Stibo

Hallo zusammen,

 

wir haben folgenden kuriosen Fall mit Office 365 Pro Plus auf einem Windows 8 Rechner. Der User kann mit PowerPoint keine Dateien mehr abspeichern, er erhält jedes Mal folgenden Fehler: "Sie versuchen einen Dateityp zu speichern, der durch ihre Zugriffsschutzeinstellungen im Sicherheitscenter gesperrt wird"

 

Wir haben mittels Gruppenrichtlinien die alten Formate gesperrt, folgendes habe ich bereits probiert:

 

1. Schnell- und Onlinereparatur von Office -> brachte keine Verbesserung

2. einen anderen User am gleichen PC anmelden lassen -> funktioniert

3. diesen User an einem anderen PC anmelden lassen -> funktioniert

 

Ich habe per gpresult geprüft, welche Richtlinien ziehen und es sind dieselben wie bei einer Kollegin auch. Seltsamerweise funktioniert das Speichern in Word und Excel einwandfrei, es ist nur Powerpoint, das sich sträubt.

 

Hat jemand von Euch noch einen Denkanstoß, wonach ich suchen könnte? Ansonsten wäre mein Ansatz, dass ich sein lokales Userprofil lösche und neu anlegen lasse.

Hallo Sandra,

 

ich schließe mich Murdoc an, vor allem die Region ist essenziell - in Baden-Württemberg oder Bayern wirst Du einfach mehr bekommen als in Schleswig-Holstein, z.B.

Hallo Norbert,

 

korrekt, sind externe Absender, aber keine Newsletter an sich, sondern schon von Personen erstellte E-Mails. Ich ging immer davon aus, dass der Junkmail-Filter nichts mit EXO zu tun hat, diese Funktion kann man ja unabhängig von EXO nutzen.

Hallo zusammen,

 

ein Kollege benutzt den Junk E-Mail-Filter von Outlook, um bestimmte Domains / Absender zu sperren. Wir nutzen Exchange Online sowie Outlook für Office 365 MSO (16.0.xxxxx) 32bit.

Er hat z.B. folgende Einträge in der Liste der blockierten Absender:

example.com

*.exampel.com

user@example.com

 

Dennoch landen E-Mails von dieser Domain bei ihm im Posteingang. Hat hier jemand schonmal ein ähnliches Problem gehabt bzw. hat eine Idee, woran es liegen könnte?

Ich hatte die Idee, die Domain direkt bei EXO zu blockieren, allerdings gibt es Kolleg:innen von ihm, die E-Mails erhalten möchten (es sind Personalvermittler, die ihm auf den Keks gehen, andere aber wollen die Vorschläge erhalten).

 

Danke vorab für etwaige Denkanstöße!

Danke für die Aufklärung und Ihr habt ja Recht. ;) Ist nur so, dass ich noch oft aus Gewohnheit "cmd" eingebe statt "powershell".

Danke für den Tipp, aber die im Artikel erwähnten Einstellungen und Registrywerte sind bei mir alle schon genau so gesetzt.

Hallo zusammen,

 

ich habe eine Verständnisfrage bei der PATH-Variable in Windows 10, einem eigenen Eintrag und Autocomplete per TAB.

Ich habe auf meinem System folgende Einträge:

 

C:\windows\system32> $env:Path -split ';'

C:\windows\system32
C:\windows
C:\windows\System32\Wbem
C:\windows\System32\WindowsPowerShell\v1.0\
C:\skripte\Tools
C:\windows\System32\OpenSSH\
C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps
C:\Program Files (x86)\OpenText\Viewer\bin
c:\perl64\bin
C:\Program Files\Microsoft VS Code\bin
C:\Program Files\PowerShell\7-preview\preview
C:\Users\sfs\AppData\Local\Microsoft\WindowsApps

 

In der GUI ist der Ordner C:\skripte\Tools sowohl bei den User- als auch den Systemvariablen hinterlegt.

 

Ich kann sowohl in einer Kommandozeile als auch in Powershell Befehle eingeben (z.B. psloggedon, das unter C:\skripte\Tools liegt), die auch korrekt interpretiert werden. Jetzt ist es aber so, dass ich per PS mit TAB autovervollständigen kann, in der CMD aber nicht.

Muss ich hierzu noch irgendwas anpassen oder ist das einfach so?

