Gill

Noch eine aktuelle Information am Rande: Ein Arbeitskollege hat rein anhand meiner Anleitung das sog. WiDeRedist-Projekt erstellt und stellt dieses auf GitHub frei zur Verfügung. Ist simpel gehalten aber wesentlich besser gelungen als mein "Prototyp".

Keine Ursache, freut mich immer wenn ich helfen kann!

Ich habe es hinbekommen, funktioniert tadellos! Leider darf ich die Skripte selbst nicht posten, aber die wesentlichen Punkte. Linux-Seite: Mein Skript erstellt das Verzeichnis Defender mit den Unterverzeichnissen x86 und x64. Dann lädt es mittels wget folgende Dateien herunter: Nach x86: https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe) https://go.microsoft.com/fwlink/?linkid=87341&clcid=0x409 (mpam-fe.exe) https://go.microsoft.com/fwlink/?linkid=70631 (mpas-de.exe) https://go.microsoft.com/fwlink/?linkid=207869 (nis_full.exe) Nach x64 (Dateinamen sind identisch, aber die ersten drei Dateien unterscheiden sich von den oberen): http://go.microsoft.com/fwlink/?linkid=121721&clcid=0x409&arch=x64 (mpam-fe.exe) https://go.microsoft.com/fwlink/?linkid=70632 (mpas-fe.exe) http://go.microsoft.com/fwlink/?linkid=197094 (nis_full.exe) https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe, das ist exakt die gleiche wie bei x86) Diese Dateien werden dann mittels Webserver zur Verfügung gestellt. Windows-Seite: Dort habe ich das Verzeichnis C:\Defender ebenfalls mit den Unterverzeichnissen x86 und x64. Mit der PowerShell ziehe ich die Dateien vom Webserver auf die lokale Festplatte des Windows-Servers (Variable für die IP-Adresse muss natürlich vorher gesetzt werden): Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-d.exe" -OutFile "C:\Defender\x86\mpam-d.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-fe.exe" -OutFile "C:\Defender\x86\mpam-fe.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpas-fe.exe" -OutFile "C:\Defender\x86\mpas-fe.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x86/nis_full.exe" -OutFile "C:\Defender\x86\nis_full.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-d.exe" -OutFile "C:\Defender\x64\mpam-d.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-fe.exe" -OutFile "C:\Defender\x64\mpam-fe.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpas-fe.exe" -OutFile "C:\Defender\x64\mpas-fe.exe" Invoke-WebRequest -Uri "http://${IP-Address}/x64/nis_full.exe" -OutFile "C:\Defender\x64\nis_full.exe" Danach noch ein paar Einstellungen: Set-MpPreference -SignatureDefinitionUpdateFileSharesSources C:\Defender Set-MpPreference -SignatureFallbackOrder FileShares Dann das Update starten. Der Befehl Update-MpSignature, von dem man für diesen Zweck viel liest, hat immer nur ein PermissionDenied zurückgegeben. Mit der folgenden Zeile funktioniert das Update: & 'C:\Program Files\Windows Defender\mpcmdrun.exe' -SignatureUpdate -Path C:\Defender Fertig.

Hallo Jan, das Skript werde ich mir ansehen, danke für den Tipp! So, habe noch Neuigkeiten bzgl. der o. g. "mpas-feX64.exe"-Datei. Wenn ich die heruntergeladene Datei starte (mittels Doppelklick) erhalte ich ganz kurz den "Ladekringel" und das war's dann. Führe ich die Datei auf der Kommandozeile aus erhalte ich keinerlei Ausgabe sondern einfach wieder einen neuen Prompt. Habe es auch mal mit dem "/?"-Parameter ausprobiert (man weiß ja nie), jedoch ohne Erfolg. Dann habe ich die Dateigrößen verglichen; die gestrige Datei (53,1 MB) ist kleiner als die heute heruntergeladene (53,5 MB), wenn auch nicht signifikant. Also irgendwas hat sich da wohl verändert. Auf einem Testsystem, auf dem der Defender nicht mehr aktuell ist, bringt diese Datei auch nichts. Der Defender behält seine veralteten Definitionen. Für irgendwas muss diese Datei aber gut sein... Gruß Gill

