ineedhelp

Folgendes Setting der GPO. Sicherheitsfilterung: Nur Testgruppe. Delegierung: Domain Computers haben Leseberechtigung. Ergebnis von GPResult: Sicherheitsgruppenmitgliedschaft des Computers: Testgruppe wird aufgeführt. Abgelehntes GPO: Test-Userpolicy, Grund: Zugriff verweigert (Sicherheitsfilterung) Jetzt funktioniert es. Folgende Einstellungen für die GPO: Sicherheitsfilterung: Nur Testbenutzergruppe. Delegierung: Domain Computers entfernt. Testcomputergruppe hat Leseberechtigung

Bisher probiere ich diese Einstellungen mit einem Testcomputer aus. Der Testrechner befindet sich einer Test-OU und ist Mitglied einer Testgruppe. Die GPO Loopbackprocessing ist mit der Test-OU verknüpft. Modus ist Merge. GPO mit Benutzereinstellungen ist ebenfalls mit der Test-OU verknüpft. Testgruppe ist in der Sicherheitsfilterung eingetragen. Unter dem Reiter Delegierung sind alle Computer berechtigt, die GPO zu lesen. Rechner wurde auch neu gestartet. Lt. Anmeldetoken ist der Rechner auch in der Gruppe. Benutzereinstellungen werden nicht übernommen. Testbenutzer zur Sicherheitsfilterung hinzugefügt. Benutzereinstellungen werden für alle Computer in der Test-OU angewendet.

In meiner Domäne habe ich eine Gruppenrichtlinie mit Benutzereinstellungen, die nur für bestimmte Computer angewendet werden sollen. Die Loopbackverarbeitung ist aktivert und funktioniert. Da die Benutzereinstellungen nicht für alle Rechner gelten sollen, habe ich sie in eine Sicherheitsgruppe zusammgefasst und die Gruppe in der Sicherheitsfilterung der Richtlinie eingetragen. Alle Computer haben das Recht das GPO zu lesen. Leider werden die Benutzereinstellungen auf die Rechner der bestimmten Gruppen nicht angewendet. Trage in der Sicherheitsfilterung zusätzlich ein Benutzerkonto ein, wird die Einstellungen übernommen. Auch für die Rechner, die nicht Mitglied der Gruppe sind. Was kann ich machen ohne neue OUs zu erstellen und die Rechner dahin zu verschieben?

Trotz der gesetzten Registryeinträge kommt dieser Dialog: Jedes Mal müssen die Haken trotz RDP-Datei gesetzt werden, wenn ich die Ressourcen verwenden möchte. Wie kann dieser Dialog unterdrückt werden? Zum Signieren der verwendeten RDP-Dateien komme erst Anfang Mai.

Die Version 7.0 ist im Einsatz.

Ich benötige es nur testweise.

Auf dem ESXi-Host ist für den virtuellen Switch MAC-Adressänderung auf Akzeptieren gestellt. Für die virtuelle Maschine auf Hyper-V-Host ist ebenfalls Spoofing von MAC-Adressen aktiviert. Im ARP-Cache vom Client wird der Hyper-V-Host auch richtig gelistet. Auf dem Hyper-V-Host und dem Client habe ich vorübergehend die Firewall deaktiviert. Hyper-V-Host kann Client anpingen, umgekehrt geht es nicht ....

Unter VMware vSphere habe ich eine virtuelle Maschine mit Microsoft Windows 2025 erstellt und darauf die Hyper‑V‑Rolle aktiviert. Auf diesem Hyper‑V‑Host habe ich einen externen virtuellen Switch angelegt, der an den physischen Netzwerkadapter des Hyper‑V‑Servers gebunden ist; alle Erweiterungen sind deaktiviert. Anschließend habe ich auf dem Hyper‑V‑Server eine neue Client‑VM erstellt und sie mit diesem virtuellen Switch verbunden. Die Client‑VM erhält erfolgreich eine Adresse von unserem DHCP‑Server, kann jedoch weder den Hyper‑V‑Host noch das Gateway erreichen. Dasselbe Problem tritt unter Microsoft Windows Server 2022 mit identischer Konfiguration auf. Testweise VirtualBox auf dem Server installiert. Auch ohne Erfolg. Woran kann es liegen? Was müsste auf dem ESXi-Host eingestellt werden? Im Internet habe ich hierzu bislang keine zufriedenstellende Lösung gefunden.

