testperson

Ach du liebes Lieschen: https://www.heise.de/news/Bundesregierung-kuendigt-Ende-von-De-Mail-in-der-Verwaltung-an-9180138.html Ich bin gespannt was nun folgt. :)

Hi, die Mailboxen solltest du so bekommen: Get-Mailbox | Where-Object { $_.PrimarySmtpAddress.ToLower().EndsWith("@<deine Domain>") } Gruß Jan

Bist du mit dem User angemeldet, mit dem du jetzt versuchst, das lokale Profil zu löschen? Dann wird es in der Tat schwierig und du müsstest dich mit einem anderen User anmelden, der lokaler Administrator ist.

Hi, spricht etwas dagegen, dass komplette lokale Profil des Users auf diesem System zu löschen? Get-CimInstance Win32_UserProfile | where { $_.LocalPath -Match „<Username>“ } | Remove-CimInstance

Das habe ich auch schon bei Bare-Metal erlebt. Da war die default Route plötzlich weg. Manchmal war der Eintrag für die default Route dann auch doppelt vorhanden, was unterm Strich dann den gleichen Effekt hatte.

Und falls man es unbedingt in den "off hours" machen möchte (nachdem man zwei, drei Testmailboxen verschoben und die Funktion verifiziert hat): $DateNow = Get-Date [datetime]$DateComplete = -join( $DateNow.AddDays(1).Month, ".", $DateNow.AddDays(1).Day, ".", $DateNow.AddDays(1).Year, " 03:00" ) New-MoveRequest -Identity "xyz" ` -TargetDatabase "abc" ` -CompleteAfter $DateComplete.ToUniversalTime() <# Get-Mailbox -Server <Alter Exchange> | New-MoveRequest -TargetDatabase "abc" ` -CompleteAfter $DateComplete #>

oder $RegKeyName = "`$Besipiel`$"

Hach, die Jungs von Win RAR:

Hi, läuft "nur" das Exchange Admin Center nicht oder auch OWA / Active Sync / Outlook nicht? Kannst du dich per Powershell, also der Exchange Management Shell, verbinden? Was meldet denn der Browser für einen Fehler beim Aufruf des EACs? Neuen Windows Server auf VMware installieren, Exchange Server installieren, konfigurieren und dann die Postfächer verschieben. Also die Applikation migrieren und nicht den kompletten Server. Das würde ich in (fast) allen Fällen bevorzugen. Das wäre auch mein Ansatz, um das Problem jetzt ggfs. kurz und schmerzlos loszuwerden. Gruß Jan

Hi, auf dem Azure Stack HCI kannst du die Preview vom Azure Virtual Desktop als Preview nutzen: Azure Virtual Desktop for Azure Stack HCI (preview) overview | Microsoft Learn. Die ist allerdings schon "Ewigkeiten" in der Preview. Keine Ahnung, ob ob das jemals GA wird. @PeterchenFrost Eine Alternative wäre dann eben VDI mittels Win 11. Gruß Jan

Hi, wenn du den aktuellen Pfad auch in der ISE benötigst: if([string]::IsNullOrEmpty($PSScriptRoot)){ # Wir sind in der ISE $Scriptpath = $psISE.CurrentFile.FullPath -replace $psISE.CurrentFile.DisplayName $Scriptpath = $Scriptpath.TrimEnd("\") } else{ # Wir sind in der PowerShell $Scriptpath = $PSScriptRoot } Gruß Jan

Hi, kann man sich da mit entsprechenden Blocklists nicht (viel) Arbeit sparen? Angefangen mit SPAM Haus DROP (DROP - Don't Route or Peer lists - The Spamhaus Project) über bspw. die FireHOL Listen (FireHOL IP Lists | IP Blacklists | IP Blocklists | IP Reputation) bis zum kompletten Geo Blocking? Gruß Jan

Hi, wie sieht denn dein Script aus? Bzw. was prüfst du denn genau ab? Ansonsten kannst du zuerst doch auf "%UserName%.%UserDomain%" prüfen. Die Frage wäre aber, was machst du, wenn das erste Profil mit "%UserName%.%UserDomain%.001" kommen sollte? Gruß Jan

*Whooop*Whooop* die Microsoft 365 Apps sind dann jetzt wohl während sich der (zukünftige) Windows Server im Mainstream Support befindet unterstützt: (Re: Support for M365 Apps (O365) on Windows 2022 - Page 6 - Microsoft Community Hub)

Du kannst doch eine Ausnahme für das Softwareverteilprogramm erstellen. Siehe die Antwort oben von @MurdocX:

Hi, ich glaube, das kannst du über diesen Reg-Key machen: HKCU\Software\Microsoft\Office\16.0\Outlook\Options\Calendar ShowLegacySharingUX REG_DWORD 1 (User experience changes for sharing a calendar in Outlook - Microsoft Support) Gruß Jan

Hi, falls es immer mit " ..." endet, kannst du auch Code sparen: $fax.TrimEnd(" ...") Eine andere Frage wäre, warum im Scope "gloabl"? Gruß Jan

Ich gehe mit und erhöhe auf 102%.

