testperson

vor 4 Minuten schrieb delphis1982:

Habe den Exchange PRIVAT, meine ganze Familie und engere Freunde nutzen meinen Server. Die sind alle froh, von Google unabhängig zu sein.

 

OT: Hier wäre es spannend zu wissen, wie das lizenziert ist und ob das überhaupt (und generell ohne SPLA) richtig zu lizenzieren wäre.

Hi,

hier müsste man dein Problem kennen, welches du mit "Network Sign-In" bzw. mit einem VPN vor Anmeldung lösen willst.

Warum sollen denn Startup-Scripts(?) bzw. weitere (welche) "CSEs" abgearbeitet werden und was sollen die erledigen?

Gruß

Jan

Hi,

wie viele DCs gibts denn? Ist der DC ein reiner DC oder läuft da noch mehr drauf? Seit wann tritt das Problem auf, was wurde geändert?

Generell wäre es ohne weitere Informationen möglich den ein oder anderen Schuss ins Blaue zu feuern:

• IPv4 / IPv6 Konfig passt bzw. "spuckt" ein Router mit falschen DNSv6 Servern dazwischen?
• DNS Konfiguration passt -> Erster DNS ein anderer DC; zweiter DNS selber oder weiterer DC?
• Ggfs. fremd AV oder fremd FW?
• Windows Updates aktuell?
• Unterschiedliche GPOs zu den anderen DCs?
• Findet sich etwas in den "Anwendungs- und Dienstprotokollen" -> Directory Service oder DNS Server?

Sollte es ein reiner DC ohne weitere Rollen / Software sein, würde ich mir überlegen den DC zu entsorgen und neu zu installieren.

Gruß

Jan

Das wäre unterm Strich dann eine windows-eigene Paketverwaltung, wie es derzeit bspw. mit Chocolatey (und nuget) schon machbar wäre?

@mwiederkehrDamit sollte auch Update gehen und eigene "Silent Installationen" bzw. entfernen der Tasks / Dienste im Nachgang. Ich hatte leider noch keine Zeit mich damit auseinanderzusetzen.

Generell jedenfalls ein guter Ansatz, der hoffentlich weiter verfolgt wird.

vor einer Stunde schrieb xrated2:

Bis jetzt funktioniert alles, habe dem Computerobjekt entsprechend Berechtigungen erteilt damit das als System User funktioniert.

Wenn es hier um die Rechte auf das Script / den Ordner mit dem Script geht, wäre die Frage, wer hat denn hier noch und vor allem welche Rechte?

vor einer Stunde schrieb BOfH_666:

OK, Danke. Das bestätigt meine Erfahrung, dass es da leider keine systemweite Stelle gibt, wo man das konfigurieren kann .... hätt' ja doch sein können.

Also "GPO" ist doch irgendwie schon recht nah dran an "systemweit". ;)

Hi,

ggfs. kommst du mit einem geplanten Task besser zurecht? Einerseits kann der Task an bestimmte Events knüpfen oder du lässt den Task "regelmäßig" laufen und checkst innerhalb des Scripts, dann ob eine Verbindung da ist.

Gruß

Jan

Hi,

man sollte sich halt regelmäßig mit den entsprechenden AppLocker Bypasses auseinandersetzen und diese ebenfalls blocken:

• https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/
• https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/
• https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-1/
• https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-2/
• Bzw.: https://github.com/api0cradle/UltimateAppLockerByPassList

Gruß

Jan

Hi,

vor 12 Stunden schrieb dormi98:

Die Frage ist nun was ist besser. Selbst so weit wie möglich alles in Win10 abdrehen oder Kiosk Mode.

evtl. wären passende ThinClients bzw. ThinClients mit RDP10 Unterstützung zu nutzen einfacher? Generell sollte man mit FreeRDP aber auch in den Genuss von H.264 kommen können: https://wiki.openthinclient.org/omd20191/knowledge-base/freerdp-performance-optimieren

Zum Kiosk Mode: Was soll denn erreicht werden bzw. was möchtest du damit vermeiden?

