MurdocX

Hallo, Solche Infos bitte immer am Anfang angeben. Was ist denn dein Projektziel? Umziehen eines Servers in ein anderes Netzsegment?

Dein letzter Patchstand ist vom Dezember 2019 (VMware ESXi 6.7, Patch-Version ESXi670-201912001). Die Version ist "steinalt" Die aktuelle ESXi-Version ist 6.7.0 Update 3 (Build 19195723) (VMware ESXi 6.7, Patch Release ESXi670-202201001). Demensprechend dürften deine VM-Tools auch "steinalt" sein. Meine Empfehlung: Update die Versionen und dann wird der Fehler sehr wahrscheinlich nicht mehr da sein.

Hallo, welche genaue Version hat der ESXi und die VMTools?

Die aktuelle IP-Adresse des Clients = IP-Adresse zu DNS-Computername im DNS Gab es früher schon mal andere Domaincontroller die vielleicht nicht mehr existieren?

Hallo, um sich die Grundlagen anzueignen eignet sich bspw. YouTube. Dort gibt es ein Haufen Videos über Berechtigungen. Ein Vorschlag:

Falls Ihr 6to4 nicht benötigt, dann schalte einfach den IPHelper ab. Dienstname: iphlpsvc

Hallo matthiaslmb, ich kenne das Problem. Ohne dir einen technischen Hintergrund zu dem Fehlernennen zu können, wurde es damals schnell durch den Neustart der DCs behoben. Dementsprechend würde ich ein Authentifizierungsproblem vermuten. Folgende Fragen habe ich: Stimmen die DNS-Server IPAdressen auf den Clients? Also nur DCs und keine Gateways etc. eingetragen. Stimmt die IP-DNS Zuordnung des Clients im DNS-Server? Edit: Das hat erstmal nichts zu bedeuten, denn der Client kann auf Cached Credentials zurückgreifen.

Das lässt sich leicht ändern https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsLogon::SyncForegroundPolicy

Das kann ich Dir leider nicht sagen. Die Info hab ich auch nur aus einer 3 Jahre alten Foren Antwort bei MS. In der Zeit kann sich viel tun. Statt das Betriebssystemverhalten zu verändern, würde ich an deiner Konfiguration ansetzen. Warum darf das Programm denn nicht vorher starten? PS: Statt einem Task kannst du das Programm auch in den Autostart legen. Das hat die selben Auswirkungen.

Hallo andyC, Windows lädt das letzte Benutzerprofil nach dem Hochfahren automatisch im Hintergrund noch vor der Anmeldung. Daher startet das Programm auch. Die Aufgabenplanung arbeitet korrekt. Im Internet gibt es einen Workaround dafür. Professional & Enterprise sollen das Verhalten nach der folgenden Änderung einstellen. Bei Home soll das nicht funktionieren. Windows 10 Professional / Enterprise: gpedit.msc > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen => aktiviert

Hallo, wenn einstellbar, würde ich die S-Modi des Geräts deaktivieren. Anscheinend ist irgendein Treiber nicht kompatibel. Im BIOS und Windows gibts solche Funktionalitäten zum Deaktivieren.

Hallo, wenn du Dir über deinen Arbeitsauftrag nicht im Klaren bist, dann solltest du nochmal genau nachhaken. Eine Arbeit erledigen, aufgrund einer nicht verstandenen Arbeitsanweisung wird niemals zufriedenstellend sein. Weder für Dich, noch für deinen Chef.

Ich vermute er meint, dass wir seine Gliederung verbessern sollen

Martin hat’s oben schon geschrieben. Der Enterprise-Admin alias „Organisations-Admin“ wird benötigt. Mehr als „Zugriff verweigert“ kann nicht passieren.

AFAIK reicht der Domänen-Admin dafür aus.

Ende Gut, alles gut. Ist es noch nicht „gut“ war es noch nicht das Ende

In der Dokumentation steht, dass ein unautorisierte Aktualisierung abgelehnt werden muss. Im nächsten Schritt findet eine Kerberos-Authentifizierung statt. Hier könnte man ansetzen. Ist denn der Hybernate-Modus aus- oder eingeschaltet? Eventuell startet der (AFAIK Dhcp-Client) nicht neu.

Hallo tesso, Spezialfälle gibt's immer. Ich wollte nur darauf Hinweisen das es generell vermieden werden sollte und wie ich damit umgehe.

Martin hat recht. Du brauchst den Namen. Das Ergebnis kann dann so aussehen: <InstallFrom> <MetaData wcm:action="add"> <Key>/image/name</Key> <Value>Windows 10 Pro</Value> </MetaData> </InstallFrom>

Es sei in die Runde geschmissen, dass genannte Punkte nicht bzw. sehr begrenzt die Sicherheit erhöhen. Wichtige Punkte wie Pass-The-Hash, Ausführungsverhinderung oder Admin Impersonation vermisse ich. Mit 802.1X wäre ein Anfang in die Richtung gemacht.

Ich vermeide generell Deny ACEs. Stattdessen verändere ich die Verzeichnisstruktur. Berechtigungen werden nur bis zur 3. Tiefe gesetzt und ab dort nur noch vererbt. Read-Only und Read-Write reicht dann vollkommen. Das vereinfacht das Troubleshooting, die Administration und hält die Gruppenmitgliedschaften gering.

Keep it short and simple - Um deinen Windows Client mit Datenbank wieder zum laufen zu bringen, siehe @Nobbyaushb‘s Vorschlag. Falls es nicht um eine Sicherung geht, frage ich mich, was du mit einer Virtualisierung erreichen willst.

Ist das Image mit der install.wim der unattend.XML geprüft die verwenden wird? Heißt die Datei wie bei mir benannt? Handelt es sich um einen USB-Stick auf dem das setup gestartet wird? Schau dir mal folgende Seite an: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/windows-setup-automation-overview?view=windows-11

Ergo -> Er ist auch Fileserver. Nichts anderes ist es, was dort liegt Im Endeffekt ist das auch wegen den GPOs der Fall.

Berechtigungsprobleme könnten es auch sein. Welche Berechtigungen sind denn gesetzt?