testperson

Hi, wäre Plus Addressing (Plus Addressing in Exchange Online | Microsoft Learn) evtl. ein Ansatz? (Ich habe es nur mal kurz mit ExO getestet und habe keine Ahnung mehr, was im Outlook angezeigt wird. ;-)) Gruß Jan

Hi, du würdest vermutlich in die Dokumentation gucken, wenn diese (vollumfänglich) vorhanden wäre. ;) Dann nutze die Gegebenheiten jetzt und dokumentiert alles. Gruß Jan

Hi, ja, das kannst du so machen. Allerdings sind 2x Office 365 E3 (oder auch 2x M365 Business Premium) doch aufs Jahr gerechnet schon teurer als das Action Pack? Zusätzlich hast du so noch Intune und Entra Id P1 dabei, was im reinen O365 E3 nicht enthalten ist. Gruß Jan

WLAN hui der Rest meiner Meinung nach nicht so. Sind evtl. Smart Queues aktiv? Und das simuliert den langsamen Workload / die langsamen Applikationen der User?

Hi, du stellst jetzt "Performance Probleme" ins WAN fest. Soweit so gut. Wo haben denn die User konkret Probleme im Bereich "Netzwerkperformance" mit/bei welchem Workload und wie stellt sich das dar? Gruß Jan

Hi, erstelle im HTML Code doch eine Tabelle und Fülle dort dann die Zeilen / Spalten mit PowerShell. Gruß Jan

Ich habe es so gelesen, dass 2 Entwickler auf dem System sind und nicht, dass noch weitere User auf dem System sind, die die Ausnahme nicht benötigen. Sorry.

Wenn ich mir das (Example PAC File | FindProxyForURL) ansehe, sollte das möglich sein.

Hi, kannst du die benötigte Ausnahme nicht in der Proxy.pac entsprechend behandeln und dort erledigen? Gruß Jan

Hi, ich würde im ersten Step das Organisatorische / Rechtliche klären lassen und im Anschluss eine technische Lösung zu den Anforderungen suchen. Die von mir bevorzugte Alternative wäre direkt einen Dienstleister ins Boot zu holen, der sich auf "Hotel WLAN" / "Gäste WLAN" spezialisiert hat. Gruß Jan

Mit Netzwerk wäre ggfs. Intune oder ein selbst gehostetes Endpoint Management evtl. ein Ansatz oder eine AV Lösung, die ein Remote Management mitbringt. Mit abgeschottetem Netzwerk könnte man evtl. eine Domäne in Betracht ziehen. Ohne Netzwerk bleibt halt dein Script oder ggfs. gibt es bei einem Anbieter für (Privileged) Identity Management etwas im Regal. Um hier evtl. noch mit Ideen zu kommen, wäre wohl das "Warum muss der Rechner Standalone ohne Netzwerk betrieben werden?" zu klären bzw. müsste da wohl dran gerüttelt werden.

Hast du es einmal per Publisher Rule anstatt Path Rule getestet? Hast du es einmal ohne die AppLocker Variable %PROGRAMFILES% getestet und den aufgelösten Pfad "C:\Program Files\Mozilla Thunderbird\*" benutzt? Wenn da in der Regel kein "Copy&Paste Fehler" oder Typo drin ist, wäre ich bei dir und würde ebenfalls sagen, dass es so funktionieren sollte.

Und daran ist absolut nicht zu rütteln? Ansonsten könntest du - je nach dem was an Software zur Verwaltung vorhanden ist - nur diese Netzwerkverbindung erlauben. Ansonsten kann das so ja durchaus eine gute und passende Lösung sein. In der Theorie könnte jetzt noch ein WinPE / Linux von CD / USB gebootet werden und darüber das Script manipuliert werden. Mit Applocker könntest du noch alles an Scripts sperren und nur dieses per Dateihash freigeben. Alternativ / Zusätzlich das PowerShell Script signieren.

Hi, was ist denn genau? Kein Internet, kein Netzwerk, gar nix? Gruß Jan

Hi, was wird denn beim Aufruf von AppLocker laut Eventlog überhaupt geblockt? Gruß Jan

Hi, ich wäre skeptisch, ob Exchange (2019) auf Windows Server (2019) Essentials supported ist. (Integrate an On-Premises Exchange Server with Windows Server Essentials | Microsoft Learn) Auch wenn das eher nichts mit dem Problem zu tun hat. Gruß Jan