 

Danke vorab und schonmal ein schönes WE! :)

Ein etwas versierterer Kollege hat das Skript nun wie folgt angepasst und allem Anschein nach funktioniert's:

 

[void][Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic')
$user=[Microsoft.VisualBasic.Interaction]::InputBox("Bitte Username eingeben:", "User")
if(-not ($user -like "DOMAIN\*" -or $user -like "*@domain.de")) {
    $user="DOMAIN\$user"
}
$cred = Get-Credential -Message "Bitte Passwort eingeben für $($User):" -User $user

Start-process -FilePath "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" -ArgumentList "https://portal.office.com" -Credential $Cred

 

 

Ich dreh' echt durch, mit 'nem bescheuerten Batch File klappt es:

@echo off
set /p Cred="Kurzzeichen eingeben: "
runas /user:DOMAIN\%Cred% "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe https://portal.office.com"

 

Damit startet Edge ohne Probleme.

Müsste ich in Erfahrung bringen, aber ich vermute, dass nicht. Es wird innerhalb der Sammelanmeldung ein Programm dauerhaft gebraucht, das Prüfen der E-Mails passiert quasi nebenher. Kann mir vorstellen, dass der Wechsel des Users für alle (gefühlt) insgesamt zu viel Zeit braucht.

Hallo zusammen,

 

ich mal wieder. :) Brauche Eure Unterstützung bei folgendem Thema:

 

Wir haben hier einige PCs, an denen ein Sammeluser angemeldet ist. Weil aber einige der User noch ein Exchange Online Postfach haben, sollen diese mittels OWA ihre Mails abrufen können.

Weil hier jetzt aber Conditional Access eingerichtet ist, kann über die Sammelanmeldung kein Login an so einem Sammel-PC / -Account ohne MFA erfolgen. Meine Idee war nun, Edge einfach als anderer User zu starten und portal.office.com direkt im privaten Modus (damit nichts im Cache bleibt) zu starten.

 

Von Hand funktioniert das wunderbar, aber ich möchte das natürlich so weit es geht automatisieren. Folgenden Ansatz habe ich versucht:

 

# Dieses Skript startet Edge als der User, der eingegeben wird,
# um portal.office.com ohne MFA oeffnen zu koennen

$CredU = Read-Host "Bitte User eingeben:"

Start-Process -Credential DOMAIN\$CredU "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://portal.office.com

runas /user:$Creds "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://portal.office.com

 

Aber egal, wie rum ich es mache (--inPrivate zuerst, Adresse zuerst), ich erhalte immer die Fehlermeldung "Start-Process : Es wurde kein Positionsparameter gefunden, der das Argument "https://portal.office.com" akzeptiert."

 

Ein Test mit runas hat funktioniert, hier sieht der Befehl folgendermaßen aus:

 

runas /user:domain\user "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe https://portal.office.com"

 

Wenn ich das mit der gespeicherten Variable versuche (runas /user:DOMAIN\$CredU "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://portal.office.com), passiert einfach gar nichts.

 

Findet jemand meinen Fehler? Ich weiß gerade nicht weiter...

Danke vorab!

 

 

vor 45 Minuten schrieb mwiederkehr:

Du musst das Dollarzeichen escapen, da dieses bei regulären Ausdrücken für "Zeilenende" steht. Also Suchen nach "__;.*\$" im Modus "regular expression".

 

This did the trick! Vielen Dank, das mit dem escapen war mir nicht bekannt. :)

Hallo zusammen,

 

ich habe hier eine Textdatei (Favoriten aus Chrome), bei der durch die Firewall (Proofpoint) bei jedem Favoriten die URL abgeändert wurde, von

 

<DT><a href="http://www.domain.de" add_date="Irgendein Datum" last_modified="Irgendein Datum">Beschreibung/A>

 

zu

 

<DT><a href="https://urldefense.com/v3/__http://www.domain.de__;!!JS5vTA1kkbo!U4-V2yGZP6FAmezIglVX2GfbfymQldXPjmlyKR88J3mn8FZ6Oqv0yG3F3VDRhBlf4O4G$" add_date="Irgendein Datum" last_modified="Irgendein Datum">Beschreibung</A>

 

Sprich es wurden vor der URL der Deferer mit zwei Untersrichen und nach der URL zwei Unterstriche, ein Semikolon sowie ein String bis zum Dollarzeichen hinzugefügt.