Hallo Jan, danke für die Information! Wenn man die Inhalte vom Share auf die Rechner ziehen und von dort aus das Update machen muss, kann man ja auf ein Skript zurückgreifen. Diese Lösung wäre für mich völlig ausreichend. Nun ist nur noch eine Frage offen und zwar woher ich die Defender-Definitionen aus dem Netz bekomme. Habe https://definitionupdates.microsoft.com gefunden, jedoch weiß ich (noch) nicht, ob ich das so nutzen kann. Ruft man die Seite auf erhält man einen "InvalidQueryParameterValue"-Fehler, da braucht man wohl noch Parameter für. Bin dann aber durch diverse Suchen auf diese Seite gestoßen: https://www.askvg.com/how-to-update-windows-defender-offline-install-latest-virus-definition-files-manually/ Auf selbiger befinden sich ca. in der Mitte zahlreiche Links zum Download der aktuellsten Definitionen des Windows Defenders. War erst skeptisch, aber die "Download Latest Virus Definition Updates for Windows Defender (...)"-Links zeigen eindeutig auf Microsoft-Server. Wenn ich den für mich passenden Link anklicke erhalte ich die Datei "mpas-feX64.exe". Ich werde mir das in den kommenden Tagen mal näher ansehen wenn ich wieder im Büro bin. Gruß Gill

Hallo, auf der Webseite von Microsoft zum Thema Defender steht, dass man für den selbigen auch ein Netzlaufwerk als Update-Quelle angeben kann. Das ist schon einmal hervorragend. Nun zu meiner Frage, gibt es (wie es bei vielen Anti-Virus-Programmen möglich ist) einen Weg, diese Definitionen aus dem Internet in Form von entsprechenden Virendefinitions-Dateien (also keine EXE-Datei aus dem Windows Update Catalog oder ähnliches) von einer bestimmten Microsoft-Quelle zu beziehen? Mein Vorhaben ist folgendes; wir haben einen Server im Netzwerk (Linux), der alle Virendefinitionen sämtlicher auf dem Gelände eingesetzter Anti-Virus-Programme aus dem Internet herunterlädt und zentral zur Verfügung stellt. Dies funktioniert seit Jahren problemlos. Nun wäre es nicht schlecht, wenn ich diesen auch dazu nutzen bzw. bringen könnte, um ebenfalls die Definitions-Updates vom Defender zur Verfügung zu stellen. Bisher habe ich den Defender mittels Skript via Aufgabenplanung aktualisiert (Proxy setzen, Route zum Proxy legen, Defender-Update durchführen, Proxy und Route wieder entfernen, fertig). Ein WSUS-Server kommt für uns nicht in Frage; da in unserem Netzwerk lediglich drei Windows Server vorhanden sind (zwei Windows Server 2016 und ein 2008 R2, jeweils Standard). Diese Systeme sollen aber zukünftig gar nicht mehr auf das Internet zugreifen dürfen. Anweisung von oben, wie man so schön sagt. Windows-Updates werden manuell mit kumulativen Update-Paketen durchgeführt, jedoch soll der Defender täglich automatisch aktualisiert werden. Vielen Dank im Voraus!

Das kläre bzw. teste ich gerade. Habe FreeRDP und Rdesktop zur Verfügung, mal sehen. Praktisch wäre eine solche Vervielfältigung schon, natürlich nur dann, wenn sie sauber abläuft. Ja, leider. Mich wundert aber, dass Microsoft nicht an so etwas gedacht hat. Habe auch mal geschaut, welche Möglichkeiten .NET bietet, da gibt es einiges (System.DirectoryServices.ActiveDirectory) Ich habe auf Seite 1 dieses Threads ja noch ein paar Ideen erhalten, ich hoffe ich komme nächste Woche mal wieder dazu, an dem Projekt weiter zu machen.

Ja, das wäre in der Tat eine Idee, jedoch laufen die Thin Clients (gewollt) mit Linux. Da ich ja ein virtuelles Testsystem habe, welches ich zerschießen kann, habe ich das mit den GPOs einfach ausprobiert, herumgetüftelt und an den Einstellungen herumgeschraubt. Funktioniert soweit tadellos. :wink2:

Wie schon erwähnt, Flüchtigkeitsfehler meinerseits. ;) Heftig... auch nicht mit Skripting? An dem Terminalserver arbeiten später Personen (via Thin Clients über RDP) an der firmeninternen Warenwirtschaft. Diese sind technisch nicht versiert und je einfacher die Umgebung aufgebaut ist, desto besser. Mit dem Abteilungsleiter haben wir ein adäquates "Design" für Desktop, Taskleiste und Startmenü erstellt, mit dem die Benutzer problemlos klarkommen, folglich steckt da nicht gerade wenig Zeit drin, was man sich durch solch ein Klonungs-Vorhaben sparen könnte. Meinerseits? Ja. Nachdem ich nichts passendes finden konnte habe ich mich hier ans Forum gewandt.

Wunderbar! :) Ja, ist eine virtuelle Maschine und Festplatten-Image ist wegkopiert, das System kann ich also zerhauen wie ich will. Klingt interessant. Vielen Dank schon mal an alle, werde mir alle Tipps mal näher ansehen und ausprobieren.

Was mich wundert, bei so einem großen Konzern. Gibt es vielleicht eine Software-Lösung? Kann mir nicht vorstellen, dass das jede Firma so einfach "hinnimmt".

