testperson

Mal davon abgesehen, dass ich dafür generell einen eigenen Connector bauen würde, sollter per Default ein Exchange Benutzer am Client Frontend Connector mit seiner eigenen E-Mail-Adresse senden dürfen.

Hi, das ist eigentlich recht eindeutig. Ordner "DOMAIN\Username" einmal die E-Mail-Adresse zu, über die gesendet werden soll. Ansonsten müsstest du dem User an einem neuen Receiver Connector "ms-exch-smtp-accept-any-sender" erlauben. Gruß Jan

Hi, als "Citrix Freund" würde ich hier ggfs. mal über MCS oder PVS und ggfs. App Layering nachdenken. Natürlich darf aber auch über Liquidware Flex Apps oder VMware App Volumes nachgedacht werden. ;) Gruß Jan

Hi, Das wäre nett. Ja die "Exportieren" Auswahl und Export in ein MOF ist mir kurz Fertigstellung auch begegnet und wäre sicherlich die kürzere und sinnvollere Variante. Mein Vorhaben ist einfach nur den ein und anderen WMI Filter vorrätig zu haben. Auch wenn wir derzeit tatsächlich nur den PDC-Filter bräuchten. Das tatsächliche, nahezu abgeschlossene, Vorhaben ist ein Rollout Script (Bereitstellung Server-VMs, Grundkonfig, Installation und Konfiguration AD, Installation und Konfiguration Exchange, Vorbereitung DATEV (und ggfs. Teil-Installation), Installation und Konfiugration Citrix Virtaul Apps & Desktops) bzw. die erweiterte V2 unseres derzeitigen Rollout für neue Kundenumbegunben. Gruß Jan

Hi, ein Dokumenten Management System und/oder eine E-Mail-Archivierungslösung. Gruß Jan

Es ist sicherlich Weibsvolk anwesend, da wird nicht gesteinigit. ;)

Wer die Installation und das Durchführen von "Studien" erlaubt, kommt wieder in den Genuss der Add-Ons: https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047/14 Der Rest muss sich noch gedulden. @4zap Wurde der "Workaraound" irgendwo von Mozilla aufgeführt oder "nur" in den "Medien"? Zumal "xpinstall.signatures.required" nur in Nightly oder Dev Versionen funktioniert.

Hi, falls sich noch jemand wundert: https://twitter.com/mozamo/status/1124484255159971840 bzw. https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047 Gruß Jan

Hi, beim Kopieren von Dateien / Ordnern würde ich eher Scripte anstatt GPP nutzen. Da bist du deutich flexibler. Gruß Jan