Gruß

Jan

vor einer Stunde schrieb al3x:

ja hab ich auch schon gemacht, aber ist greift die GPP dort nicht nur bis IE10?

Das hängt vom OS ab, von dem du die Einstellungen bearbeitest. Im "aller schlimmsten Fall" musst du unter "\\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\<betreffende GPO ID>\User\Preferences\InternetSettings" in der "InternetSettings.xml" den Wert "Max=" auf "99.0.0.0" und ggfs. "Hidden" auf "0" korrigieren. Falls "Hidden" bereits auf "0" ist, kannst du auch in den Eigenschaften der Internet-Einstellung unter den "Gemeinsamen Optionen" in der "Zielgruppenadressierung" anpassen.

Hi,

wir verteilen die Proxies per GPO GPP Einstellung -> Internet Einstellungen und die restlichen Browser werden auf "System Proxy nutzen" konfiguriert. Vermutlich wird man diesen Weg manipulieren können, das gilt aber auch für Reg-Keys. Alternativ bringen die meisten Browser-ADMX-Templates (Edge Chromium / Chrome / Firefox) auch Möglichkeiten mit, den Proxy darüber zu konfigurieren.

vor 10 Minuten schrieb BOfH_666:

Ein aktueller Windows-PC sucht sich die nötigen Einstellungen per WPAD.

Der Einfachheit dabei ist allerdings auch das Problem dabei geschuldet: https://www.heise.de/security/meldung/WPAD-20-Jahre-altes-Protokoll-bringt-Millionen-Nutzer-in-Gefahr-3288801.html

Gruß

Jan

Hi,

vor 2 Stunden schrieb gerd33:

Da zu dem Zeitpunkt der Server noch nicht installiert ist, kann man die sqlsvr.exe und die sqlbrowser.exe noch nicht in der FW freischalten.

 

in den Erweiterten Einstellungen der Firewall kannst du doch problemlos eine Programmausnahme definieren und vorab den späteren Pfad zur EXE eintragen.

Gruß

Jan

vor 4 Minuten schrieb Dutch_OnE:

Was bedeutet das?

https://docs.microsoft.com/en-us/deployoffice/office2019/update#update-channel-for-office-2019

https://docs.microsoft.com/en-us/deployoffice/overview-update-channels

HTH

Hi,

wenn man dann tatsächlich alles neu machen will - was ich auch hier hinterfragen würde, warum will man denn am alten Namen festhalten? Hier würde sich eine öffentliche regsistrierte Domain mit firmenunabhängigem Namen anbieten.

Gruß

Jan

Ich gehe davon aus, dass du alleine für 

Get-ChildItem | where { -not $_.Name.StartsWith("_") }

etwas mehr an Code in wsh benötigst. Den Part mit "Remove-Item" kriegst du sicherlich alleine "drangedengelt". Um auf Nummer Sicher zu gehen könntest du ans "Remove-Item" noch ein "-WhatIf" anhängen.

Hi,

ich würde "wsh" vorne um ein "Po" in der Mitte um "er" und am Ende mit "ell" zu PowerShell ergänzen. ;)

Dann wäre "Get-ChildItem" und "Remove-Item" ein Ansatz.

Wichtig wäre nur die Frage, was ist mit Verzeichnissen, die nicht mit "_" anfangen in denen aber Unterverzeichnisse mit "_" am Anfang sind?

Gruß

Jan

Hi,

die wichtigste Frage wäre wohl, was soll die Batch tun bzw. was ist denn das Ziel? Es gibt sicherlich bessere Ansätze. ;)

Gruß

Jan

vor einer Stunde schrieb Jochen_G:

Split DNS habe ich zwar mal von gehört aber kenne es selbst nicht und habe auch hier und da mal gelesen das es selbst auch einige Probleme verursachen könne.

Das sind leider Meinungen (in diesem Internet) von Menschen die Exchange (und ggfs. Proxy-Server / Proxy-Ausnahmen) nicht (richtig) verstanden haben und die Schuld "bei anderen (hier: Exchange)" suchen. :)

Hi,

ja, genau so "funktionieren" in der Regel Webserver. ;)

Gruß

Jan

Hi,

ohne Arme keine Kekse ;) bzw. ohne Laufwerksumleitung keine Zwischenablagenumleitung.