Hi, "bis nächstes Jahr" ist ja noch was Zeit. Was spricht dagegen, jetzt einen neuen Rechner zu organisieren und dort die Anwendungen nach und nach neu zu installieren? Dabei dann prüfen, welche Konfigurationsdateien / Einstellungen mit auf den neuen Rechner müssen und am Ende des Jahres mit einem entsprechenden Plan alle Rechner neu installieren und die Anwendungen koordiniert ausrollen. Gruß Jan

Dann sind wir jetzt wohl am Punkt von @daabm angekommen:

Meine Zeit, wo ich "viel" programmiert habe ist schon was länger rum und war noch in der vor PowerShell Zeit. Würde es aber laienhaft genau wie du beschreiben: Du erstellt das Userobjekt einmalig und fügst dann nur eine Referenz / einen Zeiger in die Userliste hinzu. Wenn du jetzt das Objekt änderst, zeigt der Pointer in der Userliste an allen Stellen ja auf das eine Objekt.

Die User haben sich nach der Aufnahme in die entsprechenden Gruppen auch vom Client ab- und wieder angemeldet? Ich habe mich bei AppLocker an diesem "Konzept" orientiert (UltimateAppLockerByPassList/AppLocker-BlockPolicies at master · api0cradle/UltimateAppLockerByPassList · GitHub). Hier müssen nur zwei anstatt ggfs. drei oder mehr Stellen geprüft werden. Generell sollte das aber wie von dir skizziert funktionieren: Understanding AppLocker rule exceptions - Windows Security | Microsoft Learn

Hi, wenn ich dich richtig verstehe, ist das so korrekt (Understanding AppLocker allow and deny actions on rules - Windows Security | Microsoft Learn): Gruß Jan

Hi, dann lag ich richtig. Pack die Erstellung des $Userobjekt in dein foreach. Gruß Jan

Hi, ich vermute, du erstellt einmalig dein Userobjekt und änderst dieses immer wieder mit neuen Daten aus der CSV. Dann ist das AFAIK by Design. Du wirst ja vermutlich die importierte CSV Datei per foreach-Schleife durchlaufen und so der Userliste deine Userobjekte hinzufügen. _Vermutlich_ erstellst du _vor_ der Schleife das Userobjekt und nicht _in_ der Schleife: # Vermutlich so / "falsch" $Inhalt = Import-Csv .... $Userliste = ... $Userobjekt = New-Object -TypeName User foreach($i in $Inhalt){ $Userobjekt.Vorname = $i.Vorname ... $Userliste.Add($UserObject) } # Sollte vermutlich zu deinen Erwartungen führen: $Inhalt = Import-Csv .... $Userliste = ... foreach($i in $Inhalt){ $Userobjekt = New-Object -TypeName User $Userobjekt.Vorname = $i.Vorname ... $Userliste.Add($UserObject) } Gruß Jan

Hi, du kannst im DNS doch einfach verschiedene Hostnamen (A-Records) mit der gleichen IP Adresse haben. Der Port hat ja am Ende nichts mit dem Hostnamen / FQDN / dem SSL Zertifikat zu tun. Am sinnvollsten dürfte es aber sein, einen Loadbalancer / Revers-Proxy "vor den Containern" bereitzustellen, der die Verbindung proxied und anhand des DNS Namens dann zur passenden Anwendung "routet". So kannst du die Services auch alle per https / 443 ansprechen und musst an den Clients die Ports nicht verbiegen. Gruß Jan

Hi, in meinen Augen ist das Ansichtssache und dürfte recht stark am Projektantrag hängen. In der Praxis erlebe ich tatsächlich häufig VPN Lösungen, die weit weg von "komplex" sind. Die sind dann aber i.d.R. auch eher weit weg von "sicher". Wenn es um Road Warrior geht, ist ja alleine schon die Entscheidungsfindung für "IPSec", "OpenVPN", "SSL VPN", "L2TP", "SSTP" oder Wireguard ein abendfüllendes Programm. Ebenso die Überlegung Linux Server oder fertige Firewall/Router/VPN Appliance (kostenlos / kommerziell) dauert seine Zeit in einem Abschlussprojekt. Ich würde behaupten, dass man mit einem der Punkte die 40 Stunden bereits sprengen kann und bis hier her ist noch gar nichts konfiguriert. Wenn man sich jetzt noch Gedanken um das Thema "Firewalling" im VPN macht, könnte das - je nach Anforderung - für ein weiteres Projekt reichen und weitere Komplexität mitbringen. (Eine Idee von mir in Richtung deines VPN Themas: "legacy VPN" vs. ZTNA bzw. "Zero Trust Network Access". Allerdings sicherlich sehr sportlich, dass in diesem Monat noch Projektantrag-fähig zu bekommen.) Gruß Jan