testperson

OT: Hier wäre es spannend zu wissen, wie das lizenziert ist und ob das überhaupt (und generell ohne SPLA) richtig zu lizenzieren wäre.

Hi, hier müsste man dein Problem kennen, welches du mit "Network Sign-In" bzw. mit einem VPN vor Anmeldung lösen willst. Warum sollen denn Startup-Scripts(?) bzw. weitere (welche) "CSEs" abgearbeitet werden und was sollen die erledigen? Gruß Jan

Hi, wie viele DCs gibts denn? Ist der DC ein reiner DC oder läuft da noch mehr drauf? Seit wann tritt das Problem auf, was wurde geändert? Generell wäre es ohne weitere Informationen möglich den ein oder anderen Schuss ins Blaue zu feuern: IPv4 / IPv6 Konfig passt bzw. "spuckt" ein Router mit falschen DNSv6 Servern dazwischen? DNS Konfiguration passt -> Erster DNS ein anderer DC; zweiter DNS selber oder weiterer DC? Ggfs. fremd AV oder fremd FW? Windows Updates aktuell? Unterschiedliche GPOs zu den anderen DCs? Findet sich etwas in den "Anwendungs- und Dienstprotokollen" -> Directory Service oder DNS Server? Sollte es ein reiner DC ohne weitere Rollen / Software sein, würde ich mir überlegen den DC zu entsorgen und neu zu installieren. Gruß Jan

Das wäre unterm Strich dann eine windows-eigene Paketverwaltung, wie es derzeit bspw. mit Chocolatey (und nuget) schon machbar wäre? @mwiederkehrDamit sollte auch Update gehen und eigene "Silent Installationen" bzw. entfernen der Tasks / Dienste im Nachgang. Ich hatte leider noch keine Zeit mich damit auseinanderzusetzen. Generell jedenfalls ein guter Ansatz, der hoffentlich weiter verfolgt wird.

Wenn es hier um die Rechte auf das Script / den Ordner mit dem Script geht, wäre die Frage, wer hat denn hier noch und vor allem welche Rechte?

Also "GPO" ist doch irgendwie schon recht nah dran an "systemweit". ;)

Hi, ggfs. kommst du mit einem geplanten Task besser zurecht? Einerseits kann der Task an bestimmte Events knüpfen oder du lässt den Task "regelmäßig" laufen und checkst innerhalb des Scripts, dann ob eine Verbindung da ist. Gruß Jan

Hi, man sollte sich halt regelmäßig mit den entsprechenden AppLocker Bypasses auseinandersetzen und diese ebenfalls blocken: https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/ https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/ https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/ https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/ Bzw.: https://github.com/api0cradle/UltimateAppLockerByPassList Gruß Jan

Hi, evtl. wären passende ThinClients bzw. ThinClients mit RDP10 Unterstützung zu nutzen einfacher? Generell sollte man mit FreeRDP aber auch in den Genuss von H.264 kommen können: https://wiki.openthinclient.org/omd20191/knowledge-base/freerdp-performance-optimieren Zum Kiosk Mode: Was soll denn erreicht werden bzw. was möchtest du damit vermeiden? Gruß Jan

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

Hi, wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren. Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html Gruß Jan

Hi, in den Erweiterten Einstellungen der Firewall kannst du doch problemlos eine Programmausnahme definieren und vorab den späteren Pfad zur EXE eintragen. Gruß Jan

https://docs.microsoft.com/en-us/deployoffice/office2019/update#update-channel-for-office-2019 https://docs.microsoft.com/en-us/deployoffice/overview-update-channels HTH

Hi, wenn man dann tatsächlich alles neu machen will - was ich auch hier hinterfragen würde, warum will man denn am alten Namen festhalten? Hier würde sich eine öffentliche regsistrierte Domain mit firmenunabhängigem Namen anbieten. Gruß Jan

Ich gehe davon aus, dass du alleine für Get-ChildItem | where { -not $_.Name.StartsWith("_") } etwas mehr an Code in wsh benötigst. Den Part mit "Remove-Item" kriegst du sicherlich alleine "drangedengelt". Um auf Nummer Sicher zu gehen könntest du ans "Remove-Item" noch ein "-WhatIf" anhängen.

