Gill

Noch eine aktuelle Information am Rande:

Ein Arbeitskollege hat rein anhand meiner Anleitung das sog. WiDeRedist-Projekt erstellt und stellt dieses auf GitHub frei zur Verfügung.

Ist simpel gehalten aber wesentlich besser gelungen als mein "Prototyp".

Keine Ursache, freut mich immer wenn ich helfen kann!

Ich habe es hinbekommen, funktioniert tadellos! Leider darf ich die Skripte selbst nicht posten, aber die wesentlichen Punkte.

Linux-Seite:

Mein Skript erstellt das Verzeichnis Defender mit den Unterverzeichnissen x86 und x64. Dann lädt es mittels wget folgende Dateien herunter:

Nach x86:

• https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe)
• https://go.microsoft.com/fwlink/?linkid=87341&clcid=0x409 (mpam-fe.exe)
• https://go.microsoft.com/fwlink/?linkid=70631 (mpas-de.exe)
• https://go.microsoft.com/fwlink/?linkid=207869 (nis_full.exe)
   

Nach x64 (Dateinamen sind identisch, aber die ersten drei Dateien unterscheiden sich von den oberen):

• http://go.microsoft.com/fwlink/?linkid=121721&clcid=0x409&arch=x64 (mpam-fe.exe)
• https://go.microsoft.com/fwlink/?linkid=70632 (mpas-fe.exe)
• http://go.microsoft.com/fwlink/?linkid=197094 (nis_full.exe)
• https://go.microsoft.com/fwlink/?linkid=211054 (mpam-d.exe, das ist exakt die gleiche wie bei x86)

Diese Dateien werden dann mittels Webserver zur Verfügung gestellt.

Windows-Seite:

Dort habe ich das Verzeichnis C:\Defender ebenfalls mit den Unterverzeichnissen x86 und x64.

Mit der PowerShell ziehe ich die Dateien vom Webserver auf die lokale Festplatte des Windows-Servers (Variable für die IP-Adresse muss natürlich vorher gesetzt werden):

Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-d.exe"   -OutFile "C:\Defender\x86\mpam-d.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpam-fe.exe"  -OutFile "C:\Defender\x86\mpam-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/mpas-fe.exe"  -OutFile "C:\Defender\x86\mpas-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x86/nis_full.exe" -OutFile "C:\Defender\x86\nis_full.exe"

Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-d.exe"   -OutFile "C:\Defender\x64\mpam-d.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpam-fe.exe"  -OutFile "C:\Defender\x64\mpam-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/mpas-fe.exe"  -OutFile "C:\Defender\x64\mpas-fe.exe"
Invoke-WebRequest -Uri "http://${IP-Address}/x64/nis_full.exe" -OutFile "C:\Defender\x64\nis_full.exe"

Danach noch ein paar Einstellungen:

Set-MpPreference -SignatureDefinitionUpdateFileSharesSources C:\Defender
Set-MpPreference -SignatureFallbackOrder FileShares

Dann das Update starten. Der Befehl Update-MpSignature, von dem man für diesen Zweck viel liest, hat immer nur ein PermissionDenied zurückgegeben. Mit der folgenden Zeile funktioniert das Update:

& 'C:\Program Files\Windows Defender\mpcmdrun.exe' -SignatureUpdate -Path C:\Defender

Fertig.

Hallo Jan,

das Skript werde ich mir ansehen, danke für den Tipp!

So, habe noch Neuigkeiten bzgl. der o. g. "mpas-feX64.exe"-Datei. Wenn ich die heruntergeladene Datei starte (mittels Doppelklick) erhalte ich ganz kurz den "Ladekringel" und das war's dann.

Führe ich die Datei auf der Kommandozeile aus erhalte ich keinerlei Ausgabe sondern einfach wieder einen neuen Prompt. Habe es auch mal mit dem "/?"-Parameter ausprobiert (man weiß ja nie), jedoch ohne Erfolg.

Dann habe ich die Dateigrößen verglichen; die gestrige Datei (53,1 MB) ist kleiner als die heute heruntergeladene (53,5 MB), wenn auch nicht signifikant. Also irgendwas hat sich da wohl verändert.

