Weingeist

Kannst auch einfach schauen obs läuft... Nur weils noch nicht supported ist, heisst es nicht, dass es nicht läuft. Wenn Du Pech hast, gibts halt irgendwo Ärger. Kommt etwas auf die Anzahl Arbeitsplätze an die betroffen sind und wie sehr es den Betrieb stören würde, wenn es Ärger macht. In einem Callcenter würde ich das nicht machen, im Büro mit 10 Nasen schon. ;)

hahaha, spasseshalber schonmal versucht er weiss es natürlich nicht. Karl Klammer war wenigstens noch etwas lustig und nicht nur unnütz Naja ganz Unnütz ist dieser hier nicht, solange er nicht intelligent werden will. Sprich eigentlich würde ich ja vor allem die Option "Intelligentes Nachschlagen" und das Popup der Hilfe weghaben wollen weil ich das eh nur aus versehen anklicke und dann wieder schliessen muss.

Unabhängig von dem Sinn oder Usinn: Funktionen kann man auch deaktivieren. Das benötigte Stichwort ist: Fluent User Interface Control Identifiers Man erhält einen Download bei MS mit einem Excelfile pro Applikation. Jedes Control hat eine ID, diese kann man in den GPO's eintragen als blockiert. Die meisten sind Programmübergreifend, aber nicht alle. Ist manchmal nur etwas mühselig das Gewünschte zu finden. Hätte z.B. gerne die ID für "Was möchten Sie tun" und konte ihn noch nie auffinden.

@mwiederkehr Naja, im Grunde gibts das alles. Sofern Du dich mit den Prepare-Tools abmühst oder die entsprechenden Reg-Flags zum passenden Zeitpunkt manuell setzen tust... Ist halt immer wieder fällig oder aber du automatisierst es mit dem Wissen, dass es bei der nächsten Build wieder anders sein könnte. Wenn Du kein Bock hast immer die ISO's / XML anzupassen reicht es oft, wenn Du ein Script mit den entsprechenden Einstellungen in die ISO reinkopierst, im richtigen Moment mit Shift+F10 die Konsole öffnest und das Script ausführst. Das ist dann sogar fast immer Build und Server/Client OS übergreifend funktionsfähig. Je nach Option halt. Aber ja ich bin bei Dir, ich gehe davon aus, dass 99.9% aller Admins exakt die gleichen Einstellungen treffen würden was Deine angesprochenen Punkte betrifft. Ungefähr so wie mit der elenden Explorer-Ansicht die man seit gefühlt W95 mühsam in den Default-User bringen muss. Ab einer gewissen Grösse sind solche Scripte sicher zu mühsam. Aber im kleinen ist das oft einfacher als die ISO für jede OS-Art und jeden Kunden jedes mal anzupassen. Aber ja ich bin absolut bei Dir. Ich habe im Industriebereich auch schon Server statt Client OS eingesetzt. Insbesondere seit LTSC nur noch 5 Jahre hat. Die paar hunderter Differenz zwischen Pro+Upgrade mussten sie einfach schlucken. Dafür alles recht flexibel. Mittlerweile aber auch gerne IoT LTSC.

Geht irgendwie in die gleiche Richtung wie mit dem Edge... man drückt es mit Gewalt durch, auch wenn er deinstalliert wurde und stellt es dann so dar als wäre das von allen so gewollt Irgendwie traurig, dass man dies auch im Server-Bereich nötig hat Aber vielleicht waren es ja tatsächlich ein paar Grosskunden die das gewünscht haben damit sie weniger Arbeit haben. Wobei die wiederum die Tools und das Knowhow gehabt hätten das problemlos zu automatisieren. Ich tippe mal auf möglichst viele dazu animieren...

Eine solche Karte wie Du es vorhast einzusetzen würde ich grosse Abstand nehmen. Hat nichts verloren in einem Server. Eigentlich nichtmal in einem Privatsystem. Du hängst quasi Deine ganzen Produktiv-Daten an eine einzelne Karte von einem Günstig-Anbieter. Wenn Du etwas mehr Flexibilität als von HP, Dell etc. willst, kauf einfach von Supermicro. Da gibt es eigentlich alles was man möchte. Auch als Komplettsysteme, mittlerweile sogar mit Wartung. Ich mag deren Systeme weil man hochwertigste, flexible Single-CPU Systeme zusammenstellen kann wie das bei den anderen in der Vergangenheit nicht möglich war. Dazu noch ohne Vendor-Lock. Das Zubehör hat moderate Preise und nicht Faktor 2-3 mit Vendor Lock um es durchzusetzen. Nimm am besten U.2 Systeme mit direkter PCI Express Anbindung.