Hi, ich bin grade dabei WMI Filter per GPO zu erstellen. Dabei nutze ich größtenteils dieses Script bzw. die relevanten Parts daraus: http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 Nachdem ich die CSV und den Import angepasst habe funktioniert das Script auch bis auf das der Namespace sowie die Abfrage im WMI Filter erstellt wurden. Daraufhin habe ich einen WMI Filter von Hand angelegt und mir die relevanten Parts im ADSI Editor angesehen. Dabei sieht der msWMI-Parm2 folgendermaßen aus <Zahl1>;<Zahl2>;<Zahl3>;<Zahl4>;WQL;<Namespace>;<Query>. Das Script importiert nach meinen Anpassungen lediglich <Namespace>;<Query>. Jetzt die Frage: Gibt es eine Info, wie sich die vorausstehenden Zahlen generieren bzw. was die tun? Erste Tests von mir haben ergeben, dass Zahl1 eigentlich immer 1, Zahl2 immer 3 und Zahl3 immer 10 ist. Die vierte Zahl ändert sich je nach Filter: Win32_ComputerSystem -> Zahl4 53 Win32_OperatingSystem -> Zahl4 57 Win32_OperatingSystemSKU -> Zahl4 244 Der Vollständigkeithalber hier noch der Code mit meinen Anpassungen und eine Beispiel CSV (Wobei mir hier jetzt auffällt ich habe eher die CSV wie den Code angepasst): # http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 $key = Get-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ErrorAction SilentlyContinue if (!$key) { New-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ItemType RegistryKey | Out-Null } $kval = Get-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -ErrorAction SilentlyContinue if (!$kval) { New-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" -PropertyType DWORD | Out-Null } else { Set-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" | Out-Null } $WMIFilters = Import-Csv "C:\install\GPO\DefaultWMIFilters.csv" -Delimiter "," $msWMIAuthor = $($env:USERDOMAIN + "\" + $env:USERNAME) foreach ($WMIFilter in $WMIFilters) { $WMIGUID = [string]"{"+([System.Guid]::NewGuid())+"}" $WMIDN = "CN=" + $WMIGUID + ",CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN $WMICN = $WMIGUID $WMIdistinguishedname = $WMIDN $WMIID = $WMIGUID $now = (Get-Date).ToUniversalTime() $msWMICreationDate = ($now.Year).ToString("0000") + ($now.Month).ToString("00") + ($now.Day).ToString("00") + ($now.Hour).ToString("00") + ($now.Minute).ToString("00") + ($now.Second).ToString("00") + "." + ($now.Millisecond * 1000).ToString("000000") + "-000" $msWMIName = $WMIFilter.Name $msWMIParm1 = $WMIFilter.Description + " " $msWMIParm2 = $WMIFilter.Filter $array = @() $SearchRoot = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $search = New-Object System.DirectoryServices.DirectorySearcher($SearchRoot) $search.Filter = "(objectclass=msWMI-Som)" $results = $search.FindAll() ForEach ($result in $results) { $array += $result.properties["mswmi-name"].item(0) } if ($array -notcontains $msWMIName) { $SOMContainer = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $NewWMIFilter = $SOMContainer.create('msWMI-Som',"CN="+$WMIGUID) $NewWMIFilter.put("msWMI-Name",$msWMIName) $NewWMIFilter.put("msWMI-Parm1",$msWMIParm1) $NewWMIFilter.put("msWMI-Parm2",$msWMIParm2) $NewWMIFilter.put("msWMI-Author",$msWMIAuthor) $NewWMIFilter.put("msWMI-ID",$WMIID) $NewWMIFilter.put("instanceType",4) $NewWMIFilter.put("showInAdvancedViewOnly","TRUE") $NewWMIFilter.put("distinguishedname",$WMIdistinguishedname) $NewWMIFilter.put("msWMI-ChangeDate",$msWMICreationDate) $NewWMIFilter.put("msWMI-CreationDate",$msWMICreationDate) $NewWMIFilter.setinfo() } } ###### CSV ###### Name,Description,Filter PDC Domain Controller,PDC Rolleninhaber,1;3;10;53;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=5; Restliche Domain Contrller,Alle anderen Domain Controller,1;3;10;53;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=4; Alle Domain Controller,Alle Domain Controller,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="2"; Alle Mitgliedsserver,Alle Mitgliedsserver,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="3"; Alle Clients,Alle Client PCs,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="1"; Edit: Grade ein anderes Script gefunden (https://gallery.technet.microsoft.com/scriptcenter/f1491111-9f5d-4c83-b436-537eca9e8d94), wo die ersten 3 Zahlen immer fix "1;3;10" sind und die vierte Zahl nur die Länge der Abfrage ist. Das wäre ja zu einfach... Gruß Jan Hier noch das "Teilergebnis" inkl. verknüpfen der GPO mit dem WMI Filter: $DomainDN = (Get-ADDomain).DistinguishedName # http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 $key = Get-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ErrorAction SilentlyContinue if (!$key) { New-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ItemType RegistryKey | Out-Null } $kval = Get-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -ErrorAction SilentlyContinue if (!$kval) { New-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" -PropertyType DWORD | Out-Null } else { Set-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" | Out-Null } $WMIFilters = Import-Csv "C:\install\GPO\DefaultWMIFilters.csv" -Delimiter "," $msWMIAuthor = $($env:USERDOMAIN + "\" + $env:USERNAME) $WMIObjects = @() foreach ($WMIFilter in $WMIFilters) { $tempWMIObject = New-Object PSObject $WMIGUID = [string]"{"+([System.Guid]::NewGuid())+"}" $WMIDN = "CN=" + $WMIGUID + ",CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN $WMICN = $WMIGUID $WMIdistinguishedname = $WMIDN $WMIID = $WMIGUID $now = (Get-Date).ToUniversalTime() $msWMICreationDate = ($now.Year).ToString("0000") + ($now.Month).ToString("00") + ($now.Day).ToString("00") + ($now.Hour).ToString("00") + ($now.Minute).ToString("00") + ($now.Second).ToString("00") + "." + ($now.Millisecond * 1000).ToString("000000") + "-000" $msWMIName = $WMIFilter.Name $msWMIParm1 = $WMIFilter.Description + " " $msWMIParm2 = $($WMIFilter.Filter1 + $WMIFilter.Filter2.Split(";")[3].Length + $WMIFilter.Filter2) $array = @() $SearchRoot = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $search = New-Object System.DirectoryServices.DirectorySearcher($SearchRoot) $search.Filter = "(objectclass=msWMI-Som)" $results = $search.FindAll() ForEach ($result in $results) { $array += $result.properties["mswmi-name"].item(0) } if ($array -notcontains $msWMIName) { $SOMContainer = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $NewWMIFilter = $SOMContainer.create('msWMI-Som',"CN=" + $WMIGUID) $NewWMIFilter.put("msWMI-Name",$msWMIName) $NewWMIFilter.put("msWMI-Parm1",$msWMIParm1) $NewWMIFilter.put("msWMI-Parm2",$msWMIParm2) $NewWMIFilter.put("msWMI-Author",$msWMIAuthor) $NewWMIFilter.put("msWMI-ID",$WMIID) $NewWMIFilter.put("instanceType",4) $NewWMIFilter.put("showInAdvancedViewOnly","TRUE") $NewWMIFilter.put("distinguishedname",$WMIdistinguishedname) $NewWMIFilter.put("msWMI-ChangeDate",$msWMICreationDate) $NewWMIFilter.put("msWMI-CreationDate",$msWMICreationDate) $NewWMIFilter.setinfo() $tempWMIObject | Add-Member -MemberType NoteProperty -Name Name -Value $msWMIName $tempWMIObject | Add-Member -MemberType NoteProperty -Name CN -Value $WMIGUID } $WMIObjects += $tempWMIObject } Get-ADObject -Identity $(Get-GPO -Name "C_PDC_Zeitserver").Path | Set-ADObject -Add @{gPCWQLFilter=$("[" + $env:USERDNSDOMAIN + ";" + $(($WMIObjects | ? Name -eq "PDC Domain Controller").CN) + ";0]")} Und die CSV: Name,Description,Filter1,Filter2 PDC Domain Controller,PDC Rolleninhaber,1;3;10;,;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=5; Restliche Domain Contrller,Alle anderen Domain Controller,1;3;10;,;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=4; Alle Domain Controller,Alle Domain Controller,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="2"; Alle Mitgliedsserver,Alle Mitgliedsserver,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="3"; Alle Clients,Alle Client PCs,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="1";

