Emmermacher

vor 2 Stunden schrieb testperson:

Hi,

 

ob die Makros signiert sind, solltest du mit dieser GPO und der Einstellung "Alle Makros außer digital signierten Makros deaktivieren" testen können: GPS: Einstellungen für VBA-Makrobenachrichtigungen (gpsearch.azurewebsites.net)

 

Gruß

Jan

Hallo Jan.

Das hatte ich ursprünglich so eingestellt. 

Ich gehe mal davon aus, dass das Zertifikat irgendwo hinterlegt sein muss, damit diese Einstellung funktioniert. Dazu konnte ich bislang nichts finden :( .

Der Support hatte die betroffenen Makros direkt aus der Datei gestartet, in der es vorhanden ist. Da funktioniert es.

Hier scheint nur der Aufruf über eine andere Datei fehlzuschlagen. Auch wenn Makroprogrammierung nicht mein Thema ist, sah das alles soweit in Ordnung aus.

Gruß

Dirk

vor 9 Stunden schrieb BOfH_666:

 

Ohne auch nur ansatzweise Ahnung von Office-Makros zu haben  ...  die Erweiterung ".dot" klingt irgendwie nicht nach aktueller Version - sollte das nicht .dotx oder so sein? Wie wär's wenn der Hersteller das 1. aktualisiert und 2. nicht in externe Dateien auslagert, sondern in die entsprechende Vorlage integriert?

Moin @BOfH_666 .

Dotm würde ich auch für sinnvoller halten. Leider habe ich da keinen Einfluss drauf.

Von meiner Seite aus würde ich mir wünschen, das ohne Makros zu realisieren. Das bin ich wohl schon wieder auf dem Ponyhof...

LG

Dirk

vor 8 Stunden schrieb Sunny61:

DOTX ist aktuell für eine Vorlage OHNE Makros, mit Makros ist es ein DOTM. So ein DOTx wird beim Start von Word mit aufgerufen, und erst im Bedarfsfall die DOTM, so kenn ich das. Aber nicht von diesem Hersteller. ;)

 

@Emmermacher

Wie wär es mit dem Signieren von DOTM-Dateien? Ein Zertifikat aus der, falls vorhanden, eigenen CA für CodeSignierung würde schon reichen, dann kannst Du auch Office Dateien mit Makros im Netz haben. Per GPO gibst Du vor dass nur Dateien mit Makros ausgeführt werden dürfen, die signiert sind.

Hallo @Sunny61 .

Angeblich sollen die Makros signiert sein. Zertifikate hierfür habe ich bei uns bislang nicht entdecken können. Da frage ich mal nach.

LG

Dirk

Hallo.

Um unsre Rechner ein wenig sicherer zu machen, haben wir bei uns für Office die GPOs des BSI implementiert.

Bei uns ITlern läuft das seit Monaten im Test ohne Probleme

Nun haben wir das Step by Step im gesamten AD eingerichtet.

Wir haben jetzt eine Anwendung gefunden, die mit exzessiv mit Word-Makros arbeitet. Das Ganze haben wir soweit analysiert das wir jetzt wissen, woran es liegt.

Der Hersteller ruft aus Seiner .dot Datei Makros aus anderen Datei auf.

Word dankt es dann mint der Meldung "Makros sind diesem Projekt nicht zulässig".

Testweise habe ich Makros wieder ohne Überprüfung zugelassen. 

Die vertrauenswürdigen Speicherorte sind auch korrekt eingestellt.

Von den Einstellungen des BSI hatte ich auch weitere Einstellungen verändert, die Makros zu tun haben könnten - leider ohne Ergebnis.

Gibt es eine Richtlinie, die verhindert, das Makros aus anderen Dateien aufgerufen werden können?

Vom Hersteller hat sich das auch schon ein Kollege angeschaut. Leider hat der auch keine Ideen mehr...