Hi, ich würde "wsh" vorne um ein "Po" in der Mitte um "er" und am Ende mit "ell" zu PowerShell ergänzen. ;) Dann wäre "Get-ChildItem" und "Remove-Item" ein Ansatz. Wichtig wäre nur die Frage, was ist mit Verzeichnissen, die nicht mit "_" anfangen in denen aber Unterverzeichnisse mit "_" am Anfang sind? Gruß Jan

Hi, die wichtigste Frage wäre wohl, was soll die Batch tun bzw. was ist denn das Ziel? Es gibt sicherlich bessere Ansätze. ;) Gruß Jan

Das sind leider Meinungen (in diesem Internet) von Menschen die Exchange (und ggfs. Proxy-Server / Proxy-Ausnahmen) nicht (richtig) verstanden haben und die Schuld "bei anderen (hier: Exchange)" suchen. :)

Hi, ja, genau so "funktionieren" in der Regel Webserver. ;) Gruß Jan

Hi, ohne Arme keine Kekse ;) bzw. ohne Laufwerksumleitung keine Zwischenablagenumleitung. Gruß Jan

Da bin ich bei dir. Meine "Ergänzung" galt auch eher "dem anderen Jan". :)

Hi, selbst bzw. grade wenn da viel Rotation drin ist, würde ich mich einmal hinsetzen und das mit PowerShell entsprechend automatisieren. In grob: Sicherheitsgruppe für den/die Server anlegen und den/die betreffenden Server aufnehmen Sicherheitsgruppe für die berechtigten / nicht berechtigten User erstellen und User aufnehmen "Vorlagen GPO" erstellen und entsprechend konfigurieren ("Authenticated Users" aus der Sicherheitsfilterung raus / die Gruppe mit den Computerkonten rein; Allow / Deny Logon locally bzw. Remote Desktop anhand der User Gruppen konfigurieren) "Vorlagen GPO" sichern "Test GPO" erstellen und "Vorlagen GPO Sicherung" importieren und eine entsprechende Migration-Table erstellen Wenn das händisch läuft würde ich im nächsten Step ein PowerShell Script erstellen, welches das genau für einen weiteren (Test) Server automatisiert. Wenn das funktioniert, wäre der nächste Schritt die Erweiterung sich die Server / Computer aus dem AD zu ziehen oder den Input aus einer CSV / TXT Datei zu holen. Kommt ein neuer / weitere neue Server -> Script ausführen Änderungen der Berechtigungen -> Gruppenmitgliedschaften anpassen Werden Server gelöscht -> "Aufräumen" Im AD gibt es sehr viele Relikte aus vergangenen Tagen, die zur Kompatibilität (wofür auch immer) noch da sind. Ob das "Anmelden an" dazu gehört, kann ich dir nicht sagen. Ich würde das oder auch Profile / RDS Profile niemals im User-Objekt konfigurieren. Da sich hier allerdings in dem Bereich weitaus kompetentere User tummeln, ist es gut möglich, dass es elegantere / einfacherere Wege gibt. ;) Gruß Jan

Hi, ich würde es gar nicht erst an der Stelle im AD-Objekt des Users anfangen sondern mit Gruppenrichtlinien und "Deny / Allow Logon Localy" sowie "Deny / Allow Logon through Remote Desktop Services" arbeiten. Gruß Jan

Das sollte dann aber auch noch mit ForEach Parallel kombiniert werden: https://devblogs.microsoft.com/powershell/powershell-foreach-object-parallel-feature/ @la-kro Falls es sich um ein Netz mit Active-Directory handelt, würde ich mir keine "statische" PC Liste erstellen, sondern die PCs "live" aus dem AD holen.

Die MwSt. habe ich tatsächlich unterschlagen. Der E1 kostet allerdings 6,70€ zzgl. MwSt. pro User / Monat im Jahresabo. ;) Dein Preis ist für den Business Basic. :-P