Ich suche gerade nach einer Möglichkeit, den String nach der URL zu entfernen, und zwar von "__;" bis zum $.

 

Mit Notepad++ habe ich den String vor der URL bereits entfernt, der nach der URL bereitet mir aber Schwierigkeiten. Die komplette Zeile entfernen habe ich hinbekommen (mittels Suchen nach "__;.*", ersetzen durch nichts), aber das hilft mir leider nicht weiter.

Hat hier jemand eine Idee, wie ich das entweder mit PS oder mit Notepad++ erledigen kann?

 

Vielen Dank vorab!

vor 18 Minuten schrieb NorbertFe:

Bei zweiterer Version (im Übrigen die sinnvollere in vielen Fällen), landen gesendete und gelöschte Elemente auch gleich im richtigen Postfach ;) Die OST Datei hattest du schon richtig erwähnt. Weiterhin kannst du dann getrennte Signaturen und Regeln und Abwesenheitsassistenten pro Postfach nutzen.

 

Ahh ja stimmt, genau. An das mit dem richtigen Postfach habe ich mich gerade wieder erinnert, Danke! :)

Hallo zusammen,

 

mein letztes Mal Berührung mit zusätzlichen Postfächern in Outlook war 2016, damals aber noch mit Exchange 2010 und Office 3013, also bitte habt Nachsicht, wenn die Frage vielleicht b***d ist.

 

Man kann in Outlook ja auf zwei Wege zusätzliche Postfächer einbinden:

1. Datei - Kontoeinstellungen - Kontoeinstellungen - aufs Konto doppelklicken - weitere Einstellungen - Erweitert - hinzufügen

2. Datei - Konto hinzufügen - durchklicken

 

In beiden Fällen landet das Konto links in der Spalte der Konten/Ordnern. Soweit ich weiß wird beim zweiten Weg die lokale Offlinekopie in eine eigene .OST-Datei geschrieben, aber unterscheidet sich das noch in irgendeiner Art? Vor- oder Nachteile, bis auf die Offlinegeschichte?

 

Danke vorab und einen schönen Tag Euch allen!

Stibo

vor 15 Stunden schrieb BOfH_666:

Was ist das für ein Produkt? Es sollte doch genügen, die erlaubten Konten durchzulassen und alles andere abzuweisen!? ... hätte ich erwartet.  

 

Ja, das dachten wir hier wohl auch.  Ich bin erst seit 01.04. hier und kann noch nicht so viel dazu sagen, aber scheint eine Firewall von OpenSystems zu sein.

Vielen Dank Euch beiden! Ich habe wohl zu kompliziert gedacht und nicht verstanden, dass man bei Compare-Object ein Reference und ein Difference Object angeben kann.

 

vor 38 Minuten schrieb BOfH_666:

Erscheint mir irgendwie redundant.  

 

 

Ja, ist es auch, weil man explizit Gruppen angeben muss, was bedeutet, dass es jetzt eine Darf-Surfen- und eine Darf-nicht-surfen-Gruppe geben muss.

vor 6 Minuten schrieb tesso:

Warum erst in Text? 

Powershell kann doch wunderschön mit Objekten umgehen. 

 

Was möchtest du überhaupt machen? Das riecht wieder nach einem kleinen Teilproblem. 

 

Es geht darum, dass wir für eine Konfiguration beim Proxy einige AD-Gruppen brauchen. Es gibt bereits eine Gruppe mit Mitgliedern, die im Web surfen dürfen. Dann gibt es alle AD-User.

Die Diskrepanz zwischen allen und denen, die dürfen, kommt dann in die Gruppe "darf überhaupt nicht surfen".

Hallo zusammen,

 

ich stehe gerade vor einem Problem und weiß nicht, wie ich das lösen soll bzw. ob die Lösung, die ich habe, korrekt ist.

 

Folgendes: es existieren zwei Spalten, nennen wir sie AlleUser und WebUser.

Ich möchte jetzt, dass alle User aus Spalte WebUser, die auch in AlleUser auftauchen, von dieser Spalte subtrahieren und das Ergebnis dann in eine dritte Spalte schreiben.

 

Ich hab's mit PowerShell und Compare-Object -IncludeEqual versucht, aber bin mir absolut nicht sicher, ob das Ergebnis das ist, was ich brauche.

