testperson

Also die Erleuchtung hätte schon auf Seite 1 kommen können: https://www.mcseboard.de/topic/218052-wpp-und-powershell-scripts/?do=findComment&comment=1401007

Geht es tatsächlich nur um das Wallpaper oder ist das nur ein Beispiel? Was macht denn das Wallpaper bei euch, dass es sofort aktuell angezeigt werden soll und das es "keine Zeit" bis nach einem Reboot bzw. Anmelden hat? Ggfs. könntest du das Script etwas ins Eventlog protokollieren lassen worauf du einen per GPO erstellten Task triggerst, der dann deinen Code oben ausführt?

Hi, es hilft evtl. nur indirekt weiter: Computer sperren und entsperren ist kein Anmelden. Es könnte also sein, dass du mit der gesuchten Lösung gar nicht ans Ziel kommst und einen Logoff / Logon oder Reboot benötigst. Gruß Jan

Hach, schon wieder ein runder Geburtstag: https://news.xbox.com/de-de/2020/05/22/national-solitaire-day-2020/ 30 Jahre Solitär - Happy Birthday! Leider lässt sich das Jubiläums T-Shirt nicht nach Deutschland bestellen :(

Man könnte auch "In Private" testen. ;) Evtl. hat dir auch ein auf der Sophos vorhandener Cache reingespuckt.

Wenn ich das richtig verstehe, brauchst du die IPv4 nur, um zu prüfen, ob du intern oder extern bist oder ist das VPN Netz 192.168.3.x/24? $IPv4 = Get-NetIPAddress | where { $_.AddressFamily -eq "IPv4" -and $_.IPAddress -match "192.168.3."} # ... if(($vpn.ConnectionStatus -eq "Disconnected") -And (-not $ipv4)) Ich würde, wie gesagt, das Script nur dann starten, wenn ich es brauche. Hier solltest du mit den Events klar kommen bzw. mit "Bei Anmeldung" In meinem Bereich setzen wir ausschließlich auf Citrix-Terminalserver und veröffentlichen diese über das Netscaler Gateway. Daher habe ich da keine produktiv genutzten Lösungen. Der Netscaler könnte das allerdings. Ansosnten empfiehlt Richard Hicks, der ganz fit in dem Bereich ist "Netmotion": https://directaccess.richardhicks.com/netmotion/ Ich habe das Gefühl, dass du dich ein wenig auf deine potentielle "Lösung" versteift hast, die für dich in Richtung "Always On VPN Alternative" geht. In einem Anderen Thread hast du das Problem, dass Scripts / verschiedene CSEs so nicht funktionieren. Die Frage wäre daher, was ist die Anforderung dahinter? Müssen die Scripts überhaupt laufen oder sollte man z.B. bei den Scripts ansetzen und ggfs. ablösen?

Hi, du möchtest dir eine Art "Always On VPN" nachbauen? Dafür wäre eigentlich DirectAccess (Scheidet aus wegen Windows Enterprise am Client?), Always On VPN (Scheidet aus wegen nur Windows 10 oder Verwaltung/Verteilung?) oder 3rd Party (Scheidet aus wegen Kosten?) bessere Alternativen. Wenn das so mit dem Script per Task für dich passt und alles funktioniert, dann sollte das Script aber noch etwas optimiert werden. Anstatt das Script "mittendrin" mit "Exit" zu verlassen, solltest du dir einmal if / elseif / else ansehen und bspw. den Rest in ein else-Statement packen. Anstelle von *-WMIObject (ist AFAIK deprecated) solltest du *-CIMInstance nutzen Wenn möglich würde ich beides vermeiden und bei der IPv4 Adresse auf "Get-NetIPAddress" zurückgreifen Invoke-Expression würde ich durch "Start-Process" ersetzen Bzw.: https://adamtheautomator.com/powershell-start-process/ Eine Endlosschleife und "Start-Sleep" würde ich auch vermeiden. Anstelle dessen ggfs. Einen Task, der bei Anmeldung den VPN Tunnel prüft und ggfs. aufbaut Weiterer Task der auf ein "VPN Disconnect" Event triggered und VPN Aufbau startet (Wenn beim Aufbau einer VPN Verbindung etwas passieren soll: Weiterer Task der auf "VPN Connect" Event triggered Das wären zumindest meine groben Ansätze, die ich durchspielen würde. BTW.: Da du als externer ja auch Geld kostest, wäre es evtl. zielführender in eine o.g. Supportete Lösung bzw. fertige Lösung zu investieren. Gruß Jan

Hi, ich würde Applikationen eigentlich immer an den "Standardpfad" installieren und dann die Datenhaltung auf ein anderes Volume schieben. Eines Tages kommt halt irgendetwas "hardcoded" auf %programfiles% oder %programfiles(x86)% und fällt auf die Nase. Bei der Exchange-Installation dann zum Beispiel: setup.exe /mode:install /roles:Mailbox /MdbName:<Name der DB> /DbFilePath:<Pfad zur DB>\<Name der DB>.edb /LogFolderPath:<Pfad zu den Logs>\<Name der DB> /IAcceptExchangeServerLicenseTerms /InstallWindowsComponents (/Organizationname:<Organisationsname nur bei Erstinstallation>) Mit ein bisschen (oder auch ein bisschen mehr) PowerShell drum rum, lässt sich das dann auch recht dynamisch bei Kunden verwenden. Gruß Jan

Hi, sofern es nur extern über die WAF der Sophos Probleme gibt, würde ich da einfach mal ein Ticket aufmachen. Gruß Jan