Gruß

Jan

vor 9 Minuten schrieb BOfH_666:

Hmmm ... ich kann mich natürlich auch irren (ich tue das ziemlich häufig), aber ist es für einen Anfänger nicht erstmal einfacher, die Befehle "ganz normal" - also sequenziell abzuarbeiten? ... zumal für Foreach-Object -Parallel auch Powershell 7 nötig ist, was noch nicht jeder nutzt. 

Da bin ich bei dir. Meine "Ergänzung" galt auch eher "dem anderen Jan". :)

Hi,

selbst bzw. grade wenn da viel Rotation drin ist, würde ich mich einmal hinsetzen und das mit PowerShell entsprechend automatisieren. In grob:

• Sicherheitsgruppe für den/die Server anlegen und den/die betreffenden Server aufnehmen
• Sicherheitsgruppe für die berechtigten / nicht berechtigten User erstellen und User aufnehmen
• "Vorlagen GPO" erstellen und entsprechend konfigurieren ("Authenticated Users" aus der Sicherheitsfilterung raus / die Gruppe mit den Computerkonten rein; Allow / Deny Logon locally bzw. Remote Desktop anhand der User Gruppen konfigurieren)
• "Vorlagen GPO" sichern
• "Test GPO" erstellen und "Vorlagen GPO Sicherung" importieren und eine entsprechende Migration-Table erstellen

Wenn das händisch läuft würde ich im nächsten Step ein PowerShell Script erstellen, welches das genau für einen weiteren (Test) Server automatisiert. Wenn das funktioniert, wäre der nächste Schritt die Erweiterung sich die Server / Computer aus dem AD zu ziehen oder den Input aus einer CSV / TXT Datei zu holen.

• Kommt ein neuer / weitere neue Server -> Script ausführen
• Änderungen der Berechtigungen -> Gruppenmitgliedschaften anpassen
• Werden Server gelöscht -> "Aufräumen"

vor 38 Minuten schrieb HeizungAuf5:

Daher würde ich gerne mit der Anmeldebeschränkung arbeiten. Kein Vorwurf an dich, aber wenn das eh nicht ordentlich funktioniert, wozu gibt es die Funktion denn dann?

Im AD gibt es sehr viele Relikte aus vergangenen Tagen, die zur Kompatibilität (wofür auch immer) noch da sind. Ob das "Anmelden an" dazu gehört, kann ich dir nicht sagen. Ich würde das oder auch Profile / RDS Profile niemals im User-Objekt konfigurieren.

Da sich hier allerdings in dem Bereich weitaus kompetentere User tummeln, ist es gut möglich, dass es elegantere / einfacherere Wege gibt. ;)

Gruß

Jan

Hi,

ich würde es gar nicht erst an der Stelle im AD-Objekt des Users anfangen sondern mit Gruppenrichtlinien und "Deny / Allow Logon Localy" sowie "Deny / Allow Logon through Remote Desktop Services" arbeiten.

Gruß

Jan

vor 3 Minuten schrieb MurdocX:

• Führe, wenn es geht, die Skripte mit "AsJob" aus, damit du bei vielen Rechnern die Parallelisierung nutzen kannst.

Das sollte dann aber auch noch mit ForEach Parallel kombiniert werden: https://devblogs.microsoft.com/powershell/powershell-foreach-object-parallel-feature/

@la-kro Falls es sich um ein Netz mit Active-Directory handelt, würde ich mir keine "statische" PC Liste erstellen, sondern die PCs "live" aus dem AD holen.

vor 9 Stunden schrieb Nobbyaushb:

4,20 * 12 = 50,40 + 19% MWST = 59,98 (aufgerundet brutto)

Die MwSt. habe ich tatsächlich unterschlagen. Der E1 kostet allerdings 6,70€ zzgl. MwSt. pro User / Monat im Jahresabo. ;)

Dein Preis ist für den Business Basic. :-P