Auf einem Testsystem, auf dem der Defender nicht mehr aktuell ist, bringt diese Datei auch nichts. Der Defender behält seine veralteten Definitionen.

Für irgendwas muss diese Datei aber gut sein...

Gruß

Gill

Hallo Jan,

danke für die Information! Wenn man die Inhalte vom Share auf die Rechner ziehen und von dort aus das Update machen muss, kann man ja auf ein Skript zurückgreifen. Diese Lösung wäre für mich völlig ausreichend.

Nun ist nur noch eine Frage offen und zwar woher ich die Defender-Definitionen aus dem Netz bekomme. Habe https://definitionupdates.microsoft.com gefunden, jedoch weiß ich (noch) nicht, ob ich das so nutzen kann. Ruft man die Seite auf erhält man einen "InvalidQueryParameterValue"-Fehler, da braucht man wohl noch Parameter für.

Bin dann aber durch diverse Suchen auf diese Seite gestoßen:
https://www.askvg.com/how-to-update-windows-defender-offline-install-latest-virus-definition-files-manually/

Auf selbiger befinden sich ca. in der Mitte zahlreiche Links zum Download der aktuellsten Definitionen des Windows Defenders. War erst skeptisch, aber die "Download Latest Virus Definition Updates for Windows Defender (...)"-Links zeigen eindeutig auf Microsoft-Server. Wenn ich den für mich passenden Link anklicke erhalte ich die Datei "mpas-feX64.exe".

Ich werde mir das in den kommenden Tagen mal näher ansehen wenn ich wieder im Büro bin.

Gruß

Gill

Hallo,

auf der Webseite von Microsoft zum Thema Defender steht, dass man für den selbigen auch ein Netzlaufwerk als Update-Quelle angeben kann. Das ist schon einmal hervorragend.

Nun zu meiner Frage, gibt es (wie es bei vielen Anti-Virus-Programmen möglich ist) einen Weg, diese Definitionen aus dem Internet in Form von entsprechenden Virendefinitions-Dateien (also keine EXE-Datei aus dem Windows Update Catalog oder ähnliches) von einer bestimmten Microsoft-Quelle zu beziehen?

Mein Vorhaben ist folgendes; wir haben einen Server im Netzwerk (Linux), der alle Virendefinitionen sämtlicher auf dem Gelände eingesetzter Anti-Virus-Programme aus dem Internet herunterlädt und zentral zur Verfügung stellt. Dies funktioniert seit Jahren problemlos. Nun wäre es nicht schlecht, wenn ich diesen auch dazu nutzen bzw. bringen könnte, um ebenfalls die Definitions-Updates vom Defender zur Verfügung zu stellen.

Bisher habe ich den Defender mittels Skript via Aufgabenplanung aktualisiert (Proxy setzen, Route zum Proxy legen, Defender-Update durchführen, Proxy und Route wieder entfernen, fertig).

Ein WSUS-Server kommt für uns nicht in Frage; da in unserem Netzwerk lediglich drei Windows Server vorhanden sind (zwei Windows Server 2016 und ein 2008 R2, jeweils Standard). Diese Systeme sollen aber zukünftig gar nicht mehr auf das Internet zugreifen dürfen. Anweisung von oben, wie man so schön sagt.

Windows-Updates werden manuell mit kumulativen Update-Paketen durchgeführt, jedoch soll der Defender täglich automatisch aktualisiert werden.

Vielen Dank im Voraus!

Es soll durchaus (Linux) Thin Clients geben, die Remote Apps unterstützen.

Das kläre bzw. teste ich gerade. Habe FreeRDP und Rdesktop zur Verfügung, mal sehen.

Wirklich ein Vervielfältigen eines Kontos zusammen mit dem Profil in einem Akt?

Praktisch wäre eine solche Vervielfältigung schon, natürlich nur dann, wenn sie sauber abläuft.

Built In ist mir dazu nichts bekannt, auch 3.Party nicht. Hab ich aber wohl schon geschrieben.

