bouncer86

Nein - bin unter Computer -> Windows Settings -> SecuritySettings -> Windows Services

Das ist mir bewusst. Mittels des Group Policy Editor lassen sich System Dienste deaktivieren. (Ja ich kann es auch per Powershell pro System machen) Ich möchte aber gerne Gruppenrichtlinien mittels Powershell anlegen (wasja bereits funktioniert) und in diesen Gruppenrichtlinien mittels Powershell die zu deaktivierenden Dienste konfigurieren. Nur leider habe ich dafür bis jetzt kein CMDlet gefunden, womit ich diese GPO Einstellung konfigurieren kann.

Hallo, mittels Set-GPRegistryValue lassen sich problemlos Einstellungen unterhalb von Administrative Templates anpassen. Ich möchte aber gerne die Windows Services bearbeiten, welche sich per GPO deaktivieren lassen. Habt ihr eine Idee, wie dies per Powershell möglich ist?

geht leider nicht ;) Aber dank trotzdem. Die Idee mit dem Computernamen funktioniert. Hätte ich auch selbst drauf kommen können ;)

Hallo, ich bin dabei mir einen Wrapper zu bauen. Dieser soll lokal als auch Remote ausgeführt werden können. Gibt es eine Möglichkeit zu erkennen, ob sich das Script gerade in einer Remoting Session befindet? Ich rufe commands mittels invoke-command -scriptblock { ... } auf.

Dieser ist vorhanden. Ich kann ja die Gruppen sehen und auch auf die Postfächer berechtigen. Aber trotzdem bekomme ich die Postfächer nicht geöffnet. Berechtige ich den Benutzer(Domäne B) direkt und nicht über die Gruppenmitgliedschaft, dann funktioniert es.

Hallo, wir haben zwei Active Directory Domänen, wo in Domäne A ein Exchange 2010 steht. Hier gibt es Benutzer, welche als Linked Mailbox konfiguriert sind. Der LinkedmasterAccount liegt in Domäne B. Nun gibt es auf diesem Exchange in Domäne A auch Shared Postfächer, wo Benutzer aus Domäne B berechtigt werden soll. Dafür habe ich in Domäne B entsprechende Gruppen angelegt und diese auf die Postfächer in Domäne A berechtigt. Die Benutzer (LinkedmasterAccount) in Domäne B ist Mitglied dieser Gruppe. Trotz Vollzugriff sehen die Benutzer aber nicht den "Posteingang" usw. Wie ist die richtige herangehensweise die Benutzer mittels Gruppen zu berechtigen ?

Danke für deine Antwort. Hast du einen Guide, wie ich es in intune konfiguriere? DA soll ja Feature Ready sein. Und man munkelt, dass es eben nicht mehr lange im Client verankert bleiben wird. Da klingt AutoVPN nach einer guten Alternative. Wobei DA schon echt cool ist.

Danke, aber das Dokument betrachtet leider eher die Anwender Seite, anstatt, wie es Serverseitig eingerichtet wird. Bzw. wie das Profil erstellt und verteilt wird.

Hallo, Hat sich von euch schon jemand mit dem neuen AutoVPN Feature in Windows 10 1607 auseinander gesetzt? Die Doku dazu ist ja quasi nicht vorhanden.

korrekt. Dann geht es super fix. Auch wenn ich mich im Unternehmensnetzwerk befinde, dauert die Anmeldung nicht länger als 5-8 Sekunden. Auch außerhalb, wenn ich über eine Internetverbindung verfüge, ist die Anmeldung zwischen 5 und 8 Sekunden. Ohne Internetverbindung um die 25-30 Sekunden. Er hängt einfach bei "Willkommen".

ich frage mich allerdings auch, ob es ein generelles Problem ist. Selbst wenn gar keine netzwerkverbindung da ist, dauert die Anmeldung locker 25-30 Sekunden. Netzlaufwerke werden nicht verbunden. Im Eventlog sieht man nur DNS Fehler, dass die Domäne nicht gefunden werden kann, was aber ja auch verständlich ist, da keine Netzwerkverbindung vorhanden ist. Habt ihr eine Idee, wie man Windows 10 beeinflussen kann, dass es bei nicht vorhandener Netzwerkverbindung, gar nicht erst nach Domänencontroller sucht ?

Hallo, habe eine Direct Access Umgebung. Solange ich mich in einem bekannten Netzwerk (WLAN) aufhalte, wo ich direkten Internet Zugang habe, ist die Anmeldung echt schnell. Steht der DA Tunnel aber nicht, weil kein WLAN vorhanden, dann dauert die Anmeldung locker 30 Sekunden. Habt ihr eine Idee, wie dies zu beschleunigen geht ?

Der Citrix Support hat es nun gelöst. Allerdings verwenden wir nun den samaccountnamen um das Kerberos Ticket zu beantragen. Ich frage mich, ob dies irgendwelche Nebeneffekte hat? Der Benutzer authentifiziert sich mit dem Upn, welcher im Zertifikat steht, basierend darauf liest der Netscaler den samaccountnamen aus dem AD per ldap policy und beantragt damit dann am KDC das Ticket und kann sich erfolgreich authentifizieren.

