Weingeist

Du könntest den Kram auch einfach per Windows-Firewall abdrehen. Sprich Block Out aktivieren, In und Out entsprechend konfigurieren. Dann wird von extern auch nichts beantwortet/akzeptiert. Ist halt je nach dem etwas aufwendiger in der Konfig. Mit dem erweiterten Logging für die Firewall (geblockte Pakete) kommt man den entsprechenden Prozessen, Diensten, Anwendungen relativ easy auf die Spur die man freigeben muss um eine einwandfreie Kommunikation sicherzustellen. Die Kommandozeilen-Tools tasklist sowie netstat helfen dabei ebenfalls. Befehle: Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:disable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable https://msdn.microsoft.com/en-us/library/windows/desktop/bb309058(v=vs.85).aspx Damit kann herausgefunden werden welcher Prozess es betrifft - tasklist /svc - netstat -a -b Damit findet man die GUID's von Auditpol heraus: auditpol.exe /list /category /v = GUID erhalten

Hallo zusammen, Kann man irgendwie verhindern, dass der Service EventLog abstürzt wenn ein normaler User z.Bsp. auf das EventLog zugreifen möchte und keinen Zugriff hat? Das er keinen Zugriff hat ist ja gut, aber gleich abstürzen sollte der Service er nicht. Betrifft Server OS 2022. Jemand eine Idee? Kann irgendwie nicht verwertbares finden. Die Tipps die ich gefunden habe betreffen jeweils alle User und fehlende Berechtigungen für System oder Admins. Als Admin ist alles aber OK. Gruss und Danke für Inputs

Live-Konto geht: Tatsächlich nicht so gelesen... Senkt natürlich die Chance, dass das neuerstellen des Profils Wirkung zeigt.

App-Reparaturen sind in der Regel mittels neustart (damit das Profil den lock verliert), anmelden mit anderem User, User-Profil löschen, neu anmelden gelöst. Nicht unbedingt was man möchte, aber funktioniert fast immer. Gibt auch noch die Möglichkeit Apps auf Systemebene neu zu installieren, aber das ist auch ein Krampf. Imho ist der App-Krempel allgemein ein Krampf, deshalb nutze ich ihn möglichst nicht, ist einfach ein Desaster in der Administration (Einschränkung von Rechten) und Reparatur An den neumodischen userbasierten Services hast nicht rumgespielt oder? An den Firewall-App-Freigaben unter Configurable Services in der Registry ebensowenig? Die Apps sind teilweise abhängig von ihren Freigaben. Falls Du rumgespielt hast, auch das ist mit neuanlagen des Benutzerprofils gelöst. Zum gucken ob etwas durch die Firewall geblockt wird, kannst ja mal das erweiterte logging der Firewall aktivieren. Dann siehst allfällige Kommunikationsversuche der Mail-App. (auditpol)

Ich finde es erbärmlich, dass der Krempel mit den Rules schon seit Jahren immer noch nicht konfigurierbar ist. Solche Pauschale Freigaben sind ja eigentlich Datenschutz- und Sicherheitsrelevant. Ab 2019 liegt das Userbasierte Zeug übrigens unter AppIso sowie den normalen Rules. Tipp: Entfernt man für System und den Firewalldienst die Schreibberechtigung auf die Reg-Folders, werden die Rules nicht mehr erstellt. Hat 'nur' den Caveat oder Vorteil - Je nach Zweck den man verfolgt -, dass die Apps nicht mehr installiert werden/nicht mehr kommunizieren können weil deren Installation mit einer Exception fehlschlägt (Erstellung der Regeln). Die Regeln werden teilweise auch für die Inner-Host-Kommunikation zwischen den Apps benötigt. Benachrichtigung, Uhrzeit/Datum Popup, Startmenü sind auch solche Apps. Auch das neue Einstellungsmenü. Nicht jedoch Desktop + Taskleiste. Ich mache das gerne für Produktionsmaschinen.

Ganz ehrlich: Nimm dir jemanden zur Hand der etwas davon versteht, das dürfte den Rahmen von Forenhilfe bei weitem übersteigen. ;)

Korrekt. Wie ich geschrieben habe, es muss nachweisbar sichergestellt sein, dass es nicht möglich ist. Wenn die Filterung User-Basiert ist, muss es auch die Lizenzierung sein. Ist es Office Pro Plus für Devices (gibts das überhaupt für User?), muss das Endgerät kontrolliert werden können.