Okay, vielen Dank, dann versuche ich das mal. :wink2:

Wow, vielen Dank für die zahlreichen schnellen Antworten! :wink2: Verzeihung, ein Flüchtigkeitsfehler meinerseits. Ja, aber es geht und ist auch nicht unsauber. ;) Ich weiß, das mit Linux war lediglich ein Beispiel, was ich genau (im übertragenden Sinne) brauche. :) Kann ich dort auch den Aufbau des Startmenüs, der Schnellstart-Leiste, etc. einstellen? Es geht mir um die optischen "Fusseleinstellungen". Regeln wer welche Rechte hat und welche Desktop-Verknüpfungen bekommt habe ich bereits mittels entsprechender GPOs gelöst. Kann man das bedenkenlos machen?

Hallo, ich habe hier einen Windows Server 2016 Technical Preview 5 (den nutze ich schon mal zum experimentieren, bis der offiziell freigegeben wird) als Terminal Server. Auf meinem AD-Server habe ich einen Benutzer mit allen gewünschten Einstellungen eingerichtet. Ich möchte gerne diesen Benutzer, den ich komplett eingerichtet habe einfach "klonen", inkl. der Einstellungen. Wenn ich den Benutzer kopiere (mit der Funktion im "Active Directory Benutzer und -Computer" Snap-In) und mich als selbiger anmelde wurden die Einstellungen wie beispielsweise Schnellstart-Symbole bei der Startleiste nicht übernommen (da befindet sich dann wieder Edge und der Microsoft Store, was beides unerwünscht ist) und auch die optischen Einstellungen sind auch flöten gegangen. Ich brauche ca. 20 Benutzerkonten und möchte mich nicht bei jedem Benutzer anmelden und die ganzen Sachen aufräumen bzw. anpassen müssen. Es muss doch möglich sein, einen Benutzer zu kopieren und dessen Einstellungen 1:1 zu klonen? Vielleicht mit der PowerShell? Auf Linux beispielsweise kann man das in weniger als einer Minute mit einer Hand voll Befehlen machen, kann mir nicht vorstellen, dass das auf Windows so ein Aufwand ist. Vielleicht kann mir wer weiterhelfen, bin etwas am verzweifeln. :confused: Danke!

Bei Windows-Systemen ist (aus meiner Sicht) der Konfigurationsaufwand generell zwar etwas höher, aber das ist mir völlig egal, solange das System stabil läuft. Das mache ich dann auch so. :) Ja, das sog. PEBKAC-Problem (Problem Exists Between Keyboard And Chair), welches bei Administratoren und vor allem bei Benutzern aufreten kann.

Danke für die schnellen und ausführlichen Antworten bzw. Links! Wegen Sicherheit; die Server-Instanzen sind ausschließlich im internen Netz verfügbar und auf diese kann auch nicht von außen zugegegriffen werden. Auch auf dem Virtualisierungs-Host befindet sich ein Netzwerkfilter, sodass die Benutzer nur via RDP auf das System kommen. Habe aber in den Links auch gelesen, dass es nicht so prickelnd ist, wenn die Benutzer auf dem gleichen System arbeiten auf dem auch das AD läuft. Bisher habe ich den Zugriff für die Benutzer stark eingeschränkt. Diese sehen im Explorer nur ihre eigenen Ordner und das für sie gemountete Netzlaufwerk, aber auch das ist keine so tolle Lösung. Gut zu wissen! Das ist natürlich zuvorkommend von Microsoft. Da dem so ist, werde ich das so lösen. Danke euch! Edit: Überflüssige leere Zeilen entfernt

Danke, gut zu wissen. :) Aber zurück zu meiner Frage; warum sollte man beides nicht auf einen Server installieren (nur so aus Interesse)?

Hallo, mal eine Frage; ich habe schon öfter gehört, man sollte einen Terminal Server nicht auf dem gleichen System wie dem Active Directory betreiben. Warum? Lediglich aus Sicherheitsgründen? Zukünftig werden wir nur noch einen einzigen Windows-Server besitzen. Auf diesem läuft dann die neue Warenwirtschaft und die Benutzer greifen von Terminals aus via RDP darauf zu. Wenn ich die beiden Dienste von einander trennen müsste, bräuchte ich ja wieder eine zusätzliche Windows-Lizenz (und Installation), welche aber wiederrum Geld kostet und für unsere Zwecke (da nur ein Server vorhanden) doch etwas "überdimensioniert" ist (sprich, wegen einem Terminal Server ein separater Active Directory-Server). Hardware bzw. Ressourcen sind bei dem von uns eingesetzten Server relativ egal, da virtualisiert. Danke!