Nachdem der September einigermassen ruhig war, schiessen die mal wieder den Vogel ab... Mit Feature-Upgrades die jeder ungefragt installiert haben möchte Recht müsant geschriebener Artikel zum Thema (Englisch): https://www.c-amie.co.uk/technical/azure-arc-setup-installs-and-launches-at-log-on-after-october-2023-kb5031364-on-windows-server-2022/ Jemand schon einen Plan wie man die Installation des Features verhindern kann? Habe nix dazu gefunden... Ist irgendwie nervig, Am Ende darf man das jeden Monat machen *grummel* Naja, wenigstens sonst nicht so viel Ärger... Der wird voraussichtlich nächsten Monat kommen wenn die Timelines eingehalten werden =)

Ertappt...

Wie so oft gibt es da verschiedene Ansätze. Die Fragen die man sich hier stellen muss sind bei jeglicher Automation immer die gleichen. Egal ob Produktion oder IT. Manchen Aufwand holt man zwar objektiv gesehen nie rein, der Alltag ist aber z.B. für die Mitarbeiter weniger stressig, die Fehlerquote tiefer, weniger Ressourcen werden vergeudet oder man sammelt einfach nur Cookie Points bei den Mitarbeiter (Aus Sicht der IT, des Chefs etc.). Bei statischen Arbeitsplätzen wie Produktion, Lager oder automatisierten/definierten Prozessabläufen lohnt sich eine Automatisierung imho immer. Die Verkäuferin im Supermarkt verbindet ihren Kassenzetteldrucker auch nicht selbst. Der grosse Vorteil ist, dass man Bereinigungen für falsch verbundene Drucker, nicht mehr vorhandene Drucker, Umstellung auf FQDN, verschiedene Standortermittlungsverfahren (Thinclients mit denen sich auf die eigene VM verbunden wird, Zeroclients, Files etc.) mit in ein zentrales Script einfliessen lassen kann. Alles im grunde recht Primitiv aber wirkungsvoll. Die Druckerliste selbst kann ein Textfile sein, welches z.B. jemand aus der Abteilung pflegt. Ein richtig oder falsch gibt es lediglich WIE man die Drucker verbindet und da ist die primitivste Variante auch heute fast immer noch die beste (rundll32). Das Ob hängt von der Umgebung ab. Ein vollautomatisches Beispiel: Eine Betriebssoftware haben wir so angepasst, dass alle Drucker darin gespeichert sind und die ID's der Fächer mit den jeweiligen Papiertypen verküpft werden. Was nicht verknüpft ist, landet auf dem Mehrzweck mit einer Bestätigung am Screen, dass man das Papier eingelegt hat bevor der Druck rausgeht. Pro Abteilung. Die Software ermittelt den Standort des Clients und wählt das Standard-Preset aller Drucker der Abteilung aus. Der User kann die Ziel-Abteilung manuell ändern. Er wählt nie einen Drucker aus, er wechselt nur die Zielabteilung für den Ausdruck wenn das gewünscht ist. Die Drucker werden von der Anwendung verbunden. Wird ein Drucker ersetzt, müssen meistens lediglich die ID's der Fächer und allenfalls der Name angepasst werden, bleibt der Hersteller identisch, nichtmal das. Minimalster Administrationsaufwand. Das ganze war einmal aufwändig und wird nun seit bald 25 Jahren verwendet. Der Aufwand wurde schon längstens reingeholt. Nur die Ermittlung des Standorts musste teilweise modernisiert werden als VM's hinzugekommen sind welche mit dem Mitarbeiter mitgehen. Da haben wir dann die Session-Daten aus der Registry ausgelesen. Andere Software löst das teilweise mit einem zentralen Druck-Management auf einem Server, in diesem Fall war das so einfacher und vor allem ohne eine zusätzliche Software mit einer vergleichsweise einfachen Änderungen möglich. Dann gibt es noch ein ganz praktisches Admin-Problem. Die meisten händisch von Usern verbunden Drucker werden via NetBios Namen und nicht via FQDN verbunden. Das gibt spätestens wenn die ganzen Security Flags der letzten Monate enforced werden viel Spass. Ist einigermassen gruselig das aufzuräumen. Kann natürlich geschult werden, aber es dürften noch sehr viele Drucker falsch verbunden sein. ;) Mal ganz unabhängig von den Druckern, es gibt keinen einzigen vernünftigen Grund, dass man ein Domain-Admin Konto zum verbinden von Druckern hernimmt. Auch nicht für die Administration von Clients. Nicht mal zum testen. Der Domain Admin ist eigentlich rein für die Administration des DC's da. Egal wie gross die Umgebung ist und sollte so weit weg wie möglich von allem sein was mit Druckern zu tun hat. Das hinzufügen von z.B. einer Domänen-Client-Admingruppen zur lokalen Admingruppe der Clients kann man sehr easy mit GPO's steuern. Und gleichzeitig mit GPO's verhindern, dass sich Domain oder andere Server-Admins auf Clients verbinden.