Brauchen die User wirklich beides? Ansonsten könntest ja zwei RDS-Hosts aufsetzen. Ist lizenztechnisch sowieso problematisch wenn dann die Arbeitsplätze auf welchen Pro Plus nicht lizenziert ist, sich auf den RDS-Server verbinden können und schlimmer, auch noch tun wo ProPlus installiert ist. Ziemlich heikles Thema und beliebt für die Prüfung. EDIT: Gleiches gilt übrigens für Office Standard, da darfst auch nicht der Einfachheit halber das ProPlus ISO hernehmen und z.Bsp. nur die Apps von Standard installieren. Zudem musst Du - theoretisch und eigentlich auch praktisch - zuverlässig sicherstellen, dass sie sich eben nicht darauf verbinden können. Da der Krempel alles wunderbar an X-Orten protokolliert ist, kannst dich nicht rausplappern... Soll schon Firmen gegeben haben, die sowas richtig Geld gekostet hat (Beide genannten Fälle) Ansonsten: V1: Google bemühen, dürftest nicht der erste sein V2: z.Bsp. mit RegShot herausfinden wohin die Standard-App-Einstellungen geschrieben werden und diese dann z.Bsp. per GPO oder Script setzen

Für Kleinkunden ist VLSC eigentlich ziemlich in Ordnung. Ausser Downloads hat man ja nicht viel zu machen da drinn. Verträge anschauen was man hat ist aber richtig lästig... :) Das neue ist einfach "Modern" und somit typisch grottenlangsam und mit - milde ausgedrückt - der "Tendenz" zum unübersichtlichen. Zieht sich irgendwie durch alles durch. MS ist da nicht alleine

Danke. Komisch jetzt tuts auch wieder... Wobei war die Unterseite VLSC nicht licensing direkt. Frage mich aber grad wie das möglich ist Die scheinen grad wirklich komplett umzubauen. Bei einem Kunden bekam ich einen Link für die Verwendung einer alternativen Verwaltungsoberfläche anstelle VLSC. Daher wohl auch die sofortige Umstellung auf Azure für die Anmeldung. https://admin.microsoft.com Die Open Value Lizenzen sind da jedenfalls auch ersichtlich. Auf alle Fälle doch aufwändig das durchzuspielen. Aber gibt Übung *lach* Der Support tut mir leid. Innerhalb dieser kurzen Zeit alle Kunden umbauen? Sehr spassig. Eine Anleitung dafür würde denen sicher ne Menge Arbeit ersparen.

Zu Open Value: Werden wir sehen. Passt auf alle Fälle nicht in deren Strategie. Aber aktuell dürften sie einfach zu viel Bammel haben, das durchzuziehen. Vielleicht ist es aber auch mal in der Chefetage angekommen, dass die Cloud für Produktions-Arbeitsplätze eigentlich nicht tragbar ist und Open Value wird auf irgend eine Weise integriert um nach wie vor OnPremise unkompliziert anzubieten. Glaube ich zwar weniger - da bei MS in den letzten Jahren immer gegen Produktionsarbeitsplätze gearbeitet wird bzw. die Hürden enorm hoch gelegt werden - aber wer weiss das schon. Sicher? Zumindest früher ging das explizit nicht weil Enterprise ein Upgrade auf z.Bsp. eine Pro ist und man diesee nicht einem Thin/Zero-Client zuweisen kann. Diese Infox können aber heute auch obsolet sein oder die Definition von Enterprise, E3 etc. ist einfach nicht in allen Plänen / Erwerbskanälen identisch. Mal was anderes: Kann jemand bestätigen oder dementieren, dass das SSL-Zertifikat von deren Website am 4.9.21 abgelaufen ist? https://licensing.microsoft.com/

`hmm ist E3 nicht für normale physische Desktops und nicht Zero und Thin-Clients? Oder bin ich auf dem Holzweg oder meinst ein "neues" E3 im CSP Kanal?