Hallo, Kennt jemand einen Webdienst, welcher RSS feeds, Twitter Feeds und mehr sammelt und diese übersichtlich zur Verfügung stellt in einem personalisierten Dashboard? Es ist doch irgendwie nervig, jeden Tag 15 Blogs und Seiten abzugrasen ;)

Exchange 2013 -CU 11. Outlook 2013 - aktuell gepatcht. Ja es tritt jeden Abend um 21 Uhr auf. Da ist die Person definitiv nicht mehr am Arbeiten. Soweit uns bekannt, keine 3rd-Party Produkte im Einsatz. Am Client definitiv nicht. Die Idee mit dem calendar repair assistant klingt verlockend gut. Ich schau es mir an. Danke.

Hallo, Wir hatten eine Cross Forest Migration bei Exchange. Nun sind alley Postfächer und User im neuen AD. Bei einem Benutzer werden täglich immer zur gleichen Uhrzeit Kalendereinträge in den Ordner Gelöschte Elemente abgelegt. Dies sind alles Termin ne, die dieser User organisiert hat. Im Kalender selbst sind die Einträge aber nach wie vor da. Ich kann mir nicht erklären was da passiert. Kennt jemand das Phänomen?

Aktueller Stand: Citrix schiebt das Problem immer noch auf das Active Directory. Scheinbar haben sie aber noch nicht den Unterschied zwischen Realm und UPN Suffix verstanden. Ich habe parallel einmal ein meinem Lab das ganze Nachgebaut und einen MSFT TMG 2010 installiert und konfiguriert. Hier funktioniert die Authentifizierung ohne Probleme. Daher kann es nicht am AD liegen. @Nils: Könntest du einmal bei deinen Kollegen fragen, ob und wie sie so eine Konfiguration schon einmal durchgeführt haben? Wie gesagt, ist der UPN Suffix = der Realm, funktioniert KCD auf meinem Netscaler auch einwandfrei. Was mir allerdings auch aufgefallen ist, ich habe am TMG mal einen Wireshark Trace erstellt. Ich sehe hier leider keine TGS-REQ Anfragen, sondern nur TGS-REP Pakete. Dies kann ich mir leider derzeit nicht erklären.

Ok. Aber so richtig klar ist es mir immer noch nicht. Oder ist es egal wo ich meine Regel drin definiere? Bzw. Wirken sich die Bereiche anders aus?

sorry, aber ich versteh es leider nicht...

Hallo, ich habe mich heute mal ein wenig mit dem WPP beschäftigt. Funktioniert genial. Einzig, ich verstehe nicht den Unterschied zwischen den "Update Level Policies" und den "Package Level Policies". Habe dazu hier im Forum einen alten Beitrag gefunden, dort ist aber keine Lösung zu finden. http://www.mcseboard.de/topic/197273-wpp-unterschied-update-level-rules-und-package-level-rules/ Kann mir jemand bitte Licht ins Dunkel bringen. Vielen Dank.

sorry, ja UPN Suffix. Das meinte ich mit Realm. War mir der Bedeutung nicht sicher. Aber danke. Habe mal etwas recherchiert. F5 scheint ein ähnliches Problem zu haben.(Stand 2015) Es muss wohl um das Kerberos Feature "Kerberos Principal Name Canonicalization and Cross-Realm Referrals" gehen. Dazu habe ich folgenden RFC Artikel gefunden: https://tools.ietf.org/html/rfc6806.html ich habe das mal so an den Support weiter gegeben, ob es überhaupt vom Netscaler aus supported ist.

Ein Forest mit einer Domäne "test.local" und einem zusätzlichen UPN "test.de".

LDAP Auth an sich funktioniert. Habe gerade festgestellt, mein oben beschriebenes Szenario ist doch nicht ganz korrekt. Der Netscaler hatte ein Kerberos Ticket gecached, daher funktionierte die Authentifizierung mit REALM "test.local", obwohl im User Objekt als REALM "TEST.DE" eingetragen ist. Stelle ich im AD im User Objekt den REALM auf "test.local" funktioniert auch Kerberos Constrained Delegation gegen den Netscaler einwandfrei. Aber das möchte ich ja nicht. Ich glaube daher nicht, dass es ein Netscaler Konfigurationsfehler ist. Sondern entweder ein Bug, oder aber das Active Directory kann keine Kerberos Tickets ausstellen, für UPN's. Erhalte im nskrb.debug Log übrigens die Meldung: "Error obtaining cross realm s4u2self ticket for" Mich wundert nur, dass ich scheinbar mal wieder der einzige bin, bei dem UPN vom AD FQDN Namen abweicht und Kerberos Constrained Delegation benötigt...

Hi Nils, der Citrix Support ist selbst etwas ratlos zur Zeit und weiß nicht, ob sich das AD richtig verhält, oder der Netscaler falsch. Daher hier die Frage. Hat jemand so ein Konstrukt denn schon mal mit einem TMG / F5 oder sonstigem Reverse Proxy umgesetzt und kann sagen, wie es dort funktioniert ?