Kannst Du so sehen, ist aber nicht so. 2-Knoten Cluster gibt es vor allem wegen Zweigniederlassungen von Grossfirmen. Ansonsten würde es das Konstrukt vermutlich gar nicht erst geben. Und auch da nur wegen den Kosten. Ein zuverlässiger Cluster-Aufbau funktioniert nur wenn mindestens zwei Parteien gemeinsam entscheiden, dass ein dritter Beteiligter nichts mehr zu melden hat. Wenn es nur zwei Beteiligte gibt, ist das nicht zuverlässig möglich, es könnte sein, dass beide Nodes gar nicht tot sind, sondern einfach die Verbindung zwischen Ihnen. Dann sind beide der Meinung, dass sie zuständig sind. Dann kracht es zuverlässig. Dafür braucht es entweder mindestens ein zusätzliches, vollwertiges Mitglied welcher gemeinsam mit einem anderen Miglied entscheidet wer nun Chef ist bzw. ausgegrenzt wird. Oder eben eine dritte Partei die zwar Stimmrecht hat, selber aber sonst nichts zum Cluster beiträgt. Das ist ein Zeuge. Reine 2-Node können zwar teilweise erstellt werden, technisch sinn voll ist es aber nicht. Dann ist noch ein Single-Node Cluster sinnvoller, wenn man gewisse Funktionen haben möchte, die es Standalone nicht gibt (Read Cache für grössere Dateien zum Beispiel). Der weiss dann immer, dass er der Chef ist. Die meisten denken mit einem Cluster bekommen sie eine höhere Ausfallsicherheit. Sehr oft erreichen sie genau das Gegenteil. Damit ein Cluster in der Realität eine höhere Uptime hat als eine einzelne Maschinen braucht es A Knowhow und B muss die technische Einrichtung dafür stimmen. Ansonsten ist die Ausfallwahrscheinlichkeit immer höher und die effektive Uptime tiefer. Verursacht durch Stromausfälle, fehlgeschlagene Updates, fehlerhafte Manipulation an LAN-Kabel, nicht geplante Reboots usw. die bei Standalone-Systemen wenig bis keine Auswirkungen haben, bei Clustern aber je nach Situation katastrophal sein können und ein Recovery erfordern. Sprich die Infrastruktur muss Top sein, sonst macht das 0,0 Sinn bzw. schadet.

