testperson

Hi, ist das ein Root Server? Bzw. was ist denn als Router davor? Gruß Jan

Hi, ggfs. lässt sich die Logik auch mit PowerShell bauen: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/compare-object?view=powershell-6 Gruß Jan

Aus welchem Grund ist man denn mit "missbrauch" von Schulungs-PCs nicht genau so rigoros? Was machst du wenn ein Schüler so kreativ ist und von USB / CD eine Live-OS bootet? Wenn es hier tatsächlich überwiegend um Internetzugriff / bestimmte Websites geht, wäre ich immer noch beim Proxy.

Also die Aufgabe "Youtube blocken / nicht blocken" oder Internet an / aus würde ich einem Proxy überlassen. Der kann ja dann auch aus dem AD deine "erlaubt Gruppe" nutzen. Ich würde auch das "Konzept" mit täglich neuen Zugangsdaten einmal in Frage stellen und ggfs. mit Argumenten dagegen sprechen. Was passiert denn wenn ein Schüler einfach sein Smartphone oder sonstwas zückt und Youtube schaut? Ansonsten wäre die Frage, wie alt sind die Schüler bzw. was ist das für eine Schule. Unter Umständen kann man da ja auch über "Aufklärung" mit Parallelen zum späteren Arbeitsleben etwas erreichen.

Lies dir das doch nochmal durch und überlege was du erreichen möchtest: Und selbst wenn bei dir, warum auch immer, nur das Verweigern funktionieren sollte, würde ich mir ein Script erstellen was dynamisch alle "nicht Mitglieder" einer "Dummy erlauben Gruppe" regelmäßig in eben eine verweigern Gruppe schiebt. Evtl. hilft es wenn du mal kurz erläuterst, wie die User bei euch auf die Idee kommen sich an vollkommen falschen Clients einfach so mal an zu melden. Ich kann mir grade kein Szenario ausmalen, wo User alle 5 Minuten in "Reise nach Jerusalem Manier" einfach den PC wechseln.

New-Mailbox -Shared -Name "Postfach 1" -DisplayName "Postfach 1" -Alias PF1 | Set-Mailbox -DeliverToMailboxAndForward $false -ForwardingAddress Alias-Ziel-PF -HiddenFromAddressListsEnabled $true Wäre jetzt auch nicht der Akt das 20x zu machen oder die Infos aus einer CSV zu holen. ;) Mit zusätzlichen Postfächern könntest du dann sogar noch die Berechtigungen setzen, dass der User über die weiteren Adressen versenden kann.

Was konfiguriert du denn da und wie? Hast du in einer TestOU mit einem Test-Computerobjekt auf die kein GPO wirkt mal ein GPO erstellt und dort "Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden zulassen" dort den Haken gesetzt "Diese Richtlinieneinstellung definieren" gesetzt und über "Benutzer oder Gruppe hinzufügen" von Hand "Administratoren" -> Hinzufügen; "Sicherungs-Operatoren" -> Hinzufügen. Jetzt über "Durchsuchen" deine AD Gruppe hinzufügen. Den Client am besten jetzt einmal durchbooten und testen. An einem Windows Server 2016 (Member) funktioniert das jedenfalls so. Ich habe es grade getestet. Deine evtl. "händischen" Versuche werden vermutlich gescheitert sein, da in der lokalen Richtlinie am Client (gpedit.msc) eben "Administratoren", "Benutzer" und "Sicherungs-Operatoren" die Anmeldung erlaubt.

Du musst die Computer, die Mitglieder der Gruppe sind, einmal durchbooten, damit die mitbekommen, dass sie in der Gruppe sind. Ansonsten muss das GPO mit einer OU verknüpft sein in der sich die User-Objekte befinden, da die Ordnerumleitung eine Benutzerrichtlinie ist.

Was stört bei weiteren Postfächern die einfach nur als Dummy dienen. Bei der Weiterleitung dann einfach den Haken "Nachricht an Weiterleitungsadresse und Postfach zustellen" weglassen. Oder eben:

Hi, das sollte über einzelne Postfächer + Weiterleitung an das "Haupstelle-Posftach" oder Verteilergruppen gehen. Den Exchange 2007 könnte man so langsam auch mal updaten. ;) Gruß Jan

Hi, wie kommen denn die Netzlaufwerke zum Client? Script? GPO / GPP? Energieeinstellungen der Netzwerkkarte? Ggfs. noch: https://support.microsoft.com/en-us/help/297684/mapped-drive-connection-to-network-share-may-be-lost Gruß Jan