Irgendwo bestimmt... bzw. eher "altmodisch" von Druckerplatten

Weil die CPU's der guten Sockets bei Intel deutlich günstiger sind als jene für Multi-Socket-Systeme. Insbesondere jene mit höherem Takt. Der Server selbst natürlich auch. Strom wird für die CPU's auch beinahe das doppelte gefressen, Chipsatz auch höherer Verbrauch und bei Virtualisierung ists für den Hypervisor auch "einfacher" auf einem Chip zu verbleiben als hin und herzuschieben. ;) --> Wenn die PCIe Lanes Mangelware sind weil man viele NVMe's + evtl. IO's möchte, dann bleibt einem bei Intel aktuell nix anderes übrig als zwei CPU's. Bei AMD Epyc hat man dieses Problem nicht. Und wenn tatsächlich ein Upgrade gebraucht wird, dann ist der Server eh so gut wie immer schon zu alt und eine alte CPU + gleiches RAM unverhältnissmässig teuer. Insbesondere bei den grossen Herstellern.

Dann gibts noch die klassiche Variante mit On-Premise Lizenzierung für die Messmaschine. Man bezahlt dann halt unter Umständen doppelt. Für Messmaschinen und ähnliches lasse ich die Leute für Office aber auch gerne mal auf den eigenen Desktop verbinden. Geht solange es keine hochintegrierten Prozessabläufe zwischen Office und Messprogrammen gibt. Auf der Messmaschine generierte Files landen dann entweder in einem Transfer-ordner oder auf Ordner wo auch der Mess-Benutzer Zugriff hat. Für Produktionsumgebungen ist das ganze Online-Zeugs einfach nur bescheiden im Unterhalt. Klar optimalerweise meldet man sich mitdem eigenen Account an, aber das ist einfach oft wirklich unpraktikabel.

Wie wird dann eigentlich VDA lizenziert? In OpenValue gibts den ja glaub nicht. Die Vorbereitungen für die Ablösung von OpenValue laufen aber vermutlich auch schon. Hatte kürzlich ein nettes Gespräche mit Mitarbeitern der Lizenzportal-Abteilung. Für die Anmeldung an VLSC braucht man seit ein paar Tagen zwingend einen Work-Account. Noch 5x anmelden bis knapp ende September oder so mit dem Microsoft-Account. Also Umstellung auf Azure notwendig. Die wurden im Support komplett überrannt, keinerlei Voranmeldung für die Mitarbeiter und keine Anleitung online wie man als Kunde genau vorzugehen hat und eigentlich sind auch nur in Azure verifizierte eigene Domänen erwünscht (TXT-Eintrag beim Hoster notwendig) auch wenn es zumindest aktuell noch mit der firma.onmicrosoft.com und die Kopplung an eine externe E-Mail Adresse geht. Ziemlich kurze Übergangsfrist zumal das Prozedere nicht unbedingt Straight-forward ist. Unter anderem weil die Erstellung von Benutzern teilweise ohne Angabe von Gründen abgelehnt wird. Gründe sind z.Bsp. keine IP-Telefone zur Verifikation, keine E-Mail-Adressen von Hostern, Mobiltelefon geht teilweise auch nicht (Also welches Telefon soll dann bitte noch gehen? ) --> doof wenn der MS-Vertrag vor 10 Jahren über eine öffentlich E-Mail Addi abgeschlossen wurde usw.

Mal was ganz anderes, wieso nimmt man bei 10 VM's 32 Cores? Wenn die Anzahl Cores nicht zwingend so gebraucht wird, war das Imho schon ein falsches Basis-Setup. Für Kleinumgebung - auch mit deutlich mehr VM's - nehme ich möglichst 16 Cores + viel MHZ (ab 3GHZ) + Single Socket. Dann ist das auch erträglich lizenzierbar bei Erweiterungen. Ja ich weiss, die Auswahl an vernünftiger Hardware schrumpft beträchtlich bei Single-Socket. Dafür kostet das Server-Hardware System normalerweise weniger und man kann auch mal Datacenter lizenzieren ohne gleich Schweissausbrüche zu bekommen. Ansonsten: MS ist normal ziemlich pragmatisch. Brauchte bei MS noch nie vorauseilenden Gehorsam solange man etwas korrekt darstellen konnte. Wenn es im BIOS deaktiviert ist und somit nicht vom OS erkannt wird dürfte es daher auch kein Problem darstellen. Frisst aber halt vermutlich unnötig Strom.

