MurdocX

Hallo, der DC ist mit unter der wichtigste Server im Unternehmen, ohne den nichts mehr geht. Dieser ist bei kleinen wie bei großen Firmen wichtig. Natürlich ist das technisch möglich. Und ja, es mag auch ab und an problemlos funktionieren. Es bleibt fraglich warum man freiwillig ein Risiko eingehen möchte? Jemanden einkaufen, der sich um Probleme im AD kümmert, kostet mehr als eine neue Serverlizenz. Wirtschaftlich und risikotechnisch ist das damit keine gute Idee. Ein Grund von vielen: Wie machst du es bei einem Restore der Anwendung?

Hallo, der Spagat zwischen der Anforderung und das was "professionell" vertretbar ist, kann manchmal weit auseinander liegen. Als ein professionelles Forum müssen hier auch mal Grenzen gesetzt werden. Ohne eine Lösung präsentiert zu haben, hat @testperson dir die Tools zur erfolgreichen Umsetzung an die Hand gegeben. Wir können deinen Unmut durch den geschäftlichen Druck verstehen, denn jeder von uns musste sicherlich schon mal etwas mit Zeitdruck erledigen. Um den Blick wieder nach vorne zu richten, versuche mal wie weit du mit den genannten Tools kommst.

Dazu ergänzend: Du könntest die Gateways der Standorte als DHCP-Server nutzen und den lokalen Windows-DHCP einen delay von einigen Sekunden geben. Dann hättest du einen Fallback, falls das Gateway nicht antwortet.

Welchen Versionsstand hat das Betriebssystem aktuell? Siehe @testperson´s Vorschlag. Welche Fehler sind enthalten?

Hallo, die Klassiker sind defekte Systemdateien. Reparieren kannst du sie, und das wirst du überall im Internet so finden, mit: # Prüfen, ob Dateien beschädigt sind dism /online /cleanup-image /scanhealth # Reparatur dism /online /cleanup-image /restorehealth # Prüfe & Reparatur sfc.exe /scannow

Hallo, kurz vorweg mit einfachen Handgriffen ist Dir nicht geholfen. Es sind einfach zu viele Fehler im Code. Daraus schlussfolgere ich, dass du vermutlich noch viel lernen wirst. Setze Strings immer in ' oder ". .. sind Variablen die NIE genutzt werden. Hier wird eine Variable ausgelesen, bevor sie überhaupt existiert. .. das Gleiche hier. Es gibt kein $ExitButton1 ... und hier.. ... auch diese Funktion wird definiert, aber niemals aufgerufen. Wenn ich Dir einen Tipp geben darf. Versuche es mal mit Visual Studio Code und den PowerShell Erweiterungen. Die werden Dir deine Fehler gleich zeigen und helfen dir mit Intellisense. Unterhalb möchte ich Dir zeigen, wie ein Script mit einer Funktion für Buttons aussehen kann. Fast Identisch kann das auch für deine Labels gebaut werden. Versuche Dich einfach mal. #requires -Version 3.0 [void] [System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms') [void] [System.Reflection.Assembly]::LoadWithPartialName('System.Drawing') [void] [System.Windows.Forms.Application]::EnableVisualStyles() # # Functions # function CreateButton { [OutputType([System.Windows.Forms.Button])] param ( [Parameter(Mandatory)] [System.Drawing.Size] $Size, [Parameter(Mandatory)] [System.Drawing.Size] $Location, [Parameter(Mandatory)] [string] $Text, [Parameter(Mandatory)] [scriptblock] $ClickEvent ) $myButton = New-Object -TypeName System.Windows.Forms.Button $myButton.Location = $Location $myButton.Size = $Size $myButton.Text = $Text $myButton.Font = New-Object -TypeName System.Drawing.Font -ArgumentList ('Microsoft Sans Serif', 11, 0, 3, 1) $myButton.Add_Click($ClickEvent) return $myButton }

Eine Überlegung wäre noch den AP mit an einen funktionierenden Standort zu nehmen und sich dann nochmal die Kommunikation anzuschauen. Den AP zu resetten kann auch nicht schaden. Solche Themen sind, aus den Erfahrungen im Forum, schwer und schlecht zu lösen.

Hallo emw, die Einstellung findest du in den Sicherheitsrichtlinien von Benutzerrechten. SecPol.msc > Lokale Sicherheitsrichtlinien > Zuweisen von Benutzerrechten > "Herunterfahren des Systems" Der angemeldete Benutzer muss dort drin stehen oder in einer der dort vorhandenen lokalen oder Ad-Gruppen ein Mitglied sein.

Dann mache ich den Thread mal dicht.

Haha, ja. Als Alternativbrowser könnte man Invoke-WebRequest nehmen.

Wait... Sind das die Skripte um die 2003er?

Hallo, das gemeldete Verhalten würde mir komisch vorkommen, da es auf allen Computern bei einem gewissen Vorgang, der Anmeldung, auftritt. Das spricht für den Treiber oder eine Gruppenrichtlinie. Beides kann schnell geprüft werden. In Windows hat sich die letzten Monaten einiges in Bezug auf Drucker unter der Haube getan. Es lohnt sich einen aktuellen Treiber (mind. Nov. 2021, besser neuer) zu testen. Unabhängig von dem Problem kannst du lokale Drucker mit dem Modul "PrintManagement" PrintManagement Module | Microsoft Docs anlegen. Die Referenz dazu beinhaltet auch Befehls-Beispiele.

Auf einem Server sollte man generell keinen Browser zum Surfen nutzen. Das kannst du ignorieren, oder die Leistungsindikatoren aktivieren, sofern du sie auch nutzen möchtest.

