAM), hier sollen etwa 20VMs (mitunter auch MS SQL, SharePoint, Exchange 2019) auf einem lokalen Speicher laufen, auf denen etwa 30Mitarbeiter rumwerkeln.

Der Storage besteht aus einem PERC H740P mit 8 einfachen Enterprise SSDs (MLCe - sollten Samsung 883er sein)

Das ein größeres Raid 10 punktuell mehr Leistung bietet ist soweit klar, meine Befürchtung ist, dass allerdings bei höheren Auslastungen dort auch massive Performance-Einbrüche für alle betroffenen Gäste entstehen, die man bei der Trennung in 2 Raid 10 dann doch besser gekapselt hat und womöglich auch teilweise vorbeugen kann - da geringer maximale Gesamtlast.

So wie ich das aber derzeit lese, ist meine Annahme nicht richtig und "One Big Raid 10" in jedem Fall die bessere Wahl. Ein weiterer Vorteil ist natürlich die bessere Ausnutzbarkeit des Speicherplatz.

Die Raid-Policy würde ich wie folgt avisieren:

• No Read Ahead
• Write Through

Viele Grüße

PSAdmin

vor 42 Minuten schrieb daabm:

 

Ich hätte noch Steine, könnte also den ersten werfen

Na Python ist da mittlerweile auch gut dabei von der Performance.

Gut dass ich derzeit an Python dran bin.

PS: Jehova Jehova ... im doppelten Sinne

Das hört sich nach "Mime-Spoofing" an.

Also wir nutzen auf ORF - bei dem Preis ein "Nobrainer".

Hier geht man wie folgt vor:

1. SPF Record einrichten

2.SPF Test aktivieren

3. zusätzlich noch unter Keyword Blacklist je Maildomäne folgende Regel hinzufügen um Mime-Spoofing zu unterbinden: https://vamsoft.com/support/docs/articles/how-to-blacklist-self-spam

Ein guter Usecase für Perl :) *Hust*

Am 12.1.2019 um 17:40 schrieb DocData:

O365 kann in Deutschland eh nicht sinnvoll DSGVO-konform eingesetzt werden.

So wie ich das sehe das altes Leid, Patriot bzw Cloud ACT.

Azure Deutschland kommt ja gerade in die Presse und hat ebenfalls telefoniert.

Aber hierzu gibt es auch immer viele Meinungen, interessant sind die Fakten.

Also in welcher Form ist ein Einsatz von  O365 Dsvgo-konform?

Wir haben hier nur MAK Keys zur Verfügung von MS.

Generell würde ich aber beim MAK Key die Definition analog zum KMS erwarten - was ja bis 2016 auch der Fall war.

vor 36 Minuten schrieb NorbertFe:

Ist aber auch falsch, denn dokumentiert ist bei MS das hier:

https://docs.microsoft.com/de-de/windows-server/get-started-19/activation-19

Da steht dann explizit "Windows Server 2019 (all editions).

 

Hallo Norbert,

der Artikel betrifft aber scheinbar nur die Aktivierung von KMS Host von entsprechenden Clients. Ein KMS ist bei uns nicht im Einsatz.

Der Manager hat übrigens auf die weitere Rückfrage nicht mehr geantwortet.

Ein Edition-Downgrade ist so btw. über ein Trick und anschließendes Inplace-Upgrade möglich - Letzteres ist natürlich generell für einige Services ungeeignet.

Viele Grüße

PSADMIN

vor 9 Stunden schrieb DocData:

KPMG kommt erst, wenn der Kunde richtig böse rumzickt. Bist du nett zu Microsoft, sind die sehr nett und umgänglich. Meinst du sie f.cken zu müssen, dann f.cken sie dich auch. Und Microsoft hat den Längeren...

Soso bei uns waren die eher überfordert und es gab diverse Missverständnisse. Das Excelsheet ist auch nur bedingt gut geeignet gewesen für unsere Lizenzierung , trotz ergänzte Kommentare und Hinweise im E-Mail Verkehr.

Damit war das Thema dann auch irgendwann vom Tisch ohne Vorort Termin.

Ein gegenseitiger respektvoller Umgang ist wohl als selbstverständlich zu erachten.

Im Regelfall wollen beide Seiten ja nur ihre Arbeit machen.