Vielen Dank im Voraus für Eure Antworten

Viele Grüße

Dirk Emmermacher

vor 15 Stunden schrieb Sunny61:

Probier es mal damit: https://www.startpage.com/en/opensearch.xml

Ansonsten an support@startpage.com schreiben. Ist hier zu finden gewesen: https://hitco.at/blog/microsoft-edge-startseite/

Ja, ist schon etwas älter, aber ausprobieren tut nicht weh. ;)

Moin Sunny61.

Danke für den Link  https://www.startpage.com/en/opensearch.xml .Nach dem hatte ich gesucht und unter 

Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Microsoft Edge -> Standardsuchmaschine festlegen 

eingetragen.

Damit funktioniert es auf meinem Testsystem.

Hab einen schönen Tag.

Liebe Grüße aus Niedersachsen

Dirk

Hallo.

Ich versuche hier gerade, die Standardsuchanbieter in der Adresszeile anzupassen.

Als Userpolicy ist eingestellt:

Benutzerkonfiguration -> Richtlinien -> Adminstrative Vorlagen -> Microsoft Edge -> Standardsuchanbieter

Standardsuchanbieter aktiviern:   Aktiviert

Standard-Suchanbieter-URL für Vorschläge: >Aktiviert, 

Hi Norbert.

Ich habe mal eine neue Shared-Mailbox angelegt und anschließend per Powershell 

Get-ExchangeServerAccessLicenseUser -LicenseName "Exchange Server 2016 Standard CAL" abgefragt. Gegen allem, was ich gelesen habe, nimmt sich die neue Shared Mailbox eine CAL . Verstehen tue ich das nicht. Ist auch nur zur Info an Dich gedacht. Das System besteht hier schon etwas länger. An der Einrichtung war ich nicht beteiligt...

LG

Dirk

Danke für Deine Antwort. Da ich im öffentlichen Dienst unterwegs bin, braucht man es manchmal genau.

Hab einen schönen Tag  

Dirk

Ich hoffe mal, dass man für Shared Mailboxen keine eigenen CALs benötigt, sondern diese über die User CALs abgedeckt sind. 

Das Thema Lizenzen ist bei MS leider alles andere, aber leider nicht einfach. Und eigentlich nicht die Lieblingsbaustelle von uns Admins.

Ob diese in Exchange 2016/2019 explizit Lizenzen benötigen, oder die über die CALs mit abgedeckt werden.

Hallo Norbert.

Danke für Deine Antwort. Die Seite hatte ich auch schon gesehen. Zu Shared Mailboxen habe ich da nichts finden können. Kann natürlich auch sein, das ich mal wieder bei Fielmann vorbeischauen muss  .

Soweit ich weiß, nutzen wir User-CALs. Von meiner Seite aus könnten wir auch gerne auf O365 umsteigen. An ein paar Stellen könnte es durchaus einfacher werden...

LG

Dirk

Hallo.

Zu den Lizenzen in Exchange 2016 habe ich mal eine Frage an Euch. In O365 benötige ich für Shared Mailboxen keine Lizenzen. Aktuell habe ich hier einen 2016. Wie sieht das hier aus? Was "offizielles" habe ich bei MS bislang nicht finden können.

Schon mal eine Danke im Voraus an Euch für eure Antworten.

LG

Dirk Emmermacher

Hallo Evgenij.

Danke für Deine Antwort. Es handelt sich um O365. Nach ein wenig warten, Rechner neustarten und gpupdates hat es doch noch geklappt.

LG

Dirk

Hallo.

Mit einer GPO habe ich ein Problem. Testweise soll eine Einstellung im Officebereich für mich auf aktiviert gesetzt werden.

In der OU ist die Vererbung deaktiviert.

Meine Test-GPO steht an Position1 und ist auf "Erzwungen" gesetzt.

Da es sich um eine User-GPO handelt, ist der Computerteil abgeschaltet.

