MurdocX

Martin hat recht. Du brauchst den Namen. Das Ergebnis kann dann so aussehen: <InstallFrom> <MetaData wcm:action="add"> <Key>/image/name</Key> <Value>Windows 10 Pro</Value> </MetaData> </InstallFrom>

Es sei in die Runde geschmissen, dass genannte Punkte nicht bzw. sehr begrenzt die Sicherheit erhöhen. Wichtige Punkte wie Pass-The-Hash, Ausführungsverhinderung oder Admin Impersonation vermisse ich. Mit 802.1X wäre ein Anfang in die Richtung gemacht.

Ich vermeide generell Deny ACEs. Stattdessen verändere ich die Verzeichnisstruktur. Berechtigungen werden nur bis zur 3. Tiefe gesetzt und ab dort nur noch vererbt. Read-Only und Read-Write reicht dann vollkommen. Das vereinfacht das Troubleshooting, die Administration und hält die Gruppenmitgliedschaften gering.

Keep it short and simple - Um deinen Windows Client mit Datenbank wieder zum laufen zu bringen, siehe @Nobbyaushb‘s Vorschlag. Falls es nicht um eine Sicherung geht, frage ich mich, was du mit einer Virtualisierung erreichen willst.

Ist das Image mit der install.wim der unattend.XML geprüft die verwenden wird? Heißt die Datei wie bei mir benannt? Handelt es sich um einen USB-Stick auf dem das setup gestartet wird? Schau dir mal folgende Seite an: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-setup-automation-overview?view=windows-11

Ergo -> Er ist auch Fileserver. Nichts anderes ist es, was dort liegt Im Endeffekt ist das auch wegen den GPOs der Fall.

Berechtigungsprobleme könnten es auch sein. Welche Berechtigungen sind denn gesetzt?

Da bin ich ganz bei Dir. Ich hab mir IseSteroids ganz früh schon gekauft. Das Teil ist genial Schade finde ich das es nicht mehr weiterentwickelt wird.

Alles Andere würde ich auch als einen fehleranfälligen Krampf bezeichnen

Ich bin auch ein Freund davon. Die Erfahrung spricht, dass ich zu wenige mit dem Thema Sicherheit beschäftigen und deshalb Ehrfurcht vor Veränderungen haben. Die Gründe gehen bekanntlich weit auseinander. Ja. Wobei ich lieber die Admin-Gruppe durch die GPOs wieder bereinigen lasse. Zwischen Organisation / Absprache und was dann wirklich mal passiert, wenn ein Kollege nicht weiter weiß und denkt es würde an den Berechtigungen liegen, sind Welten Vertrauen ist gut, Restriktion ist besser. Das ist manchmal gar nicht so einfach das zu beurteilen MITRE ATT&CK® - Signierung und Verschlüsselung im internen Netz sind der Einstieg zur Sicherheit. Beispielsweise mindestens einen DC 2019 hilft auch schon.

Weil das die Standardeinstellung ist

if($ldapBind){ $person = "$ldapDn"; $dn = "OU=Firma, DC= Abteilung, DC=bw, DC=de"; } $ldapBind - Die Variable wird in Zeile 16 ausgewertet aber erst in Zeile 28 definiert und gefüllt. Entweder muss der LDAP-Bind vorher oder die Abfrage danach. Vielleicht solltest du noch die Domäne etwas unkenntlich machen, sonst kann man schnell auf eine Firma in Baden-Württemberg schließen

Hallo, ich bin jetzt kein PHP Experte, dennoch stimmt etwas mit deiner FOR-Schleife nicht. for($=0; $i < $info["count"]; $i++) Sollte es nicht $i = 0 heißen?