Ja, leider. Mich wundert aber, dass Microsoft nicht an so etwas gedacht hat. Habe auch mal geschaut, welche Möglichkeiten .NET bietet, da gibt es einiges (System.DirectoryServices.ActiveDirectory)

Ich habe auf Seite 1 dieses Threads ja noch ein paar Ideen erhalten, ich hoffe ich komme nächste Woche mal wieder dazu, an dem Projekt weiter zu machen.

In dem Fall könnten einem auch RemoteApps / Published Apps in den Sinn kommen. Dann bekommt der User nur die Applikation und der Rest ist sein lokaler PC / Desktop.

Ja, das wäre in der Tat eine Idee, jedoch laufen die Thin Clients (gewollt) mit Linux.

Ob das per GPO einschränkbar ist? Das wäre wohl mein erster Gedanke. Das ist flexibler als eine Vorlage, auch nachträglich für bereits angelegt veränderlich.

Da ich ja ein virtuelles Testsystem habe, welches ich zerschießen kann, habe ich das mit den GPOs einfach ausprobiert, herumgetüftelt und an den Einstellungen herumgeschraubt. Funktioniert soweit tadellos. :wink2:

 

also, unterscheiden zwischen den Objekten benutzerkonto und benutzerprofil

Wie schon erwähnt, Flüchtigkeitsfehler meinerseits. ;)

 

Ich hatte mal mehrere hundert mit dem regedit zu änsdern über Feiertage. mir blieb nichts anderes übrig, ich hatte keine andere Lösung

Heftig... auch nicht mit Skripting?

 

Wozu sollte sowas wirklich gut sein, wirklich nötig sein? Und was sollte nötig sein?

An dem Terminalserver arbeiten später Personen (via Thin Clients über RDP) an der firmeninternen Warenwirtschaft. Diese sind technisch nicht versiert und je einfacher die Umgebung aufgebaut ist, desto besser. Mit dem Abteilungsleiter haben wir ein adäquates "Design" für Desktop, Taskleiste und Startmenü erstellt, mit dem die Benutzer problemlos klarkommen, folglich steckt da nicht gerade wenig Zeit drin, was man sich durch solch ein Klonungs-Vorhaben sparen könnte.

 

Wurde schon einmal zu dem Thema recherchiert?

Meinerseits? Ja. Nachdem ich nichts passendes finden konnte habe ich mich hier ans Forum gewandt.

 

Bezüglich Default Profil (...) Da es ja nur eine Testumgebung ist, kannst Du das ausprobieren. Momentan finde ich keinen anderen Link für W2016.

Wunderbar! :)

Ja, ist eine virtuelle Maschine und Festplatten-Image ist wegkopiert, das System kann ich also zerhauen wie ich will.

 

von MS gäbe es da UE-V oder schau mal bei AppSense vorbei

Klingt interessant.

Vielen Dank schon mal an alle, werde mir alle Tipps mal näher ansehen und ausprobieren.

 

Und ja, die ganze Profil-Chose hat Microsoft ganz gründlich versaubeutelt.

Was mich wundert, bei so einem großen Konzern.

 

Ja, das ist umständlich und aufwändig

Gibt es vielleicht eine Software-Lösung? Kann mir nicht vorstellen, dass das jede Firma so einfach "hinnimmt".

 

Der einzige mir bekannte saubere Weg - wie willst du sonst bei Farmen sicherstellen, das der User-Desktop immer gleich ist?

Okay, vielen Dank, dann versuche ich das mal. :wink2:

Wow, vielen Dank für die zahlreichen schnellen Antworten! :wink2:

 

Nicht den Benutzer mit dem Profil verwechseln.

Verzeihung, ein Flüchtigkeitsfehler meinerseits.

 

Auch unter Linux hast du dazu zwei Schritte. Benutzer anlegen / kopieren und Home kopieren.

Ja, aber es geht und ist auch nicht unsauber. ;)

 

Unter Windows konfiguriert man eher die Einstellungen Zentral (GPO) und kopiert nicht irgendwelche Profile.