In den Berechtigungen stehe ich alleine. Im  Bereich Delegierung hatte ich sowohl "Authenticated Users" als auch "Domain Computers" auf lesen gesetzt.

Die GPO wird wird vom Rechner zwar (als Erzwungen) erkannt, meine Einstellung wird aber nicht geändert.

Mein Client ist Windows 10 20H2.

Wo könnte hier der Fehler liegen?

Vielen Dank im Voraus für Eure Antworten.

LG

Dirk Emmermacher

@zahni Da mache ich morgen weiter. Das Zertifikat, das ich mit der Windows-CA erstellt hatte, will nicht so richtig.

By the way: Richard Kiel musste ich erst mal googlen...

Schönen Feierabend :)

Dirk

vor 4 Stunden schrieb zahni:

Du musst bei Chrome einen DNS-Alias mitgeben. 

Hallo Richard.

Danke für Deine Antwort.

Da habe eine conf-Datei erstellt:

[req]
default_bits = 2048
default_keyfile = key.pem
encrypt_key = no
utf8 = yes
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
C = DE
ST = Bundesland
L = Stadt
O  = Firma
CN = server.my.internaldomain

[v3_req]
keyUsage = critical, digitalSignature, keyAgreement
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = server.my.internaldomain
DNS.2 = my.internaldomain

Weiter geholfen hat das auch nicht :(

Das andere Zertifikat wurde ohne Konfig erstellt. Das wird akzeptiert. Die conf-Datei hatte ich erst erstellt, nachdem es ohne nicht lief.

Bei manchen Phänomenen würden einen glatt noch graue Haare wachsen, wenn man nicht sowieso schon welche hätte ;)

LG

Dirk

Hallo.

Mit einer meiner internen Webseiten habe ich Probleme mit Chrome und Egde. Beim Aufruf bekomme ich in Chrome NET::ERR_CERT_COMMON_NAME_INVALID 

angezeigt. Den Browsercache habe ich bereits gelöscht, ebenso den SSL-Status.

Lässt man sich die Zertifikate anzeigen, sind diese gültig.

Wir haben vor kurzem das Root-Zertifikat unserer CA verlängert und danach anfangen, demnächst ablaufende Zertifikate zu erneuern.

Erstellt werden die CSR mit openssl auf einem Linux Server, der auch die entsprechenden Webseiten hält. Mit dem gleichen private Key wurde ein zweites Zertifikat für diesen Server erstellt. Das funktioniert ohne Probleme.

Firefox und IE11 meckern gar nicht.

In älteren Versionen von Chrome gab es da wohl mal einen Bug. Habt ihr Ideen , woran das liegen kann? Schlüssellänge beträgt 2048 Bytes.

Vielen Dank im Voraus für Eure Antworten

LG

Dirk Emmermacher

vor 15 Minuten schrieb Dukel:

"Gescheite" Installer erstellen die Firewall Freischaltungen bei dem Setup.

 

Außerdem, nochmal: Wenn du das Programm immer im gleichen Pfad (Ohne Version) installierst, hast du das Problem ja nicht.

@Dukel Ja, das hast Du recht. Muss ich schauen, ob das funktioniert. Die Schlauberger haben die eigentlichen Dateien in Unterordner gepackt. Das wäre ja einfach.

Mal schauen, was ich daraus machen kann. Das Programm ist ein Add-On zu Prezi, falls Du das kennen solltest.

LG

Dirk

vor 13 Stunden schrieb daabm:

Nein, das geht nicht. Du kannst mit dem reinen Exe-Namen arbeiten, aber in Verbindung mit einem Pfad bist Du auf Umgebungsvariablen als einzigen variablen Bestandteil festgelegt.

Du kannst das aber mit einem etwas "quirky" Trick dynamisch lösen Group Policy Preferences Registry und Zielgruppenadressierung. Mit der Zielgruppenadressierung kannst Du den Installationspfad in eine Variable schreiben, die Du in einem Reg-Wert verwenden kannst.