Also wenn es wirklich eine Build vor RTM ist, würde ich zwingend eine aktuellere aus dem VL-Download per Inplace drüber bügeln. Wenn das nicht klappt, tendenziell am ehesten die RTM und danach eine aktuelle Build per Inplace. Das dürfte MS ausführlich getestet haben. Sobald RTM draussen ist, juckt sie die ganzen Pre-RTM eigentlich nicht mehr, die zahlende SA-Kundschaft dürfte aber Update-Support bekommen. 7 Jahre nach Release wirst aber schon zu den zahlkräftigen Kunden gehören müssen =) Dank VM's sind ja solche Übungen easy. Auch wenn ich für so "grobe" Fälle immer auch ein Cold-Clone ziehe und nicht nur einen SnapShot. Ansonsten für kuriose Fälle mal das Online-Update versuchen. Hat schon oft "Wunder" vollbracht wenn die manuelle Installation oder WSUS "überfordert" war. Insbesondere bei älteren Builds wo irgendwelche Update-Abhängigkeiten nicht sauber durch WSUS geschleift werden und somit ein Update bei der Bereinigung aus dem Katalog fliegt. Beim Online-Update passiert das nicht, weil nach dem löschen von SoftwareDistribution der ganze Krempel vollständig neu abgefragt wird. Also allenfalls lokal abgelehnte Updates auch wieder aktiviert sind. Mal ganz unabhängig von den ganzen Reperationslösungen: Warum eigentlich keine sauber Applikations-Migration auf 2022? So nach bald 7 Jahren und zwei neuen Windows Generationen dürfte dieser Zusatz Aufwand akzeptabel sein. Mir ist auch noch keine Applikation untergekommen, die Ärger gemacht hat. (Ausser der Dongle-Kram oder irgendwelche Security-Lösungen, aber das macht auch sonst Ärger) ;) Das ist eine relativ neue Meldung von Windows. Dient als Warnung, dass eben ein solcher Absturz der Applikation das verursachen könnte. Hat aber nix mit einem effektiven Vermutung zu tun, dass ein solcher auch tatsächlich stattfindet. Die tolle neue SystemSettings.exe ist voll mit solchen Abstürzen sobald die User-Dienste mal nicht verfügbar sind. Scheint grässlich programmiert zu sein. Was ein Spass wenn da die Exploits mal kommen. Die Windows-User-Apps kriegen von Windows ja gerne Firewall-Freipässe.

Wenn Du ein wirklich gutes und fortlaufend gepflegtes Script möchtest wäre AJTEK noch eine Überlegung wert. Früher war das Script kostenlos und quasi schon "Gold-Standard" und bügelte auch gewisse MS-Fehler z.B. in den Verkettungen oder OS-Bezeichnungen aus. Heute kostet es einen kleinen Obolus pro Jahr, ist dafür immer sehr up to date. Seither sind meine WSUS-Installationen clean und brauchen im Vergleich sehr viel weniger Platz. Obwohl ich alles an Updates behalte, die mal effektiv gebraucht wurde und nur verwerfe was tatsächlich ersetzt wurde und nicht mehr gebraucht wird. Und das wichtigste, ich muss mich nicht mehr Ärgern Der Pflegaufwand für die WSUS-Server ist quasi gegen 0 geworden und beschränkt sich auf das reine Freigeben/Überwachen. SQL-Express würde ich tunlichst vermeiden. Habe mich selbst Jahrleang damit rumgeärgert. Die DB wächst selbst mit sehr wenigen Clients rasant und mit den guten Scripts recht schnell über 10GB, auch wenn es sich normal immer in der Gegend um die 8-12GB einpendelt wenn man fleissig cleaned. Scheint so das minimum zu sein was es ungefähr braucht. Also entweder Interne DB die - ich weiss es klingt schräg - praktisch keinerlei Sicherheitsupdates seitens MS bekommt oder aber eine Kauf-Version. Zumindest konnte ich noch nie eine SQL-CU über eine interne DB bügeln. SQL-Server hat ein paar Geschwindigkeitsvorteile, auch mit dem AJTEK Script.

Mittlerweile klappt es ja sogar auf Deutsch =) Mal noch eine Frage: Ihr seht das schon auch so, dass die August-Updates lediglich der besseren Protokollierung dienen, wenn man noch nicht enforcen kann oder? Sprich wenn man vorher die Signierung bereits auf 2 (für "immer") stehen hat, braucht es weder die ADMX noch die Protokoll-Flags? Bin etwas faul

Für das nächste Mal, Rechte von Systemprogrammen sollte man im Grundsatz beibehalten und nicht verändern. Sprich CMD oder das Tool deiner Wahl mit den notwendigen Rechten öffnen und dann kopieren damit die korrekten Rechte vorhanden sind. Ausser eben man will sie explizit anders haben. Ansonsten: Mir persönlich gefällt Dein Weg nicht. Windows Defender ist eine Sicherheitskomponente, an der solllte man eigentlich nicht "rumspielen" müssen.

