testperson

Hi, du suchst eine MFA für die interne Anmeldung am Windows PC? Da habe ich zuletzt bei einem Kunden einen Test mit OpenOTP von RCDevs gestartet. Ist (mit ein paar Einschränkungen) bis 40 User gratis. Die testen aber derzeit erstmal nur mit den entsprechenden Software Tokens. Gruß Jan

Aber auch das englischsprachige Orginal lässt Interpretationsspielraum. ;)

Per Default werden zehn "Accounts" gecached. Diese zehn können sich beliebig oft nach Lust & Laune offline anmelden. Es wäre bl*d, wenn ein Notebook User (ohne VPN) alle 10 Anmeldungen ins Büro müsste. ;)

Hi, was ist denn "länger" in Tagen? Warum nicht mit Domänen Accounts? Gruß Jan

Du meinst vermutlich: https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/

Hi, wenn es der erste Domain Controller der Domain ist, dann werden die Konten ins AD übernommen. Ist es ein weiterer DC werden die Konten gelöscht(?) bzw. jedenfalls nicht zur Domäne hinzugefügt. Gruß Jan

Hi, das ist problemlos möglich. Du solltest aber beachten, dass jeder deiner DCs ein entsprechendes DSRM Passwort hat. Gruß Jan

Hi, du solltest vermutlich zuerst mit dem Kunden sprechen, was der will bzw. dessen jetzige und zukünftige Anforderungen klären. Danach kannst du dann deine Fragen stellen. ;) Ansonsten läuft es häufig auf das von NorberFe angedeutete Szenario hinaus. Gruß Jan

Dann such dir doch einen Cloudanbieter, der sich um deine Infrastruktur und damit auch solche Themen kümmert. Dann hast du Zeit für deine Arbeit. Naja, und "permanente Zeitnot" würde ich mir nicht antun wollen.

Du könntest dir noch Altaro angucken. Da lässt sich aber AFAIK der Host selber nicht sichern, was ich aber auch für unnötig halte. Mit ner vernünftigen Doku (und etwas Scripting) sollte der Hyper-V Host schneller neu installiert wie restored sein.

Im "Worsteren-Case" gibts ja dann noch die "utilman.exe" oder den "Offline ... Registry Editor". ;) Wenn jetzt aber auch noch der Schlüssel vom Serverraum weg sowie das Internet und das iLO / Drac / Remotemanagement Netz ausgefallen ist, ja dann is bl*d. :)

Im "Worst-Case" darf man sich bestimmt auch als lokaler User / Admin am Hyper-V Host anmelden. ;)

Hi, bei der Startseite wird man dann aber zwangsweise über diesen Registryzweig stolpern: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy Dort gibt es dann blöderweise nur einen "REG_BINARY" für die Startseite bzw. für "ProtectedHomepages". Wenn es sich aber nur um die Startseite handelt, dann gibt es noch folgende Policy: https://gpsearch.azurewebsites.net/#13615 Gruß Jan

AFAIK in der Core CAL Suite Standard bzw. auch Enterprise.

Spontane Idee: Einen DHCP Relay LoadBalancer (In etwa: https://support.citrix.com/article/CTX217323)? Aber keine Ahnung, ob sinnvoll oder funktional. Kam mir so kurz vorm Wochenende nur in den Sinn. :)

Hi, ggfs. solltest du das noch, sofern vorhanden, mit dem Hersteller der Applikation(en) klären, ob die das so unterstützen. Es gibt immer wieder Hersteller, die (mindestens) auf eine eigene Instanz pochen und ansonsten (angeblich) den Support verweigern. Gruß Jan

Szenario: Mensch1 ist unzufrieden oder hat Probleme mit Mensch2, beide teilen sich den "Abteilungs-Login1" Mensch1 manipuliert das System / Treibt Schindluder Wer war es?

Sind die Drucker in der User Session auch nicht unter HKCU:\Printers? Ansonsten ist hier noch eine Übersicht was / wo in der Registry ist: https://support.microsoft.com/en-us/help/102966/registry-entries-for-printing

Gab es nicht im Februar / März ein Update (und Update fürs Update), welches Performance Probleme beheben sollte, aber in manchen Fällen das Gegenteil tat?

Hi, ggfs. die Drucker beim Abmelden der User wieder per Script löschen. Ansonsten gibt es hier einen ellenlangen Thread bzgl. Druckerproblemen auf RDS 2012 / 2016. Vielleicht ist da noch ein Ansatz drin. ;) Gruß Jan

Warum möchte man das? Ich würde immer vom aktuellsten Client oder Server OS aus verwalten. Alternativ machs per WMI (und ggfs. per Item Level Targeting)

Hi, öffne die Gruppenrichtlinienverwaltung (gpmc.msc) einfach auf Windows 10 oder Server 2016 / 2019. Gruß Jan

Deshalb haben Applikationen ja häufig eine Einschränkung, dass sie nicht auf Core laufen. ;) Generell würde ich aber, ob GUI oder Core, immer von einer Management Workstation / Management Server per RSAT administrieren wollen. Dort kann ja dann jeder selber für sich ausmachen, ob PowerShell oder GUI.

Sind die RDSHs aktuell gepatched? Was für Clients werden genutzt? Werden lokale Resourcen umgeleitet?

Hi, ist es immer der gleiche User? Ist es immer der gleiche Server? Wieviele Server in der Farm? Welches Betriebssystem? Evtl. könnt ihr euch damit behelfen, die RDSHs scheduled durchzubooten. Gruß Jan