@daabm Hallo Martin.

Danke für den Tipp. Das wird hoffentlich weiter helfen. Die Docs, die ich bislang gelesen habe, zeigten immer nur  einen vollständigen Pfad.

Hab einen schönen Tag :)

LG

Dirk

vor 13 Stunden schrieb testperson:

Hi,

 

PowerShell Script als StartUp Script, eine per GPP erstellte Aufgabe oder eine Mischung aus beidem wären auch noch Optionen. Alternativ im Installations- / Updateprozess bzw. per Softwareverteilung / Clientmanagement die Regel auf die Clients bringen.

 

Gruß

Jan

@testperson Moin Jan.

Für die Anzahl der Rechner, die diese Software nutzen ist der Aufwand zu groß. Teilweise sieht das AD diese Maschinen nie :(.

LG

Dirk

vor 9 Stunden schrieb Dukel:

Wie wäre es mit der Freischaltung des Ports und nicht des Programms?

Wie wäre es "manuell" das Programm immer im selben Ordner installieren?

@Dukel MoinDukel.

Die Firewall wollt das Programm freigeben, nicht den Port. Ports sind da einfacher einzurichten, würde ich auch lieber tun.

LG

Dirk

Hallo.

Für eine bei uns installierte Anwendung suche ich nach einer Möglichkeit, einen "variablen" Pfad einzutragen. Der Hersteller nutzt für Programmupdates Ordner mit der Programmversion. Bislang habe ich für Programmfreigaben nur feste Pfade gefunden, in der das Programm liegt. Sind hier Eingaben wie C:\Program Files (x86)\Programm\*\file.exe zulässig? Ansonsten müssten mir die MA immer mitteilen, wenn neue Versionen vorhanden sind. Jedes mal aufschalten und die Dateien manuell freigeben ist eigentlich auch nicht wirklich zielführend...

Vielen Dank im Voraus für Eure Antworten.

LG

Dirk Emmermacher

vor 13 Minuten schrieb tesso:

Seit einigen Tagen hat mein Rechner beim Starten von Teams auch einen Hänger. Nach 20-30 Sekunden geht es dann. Im Chat habe ich noch nichts bemerkt. 

@tesso Danke für die Info.

Die Hänger gibt immer wieder. Geschätzt würde ich sagen, ca. alle 10 Minuten.

Unsere Kollegen in unserer Außenstelle haben schon länger das Problem und sind mittlerweile ziemlich genervt. Da habe ich auf der Firewall schon einen Pakettfilter vor die Proxyregeln eingebaut, der den Traffic zu MS abarbeitet. Im AV-Programm laufen exceptions für teams.exe und squirrel.exe. An der Stelle sehe keine Möglchkeit mehr, etwas zu ändern.

Zwischen LAN und Firewall hängt noch ein NetScaler SD-WAN. Die Firmware auf dem System kennt leider noch nicht die Optimierungen für O365. Wäre das eventuell der Flaschenhals?

Laut den Kollegen soll das nur in der Außenstelle auftauchen, oder wenn sie per Mobile VPN verbunden sind. Das Teams über Mobile VPN gerade bei Video problematisch ist, ist mir bekannt. Die Verbindung betreibe ich nach best-practices des Hersteller mit max. Verschlüsselung. Hier gilt bei mir dann eher Sicherheit vor Performance.

LG

Dirk

Mal so als aktuelle Frage an Euch: Haben Eure User Probleme mit Teams beim chatten? Etliche User klagen über ein eingefrorenes Teams beim schreiben. Das Programm reagiert bis zu 20 Sekunden nicht mehr. Schreibt man in dieser Zeit weiter, erscheint der Text dann nach Ablauf dieser Zeit.

Das haben wir auf den den Desktops und auch in Citrix, wo die Citrix optimerte Version läuft.

LG

Dirk

Moin.

Danke für Eure Antworten.