 Ich weiß, das mit Linux war lediglich ein Beispiel, was ich genau (im übertragenden Sinne) brauche. :)

 

Default Profil anpassen, das wird dann auf alle neu hinzugefügten Benutzer auf dem TS angewendet.

Kann ich dort auch den Aufbau des Startmenüs, der Schnellstart-Leiste, etc. einstellen? Es geht mir um die optischen "Fusseleinstellungen". Regeln wer welche Rechte hat und welche Desktop-Verknüpfungen bekommt habe ich bereits mittels entsprechender GPOs gelöst.

 

Lege doch einfach das TS-Profil auf einen Share, geht unter den User-Einstellungen in Users and Computers

Kann man das bedenkenlos machen?

Hallo,

ich habe hier einen Windows Server 2016 Technical Preview 5 (den nutze ich schon mal zum experimentieren, bis der offiziell freigegeben wird) als Terminal Server. Auf meinem AD-Server habe ich einen Benutzer mit allen gewünschten Einstellungen eingerichtet.

Ich möchte gerne diesen Benutzer, den ich komplett eingerichtet habe einfach "klonen", inkl. der Einstellungen. Wenn ich den Benutzer kopiere (mit der Funktion im "Active Directory Benutzer und -Computer" Snap-In) und mich als selbiger anmelde wurden die Einstellungen wie beispielsweise Schnellstart-Symbole bei der Startleiste nicht übernommen (da befindet sich dann wieder Edge und der Microsoft Store, was beides unerwünscht ist) und auch die optischen Einstellungen sind auch flöten gegangen.

Ich brauche ca. 20 Benutzerkonten und möchte mich nicht bei jedem Benutzer anmelden und die ganzen Sachen aufräumen bzw. anpassen müssen.

Es muss doch möglich sein, einen Benutzer zu kopieren und dessen Einstellungen 1:1 zu klonen? Vielleicht mit der PowerShell? Auf Linux beispielsweise kann man das in weniger als einer Minute mit einer Hand voll Befehlen machen, kann mir nicht vorstellen, dass das auf Windows so ein Aufwand ist.

Vielleicht kann mir wer weiterhelfen, bin etwas am verzweifeln. :confused:

Danke!

Also, auch wenn es wie großer Umstand aussieht

Bei Windows-Systemen ist (aus meiner Sicht) der Konfigurationsaufwand generell zwar etwas höher, aber das ist mir völlig egal, solange das System stabil läuft.

jeweils eine VM als DC und als Terminalserver ein. Das ist für Stabilität und Sicherheit deutlich besser.

Das mache ich dann auch so. :)

Und es müssen ja auch gar nicht unbedingt bewusste Angriffe sein - wenn es du*m kommt, reicht ein bisschen falsches Klicken schon aus.

Ja, das sog. PEBKAC-Problem (Problem Exists Between Keyboard And Chair), welches bei Administratoren und vor allem bei Benutzern aufreten kann.

Danke für die schnellen und ausführlichen Antworten bzw. Links!

"lediglich"?

Wegen Sicherheit; die Server-Instanzen sind ausschließlich im internen Netz verfügbar und auf diese kann auch nicht von außen zugegegriffen werden. Auch auf dem Virtualisierungs-Host befindet sich ein Netzwerkfilter, sodass die Benutzer nur via RDP auf das System kommen.

Habe aber in den Links auch gelesen, dass es nicht so prickelnd ist, wenn die Benutzer auf dem gleichen System arbeiten auf dem auch das AD läuft. Bisher habe ich den Zugriff für die Benutzer stark eingeschränkt. Diese sehen im Explorer nur ihre eigenen Ordner und das für sie gemountete Netzlaufwerk, aber auch das ist keine so tolle Lösung.

Ab Windows 2012 kommt hinzu, dass man auf einem Domänencontroller die RDS-Dienste (Terminalserver) nur noch mit argen Klimmzügen überhaupt installiert bekommt. Stabil läuift es dann hinterher i.d.R. nicht.

Gut zu wissen!

Mit Windows Server 2012 darfst du das OS zwei mal (virtuell) installieren. Dabei kommen keine weiteren Kosten auf dich zu.