Erst habe ich mittels Get-ADUser alle User extrahiert und das Ergebnis in eine Textdatei umgeleitet, dann habe ich alle Mitglieder einer bestimmten Gruppe mit Get-ADGroupMember extrahiert und in eine zweite Datei umgeleitet. Bei beiden Kommandos jeweils nur den SamAccountName. Das sieht dann folgendermaßen aus:

 

user3             ==
user4             ==
                  =>
                  =>
user10            <=
user12		      <=

 

== bedeutet, existiert in beiden Dateien und <= bedeutet, der Wert existiert in einer der beiden Dateien, ich weiß aber nicht, in welcher. Soweit korrekt?

 

Meine zweite Idee war Excel, aber hier fehlt mit der Ansatz. Mittels "Wenn" oder "Zählenwenn" komme ich nicht weiter, auch ein XVERWEIS hilft mir nicht. Ein "Eindeutig" liefert mir irgendwie auch nicht das, was ich brauche.

Hat hier jemand einen Denkanstoß, wie ich das Ganze lösen kann? So schwer kann das doch eigentlich nicht sein...

 

Danke vorab!

Habe Eure Anmerkungen bzgl. DNS umgesetzt und werde nochmal mit unseren Netzern sprechen und fragen, ob das tatsächlich nur diese Ports sind oder ob ich eine veraltete Info habe.

 

Danke für Eure Hilfe schonmal! :)

vor 18 Minuten schrieb zahni:

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

 

domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind.

 

DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden).

 

DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert.

 

@testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.).

 

 

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

 

Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind.

Hallo zahni,

 

ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen.

 

DC1:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-06-CD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.132
                                       172.18.249.131
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

DC2:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc02
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

Memberserver:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wveaprxkp01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter LAN-01:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-68-27
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.224
   Default Gateway . . . . . . . . . : 172.18.251.29
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.25.156.1
                                       172.25.156.2
                                       172.25.2.235
   NetBIOS over Tcpip. . . . . . . . : Enabled

Hallo zusammen,

 

ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2).

Der Join wird bearbeitet bis folgende Meldung erscheint:

 

Changing the Primary Domain DNS name of this computer to "" failed.
The name will remain "domain.lan".
The error was:

The RPC server is unavailable.

 

Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf:

"The security database on the server does not have a computer account for this workstation."

 

Was ich bereits geprüft habe:

 

- Uhrzeit auf beiden Systemen ist synchron

- DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei

- Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition.

- Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe.

 

Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten:

 

dNSHostName:
server.mydomainname.local

 

servicePrincipalName:
HOST/SERVER
HOST/server.mydomainname.local
RestrictedKrbHost/SERVER
RestrictedKrbHost/server.mydomainname.local
TERMSRV/SERVER
TERMSRV/server.mydomainname.local

 

Stattdessen sieht es so aus:

 

DNSHostName                          :

ServicePrincipalNames                : {}

 

Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss.

Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :)

 

Danke und Gruß

Stibo

Gerade eben schrieb NorbertFe:

Dafür gibts selektive authentifizierung..

 

Danke, dann werde ich mich mit den Stichwörtern bewaffnet mal aufschlauen.

vor 3 Minuten schrieb NorbertFe:

Ein Trust syncht nichts. Der stellt wie der Name schon sagt sicher, dass die eine Seite der anderen Vetraut (und ggf. auch beidseitig). Wenn es die Nutzer in beiden Domains gibt, wozu dann ein Trust? Üblichweise wird ein Trust dazu genutzt, die Accounts aus einer Domain zu nutzen, sich an einer Ressource einer anderen Domain anzumelden (denn die vertraut ja den Konten) ;) 

 

Jetzt, wo ich das lese, macht das auf einmal Sinn, stimmt.

 

Gleichzeitig fiel mir jetzt auch ein, wieso kein Trust erstellt wurde: es sollen nicht alle User aus dem AD Office auf die Ressourcen in Finance zugreifen dürfen, sondern nur ein paar bestimmte. Weil die sich aber anscheinend über mehrere OUs verteilen, gestaltete sich das wohl als schwierig. Leider fand das alles statt, bevor ich in der Firma anfing und die ausführenden Personen arbeiten nicht mehr hier; eine Dokumentation gibt es leider auch nicht.