ineedhelp

vor 12 Stunden schrieb cj_berlin:

ich habe es schnell nachgestellt. Selbes Verhalten wie bei Dir, obwohl der Check am Anfang meines Tests sagt. dass es mit erhöhten Rechten läuft.

Offensichtlich fehlt ihm seDebugPrivilege oder so etwas. Aber bevor ich anfange, das zu enablen, dann schon lieber Registry  

Vielen Dank, dass Du nocheinmal nachgestellt hast. Mein Skript habe ich schon erweitert, dass die Registry abgefragt wird..

vor 40 Minuten schrieb testperson:

Das Skript läuft als Anmeldeskript.

Da war ich sehr ungenau. Es läuft als Startskript -> Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts/Starten/Reiter PowerShell Skripts

vor 27 Minuten schrieb testperson:

liegt der Access Denied möglicherweise daran, dass das Computerkonto / die Computerkonten keinen Zugriff auf "\\Lab-FS\Reports$" haben?

Die Computerkonten haben Zugriff auf Freigabe.

vor 17 Minuten schrieb cj_berlin:

a. [spoiler] weist auf einen Cross-Post hin. Bitte Hinweis und Link.

Scheinbar wird der Spoiler-Tag von diesem Forum nicht unterstützt. 

vor 20 Minuten schrieb cj_berlin:

b. wer ist LABDOM? Ist es der Name des Computers oder der Name der Domäne? Wie ist das Skript getriggert?

LABDOM ist der Domänenname. Das Skript läuft als Anmeldeskript.

vor 21 Minuten schrieb cj_berlin:

c. Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\State --> UEFISecureBootEnabled (1 = ja, 0 = nein)

Vielen Dank. Wenn Confirm-SecureBootUEFI weiterhin einen Fehler wirf, dann überprüfe ich diesen Registryeintrag.

@All

Das Cmdlet Confirm-SecureBootUEFI benötigt administratrive Rechte. Es ist doch richtig, dass der SYSTEM-Benutzer administrative Rechte hat. Leider kommt bei der Ausführung von Confirm-SecureBootUEFI in dem Startup-Skript die Fehlermeldug, dass der Zugriff verweigert wurde.  Lässt sich der Secureboot Status auf eine andere Art ermitteln?

**********************
nStart der Windows PowerShell-Aufzeichnung
Startzeit: 20250601100000
Benutzername: LABDOM\SYSTEM
RunAs-Benutzer: LABDOM\SYSTEM
Konfigurationsname: 
Computer: LabPC-X (Microsoft Windows NT 10.0.19045.0)
Hostanwendung:  -ExecutionPolicy ByPass -File \\labdom.local\netlogon\Startups\Test-Win11.ps1 -OutCsv \\Lab-FS\Reports$\Windows11Compatibility\Compatibility.csv
Prozess-ID: 4711
PSVersion: 5.1.19041.5848
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.19041.5848
BuildVersion: 10.0.19041.5848
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
Die Aufzeichnung wurde gestartet. Die Ausgabedatei ist "\\Lab-FS\Transcripts$\LabPC-X.txt".
PS>TerminatingError(Confirm-SecureBootUEFI): "Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert."
Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert.
In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21
+ $secureBootStatus = Confirm-SecureBootUEFI
+                     ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) 
[Confirm-SecureBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand
Confirm-SecureBootUEFI : Es konnten keine ordnungsgemäßen Berechtigungen festgelegt werden. Zugriff verweigert.
In \\labdom.local\netlogon\Startups\Test-Win11.ps1:50 Zeichen:21
+ $secureBootStatus = Confirm-SecureBootUEFI
+                     ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Secur...BootUefiCommand:ConfirmSecureBootUefiCommand) [Conf
   irm-SecureBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetPrivilegeFailed,Microsoft.SecureBoot.Commands.ConfirmSecureBootUefiCommand

vor 52 Minuten schrieb cj_berlin:

Online bei IT-ADministrator: https://www.it-administrator.de/trainings/active-directory-security

Vielen Dank. Sehe ich gerade, dass ich in dieser Woche bereits verplant bin.

Ist Dein Seminar zu einem späteren Zeitpunkt noch einmal geplant?

vor 18 Stunden schrieb cj_berlin:

mein nächstes AD Security-Seminar startet am 30.06.

Wo findet das Seminar statt? Hast Du nähere Informationen zu Deinem Seminar?

vor einer Stunde schrieb Weingeist:

Auch wenn die Kiste in der Domäne ist, kann man sich grundsätzlich auch mit einem Lokalen Konto anmelden.