Das ist natürlich zuvorkommend von Microsoft. Da dem so ist, werde ich das so lösen.

Danke euch!

Edit: Überflüssige leere Zeilen entfernt

Danke, gut zu wissen. :)

Aber zurück zu meiner Frage; warum sollte man beides nicht auf einen Server installieren (nur so aus Interesse)?

Hallo,

mal eine Frage; ich habe schon öfter gehört, man sollte einen Terminal Server nicht auf dem gleichen System wie dem Active Directory betreiben. Warum? Lediglich aus Sicherheitsgründen?

Zukünftig werden wir nur noch einen einzigen Windows-Server besitzen. Auf diesem läuft dann die neue Warenwirtschaft und die Benutzer greifen von Terminals aus via RDP darauf zu.

Wenn ich die beiden Dienste von einander trennen müsste, bräuchte ich ja wieder eine zusätzliche Windows-Lizenz (und Installation), welche aber wiederrum Geld kostet und für unsere Zwecke (da nur ein Server vorhanden) doch etwas "überdimensioniert" ist (sprich, wegen einem Terminal Server ein separater Active Directory-Server).

Hardware bzw. Ressourcen sind bei dem von uns eingesetzten Server relativ egal, da virtualisiert.

Danke!

Also, das funktioniert echt wunderbar und gefällt mir sogar besser als die von mir erwähnte Variante! :thumb1:

Vielen Dank nochmal! :)

Seit 2008 können "RemoteApps" zur Verfügung gestellt werden.

Danke! Das werde ich mir mal ansehen! :D

 

Dein Screenshot bezieht sich ausschließlich auf Terminalserver-Sitzungen...

Sorry, hatte oben in meiner Anfrage nicht erwähnt, dass die Anmeldung via RDP erfolgt (habe es nun nachträglich hinzugefügt).

Wenn ich dich richtig verstehe müsste ich erst das System als Terminal Server (via Admin-Konsole) einrichten? Wenn ja, warum sind die Einstellungen auf meinem Screenshot dann nicht deaktiviert? Das macht doch dann keinen Sinn diese Einstellungen zugänglich zu machen, oder? :suspect:

Aber vielleicht verstehe ich da auch nur etwas falsch.

Vielen Dank!

Ich dachte nur, dass ich das in einen vorhanden Thread poste (wenn das Tehma in die Richtung geht) um nicht extra einen neuen zu Erzeugen. ;)

Hallo,

dieser Thread hat mir schonmal weitergeholfen (Programm wird nach Anmeldung gestartet). Allerdings hätte ich da auch noch ein weiteres Anliegen.

Ich habe hier ebenfalls eine Win2012R2-Instanz, jedoch nicht die Core-Variante. Bisher ist kein Active Directory vorhanden und der Server wird zunächst experimentell genutzt.

Ist es möglich, dass nach der Anmeldung des Benutzers (via RDP) ein Programm gestartet, die Taskleiste und Desktop-Icons verborgen und der Benutzer nach dem Beenden des Programms automatisch abgemeldet wird?

Bei vorherigen Windows-Serversystemen konnte man dies in den Benutzerinstellungen, unter dem Tab "Umgebung" durch die Einstellung "Folgendes Programm beim Anmelden starten" hinterlegen. Der Benutzer hat sich angemeldet, hatte dann nur das blanke Programm und beim Beenden des selbigen wurde der Benutzer abgemeldet.

Trage ich das so auf dem Win2012R2 ein, scheint der Server diese Einstellung zu ignorieren. Dachte erst an ein Berechtigungsproblem, aber auch Notepad startet er nicht, was ja für alle Benutzer verfügbar sein sollte. Siehe Anhang.

Melde ich mich dann als der Benutzer an, bekomme ich die Startleiste sowie den Desktop, aber das Programm startet nicht.

Hat jemand eine Idee?

Edit: Fipptehler ausgebessert, fehlende Info nachgetragen

Hallo,

Ich bin immer wieder verwundert darüber wie ein Unternehmen die wahrscheinlich unternehmenskritischte Applikation (WaWi) so stiefmütterlich behandeln kann.