Ja, schau mal hier. https://www.compdesign.ch/app/easyweb/info?partno=Tipp-StandardDrucker

Hallo JensGoro, willkommen an/im Board. $objListBox wurde vorher nicht definiert. Es existiert also nicht. Das ist der Grund warum das Object oben nicht existiert, denn es kommt erst ab Zeile 53, aufgerufen wird es schon in Zeile 28. Das funktioniert so nicht. Das muss < Zeile 27. Vermeide Abkürzungen, wie z.B. "sort". Es sollte heißen Sort-Object. Das macht den Code lesbarer und weniger fehleranfällig. $switch - ist eine Iterationsvariable, die Powershell ohne wenn und aber überschreiben kann. Verwende einen treffenderen Namen. $printername - ist eine Variable die gesetzt, aber nie definiert wird. Sie ist also immer $null. Sie überschreibt sogar immer das Attribute extensionAttribute13 im AD. $x - ist eine Variable die zwar in der Zeile 36 definiert, aber nie genutzt wird. Alles was also in der ListBox ausgewählt wird, geht ins Nirvana. Das übrigens 2x. Das Skript sollte dringend überarbeitet werden.

Hallo Citrix, Für das Backup? Natürlich! Es gibt sogar ein externes Tool dafür, zusätzlich zu der internen Funktion: Veeam Backup Validator - User Guide for VMware vSphere

Hallo wznutzer, ein Netzwerk zu trennen, damit bei ca. 100 Clients die Broadcast-Domäne eine Andere ist, halte ich für nicht sinnvoll. Damit erreichst du nur mehr verwaltungsaufwand. Eine Trennung ist erst sinnvoll, wenn der Grund und die dazugehörigen Überlegungen ein Bild ergeben. Das Thema Sicherheit ist gut. Wie du die Netze trennst hängt davon ab was du erreichen willst, oder vor was du dich schützen willst. Eine allgemeine Antwort kann ich Dir hier nicht geben. Ja. Da hilft nur ein valides Backup. Es kommt immer darauf an. Das kann nicht pauschal beantwortet werden.

Hallo Neopolos, da gibts ein Haufen im Internet. Ich empfehle Dir mal beim Hersteller anzufangen: https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory Das SCT solltest du dir als Nächstes ansehen.

Hallo Iceman7, bitte achte auf die Formatierung im Post. Statt Copy & Paste kann man eine angemessene Formatierung erwarten. Welche der 3 vorgeschlagenen Möglichkeiten hast du durchgeführt? Welche Ergebnisse kamen dabei heraus? Alternativ kann noch der Ordner "C:\ProgramData\Microsoft\Network\Downloader" umbenannt werden.

Hallo, hier sind 3 Möglichkeiten aufgelistet. Bitte alle durcharbeiten: How to fix Background Intelligent Transfer Service (BITS) problems on Windows 10 | Windows Central Falls du Fehlermeldungen bekommen solltest, notieren und dann hier posten.

Hallo Iceman7, was hast du bisher schon unternommen, um das Problem zu beheben?

Mein Link bezieht sich auf den Schnellstart. Dein erstgenanntes Problem. Wir sollten eines abarbeiten und diese nicht vermischen. Das verwirrt nur andere, die nach Lösungen suchen.

Mit dieser Lösung hast du das Problem eines Einzelnen gelöst und dabei ein weit Größeres unwissentlich geöffnet. Gerade in der heutigen Zeit sollte das gut überlegt sein, denn dies fließt verm. in deinen Verantwortungsbereich. Mit meinem Link wirst du das erste genannte Problem lösen können. Das Neue aber nicht.

Hallo fmeyer84, Nobby hat es schon erwähnt. Hier wird der Computer einfach zu schnell starten. Das Problem existiert schon länger. Schaue mal hier: SSD zu schnell - Synchroner Startvorgang nicht möglich - Gruppenrichtlinien Ein Gerät in die Domäne einzubringen, erhöht die Sicherheit durch Kerberos erheblich. Daher macht es auch großen Sinn den Fehler zu finden, statt zu einer unsicheren und unnötig unpraktischen Authentifizierung zurück zu wechseln. Eine Anleitung zur Umsetzung findest du bspw. hier: Wie kann ich Microsoft Active Directory Clientdienste auf einem Synology NAS verwalten? - Synology Knowledge Center

Was erhoffst du dir davon?