Hi, hast du auch ein konkretes Problem oder nur das unerwartete nslookup Ergebnis (und damit vermutlich gar kein "echtes Problem")? Gruß Jan

Hi, die Vermutung von Nils ist hier (natürlich) korrekt. Ich finde den Artikel leider nur noch im archiv.org: Windows logon behavior if your user name contains characters that have accents or other diacritical marks (archive.org) Gruß Jan

Auch an dieser Stelle finden sich scheinbar User mit dem Motto "Challenge accepted". :)

In meiner Testumgebung mit leerem dSHeuristics und in der mit aktiviertem LOM hat es jedenfalls funktioniert: # https://support.microsoft.com/en-au/topic/kb5008383-active-directory-permissions-updates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1 # https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5 $ADDomain = Get-ADDomain -Current LocalComputer $DN = -join( "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,", $ADDomain.DistinguishedName ) $ADObject = Get-ADObject -Identity $DN ` -Properties dsHeuristics [string]$dSHeuristics = $ADObject.dsHeuristics while($dSHeuristics.Length -lt 29){ $dSHeuristics = -join( $dSHeuristics, "0" ) } # fLDAPBlockAnonOps <# https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5 If this character is "2", then the fLDAPBlockAnonOps heuristic is false; otherwise, the fLDAPBlockAnonOps heuristic is true. If this character is not present in the string, it defaults to "2" when the DC functional level is less than DS_BEHAVIOR_WIN2003, and to "0" otherwise. https://learn.microsoft.com/de-de/openspecs/windows_protocols/ms-adts/4e11a7e6-e18c-46e4-a781-3ca2b4de6f30 If the fLDAPBlockAnonOps heuristic of the dSHeuristics attribute (see section 6.1.1.2.4.1.2) is true, anonymous (unauthenticated) users are limited to performing rootDSE searches and binds. If fLDAPBlockAnonOps is false, anonymous users can perform any LDAP operation, subject to access checks that use the ACL mechanisms described in this section. #> # $dSHeuristics = $dSHeuristics -replace "(?<=^.{6}).","0" $dSHeuristics = $dSHeuristics -replace "(?<=^.{9}).","1" $dSHeuristics = $dSHeuristics -replace "(?<=^.{19}).","2" $dSHeuristics = $dSHeuristics -replace "(?<=^.{27}).","1" $dSHeuristics = $dSHeuristics -replace "(?<=^.{28}).","1" <# Set-ADObject -Identity $DN ` -Replace @{dsHeuristics=$dSHeuristics} #> Wer" scharf schalten" möchte, muss halt den letzten Kommentarblock entfernen. :)

Hi, ansonsten evtl. auswerten von GPS: Point and Print Restrictions (gpsearch.azurewebsites.net) und/oder GPS: Package Point and print - Approved servers (gpsearch.azurewebsites.net)? die Printserver in eine eigene OU stecken? die Beschreibung / ein Attribut des Computerobjektes benutzen? eine Sicherheitsgruppe erstellen und die Printserver aufnehmen? die Server abfragen, auf denen der Spooler Dienst läuft? Gibt bestimmt noch weitere Ideen. :) Gruß Jan

Hi, also bei RDS Farm wäre ja auch glatt noch denkbar, passende Zertifikate zu kaufen oder "einfach" auf Let's Encrypt oder Co. zu setzen. Bei RDS ist ja auch denkbar, dass nicht verwaltete Device zugreifen. (Bzw. wäre das für mich und vermutlich viele weitere hier, kein Grund für eine eigene PKI.) Gruß Jan

Hi, wenn ich das jetzt bereits erzwingen möchte, muss ich das dSHeuristics Attribut auf 28 Stellen erweitern. Dabei ist zu beachten, dass die 10te Stelle eine 1 sein muss, um dem Active Directory mitzuteilen, dass das Attribut jetzt mehr als 10 Stellen hat. Die 20igste Stelle muss eine 2 sein, damit das AD informiert ist, dass das Attribut jetzt 20 Stellen hat. Jetzt setze ich die 28igste Stelle auf 1 für Enforcement "Additional AuthZ verifications for LDAP Add operations" sowie die 29igste Stelle auf 1 für Temporary removal of Implicit Owner Enforcement? Ist das Attribut leer oder 0 (also Default): 00000000010000000002000000011 Gibt es bereits Werte, werden diese einfach übernommen und mit 0 aufgefüllt, außer Stelle 10 (-> 1), 20 (-> 2), 28 (-> 1) und 29 (-> 1): 0010000001000000000200000001 Hier wäre dSHeuristics 001 gewesen 3 auf 1 -> "List Object Mode" Hat das Attribut bereits mehr als 10 oder 20 Stellen, muss(?) Stelle 10 bereits 1 und Stelle 20 2 sein und es wird einfach am Ende bis zur 28igsten erweitert, welche dann 1 wird und die 29igste Stelle wird ebenfalls 1: 00000000010000001002000001011 Hier wäre dSHeuristics 00000000010000001002000001 gewesen 17 auf 1 -> fKVNOEmuW2K (Was auch immer es tut) 26 auf 1 -> fLoadV1AddressBooksOnlySetting (Wo auch immer man v1 Adressbücher findet/nutzt) Hat das Attribut bereits mehr als 10 oder 20 Stellen und 10 ist keine 1 und/oder 20 keine 2, dann ist schonmal generell etwas falsch? Die heilige Handgranate von Antiochia - YouTube KB5008383—Active Directory permissions updates (CVE-2021-42291) - Microsoft Support [MS-ADTS]: dSHeuristics | Microsoft Learn Passen meine "Annahmen" so? (Das sollte sich doch in ein PowerShell Script bringen lassen.) Danke und Gruß Jan Edit: Habe vor lauter 0, 1 und 2 vollkommen die 29igste Stelle für das Enforcement "Temporary removal of Implicit Owner for LDAP Modify operations" überlesen. :)