Da hier gerne .\ für die lokale Anmeldung vergessen wird, würde ich den Benutzer automatisch anmelden und nach Feierabend per Geplanten Task herunterfahren.

vor einer Stunde schrieb Weingeist:

Ansonsten: Die "Schmerzen" - eimalige, chronische, wiederkehrende - die mit dem Kiosk-Modus verbunden waren, lohnten sich früher eher nicht. Den Kiosk-Mode behandelte MS in der Vergangenheit nur sehr stiefmütterlich.

Eigentlich hatte ich mir mit dem Kiosk-Modus erhofft, dass dieser einfach und schnell einzurichten ist. Aber leider gibt es jetzt in der Testphase schon die ersten Hürden. Eine andere Frage wäre natürlich, wie skalierbar dann der Kioskrechner, wenn neue Programm hinzukommen, usw.

vor einer Stunde schrieb Weingeist:

Ich bevorzug es, mit sonstigen Bordmitteln wie AppLocker granular dicht machen. Selbst die ganze GUI mit Taskleiste, Benachrichtigungen etc. bringt man komlett weg, so dass nur noch der Desktop selbst funktioniert. Back to the Roots quasi.

Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich?

vor 1 Stunde schrieb Weingeist:

Entweder tatsächlich deinstalliert mit dism (experimentell, nicht reversibel, viele Tests notwendig, keinerlei Support) oder per Verweigerung der Userbasierten Installation indem dem System und TI gewisse Rechte entzogen werden. Das UserProfil ist dann quasi GUI-los, so ähnlich wie früher die minimale MMC-Variante (Name fällt mir grad nicht mehr ein).

Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen.

vor 17 Stunden schrieb testperson:

WSUS + WWP

Leider verbietet der Serveradmin den Einsatz vom WSUS Package Publisher.

vor 17 Stunden schrieb testperson:

Endpoint Central von Manage Engine

Das Produkt sieht sehr interessant aus und ich werde es testweise installieren. Hoffentlich kann ich die Kollegen davon überzeugen.

vor 10 Stunden schrieb Sunny61:

Dann sperr den Lehrkräften doch einfach den Zugang zu diesem Rechner. Geht mit GPO in 5 Minuten.

Per GPO habe ich bereits eine lokale Anmeldung für Lehrkräfte an diesen Rechner verboten. Aber irgendwie sollen die Rechner lokal genutzt werden können, daher die Idee mit dem Kioskrechner. Hier können nur bestimmte Programme ausgeführt und Daten dürfen nicht auf Rechner gespeichert werden.

vor einer Stunde schrieb Dukel:

Wieso braucht man dann Kiosk Modus? Dann einfach einen ganz normalen Domänen Client, an dem sich die Lehrere einloggen können.

Die Lehrkräfte sollen sich nicht am Rechner anmelden dürfen. Die Erfahrung hat gezeigt, dass die Lehrkräfte sich nicht wieder vom Client abmelden und damit den Rechner blockieren. Daher kommt die Idee mit dem Kioskrechner.

vor einer Stunde schrieb testperson:

Updates und Management kriegt man ja auch anderweitig hin.

Hast Du konkrete Vorschläge? Möglichst mit windowseigene Mittel und nach Möglichkeit kostenlos oder geringen Kosten.

Diese Rechner stehen nicht öffentlich und sind nur einem bestimmten Personenkreis (Lehrkräfte) zugänglich. In erster Linie sollen die Rechner zentral mit Gruppenrichtlinien verwaltet und die Systeme und die Programme aktualisiert werden. Der Personenkreis soll sich bei Bedarf an einem Remotedesktopsitzunghost anmelden können, ansonsten den Rechner ohne persönliche Anmeldung für Recherchearbeiten in Pausen nutzen dürfen. Einsatz von ThinClients und Citrix scheidet aus.

Für evtl. Alternativen und Verbesserungsvorschläge bin ich sehr offen.

Wie müssten die Gruppenrichtlinieneinstellungen aussehen, um einen Kioskrechner zu simulieren?

Moin Jan.

Das ungepasste Beispiel von Microsoft auf einem (virtuellen) Testrechner, der nicht in einer Domäne ist, angewendet, funktioniert einwandfrei. Wende ich dasselbe Beispiel auf demselben Rechner, nachdem dieser in einer Domäne aufgenommen wurde, kommt die o.g. Fehlermeldung.