Was das angeht bin ich diesem Fall nur die Exekutive, habe mit meinem Vorgesetzten aber auch schon intensiv darüber philosophiert, aber solange die alte WaWi noch produktiv und die neue WaWi noch nicht fertig ist, sind mir da erstmal die Hände gebunden.

Was kostet es das Unternehmen am Tag wenn diese Applikation ausfällt?

Bisher ist noch nichts ausgefallen ... zum Glück. Es gibt da noch einen Win2003 Server, der für Notfälle der WaWi gedacht ist, aber der ist auch schon in die Jahre gekommen (und läuft nicht aktiv). Der sollte auch mal ausgemustert werden.

Kennt der Entscheider die Tragweite seiner Entscheidung und kennt er das Risiko dass er eingeht?

Das wäre mein Vorgesetzter und ja, er kennt das Risiko.

Fragen über Fragen die sich stellen wenn ich lese dass da ein so altes Programm in einer Umgebung betrieben werden soll für die es nie gedacht war....

Wie schon gesagt, am liebsten hätte ich diese Software schon längst "in die Tonne getreten", aber diese Entscheidung liegt leider nicht bei mir. Ich möchte nochmals hinzufügen, dass ich diese Systeme lediglich übernommen habe und nichts mit der Entwicklung der alten WaWi zu tun hatte. :D

Ich fürchte, da habt ihr bisher Glück gehabt, dass nix kaputt ging

Danke für die Tipps!

Das auf dem Win2008 ist nur eine Kopie der WaWi, die kann ich erstmal zerschießen wie ich will, das ist zum Glück kein Ding. :wink2:

Das ist halt so ein Problem heute, Dinosaurier zu halten. Du könntest auch überlegen, den alten Server zu virtualisieren und abgekapselt nur per Port 3389 noch erreichbar unter zu betreiben, bis ihr schnellstmöglich auf einer modernen WaWi seid. Ist ja nicht ganz unwichtig so eine Software.

Ich habe den Win2000 heute in eine virtuelle Maschine umgezogen (Virtualisierungsserver haben wir ja genug :D) und sobald ich die Funktionstests abgeschlossen habe und alles läuft, werfe ich wenigstens schonmal den nativen Server raus und mache das erstmal über den virtuellen.

Edit: Ergänzungen hinzugefügt.

Vielen Dank für die Antworten!

Für den Server 2000 hat der Entwickler der Software wahrscheinlich die erforderlichen Anpassungen gemacht. Das müsste er jetzt auch für den neuen Server machen. Dabei ist nicht gesagt dass der gleiche Workaround der bei dem Server 2000 funktioniert hat auch bei dem neuen Server funktionieren wird.

Gut zu wissen. Das ist das Problem, der Mitarbeiter ist schon lange nicht mehr da. :( Muss mal sehen, ob ich an den Menschen noch irgendwie herankomme.

 

Du kannst mal nachsehen was genau diese Zugriffsverletzung produziert. Wer da worauf zugreifen möchte um zu sehen ob sich das anders lösen lässt. Viel Hoffnung möchte ich dir da aber nicht machen.

Ich versuche das mal.

Du kannst es jedoch einmal mit der simplen Variante "Kompatibilitätsmodus" versuchen. Vielleicht ist das Glück Dir holt.

Das hatte ich schon ausprobiert, leider ohne Erfolg.

Ich würde allerdings beim Thema WaWi mit so einer Lösung grundsätzlich Bauchschmerzen haben. Da kann bis zum Datenverlust alles passieren.

Na, wenn da keine Freude aufkommt. ;)

Das Problem ist, dass diese Warenwirtschaft noch produktiv verwendet wird, sonst hätte ich diese schon längst "in die Tonne getreten" wie man so schön sagt. Die neue Warenwirtschaft (basierend auf .NET und nicht mehr Delphi) ist aber noch in Entwicklung.

Ich schaue mal und melde mich wenn ich Neuigkeiten zu berichten habe. Nochmals vielen Dank für euer Engagement! :thumb1:

Edit: Tippfehler korrigiert.