Dann teste es mal andersrum und verwende "Lokal anmelden zulassen" mit Usern in berechtigten Gruppen (und lasse "Administratoren, Sicherungs-Operatoren" drin bzw. füge diese auch hinzu). Evtl. noch ein bisschen was zum _vorher_ lesen: https://support.microsoft.com/en-us/help/823659/client-service-and-program-issues-can-occur-if-you-change-security-set ;)

Hi, hier wird das Problem AFAIK sein, dass Windows Server 2019 DCs keine Sysvol Replikation per FRS supporten und dein SBS noch per FRS replizieren möchte: https://social.technet.microsoft.com/wiki/contents/articles/51435.what-s-new-to-promote-a-additional-domain-controller-on-windows-server-2019.aspx?Sort=MostRecent&PageIndex=1 Migration FRS -> DFSR: https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/ Gruß Jan

Ja, so ist es.

Dann erstelle eine Gruppe "Mitglied_darf_sich_nicht_am_PC_anmelden" und pack dort alles rein, was sich nicht anmelden darf.

Ich hatte es so verstanden, dass die Einstellungen dieses GPO eben nur auf den RDSHs gelten bzw. auf den (allen) Clients nicht gelten soll. Wobei ich dann halt auch schon wieder beim Loopbackverarbeitungsmodus wäre.

Du könntest noch überlegen, es andersrum zu machen. Authentifizierte Benutzer -> Entfernen Domänen Benutzer -> Hinzufügen; Lesen + Übernehmen Gruppe mit den Computerkonten der RDS-Hosts -> Hinzufügen; Lesen In der Regel wechselt man den Client häufiger wie die Session Hosts. Dann hättest du weniger Aufwand / Verwaltung. ;)

Dann filterst du eben per WMI aufs Betriebssystem. ;) Oder steckst die Computerkonten in Gruppen, wie NorbertFe schreibt. Bei so einem Szenario könnte man auch über den Loopbackverarbeitungsmodus nachdenken.

Hi, warum nicht per GPO (Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Lokal anmelden verweigern)? Gruß Jan

Hi, es wäre vermutlich einfacher die GPO mit der FolderRedirection zu filtern und dort den RDP Clients das Lesen / Übernehmen zu verweigern. Gruß Jan

Hi, evtl. wurde durch die neue MAC-Adresse vom Gateway ein neues Netzwerk "identifiziert". Solange du das nicht bestätigst, ist das AFAIK mit dem Firewall-Profil "Öffentlich" ausgestattet. Sofern es nur einen DC gibt, kann das so schonmal passieren. Oder eben doch IPv6. ;) Gruß Jan

Da wäre doch mal die Frage, welches OS eure Terminalserver denn derzeit haben? Seit 2008 R2 ist so ein Terminalserver mit passendem Client eigentlich multimonitorfähig. UPDs können immer nur einmal exklusiv von einem RDS / User im Zugriff sein. An welcher Stelle habt ihr denn durch zwei getrennte Sitzungen welche Lizenzvorteile?

Hi, warum die Terminalserver nicht auch aus der Cloud z.B. aus dem gleichen RZ wie Exchange? Es gibt sicherlich Provider die gegen Einwurf von mehr (oder weniger) Geld die geforderte Bandbreite liefern. Ansonsten UPDs für das komplette Profil oder eben nur \AppData\Local\Micorosoft\Outlook in die Disk legen. Des Weiteren sollte ein möglichst aktuelles Outlook genutzt werden und der Cache-Modus so kurz wie möglich gehalten werden. Ebenfalls könnte eine E-Mail-Archivierungslösung inkl. Retention Policy am Exchange auch noch helfen die Postfächer klein zu halten, damit nicht so viel gecached werden kann. Gruß Jan

Hi, vielleicht ist ja der bald erscheinende Windows Virtual Desktop in Azure was für dich / deine Kunden: https://azure.microsoft.com/en-us/services/virtual-desktop/ bzw. https://azure.microsoft.com/en-us/blog/microsoft-365-adds-modern-desktop-on-azure/ Gruß Jan

Hi, die knapp 17K Mails dürften nicht problematisch sein. Falls möglich, verzichte auf den Cache Modus. Was ist für ein Virenschutz auf dem Client und hat der eine Port Überwachung, HTTPS Scan und / oder Outlook Add In? Das wichtigste für "Cheffchen" dürfte wohl so langsam mal ein Update auf einen Exchange der noch Support hat sein. ;) Gruß Jan