Irgendwie muss es darin liegen, dass der Rechner jetzt Domänenmitglied ist.

Ich verwende das Beispiel aus der Anleitung von Mircosoft. Wenn ich den Rechner einer Domäne hinzufüge und dann das Beispiel anwende, kommt die o.g. Fehlermeldung.

vor 16 Minuten schrieb Sunny61:

Muss an dem Kiosk denn wirklich Zugriff auf Ressourcen der Domain erfolgen?

Zumindenst sollte der Rechner Zugriff auf Domänenressourcen besitzen. Auch wenn ein lokalen Benutzer in der Konfiguration wird das o.g. Ereignis erzeugt. Vielleicht sollte ich erst den Kiosk mit einem lokalen Benutzer konfigurieren und den Rechner dann in die Domäne aufnehmen.

Gerade bin ich dabei einen Kioskcomputer mit mehreren Apps anhand der Anleitung von Microsoft zu konfigurien. Das hat auch solange gut funktioniert, bis ich in den Rechner in die Domäne aufgenommen und im Knoten Account eine Domänenbenutzer angegeben habe. In der Ereignisanzeige Microsoft\AssignedAccess\Admin wird das Ereignis 32000 AsssignedAccess Configuration failed, ErrorCode (0x80070057) erzeugt. Die Fehlermeldung die Set-CimInstance hilft mir auch nicht weiter: Es ist ein allgemeiner Fehler aufgetreten, für den kein spezifischerer Fehlercode verfügbar ist.

Der Domänenbenutzer ist vorhanden und kann sich an dem Rechner anmelden. Eine automatische Anmeldung mit dem Benutzer an den Rechner funktioniert auch. Auf dem Rechner ist Windows 11 Version 24H2 (Build 26.100.3476) installiert.

Im Internet konnte ich bisher nichts brauchbares recherchieren. Hat jemand eine Idee zur Problemlösung.

vor 1 Stunde schrieb Sunny61:

Was genau ist das Ziel der Aktion? Soll der Benutzer KIOSK nur auf bestimmte Ordner zugreifen können?

Genau. Der Kiosk-Benutzer soll nur auf bestimmte Ordner zugreifen dürfen. Laut Explorer Einschränkungen sind standardmäßig alle Ordner gesperrt. Ausnahmen können unterhalb des Knotens FileExplorerNamespaceRestrictions zugelassen werden. Beim genaueren Durchlesen des Online-Artikels fällt mir jetzt auf, dass der Zugriff nur auf Download-Ordner und Wechselträger zugelassen werden kann. Im Explorer werden dann nur die zugelassenen Ordner angezeigt.  Ich hatte gehofft, dass man auf einfache Art den Zugriff weitere Ordner erlauben kann.

Dann werde es doch über die Konfiguration der NTFS-Berechtigung lösen müssen.

Am 2.4.2025 um 12:58 schrieb vkf:

Jetzt noch Windows 10, echt?

Ich habe mir eine VM erstellt und die Systemanforderung an Windows 11 für TPM und SecureBoot während der Installation umgangen. 

Am 2.4.2025 um 08:46 schrieb ineedhelp:

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Leider greift diese Einstellung nicht. Der Kioskbenutzer kann auf alle Ordner zugreifen. Ich weiß, dass ich jetzt keinen Support von Microsoft habe. Aber ich habe keine andere Wahl, um die Einstellungen zu testen, weil mir die passende Hardware fehlt.

vor 34 Minuten schrieb vkf:

Jetzt noch Windows 10, echt?

Ich habe keine Testmaschine,, die mit Windows 11 lauffähig ist .... Ausserdem kann ich doch die Konfiguration eins zu eins auf Windows 11 übertragen. Vielleicht war der Titel da auch unglücklich gewählt.

Gerade bin ich dabei einen Kiosk mit mehreren Apps zu konfigurieren. Bisher funktioniert auch alles gut .... Leider bekomme ich es aber nicht hin, dass der Benutzer Zugriff auf mehrere Ordner im Explorer erhält. Unterhalb des Knotens FileExplorerNamespaceRestrictions weitere Knoten AllowedNamespace hinzufügen, lies die Konfigurationsdatei nicht anwenden.

Beispiel bei Microsoft

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

Auszug aus der Xml-Schemadefinition für zugewiesenen Zugriff. Durch die Schemadefinition blicke ich nicht durch und mir ist schleierhaft, wie anhand dieser Informationen meine Konfigurationsdatei zusammenstelle. Vielleicht könnte mich da noch jemand etwas erhellen und/oder die passenden Links und Lektüre liefern.