Hi, vier Terminalserver mit je 64GB RAM für 15 User? Wie sieht denn die RAM Auslastung bzw. weitere RAM Konfig der anderen VMs auf den Hosts aus? Mit Punkt 2 meinst du meinen Punkt "Energieoptionen"? Damit meine ich Im BIOS alles auf Performance stellen bzw. eben Energiesparfunktionen "C-States" deaktivieren In VMware kannst du ebenfalls die Energieverwaltung auf "Höchstleistung" konfigurieren Im Windows Betriebssystem sollte der Energiesparplan ebenfalls "Höchstleistung" sein Ist hier der Windows (Datei) Explorer oder der Internet Explorer gemeint? Wenn die Terminalserver "langsam" sind, findet sich dann etwas im Windows Eventlog? Generell habe ich die Befürchtung, dass deine Umgebung zu viele und teilweise auch zu komplexe Möglichkeiten für ein Foren-Troubleshooting bietet. Evtl. wäre es zielführender den VMware oder Microsoft Support auf das Problem anzusetzen und mit dem Ergebnis weiter zu sehen. Gruß Jan

Hi, hier könnten weitere Details helfen. Auf was für einer Hardware läuft die VM und was laufen ansonsten noch für VMs auf der Hardware? Ist die Hardware im BIOS sowie im Hypervisor und der VM selber auf Höchstleistung konfiguriert bzw. das Energieschema ist Höchstleistung? 2x vCPU (5-Core) heißt die VM hat 10 vCPUs oder hast du 2 vCPUs konfiguriert und der Host hat 5(?) Kerne Welcher Hypervisor? Welche Software läuft auf dem Terminalserver? Generell würde ich immer mehrere (kleinere) Terminalserver bevorzugen, wie einen großen. Gruß Jan

OT: Hier wäre es spannend zu wissen, wie das lizenziert ist und ob das überhaupt (und generell ohne SPLA) richtig zu lizenzieren wäre.

Hi, hier müsste man dein Problem kennen, welches du mit "Network Sign-In" bzw. mit einem VPN vor Anmeldung lösen willst. Warum sollen denn Startup-Scripts(?) bzw. weitere (welche) "CSEs" abgearbeitet werden und was sollen die erledigen? Gruß Jan

Hi, wie viele DCs gibts denn? Ist der DC ein reiner DC oder läuft da noch mehr drauf? Seit wann tritt das Problem auf, was wurde geändert? Generell wäre es ohne weitere Informationen möglich den ein oder anderen Schuss ins Blaue zu feuern: IPv4 / IPv6 Konfig passt bzw. "spuckt" ein Router mit falschen DNSv6 Servern dazwischen? DNS Konfiguration passt -> Erster DNS ein anderer DC; zweiter DNS selber oder weiterer DC? Ggfs. fremd AV oder fremd FW? Windows Updates aktuell? Unterschiedliche GPOs zu den anderen DCs? Findet sich etwas in den "Anwendungs- und Dienstprotokollen" -> Directory Service oder DNS Server? Sollte es ein reiner DC ohne weitere Rollen / Software sein, würde ich mir überlegen den DC zu entsorgen und neu zu installieren. Gruß Jan

Das wäre unterm Strich dann eine windows-eigene Paketverwaltung, wie es derzeit bspw. mit Chocolatey (und nuget) schon machbar wäre? @mwiederkehrDamit sollte auch Update gehen und eigene "Silent Installationen" bzw. entfernen der Tasks / Dienste im Nachgang. Ich hatte leider noch keine Zeit mich damit auseinanderzusetzen. Generell jedenfalls ein guter Ansatz, der hoffentlich weiter verfolgt wird.

Wenn es hier um die Rechte auf das Script / den Ordner mit dem Script geht, wäre die Frage, wer hat denn hier noch und vor allem welche Rechte?

Also "GPO" ist doch irgendwie schon recht nah dran an "systemweit". ;)

Hi, ggfs. kommst du mit einem geplanten Task besser zurecht? Einerseits kann der Task an bestimmte Events knüpfen oder du lässt den Task "regelmäßig" laufen und checkst innerhalb des Scripts, dann ob eine Verbindung da ist. Gruß Jan

Hi, man sollte sich halt regelmäßig mit den entsprechenden AppLocker Bypasses auseinandersetzen und diese ebenfalls blocken: https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/ https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/ https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/ https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/ Bzw.: https://github.com/api0cradle/UltimateAppLockerByPassList Gruß Jan

Hi, evtl. wären passende ThinClients bzw. ThinClients mit RDP10 Unterstützung zu nutzen einfacher? Generell sollte man mit FreeRDP aber auch in den Genuss von H.264 kommen können: https://wiki.openthinclient.org/omd20191/knowledge-base/freerdp-performance-optimieren Zum Kiosk Mode: Was soll denn erreicht werden bzw. was möchtest du damit vermeiden? Gruß Jan

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

Hi, wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren. Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html Gruß Jan

Hi, in den Erweiterten Einstellungen der Firewall kannst du doch problemlos eine Programmausnahme definieren und vorab den späteren Pfad zur EXE eintragen. Gruß Jan

https://docs.microsoft.com/en-us/deployoffice/office2019/update#update-channel-for-office-2019 https://docs.microsoft.com/en-us/deployoffice/overview-update-channels HTH

Hi, wenn man dann tatsächlich alles neu machen will - was ich auch hier hinterfragen würde, warum will man denn am alten Namen festhalten? Hier würde sich eine öffentliche regsistrierte Domain mit firmenunabhängigem Namen anbieten. Gruß Jan