Da ich hier nur nach Eurer Empfehlung/Meinung gefragt hatte, werde ich selber meine Erfahrungen mit den unterschiedlichen Konfigurationsdatein sammeln müssen und dann entscheiden, welche für unserer Szenario am Besten passt. Die Regelverteilung mittels Gruppenrichtlinie, wie oben beschrieben, funktioniert sehr gut.

Es hat sich erledigt.

Zufällig bin ich über das Programm Sysmon von Sysinternals gestoßen und würde es gerne einsetzen. Während der Internetrecherche zum diesem Tool wurden mit eine Vielzahl von Konfigurationsdateien wie sysmon-config und sysmon-modular vorgeschlagen. Welche Konfiguration würdet ihr empfehlen? Zur Verteilung per Gruppenrichtlinie: Ich habe gesehen, dass bei der Installation das Programm Sysmon in den Registrierungsschlüssel HKLM\SYSTEM\CurrentControlSet\Services\SysmonDrv\Parameters\Rules die Konfiguration in binärer Form speichert. Ist es sinnvoll, diesen Schlüssel per GPP zu verteilen?

siehe Workaround

Die angehefteten Programme möchte ich gerne domänenweit für bestimme Benutzer per Gruppenrichtlinie festlegen. (Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Tastleiste\Start-Pins konfigurieren) Mit einem Templatebenutzer habe ich das Startmenü nach den Bedürfnissen angepasst und anschließend mit PowerShell in eine Json-Datei exportiert. Nach der Anwendung der Gruppenrichtlinie wird das Startmenü nicht mehr angezeigt. Im Ereignisprotokoll ist auch das Ereignis 1000, ApplicationError zu finden, welches auf den Absturz von StartMenuExperienceHost.exe hinweist. Leider weiß ich nicht, wie ich das Problem lösen kann. Im Netz habe ich zwar Menü Anleitung zur Problembehandlung gefunden, aber diese Anleitung gilt nur für Windows 10. Im Einsatz habe ich domänenweit Windows 11 24H2. Die Json-Datei ist UTF-8 kodiert. Workarounds, wie das Kopieren der start2.bin-Datei vom Templatebenutzer oder das Erstellen von Packages mit Hilfe des Windows Configuration Designers funktionieren ohne Probleme. Beide Varianten sind aber umständlich zu konfigurieren und daher möchte ich es gerne über die Gruppenrichtlinieneinstellung lösen. Vielleicht hat hier jemand eine Idee und kann mich auf die richtige Spur bringen.

Vielen Dank, dass Du nocheinmal nachgestellt hast. Mein Skript habe ich schon erweitert, dass die Registry abgefragt wird..

Da war ich sehr ungenau. Es läuft als Startskript -> Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts/Starten/Reiter PowerShell Skripts

Die Computerkonten haben Zugriff auf Freigabe. Scheinbar wird der Spoiler-Tag von diesem Forum nicht unterstützt. LABDOM ist der Domänenname. Das Skript läuft als Anmeldeskript. Vielen Dank. Wenn Confirm-SecureBootUEFI weiterhin einen Fehler wirf, dann überprüfe ich diesen Registryeintrag.