<xs:complexType name="fileExplorerNamespaceRestrictions_t">
        <xs:choice>
            <xs:sequence minOccurs="0">
                <xs:element name="AllowedNamespace" type="allowedFileExplorerNamespace_t" minOccurs="0"/>
                <xs:element ref="v3:AllowRemovableDrives" minOccurs="0" maxOccurs="1"/>
            </xs:sequence>
            <xs:element ref="v3:NoRestriction" minOccurs="0" maxOccurs="1" />
        </xs:choice>
</xs:complexType>

<xs:complexType name="allowedFileExplorerNamespace_t">
        <xs:attribute name="Name" type="allowedFileExplorerNamespaceValues_t" use="required"/>
</xs:complexType>

<xs:simpleType name="allowedFileExplorerNamespaceValues_t">
        <xs:restriction base="xs:string">
            <xs:enumeration value="Downloads"/>
        </xs:restriction>
</xs:simpleType>

Oder bedeutet es, weil Download hier explizit aufgeführt ist, dass nur dieser Ordner erlaubt werden kann.  Also kann nur zwischen Alles verbieten, Download erlauben und alles erlauben wählen?

https natürlich. Auf diese Seite wird man weitergeleitet, wenn man in https://www.telekom.de/start über das Männchen in rechten Ecke fährt und Zum Login klickt.

Anhand vom gp-pack Browser – Chrome, Edge, Edge (Chromium), Firefox habe ich unsere Browser per Gruppenrichtlinie konfiguriert. Leider kann die Seite http://accounts.login.idm.telekom.com nicht mehr aufgerufen werden. Die Website ist nicht erreichbar.

Wie kann ich möglichst einfach herausfinden, welche Einstellung dafür verantwortlilch ist. Geändert habe ich schon, dass kein Proxy im Browser verwendet wird. Bisher ohne Erfolg.

Über eine (einfache) Lösung würde ich mich freuen.

Gerade befasste ich mich dem Thema Erweiterte Überwachunngsrichtliniekonfiguration und dabei bin ich auf die Berechtigungskonstanten gestossen. Gerne hätte ich gewusst, was das Präfix Se in den Konstanten zu bedeuten hat. Meine bisherige Internetrecherche blieb aber erfolglos. 

Vielleicht weiss ja hier jemand Bescheid und könnte mir auch die Internetquelle nennen. 

Am 25.9.2024 um 18:14 schrieb daabm:

Ich werfe mal das Debug Logging für die Preferences in den Raum... https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555

Hilft meist mehr als die Eventlog-Einträge.

Das werde ich mir mal anschauen. Die Einträge im Ereignisprotokoll finde ich auch nicht sehr aussagekräftig.

vor 49 Minuten schrieb da_flo:

Das ist mir nicht bekannt aber mit PS lässt sich das per Startscript bestimmt lösen. 

Eigentlich wollte ich gerade von den Anmeldeskripte weg und es per GPP lösen.

vor 50 Minuten schrieb da_flo:

Ansonsten mal den Anbieter löschen. Keine Ahnung was genau Du da installiert hast. 

Lt Registryeintrag (HKLM\SYSTEM\CurrentControlSet\Services\<NetworkProvider>\NetworkProvider) handelt sich bei cbfs6 um Virtual Network Shares CBFS v6 und P9NP bei um Plan 9 Network Provider. Der Benutzer hat leider lokale administrative Rechte, die aufgrund einer Entscheidung vom Vorgesetzten, nicht entzogen werden darf.

Kleines Update: Meine Remoterechere auf dem Rechner hat ergeben, dass der Provider cbfs6 von dem Programm RaiDrive genutzt wird. Das Programm wurde bereits im November 2023 installiert. Im RaiDrive-Forum bin ich wegen des Fehlers noch nicht fundig geworden.

vor 20 Stunden schrieb da_flo:

Stell mal bitte die Reihenfolge um. Cbfs und p9 ganz nach hinten stellen.

Leider keinen Erfolg. Nach dem Neustart stand der Eintrag cbfs6 wieder an erster Stelle .... Gibt es eine Gruppenrichtlinie, die diesen Wert beeinflußt?

Kurzes Update: Mir wurde berichtet, dass wenn der Benutzer gpupdate manuell ausführt, die Netzlaufwerke ordnungsgemäß verbunden werden.