Dem einen Kollegen haben wir ein neues Gerät gegeben. Von dem Modell haben wir 5 Stück beschafft. Er ist bislang der einzige, der immer noch die gleichen Probleme hat. Von den anderen Besitzern habe ich nichts gehört. Eventuell veraltete Peripherie-Hardware als Ursache? Remote sehe ich leider nicht unbedingt zusätzliche Geräte. Im Devicemanager konnte ich auf den "alten" Notebook nichts erkennen.

Der betroffene Kollege nutzt wohl noch einen USB-Hub. Wäre das möglicherweise die Ursache. Ich hatte ihm schon mal gesagt, das er da Teil raus nehmen soll. Ob er das gemacht hat, wage ich zu bezweifeln.

Der Prophet gilt halt nichts im eigenen Land. Das Thema kennt ihr ja bestimmt auch.

Das Teams ein elendiger Resourcenschlucker, ist mit bekannt. GtM nutze ich nur bei Webinaren. Da hatte ich bislang keine Probleme feststellen können.

LG

Dirk

Hallo.

In unserer Außenstelle haben die Kollegen kuriose Probleme mit Windows 10 Build (1909 und 20H2)

Die Maschinen frieren zeitweise für 10-30 Sekunden ein, Tastaturanschläge sind immer wieder stark verzögert.

Das taucht in Chrome, Outlook (O365) und Teams auf. Bei Chrome ist das wohl ein bekannter Fehler. Auf meinem eigenen Rechner im Hauptstandort hatte ich das gestern auch massiv in Chrome. Die gefundenen Methoden  Browser Cache löschen, Chrome zurücksetzen und Neuinstallation haben keine Änderung gebracht (Aktuelle Version) Vor zwei Wochen war in ich in der Außenstelle. Auf meinem Notebook gab es keine Probleme, die von den Kollegen geschildert worden sind.

Teilweise war die CPU-Auslastung durch Interrupts auf 100%. Auf den Systemen habe ich Treiber aktualisiert. Das scheint einen Teilerfolg gebracht zu haben. Im AV-Programm habe ich noch weitere Exceptions hinzugefügt. Wirklich gebracht hat das an der Stelle nicht.

Den Traffic zwischen den Standorten ist ein wenig verändert worden. Ein Server der Außenstelle übernimmt jetzt die Verteilung von Updates und Einstellungen der AV-Lösung. Die Priorisierung über die WAN-Optimizer ist auch noch mal angepasst worden.

Mehr als Rechner einziehen und neu aufsetzen fällt mir aktuell nicht ein. Im Gastnetz und im Homeoffice soll es keine Probleme geben.

Das Regelwerk der Firewall wurde für O365 auch noch mal angepasst. Die Ausnahmenn in einer Proxy-Policy wurde durch einen vorgeschaltete Paketfilterregel ersetzt. Diese greift auch so, wie sie soll.

Hat da jemand eine Idee, wo man noch suchen kann? Neuinstallation der AV-Programme?

Vielen Dank im Voraus für Eure Ideen.

Bleibt gesund!

Dirk Emmermacher

Hallo Janguru.

Wir nutzen hier eine Citrix-Farm mit published Desktops. Insgesamt haben wir ca 60 User, die auf vier Servern arbeiten. In der Praxis sind aber selten mehr als 40 zeitgleich angemeldet. Die Server haben bei uns 4 CPUs mit je 2 Cores und 48GB RAM. In der Regel ist das ausreichend. Teams und Co fordern hier eider Ihre Tribute.

Ein Tipp um eine hohe CPU-Auslastung zu reduzieren: Trage die empfohlenen Exceptions bei deiner AV-Software ein. Die User werden es Dir danken ;)

LG

Dirk

vor 47 Minuten schrieb NorbertFe:

Wird doch sowieso "automatisch" installiert. Also warum sollte der Nutzer da irgendwie involviert werden?

ich habe das mal heraus genommen.

Schönen Feierabend :)

Dirk