Naja, solange das wirklich so heisst und nicht "%ProgramData%\Microsoft\Windows Defender\Platform\<Version>" bestimmt... Spass beiseite, geht davon aus, dass du Dich vertippselt hast. ;) Wie auch immer, dann weiss ich auch nicht weiter und würde auch nicht ewig dran rummachen. Entweder gibts nen Installer von MS und wenn nicht würde ich einmal neu. Wenn es VM's sind ist es ja easy. Kannst den Kram auch gleich aufteilen. - DC/Filer herunterfahren, Cold Copy der Systemplatte auf die Seite legen (optimalerweise auch die Datenplatte, so für alle Fälle) - Neuer DC, promoten, kontrollieren das alles repliziert wurde, alle FSMO-Rollen übertragen, den alten demoten (allenfalls vorher herunterfahren und schauen ob sich noch alle anmelden können --> Ich mache das jeweils weils eine Sache von ein paar Minuten ist, manche findens unnötig) - Danach vom alten Server die Freigaben exporterieren (Registry) - den alten DC/Filer abschalten - neuen Filer installieren, gleicher Name, gleiche IP, in domäne einbinden - Datenplatte aus dem alten Filer einbinden - Freigaben in die Registry importieren - Reboot Am besten in einem Wartungsfenster machen. Sollte es grässlich in die Hose gehen, könntest immer noch zu Deinem aktuellen Stand zurück indem Du die alten Systemplatte wieder aktivierst. Du könntest natürlich den ehamligen DC auch als Filer ohne die DC-Rolle weiterlaufen lassen und z.B. ein Inplace einer aktuellen Build der gleichen Version drüberbügeln. Dann sollten Freigaben etc. erhalten bleiben und die ganzen Windows-Systemdienste sind wieder zurückgesetzt. Ich persönlich mag es aber nicht, wenn ehemalige DC's weiterlaufen. ;)

Klingt jetzt etwas seltsam aber es gibt ja vieles. Vielleicht ist das Cleanup Script eben nicht so sauber im aufräumen. MS hat beim Defender die glorreiche Idee gehabt, mit jeder Version auch einen neuen Pfad mit der neuen Version zu hinterlegen. Keine Ahnung wozu das gut ist, aber ist so. Die Frage ist, ob das Problem gelöst ist, wenn Du den Pfad des Services einfach manuell auf die neue EXE umschreibt. In der Registry den aktuellen Pfad der EXE eintragen, danach Service starten, allenfalls ein Reboot. Regedit mit erhöhten Rechten starten. HKLM\SYSTEM\CurrentControlSet\Services\WinDefend\ImagePath

Sicher, dass Dir keiner einen Streich spielt? Ich finde es ziemlich schräg weil eine Malware deaktiviert in der Regel nicht die Druckerwarteschlage. Die ist schliesslich ihr Lieblingsziel um auf ein System zu kommen. Ausser dem Updatekram macht der Rest eigentlich ebenso wenig Sinn, dass er durch eine Malware deaktiviert werden soll. Sind jetzt eher die Dienste die man aus Privacy-Gründen deaktiviert. Hast Du allenfalls ein "Privacy-Pseudo-Security-Tuning" Programm installiert? Falls ja bewirkt diese vielleicht so ein verhalten bei Browser oder E-Mail Client Start. Falls nein, klingt das eher nach Schikane-Ware. Bist Du im Bildungswesen tätig oder hast Ärger mit den Lausbuben in der Nachbars***aft? ;) Nur würde ich auch dann platt machen und einmal neu. Ausser Du findest den Verursacher und der steckt Dir, was und wie genau er gemacht hat. Wenn es externe Software war, dann auf alle Fälle platt und neu. Sonstige Vorschläge: - Schau ob Thunderbird nicht per Script statt Verknüpfung geöffnet wird - Deaktiviere mal alle Thunderbird-Dienste und was nicht nach MS aussieht ( Dann Reboot und schauen wie das Verhalten ist) - Überprüfe/Vergleiche die Dienste mit einem anderen PC mit gleichem Patchstand, insbesondere die Triggers und Exe's dahinter - Überprüfe/Vergleiche im Aufgabenplaner die Tasks. Registry oder MMC oder beides, allenfalls gibts da was für Thunderbird - Zur Sicherheit auch das Firewall-Logging aktivieren (auditpol) und Standardmässig Block-Out einstellen, dann schaust wohin alles eine Verbindung aufgebaut wird. Die Überprüfungen kannst auch mit Regshots machen und diese Vergleichen. Vorzugsweise mit System oder TI-Rechten öffnen damit man sicher auf alles Zugriff hat. Das ist alles recht zeitaufwändig und lohnt sich eigentlich nur wenn man wissen will, was da vor sich geht. Auch wenn ich eher zu den Inplace-Gegnern gehöre, könntest eine Iso mit aktuellem Patchstand drüberbügeln. Bei Home/Pro bekommst ja eh immer wieder mal ein neues OS. Also wenn Du bis jetzt keine Probleme hattest, dann wird auch ein weiteres Inplace voraussichtlich keinen Ärger machen. Die Windows-Systemdienste werden damit allesamt zurückgesetzt. Die nachträglich "installierten" müsstest Du selber schauen, dass sie noch in Ordnung sind. Am besten vorgängig alle deaktivieren/deinstallieren. Ebenso die Antiviruslösung.

