ineedhelp

Vielen Dank, dass Du nocheinmal nachgestellt hast. Mein Skript habe ich schon erweitert, dass die Registry abgefragt wird..

Da war ich sehr ungenau. Es läuft als Startskript -> Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts/Starten/Reiter PowerShell Skripts

Die Computerkonten haben Zugriff auf Freigabe. Scheinbar wird der Spoiler-Tag von diesem Forum nicht unterstützt. LABDOM ist der Domänenname. Das Skript läuft als Anmeldeskript. Vielen Dank. Wenn Confirm-SecureBootUEFI weiterhin einen Fehler wirf, dann überprüfe ich diesen Registryeintrag.

@All Das Cmdlet Confirm-SecureBootUEFI benötigt administratrive Rechte. Es ist doch richtig, dass der SYSTEM-Benutzer administrative Rechte hat. Leider kommt bei der Ausführung von Confirm-SecureBootUEFI in dem Startup-Skript die Fehlermeldug, dass der Zugriff verweigert wurde. Lässt sich der Secureboot Status auf eine andere Art ermitteln? ********************** nStart der Windows PowerShell-Aufzeichnung Startzeit: 20250601100000 Benutzername: LABDOM\SYSTEM RunAs-Benutzer: LABDOM\SYSTEM Konfigurationsname: Computer: LabPC-X (Microsoft Windows NT 10.0.19045.0) Hostanwendung: -ExecutionPolicy ByPass -File \\labdom.local\netlogon\Startups\Test-Win11.ps1 -OutCsv \\Lab-FS\Reports$\Windows11Compatibility\Compatibility.csv Prozess-ID: 4711 PSVersion: 5.1.19041.5848 PSEdition: Desktop PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.19041.5848 BuildVersion: 10.0.19041.5848 CLRVersion: 4.0.30319.42000 WSManStackVersion: 3.0 PSRemotingProtocolVersion: 2.3 SerializationVersion: 1.1.0.1 ********************** Die Aufzeichnung wurde gestartet. Die Ausgabedatei ist "\\Lab-FS\Transcripts$\LabPC-X.txt". PS>TerminatingError(Confirm-SecureBootUEFI): "Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert." Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert. In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21 + $secureBootStatus = Confirm-SecureBootUEFI + ~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Confirm-SecureBootUEFI], UnauthorizedAccessException + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert. In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21 + $secureBootStatus = Confirm-SecureBootUEFI + ~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Conf irm-SecureBootUEFI], UnauthorizedAccessException + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand

Vielen Dank. Sehe ich gerade, dass ich in dieser Woche bereits verplant bin. Ist Dein Seminar zu einem späteren Zeitpunkt noch einmal geplant?

Wo findet das Seminar statt? Hast Du nähere Informationen zu Deinem Seminar?

Da hier gerne .\ für die lokale Anmeldung vergessen wird, würde ich den Benutzer automatisch anmelden und nach Feierabend per Geplanten Task herunterfahren. Eigentlich hatte ich mir mit dem Kiosk-Modus erhofft, dass dieser einfach und schnell einzurichten ist. Aber leider gibt es jetzt in der Testphase schon die ersten Hürden. Eine andere Frage wäre natürlich, wie skalierbar dann der Kioskrechner, wenn neue Programm hinzukommen, usw. Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich? Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen.

Leider verbietet der Serveradmin den Einsatz vom WSUS Package Publisher. Das Produkt sieht sehr interessant aus und ich werde es testweise installieren. Hoffentlich kann ich die Kollegen davon überzeugen. Per GPO habe ich bereits eine lokale Anmeldung für Lehrkräfte an diesen Rechner verboten. Aber irgendwie sollen die Rechner lokal genutzt werden können, daher die Idee mit dem Kioskrechner. Hier können nur bestimmte Programme ausgeführt und Daten dürfen nicht auf Rechner gespeichert werden.

Die Lehrkräfte sollen sich nicht am Rechner anmelden dürfen. Die Erfahrung hat gezeigt, dass die Lehrkräfte sich nicht wieder vom Client abmelden und damit den Rechner blockieren. Daher kommt die Idee mit dem Kioskrechner. Hast Du konkrete Vorschläge? Möglichst mit windowseigene Mittel und nach Möglichkeit kostenlos oder geringen Kosten.

Diese Rechner stehen nicht öffentlich und sind nur einem bestimmten Personenkreis (Lehrkräfte) zugänglich. In erster Linie sollen die Rechner zentral mit Gruppenrichtlinien verwaltet und die Systeme und die Programme aktualisiert werden. Der Personenkreis soll sich bei Bedarf an einem Remotedesktopsitzunghost anmelden können, ansonsten den Rechner ohne persönliche Anmeldung für Recherchearbeiten in Pausen nutzen dürfen. Einsatz von ThinClients und Citrix scheidet aus. Für evtl. Alternativen und Verbesserungsvorschläge bin ich sehr offen.

Wie müssten die Gruppenrichtlinieneinstellungen aussehen, um einen Kioskrechner zu simulieren?

Moin Jan. Das ungepasste Beispiel von Microsoft auf einem (virtuellen) Testrechner, der nicht in einer Domäne ist, angewendet, funktioniert einwandfrei. Wende ich dasselbe Beispiel auf demselben Rechner, nachdem dieser in einer Domäne aufgenommen wurde, kommt die o.g. Fehlermeldung. Irgendwie muss es darin liegen, dass der Rechner jetzt Domänenmitglied ist.

Ich verwende das Beispiel aus der Anleitung von Mircosoft. Wenn ich den Rechner einer Domäne hinzufüge und dann das Beispiel anwende, kommt die o.g. Fehlermeldung.

Zumindenst sollte der Rechner Zugriff auf Domänenressourcen besitzen. Auch wenn ein lokalen Benutzer in der Konfiguration wird das o.g. Ereignis erzeugt. Vielleicht sollte ich erst den Kiosk mit einem lokalen Benutzer konfigurieren und den Rechner dann in die Domäne aufnehmen.

Gerade bin ich dabei einen Kioskcomputer mit mehreren Apps anhand der Anleitung von Microsoft zu konfigurien. Das hat auch solange gut funktioniert, bis ich in den Rechner in die Domäne aufgenommen und im Knoten Account eine Domänenbenutzer angegeben habe. In der Ereignisanzeige Microsoft\AssignedAccess\Admin wird das Ereignis 32000 AsssignedAccess Configuration failed, ErrorCode (0x80070057) erzeugt. Die Fehlermeldung die Set-CimInstance hilft mir auch nicht weiter: Es ist ein allgemeiner Fehler aufgetreten, für den kein spezifischerer Fehlercode verfügbar ist. Der Domänenbenutzer ist vorhanden und kann sich an dem Rechner anmelden. Eine automatische Anmeldung mit dem Benutzer an den Rechner funktioniert auch. Auf dem Rechner ist Windows 11 Version 24H2 (Build 26.100.3476) installiert. Im Internet konnte ich bisher nichts brauchbares recherchieren. Hat jemand eine Idee zur Problemlösung.