Super, Danke für die Rückmeldung

Ohne selber die Maschine zu haben ist es wie gesagt Kaffeesatz-Leserei... Mir fällt jedenfalls nix mehr ein, wobei zwei halbgare Ideen habe ich noch... ;) - Unter welchem Benutzer läuft der überhaupt der Dienst? Hat dieser User auch Zugriff auf den oder die Pfade der Index-Datenbank die unter Erweitert definiert wurde? - Wie sieht es mit Folder-Redirections aus? Da tut ohne Offline-Files das Indexing auch nicht. Auch wenn mir trotzdem nicht ganz klar ist, warum dann die Einträge ganz in der Liste fehlen. - Kannst auch mal hier drinn manuell alles löschen... Vielleicht hilfts ja: c:\programdata\microsoft\search (bis microsoft sollte der gleiche Ordner sein wie im Pfad hinterlegt) --> Oder eben mal auf dem Ordner jedem oder den authentifzierten Benutzern Zugriff Read/Write darauf erteilen (zum test). Kämst der Sache vielleicht auf den Grund. Auch wenn ich das bezweifle Habe ich schon erwähnt, dass ich solche Tests nur auf einer Kopie machen würde.. Möglicherweise kann es mühsam werden den Ursprungszustand wiederherszustellen Ansonsten: Bist wohl nicht der einzige, ich weiss in schwacher Trost aber ist wohl by design so. https://social.technet.microsoft.com/Forums/en-US/936f9e8f-ae0a-4e68-a76f-b17e2adfc38d/indexing-no-drives-listed https://social.technet.microsoft.com/Forums/Windowsserver/en-US/964e4488-7300-42d5-8de0-2bbee70de43b/searchindexing-issue?forum=ws2019 Wenn die immer noch auf "Working on it" sind, dürfte es keine einfache Lösung geben. Vielleicht nimmst einfach den 2022er, vielleichts ist da ja gelöst. Ansonsten auch mal alle Updates einspielen, sofern nicht gemacht. Dann gibts noch die Möglichkeit, dass wenn per RDP zugegriffen wird, man schlicht keine Infos erhält was genau indexiert wird obwohl es gemacht wird. Wenn die Suche in Deinem Startmenü funktioniert - auch bei einem neuen Profil - dann tut auch die Indexierung weil das Startmenü erhält seine Infos ziemlich sicher auch aus dem Index und legt sie dann zusätzlich bei sich in Cortana ab. --> Lokal anmelden (Da grad kein 19er Server zur Hand kann ich das nicht testen) --> Deaktiviert man das Indexing auf dem Datenträger per Powershell, dann funktioniert auch keine Startmenüsuche für alle neuen Profile mehr! Dies obwohl Windows Search nicht installiert ist. Sprich Indexing an sich hat wenig damit zu tun ob Windows-Search installiert ist oder nicht sondern eher ob man ausser den Standard-Ordner auch eigene Ordner indexieren kann. Seitens MS noch ein kleines Tool, vielleicht hilfts ja: https://www.microsoft.com/de-de/p/indexer-diagnostics/9n25lzczwgs4?SilentAuth=1&wa=wsignin1.0#activetab=pivot:overviewtab Wobei ich mich immer noch frage wozu du die indexierung überhaupt brauchst. =)

Jetzt weiss ich wenigstens wieder warum ich das nie verwende, weil die Caveats nerven. *ha ha* So alt wie die Notiz in meiner Wühlkite ist, müsste das Problem bereits deutlich über 10 Jahre bestehen... Immer wieder interessant wie hartnäckig sich manche Bugs über Jahrzehnte halten und wie automatisch man sie umschifft und nicht mal mehr genau weiss warum man etwas aus Prinzip nicht einsetzt. Aber doch nett wens dann doch nach und nach wieder reinplätschert dass da mal was war. Ich suchte damals ewig nach einer Lösung.

Bezüglich des Bugs habe ich das zwar anders in Erinnerung aber das ist so lange her, dass es gut möglich ist, dass es auch ohne geht. Aber ich mag Neustart eh immer wenn etwas nicht funktioniert hat und sei es nur um sicher zu sein, dass die Änderungen auch greifen

Das ist dann eher unlogisch. Sind die Ordner generell in DFS/Freigabe sichtbar oder je nach User/Zugriffsberechtigung? Habe da irgendwas im Hinterkopf, dass das bei Redirections Probleme machen kann. Edit: Hab mal kurz gesucht, der Begriff nennt sich Access Based Enumeration. Wenn das aktiv ist, kann es zu solchen Problemen führen. Falls aktiv, würde ich das testweise mal deaktivieren und dann Server + zugreifender Client rebooten. Dürfte ja nicht unbedingt problematisch sein, wenn die User die Namen der anderen User sehen. Auflistungsrechte kannst ja auch auf NTFS-Ebene entziehen damit die Unterordner nicht durchsucht werden können.