Früher als es im Winter noch schneite - müssten an die 20 Jahre her sein - , war ich mit Ayumni PDF-Converter aus allen Programmen heraus erfolgreich. Sogar Excel, Access-Reports etc. konnte der fehlerfrei darstellen, feine Linien und allem Pipapo. Was damals nichtmal der Printer von Adobe selbst konnte. Den Dateipfad konnte man vor dem Druck vorlegen. Den Printer sogar direkt in VB ansprechen. Book- und Watermarks hinzufügen etc. Der lief von Windows 3.1 bis hin zu XP problemlos. War glaub nichtmal 1 MB gross das Ding (Müsste ich mal tief in der Kiste graben) Ob die Firma heute noch was taugt, kann ich nicht sagen. Wenn die gleichermassen Innovativ ist wie früher, tippe ich auf ein Ja Im Grunde kannst sowieso nur alles an Covertern durchtesten was der Markt so hergibt und wenn Du tatsächlich einen findest der den Output so generieren kann wie du willst, prüfen ob Du irgend in einer Form einen automatisierten Output generieren kannst. Bezüglich Windows XPS/PrintToPDF gibts auch Möglichkeiten: https://stackoverflow.com/questions/69169267/how-to-skip-choosing-folder-in-microsoft-pdf-printer CAD-Programme vermurksen gerne die PDF's. Unterschlagen z.B. Toleranzen, die Ziffern, nur den Text. Da gibts wirklich alles. Sprich auch wenn das mit "normalen" PDF's funktioniert, mit solchen tut es das meistens nicht. Was genau die vermurksen damit es im Reader dennoch korrekt dargestellt wird, weiss ich nicht. Auch die unsäglichen Haarlinien stellen alle welche PDF's korrekt interpretieren, quasi durchsichtig dar. Adobe verbiegt hier ihren eigenen Standard und stellt diese Linien dicker dar. Keine Ahnung auf welchem Mist das gewachsen ist.

Geht wohl in die Richtung, dass die Regeln für Sicherheit, Updates und Compliance an den normalen Edge weitergereicht werden. Andere Dinge wie Browser-Features für den "normalen" Edge aber nicht (mehr?) abgedreht werden können sollen. Sie nennen das "Light-Managed". Sprich man kann wohl nicht mehr alle Bereiche des normalen Edge kontrollieren. Zumindest nicht per Policy. In den Kommentaren wurde sich darüber ausgelassen, MS-Mitarbeiter haben auch ein paar Statements abgegeben: https://techcommunity.microsoft.com/t5/microsoft-edge-insider/microsoft-edge-for-business-faq/ba-p/3891837 So richtig weiss ich noch nicht was ich davon halten soll... Sieht auf den ersten Blick wieder mal nach einer tollen Idee aus, welche durch zu viele Abteilungen gewandert ist anstatt in der technischen zu verbleiben.

Salut zusammen, Es scheint seit ca. einem Monat eine Business-Version der Edge Version zu geben. Infos: https://blogs.windows.com/msedgedev/2023/08/22/microsoft-edge-for-business-now-available/ So ganz schlau wurde ich persönlich aus den Infos nicht. Vor allem nicht ob man Vorteile hat ohne die MS-Anmeldung. Sitzt wer an der Quelle? EDIT: Also so nach einiger Recherche, ist es möglich, dass die GPO's nur noch auf den Business Edge ziehen und für den normalen Edge Wirkungslos sein werden? Grüsse und Danke

Und die nachfolgenden Empfehlungen lauten allesamt Import/Export. Wo ich mich nur anschliessen kann.