Hi, evtl. solltest du den Link hinter der URL hier im Board entfernen. Nicht das es nachher noch heißt, dass Maleware von hier verteilt wird. ;) Gruß Jan

In welche Gruppe wird denn die Gruppe "Exchange Trusted Subsystem" gepackt? Wie steht es um diese (lokale) Gruppe auf DCs? Sollte ein DC neben AD-Diensten und DNS noch weitere Rollen übernehmen?

Hi, wenn SRV-DC1 ein Domain Controller sein sollte, würde ich diesen als ungünstigen Zeugenserver ansehen. Gruß Jan

Hi, ggfs. ist es einfacher das per PowerShell zu machen. Da wäre "Resize-Partition" vermutlich einen Blick wert: https://docs.microsoft.com/en-us/powershell/module/storage/resize-partition?view=win10-ps Gruß Jan

Naja, das würde ich beides so generell nicht unterschreiben. Mit "Citrix", ist das wie mit so vielem, einfach drauf los klicken ist immer bl*d.

Hi, CodeTwo hat da auch entsprechendes im Angebot. Gruß Jan

Hi, das steht meistens im Widerspruch zu einander. ;) Mit DATEV SmartCard / mIDentity wäre das z.B. machbar: http://www.datev.de/dnlexom/client/app/index.html#/document/0903434 Evtl. wäre eine Zwei-Faktor-Authentifizierung noch eine Alternative: https://www.rcdevs.com/solutions/windows/ Gruß Jan

Früher oder später stellt dein "Cluster" aber auch nicht mehr wie ein File Share bereit. Nur eben geclustert.

Hi, muss denn zwingend vor der Anmeldung / zur Anmeldung das VPN da sein? Reicht es nicht aus, sich mit dem Domain Account "per Cached Credentials" anzumelden und dann VPN aufzubauen? Ansonsten könnte ggfs. "Always On VPN" ein Stichwort sein. Gruß Jan

Hi, hier müsste quick'n'dirty deine Logik drin sein. $Gruppen = @() foreach ($Gruppe in (Get-ADGroup -Filter {Name -like "WSUS*"})){ if($(Get-ADGroupMember $Gruppe.Name).Count -ge 0){ $temp = New-Object PSObject -Property @{ Gruppe = $Gruppe.Name Mitglieder = $(Get-ADGroupMember $Gruppe.Name).Count } $Gruppen += $temp } } ($Gruppen | Sort-Object Mitglieder)[0].Gruppe Gruß Jan

Hi, das sollte sich mittels App Locker und / oder Software Restriction Policies lösen lassen. Alternativ könnte man auch über zwei RDS Farmen nachdenken. Auf Farm1 läuft Anwendung1 Auf Farm2 läuft Anwendung2 Gruß Jan

https://lmddgtfy.net/?q=powershell filesystemwatcher

Hi, Möglichkeit 1) Du lässt einfach per Taskplaner alle X Minuten / in einer Endlosschleife ein Script laufen, welches alles verschiebt. Wenn ein File noch offen ist, wird es halt erst im nächsten Durchlauf verschoben. Möglichkeit 2) Du erstellst eine Endlosschleife mit einem "FileSystemWatcher" in PowerShell, prüfst dann die Dateien bei Änderungen, ob sie geöffnet sind und verschiebst sobald sie nicht mehr im Zugriff sind. Möglichkeit 3) Du nutzt NTFS-Auditing und hängst ein Script an die entsprechenden Audit Logs. Möglichkeit 4) Du schaust, ob es mit einem Tool wie Syncrify oder DirSync möglich ist. Es gibt sicherlich noch diverse weitere Möglichkeiten. :) Gruß Jan P.S.: Man kann sicherlich auch alle Möglichkeiten betsmöglich kombinieren. ;)

Eingehende Mails könnten ja theoretisch dann beim Verlassen des Gateways neu signiert werden. Ob es Gateways mit einer solchen Funktion gibt und ob das Sinn macht, steht natürlich auf einem anderen Blatt.

Hi, neu installieren oder stundenlang auf Fehlersuche gehen. ;) Ggfs. lässt sich ja auch ein vorhandener, funktionierender PC klonen. Gruß Jan