Dann sind viele DL einfach nicht die Richtigen. Die die sich dann damit auskennen kosten etwas mehr

Ich kenne es nicht. Lösche alle Firewall-Regeln und lege Dir über das Profil beim neu Erstellen die benötigen Dienste an.

Hallo grc, schau Dir mal die Dokumentation beim Hersteller an: New-ScheduledTask (ScheduledTasks) | Microsoft Docs Dort findest du folgendes Beispiel: $action = New-ScheduledTaskAction -Execute "Taskmgr.exe" $trigger = New-ScheduledTaskTrigger -AtLogon $principal = "Contoso\Administrator" $settings = New-ScheduledTaskSettingsSet $task = New-ScheduledTask -Action $action -Principal $principal -Trigger $trigger -Settings $settings Register-ScheduledTask T1 -InputObject $task Mir fehlt in deinem Skript: New-ScheduledTask

Hallo, ich bin deiner Meinung. Zitat: "Wir hantieren da ja mit Wahrscheinlichkeiten." Wie wahrscheinlich ist es das eine Mailware/Trojaner sich der ProofOfConepts bei GitHub bedient und wie oft macht Ihr Bios-Updates auf allen Computern/Notebooks. Das muss gegenübergestellt werden. Die Mailware schätze ich höher ein..

Hallo, die Variante 1 wird nicht konsequent funktionieren. Wenn irgendetwas nicht funktioniert, wird der Benutzer einfach auf den geschäftlichen Bereich umschwenken und es dort tun. Damit wäre die erdachte Sicherheit ausgehebelt. Bei Variante 2 hast du eine gute Trennung zwischen dem Privaten und dem Geschäftlichen. Hier wird die gewünschte Sicherheit erreicht. Es stellen sich nun neue Haftungsfragen für Privatdaten. Wer haftet denn, wenn du durch ein Update im geschäftlichen Bereich das Private mit abschießt? Wie stellst du Dir denn die Variante 3 vor? Ich verweise immer darauf, dass ein geschäftliches Gerät auch nur für den geschäftlichen Gebrauch ist. Hier ist die klare Trennung eine Win-Win Situation. Damit lassen sich viele Probleme und Fragen von beginn an vermeiden.

Hallo, manchmal findet man ein passendes Skript für die eigenen Bedürfnisse. Viele passe ich selbst danach noch an. Es lohnt sich meist Ich hab etwas bei MS gefunden. Möglicherweise hilft Dir das weiter: VBA - Moving a mail from inbox to a specific folder https://techcommunity.microsoft.com/t5/excel/vba-moving-a-mail-from-inbox-to-a-specific-folder/m-p/1926973

Hallo, ich hab mir abgewöhnt auf den VPN-Client von Windows zu setzen. Es gibt Software wie z.B. FritzVPN die Einstellungen am IPSec ändert und damit nicht übersichtlich ein Problem für den Windows VPN-Client verursacht. Auch ein Windows-Update hat diesen schon öfters nutzlos gemacht. Wenn es möglich ist setze ich auf die Clients der Hersteller, auch wenn's manchmal unpraktisch ist. Meist wird dort auch ein Logging geboten, um fehlerhafte Pre-Auths zu erkennen. Was ich empfehlen kann ist SSL-VPN. Die Appliances liefern mittlerweile gute Performance, ist leicht einzurichten und funktioniert in vielen Gast-Wlans einwandfrei. Auch wenn du aktuell andere Probleme damit hast, würde ich MFA nicht aus dem Auge verlieren wollen. Möglich das du den Weg beim Einrichten dafür mit bereiten kannst.

Offiziell? Ich konnte nichts finden. Einige Sicherheitsforscher hatten festgestellt, das die Kerberos.dll zwischen 2016 und 2019 undokumentiert verändert worden ist. In deren Teststellungen konnte nachgestellt werden, dass die Einstellungen im Benutzerobjekt zu AES128 und AES256 ignoriert werden und immer AES256 ausgeliefert wird. Sie hatten sich dazu auf Twitter ausgetauscht. Leider finde ich den Artikel nicht mehr. AFAIK war es eine Unterhaltung mit David Weston.

Bei langsamen Updates sind meist alte Festplatten verbaut. Da kann das durchaus etwas länger dauern. Wenn der Rechner einfach etwas länger läuft, dann gibt eine Richtlinie für Windows Updates "Specify deadlines for automatic updates and restarts" mit denen die Zeiten für einen Neustart "in Tagen" gesetzt werden kann. Die Updates werden beim Herunterfahren dann weiter verarbeitet. Alternativ den Computer in den Energiesparmodus fahren lassen und die Updates nachts installieren. Kleine Lektüren: Why you shouldn’t set these 25 Windows policies - Windows IT Pro Blog (microsoft.com) The Windows Update policies you should set and why - Microsoft Tech Community

Und die eigene Lösung hats nicht gelöst, sondern verschlimmbessert. Wie oben schon erwähnt, sollte der PDC seine Zeit von außen bekommen. In einigen Misskonfigurationen bekommt er diese vom Hyper-V oder Esxi als Hardwarezeit vorgesetzt.

Kleine Randnotiz: Ab Server 2019 wird jedes Kerberos-Ticket mit AES 265 ausgeliefert und die Haken sind obsolet. Ab 2016 ist das noch nicht der Fall. Wurde sich mal an einem anderen Computer mit dem Account angemeldet und versucht dort das Passwort zu wechseln? Was steht den im Benutzer in dem Attribut "userAccountControl"?

Es gäbe die Möglichkeit die Tasks zu exportieren und mit DIFF bspw. im Notepad++ die XMLs zu vergleichen. Das gleiche Thema hatte ich schon mit C#... wie gut das alles auf .Net basiert. Macht die Lösungsfindung immer einfacher.