Na er soll doch auch kein Inplace machen sondern export/import. Dann geht das. Habe ich in jeder Umgebung so gemacht. 2016/2019 allesamt übersprungen.

Zwar schon etwas her, aber bezüglich Migration bin ich bei den anderen. Ich würde nur gleich 2022 nehmen. Hat man wieder 10 Jahre Ruhe. Vor allem ist die Version wirklich herausragend gut gelungen finden ich. Dann würde ich Dir empfehlen die Printer mit der FQDN des Printservers zu verbinden und nicht wie früher üblich (sogar nur möglich?) via dem Hostnamen/IP. Dann bin ich fast sicher, dass die meisten User welche selber verbinden, tendenziell eher mit dem Hostnamen verbinden. Bei meinen Umgebungen wars jedenfalls ausnahmslos so. Es gibt hier zwar Reg-Flags welche das entschärfen, aber es bleibt dennoch falsch. Mit den neuesten Sicherheitsupdates/Enforcements hat das auf alle Fälle mächtig Ärgerpotenzial. Spätestens wenn NTLM abgedreht wird, ist Ende Gelände Aber schon mit anderen Sicherheitsflags macht es mächtig Laune. Daher am besten per Scripts oder ähnlichem verbinden und vorgängig alle Netzwerkdrucker rauskicken (z.B. ein Clean Script laufen).

Das ist normal schon so. Der DC zeigt sie aber auch nur an, wenn sie nicht vorher geblockt werden sondern die Auth-Anfrage eben an den DC weitergeleitet wird. Auf dem DC habe ich NTLM vollständig geblockt, so wie auf allen anderen Maschinen auch. Kommt also eine NTLM-Anfrage an eine bestimmte Maschine, dann erscheint kein Eintrag auf dem DC sondern nur auf der Maschine. Weil sie eben vermutlich gar nie ankommt. Wenn man nun auf einer Maschine NTLM freigibt, dann werden lokale Konten authentifiziert (bei Zugriff von Remote), und gegen Domain Konten verworfen. Da eine Weiterleitung der Anfrage an den DC staattfindet, wird auch da ein Block geloggt. Bei der CA scheint das irgendwie anders zu laufen. Als ob die CA selber die Authentifzierung für Domain-Konten vornehmen würde. Oder eben der Block vom DC von der CA nicht stattfindet obwohl NTLM geblockt wird. Sind noch etwas halbgare Beobachtungen, Netzwerkverkehr habe ich noch nicht analysiert. Die GPO's, der Ausführung und die Auswirkungen aber schon. Auf alle Fälle reicht es aus, wenn ich NTLM Anfragen auf der CA freigebe (was ich nicht toll finde). Nun, früher war es noch das Ding am Himmel welches einem zu schaffen gemacht hat... Wobei die macht das immer noch... Aber das Gewitter der virtuellen Cloud kommt bestimmt auch noch in die Realität. Nur eine Frage der Zeit. Aber ist doch wahr, eine solche extreme Zentralisierung ist doch völlig verblödet. Ich werde es nie begreifen wieso man nichts aus der Geschichte lernt. Es spielt keine Rolle ob die Konzentration nun auf wenige Menschen oder Maschinen ist, zu viel an einem zentralen Ort ist nie gesund wenn ganze Regionen oder Länder betroffen sind. Wie würde man sagen in der QM-Risiko-Analyse, Eintritt des Ereignisses zur Zeit unwahrscheinlich, Auswirkungen katastrophal. Massnahmen zur Zeit keine bzw. Vollgas in diese Richtung, die Wahrscheinlichkeit ist ja klein. Bis irgend ein Volldepp das Gefühl hat er müsse irgendwo Krieg "spielen". Dann wird die Wahrscheinlichkeit schlagartig erhöht, die notwendigen Massnahmen sind dann aber nicht mehr fristgerecht umzusetzen.

Ich bin immer wieder erstaunt, dass man politisch eine solch hohe zentralisierte Abhängigkeit duldet. Bei einem Hackangriff oder sogar physischen Angriff auf ein einzelnes solches Zentrum sind gleich tausende Firmen auf einen Schlag handlungsunfähig. *kopfschüttel* Wird seinen Anteil am Untergang des Westens beitragen. Aber noch fast jede Hochkultur in der Geschichte hat sich irgendwann selbst zugrunde gerichtet.