@All Das Cmdlet Confirm-SecureBootUEFI benötigt administratrive Rechte. Es ist doch richtig, dass der SYSTEM-Benutzer administrative Rechte hat. Leider kommt bei der Ausführung von Confirm-SecureBootUEFI in dem Startup-Skript die Fehlermeldug, dass der Zugriff verweigert wurde. Lässt sich der Secureboot Status auf eine andere Art ermitteln? ********************** nStart der Windows PowerShell-Aufzeichnung Startzeit: 20250601100000 Benutzername: LABDOM\SYSTEM RunAs-Benutzer: LABDOM\SYSTEM Konfigurationsname: Computer: LabPC-X (Microsoft Windows NT 10.0.19045.0) Hostanwendung: -ExecutionPolicy ByPass -File \\labdom.local\netlogon\Startups\Test-Win11.ps1 -OutCsv \\Lab-FS\Reports$\Windows11Compatibility\Compatibility.csv Prozess-ID: 4711 PSVersion: 5.1.19041.5848 PSEdition: Desktop PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.19041.5848 BuildVersion: 10.0.19041.5848 CLRVersion: 4.0.30319.42000 WSManStackVersion: 3.0 PSRemotingProtocolVersion: 2.3 SerializationVersion: 1.1.0.1 ********************** Die Aufzeichnung wurde gestartet. Die Ausgabedatei ist "\\Lab-FS\Transcripts$\LabPC-X.txt". PS>TerminatingError(Confirm-SecureBootUEFI): "Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert." Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert. In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21 + $secureBootStatus = Confirm-SecureBootUEFI + ~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Confirm-SecureBootUEFI], UnauthorizedAccessException + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert. In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21 + $secureBootStatus = Confirm-SecureBootUEFI + ~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Conf irm-SecureBootUEFI], UnauthorizedAccessException + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand

Vielen Dank. Sehe ich gerade, dass ich in dieser Woche bereits verplant bin. Ist Dein Seminar zu einem späteren Zeitpunkt noch einmal geplant?

Wo findet das Seminar statt? Hast Du nähere Informationen zu Deinem Seminar?

Da hier gerne .\ für die lokale Anmeldung vergessen wird, würde ich den Benutzer automatisch anmelden und nach Feierabend per Geplanten Task herunterfahren. Eigentlich hatte ich mir mit dem Kiosk-Modus erhofft, dass dieser einfach und schnell einzurichten ist. Aber leider gibt es jetzt in der Testphase schon die ersten Hürden. Eine andere Frage wäre natürlich, wie skalierbar dann der Kioskrechner, wenn neue Programm hinzukommen, usw. Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich? Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen.

Leider verbietet der Serveradmin den Einsatz vom WSUS Package Publisher. Das Produkt sieht sehr interessant aus und ich werde es testweise installieren. Hoffentlich kann ich die Kollegen davon überzeugen. Per GPO habe ich bereits eine lokale Anmeldung für Lehrkräfte an diesen Rechner verboten. Aber irgendwie sollen die Rechner lokal genutzt werden können, daher die Idee mit dem Kioskrechner. Hier können nur bestimmte Programme ausgeführt und Daten dürfen nicht auf Rechner gespeichert werden.

Die Lehrkräfte sollen sich nicht am Rechner anmelden dürfen. Die Erfahrung hat gezeigt, dass die Lehrkräfte sich nicht wieder vom Client abmelden und damit den Rechner blockieren. Daher kommt die Idee mit dem Kioskrechner. Hast Du konkrete Vorschläge? Möglichst mit windowseigene Mittel und nach Möglichkeit kostenlos oder geringen Kosten.

Diese Rechner stehen nicht öffentlich und sind nur einem bestimmten Personenkreis (Lehrkräfte) zugänglich. In erster Linie sollen die Rechner zentral mit Gruppenrichtlinien verwaltet und die Systeme und die Programme aktualisiert werden. Der Personenkreis soll sich bei Bedarf an einem Remotedesktopsitzunghost anmelden können, ansonsten den Rechner ohne persönliche Anmeldung für Recherchearbeiten in Pausen nutzen dürfen. Einsatz von ThinClients und Citrix scheidet aus. Für evtl. Alternativen und Verbesserungsvorschläge bin ich sehr offen.

Wie müssten die Gruppenrichtlinieneinstellungen aussehen, um einen Kioskrechner zu simulieren?

Moin Jan. Das ungepasste Beispiel von Microsoft auf einem (virtuellen) Testrechner, der nicht in einer Domäne ist, angewendet, funktioniert einwandfrei. Wende ich dasselbe Beispiel auf demselben Rechner, nachdem dieser in einer Domäne aufgenommen wurde, kommt die o.g. Fehlermeldung. Irgendwie muss es darin liegen, dass der Rechner jetzt Domänenmitglied ist.