Das ist soweit korrekt, allerdings sind deren Preise in Bezug auf die Leistung schon sehr überzogen. Insbesondere wenn man den ganzen Quatsch der mitkommt nicht haben möchte. Alles mittlerweile viel zu aufgeblasen und somit im Grunde bestimmt auch deutlich anfälliger bezüglich Sicherheit geworden. Allerdings gibt es ja für die Fernwartung mittlerweile auch etwas günstigere Lizenzen. Trotzdem muss ich sagen, dass Teamviewer seit Jahren das beste in Bezug auf die Performance ist. Mir ist noch nichts vergleichbares untergekommen mit dem man sogar auf CAD-Maschinen noch +- flüssig arbeiten kann @TO: Deine Argumente teile ich teilweise. Ich mag die Abos auch nicht. Allerdings ist es halt auch so, dass heute mehr als früher Updates für die Sicherheit notwendig sind. Das geht nur mit laufenden Aktualisierungen. Insbesondere für ein Remote-Tool imho unerlässlich. Über die Höhe solcher Kosten lässt sich streiten. Wenn man die Gewinn-Margen dieser Tech-Firmenansieht, sind gewisse Zweifel nicht ganz unbegründet wie ich finde. Vor allem wenn man das Gefühl hat, dass an den Updates eher gespart wird.

Nun, das ganze ist beim Desktop ziemlich vom korrekten Timing abhängig, da der relativ früh geladen wird. Wenn das nicht passt - z.Bsp. nach einem reboot -, dann ist ein DFS-Ziel eben nicht unbedingt sofort im richtigen Augenblick erreichbar. Auf Terminal-Servern müsste das aber eigentlich nur die ersten ganz schnellen User nach einem Reboot treffen und nicht der Willkür unterworfen sein. Der Bug mit der Netzwerkerkennung dürfte dann auch nur bei den ersten zum tragen kommen. --> Die Netzwerkerkennung rödelt vor sich hin. DFS funktioniert erst, wenn das richtige Netz angezeigt wird. Zweiter Schuss ins blaue, hast Du evtl. zwei Ordnerziele für die Profile aktiv? Kann es sein, dass es nicht zu 100% ausgeschlossen ist, dass er mal auf Ziel 1 und mal auf Ziel 2 landet? Könnte mir vorstellen, dass diese für den ganzen personalierten Kram Probleme verursachen könnte.

Hallo Leute, Kann mir jemand beantworten ob man die Installation von Sprachpaketen für "Display" gleichwertig hinbekommt wie mit der spezifischen Installationssprache? Also jene Sprache mit der man zum Beispiel die ISO aus VLSC herunterlädt? Früher war das ja immer einigermassen problematisch. Habe es jetzt mit der aktuellen 2022 mal wieder ausporbiert (das letzte mal vor 10 Jahren oder so ) Also englisches ISO und dann Deutsch nachinstalliert aus der FOB-DVD. Benamsung von Diensten, Ordnern wie (C:\User als C:\Benutzer), Systemeinstellungen usw. scheint alles auf Deutsch zu sein. Konnte auf den ersten Blick aber auch ein paar Sideffects feststellen die es nach wie vor gibt. Nicht korrekt ist zum Beispiel: - auditpol, da wird dann englisch benötigt um z.Bsp. das logging einzustellen auch wenn die Anzeige an sich in deutsch ist. - CMD ist so halb deutsch halb Englisch - Powershell ISE Bedienung ist englisch, Fehlermeldungen sind in Deutsch Gibt es Einstellungen um auch das zu ändern? Mich stört es ja nicht unbedingt wenn der Kram in Englisch ist, eigentlich im Gegenteil dann findet man auch besser entsprechende Beiträge im Netz. Aber ich möchte mir auch ungerne Ärger mit anderer Software einhandeln weil sie davon ausgeht, dass die Installation Deutsch ist, die Befehle also entsprechend in Deutsch absetzt und eigentlich wäre Englisch notwendig. Fürs reine Arbeiten sehe ich es unkritisch, alles was die User zu Gesicht bekommen, scheint in Deutsch zu sein. Grüsse und Danke