Also, das funktioniert echt wunderbar und gefällt mir sogar besser als die von mir erwähnte Variante! :thumb1: Vielen Dank nochmal! :)

Danke! Das werde ich mir mal ansehen! :D

Sorry, hatte oben in meiner Anfrage nicht erwähnt, dass die Anmeldung via RDP erfolgt (habe es nun nachträglich hinzugefügt). Wenn ich dich richtig verstehe müsste ich erst das System als Terminal Server (via Admin-Konsole) einrichten? Wenn ja, warum sind die Einstellungen auf meinem Screenshot dann nicht deaktiviert? Das macht doch dann keinen Sinn diese Einstellungen zugänglich zu machen, oder? :suspect: Aber vielleicht verstehe ich da auch nur etwas falsch.

Vielen Dank! Ich dachte nur, dass ich das in einen vorhanden Thread poste (wenn das Tehma in die Richtung geht) um nicht extra einen neuen zu Erzeugen. ;)

Hallo, dieser Thread hat mir schonmal weitergeholfen (Programm wird nach Anmeldung gestartet). Allerdings hätte ich da auch noch ein weiteres Anliegen. Ich habe hier ebenfalls eine Win2012R2-Instanz, jedoch nicht die Core-Variante. Bisher ist kein Active Directory vorhanden und der Server wird zunächst experimentell genutzt. Ist es möglich, dass nach der Anmeldung des Benutzers (via RDP) ein Programm gestartet, die Taskleiste und Desktop-Icons verborgen und der Benutzer nach dem Beenden des Programms automatisch abgemeldet wird? Bei vorherigen Windows-Serversystemen konnte man dies in den Benutzerinstellungen, unter dem Tab "Umgebung" durch die Einstellung "Folgendes Programm beim Anmelden starten" hinterlegen. Der Benutzer hat sich angemeldet, hatte dann nur das blanke Programm und beim Beenden des selbigen wurde der Benutzer abgemeldet. Trage ich das so auf dem Win2012R2 ein, scheint der Server diese Einstellung zu ignorieren. Dachte erst an ein Berechtigungsproblem, aber auch Notepad startet er nicht, was ja für alle Benutzer verfügbar sein sollte. Siehe Anhang. Melde ich mich dann als der Benutzer an, bekomme ich die Startleiste sowie den Desktop, aber das Programm startet nicht. Hat jemand eine Idee? Edit: Fipptehler ausgebessert, fehlende Info nachgetragen

Hallo, Was das angeht bin ich diesem Fall nur die Exekutive, habe mit meinem Vorgesetzten aber auch schon intensiv darüber philosophiert, aber solange die alte WaWi noch produktiv und die neue WaWi noch nicht fertig ist, sind mir da erstmal die Hände gebunden. Bisher ist noch nichts ausgefallen ... zum Glück. Es gibt da noch einen Win2003 Server, der für Notfälle der WaWi gedacht ist, aber der ist auch schon in die Jahre gekommen (und läuft nicht aktiv). Der sollte auch mal ausgemustert werden. Das wäre mein Vorgesetzter und ja, er kennt das Risiko. Wie schon gesagt, am liebsten hätte ich diese Software schon längst "in die Tonne getreten", aber diese Entscheidung liegt leider nicht bei mir. Ich möchte nochmals hinzufügen, dass ich diese Systeme lediglich übernommen habe und nichts mit der Entwicklung der alten WaWi zu tun hatte. :D Danke für die Tipps! Das auf dem Win2008 ist nur eine Kopie der WaWi, die kann ich erstmal zerschießen wie ich will, das ist zum Glück kein Ding. :wink2: Ich habe den Win2000 heute in eine virtuelle Maschine umgezogen (Virtualisierungsserver haben wir ja genug :D) und sobald ich die Funktionstests abgeschlossen habe und alles läuft, werfe ich wenigstens schonmal den nativen Server raus und mache das erstmal über den virtuellen. Edit: Ergänzungen hinzugefügt.

Vielen Dank für die Antworten! Gut zu wissen. Das ist das Problem, der Mitarbeiter ist schon lange nicht mehr da. :( Muss mal sehen, ob ich an den Menschen noch irgendwie herankomme. Ich versuche das mal. Das hatte ich schon ausprobiert, leider ohne Erfolg. Na, wenn da keine Freude aufkommt. ;) Das Problem ist, dass diese Warenwirtschaft noch produktiv verwendet wird, sonst hätte ich diese schon längst "in die Tonne getreten" wie man so schön sagt. Die neue Warenwirtschaft (basierend auf .NET und nicht mehr Delphi) ist aber noch in Entwicklung. Ich schaue mal und melde mich wenn ich Neuigkeiten zu berichten habe. Nochmals vielen Dank für euer Engagement! :thumb1: Edit: Tippfehler korrigiert.