MurdocX

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen? PS: Ich würde den Ansatz genau umdrehen, um Sicherheit zu erreichen.

Ja, das ist machbar. Um wieviele Benutzer handelt es sich denn? Ich würde, wenn noch kein DNS-Server vorhanden ist, mit den Favoriten arbeiten.

Wir setzen auf Standardserver (Dell, HP, Fujitsu) mit einer ganz gewöhnlichen Standard-Konfiguration: Hardware-Controller mit Cache, SAS-Platten (HDD & SSD) vom Hersteller, ILO Advanced und der aktuellen Firmware. Alles was dort drauf kommt wäre dann anforderungsbasierend.

Also, dann lassen wir mal "glauben" weg und kommen zu Tatsachen Die Basis: Funktions- und Variablennamen sollen eindeutig und selbsterklärend sein Der Typ einer Variable muss stets klar sein Powershell definiert den Variablen-Typ nach der letzten Zuweisung Powershell hat gewissen Normen. Die '' definieren einen [string]. Heißt $WindowsName ist auch eine Variable des Typ´s [string], gesetzt durch deine Übergabe ''. Übrigens hat 'objForm' rein gar nichts zu tun mit $objForm! Das erste ist ein Typ String, das Zweite eine Variable des Typ´s Form. Technet | How to Add a PowerShell GUI Event Handler (Part 1) https://social.technet.microsoft.com/wiki/contents/articles/25911.how-to-add-a-powershell-gui-event-handler-part-1.aspx $done.Add_Click({ $WindowName.Controls.Remove($done), $WindowName.Controls.refresh() }) $WindowName.Controls.Add($done) Der Fehler besteht darin, dass $WindowName vom Typ String keine Möglichkeit hat ein Control vom Typ Button hinzuzufügen. Das ist auch Banane. Des Weiteren existiert die Variable $WindowName nicht in deiner Funktion Add_Click. Erläutere uns doch bitte mal was du genau erreichen willst, denn ich verstehe den Sinn dahinter leider nicht. Dann kann ich Dir sinnvolle Änderungen empfehlen. PS: @NilsK lag nicht "nicht richtig" PPS: Setze das mal mit in dein Skript am Anfang. Zum programmieren lernen ist das optimaler. Set-StrictMode -Version 5 NACHTRAG Sinnig wäre folgendes Codebeispiel: Set-StrictMode -Version 3 # # FUNCTIONS # function New-Button { param ( [Parameter(Mandatory)] [string] $buttonText ) # Generiere Objekt $myButton = New-Object System.Windows.Forms.Button # Konfiguriere Objekt $myButton.Font = [System.Drawing.Font]::new("Calibri",18,[System.Drawing.FontStyle]::Bold) $myButton.Location = [System.Drawing.Point]::new(320,200) $myButton.Size = [System.Drawing.Size]::new(150,50) $myButton.ForeColor = [System.Drawing.Color]::Red $myButton.Text = $buttonText # Füge Aktion hinzu $myButton.Add_Click({ [System.Windows.Forms.MessageBox]::Show("Du hast mich geklickt!", "Hello World") }) # Übergebe Objekt return $myButton } # # INIT OBJECTS # # Build Form $Form = New-Object System.Windows.Forms.Form $Form.Text = "My Form" $Form.Size = New-Object System.Drawing.Size(200,200) $Form.StartPosition = "CenterScreen" $Form.Topmost = $True # # SCRIPT # $myNewButton = New-Button('Klick mich!') $Form.controls.Add($myNewButton) $form.ShowDialog() PS: Einen Schnitzer hast du noch bei "Location". Dort wird kein Size-Objekt, sondern ein Point-Objekt erwartet.

Auch, aber nicht ausschließlich. Konzepte im Forum zu erarbeiten sind schwer, weil die Möglichkeiten hier begrenzt sind. Besser sind ein oder zwei Unklarheiten, die man in der Tiefe detailliert behandeln kann. Andere Besucher die ähnliche Probleme haben, können sich schwer tun den Kern der Aussage aus den Antworten zu herauszulesen. Ich möchte Dir empfehlen einfach in einer Testumgebung mit Benutzern anzufangen und Erfahrungen zu sammeln. Falls dann einzelne Fragen kommen, können diese dann erfahrungsgemäß besser, detaillierter und schneller beantwortet werden.

Bei so viel Text ist es schwer dem Sachverhalt zu folgen. Mir persönlich wäre mehr "auf den Punkt kommen" lieber. Viel Erfolg mit den Berechtigungen. Mit den bisher gelieferten Informationen kann das gut umgesetzt werden.

Hallo DerUser, das kann du über die Vererbung verändern. Leider fehlen Infos, um Dir das detaillierter näher zu bringen oder einen passenden Lösungsvorschlag zu unterbreiten. Es wäre gut zu wissen was dein Ziel ist. Geht es um Benutzerordner oder nur eine allgemeine zentrale Freigabe? Was versprichst du Dir von dem Skript? Schöne Grüße

Hast du die neueste Firmware drauf? Schon mal mit dem Support darüber gesprochen?

Ja das gehört dazu. Das könnte umgangen werden, wenn die Berechtigungen auf dem Laufwerk selbst angepasst . Das würde aber zu weit führen fürs Erste

Die Vererbung am obersten Punkt zu unterbrechen ist OK. Für tiefere Unterbrechungen in der Struktur machst du Dir das leben (vielleicht nicht jetzt, aber später) schwer. Welche Berechtigungen passend sind, möchte ich Dir nochmal in einem Beitrag zeigen Eine Rolle ist z. B. etwas was jemand in einem Unternehmen tut. Beispielsweise "Geschäftsführung" (allgemein) oder "Buchhalterin", "Sekretärin" (Tätigkeit). Für beide Gruppen oder Tätigkeiten gibt es bestimmte Berechtigungen die man in einer jeweiligen AD-Gruppe zusammenfassen kann. Neuer Mitarbeiter GF -> In die Gruppe GF und fertig. Neue Berechtigungen für die GF, dann einfach die GF-Gruppe mit neuen Berechtigungen erweitern -> erledigt. Das Prinzip dahinter ist das AGDLP-Prinzip. faq-o-matic | Windows-Gruppen richtig nutzen https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Würde ich lieber über ein Rollen-Konzept lösen und dort einmalig die Berechtigung für RO hinterlegen. Dann ists auch kein Problem, wenn jemand mal kein Zugriff bekommen soll, dann entspricht er einfach einer anderen Rolle.

Ich verstehe nicht ganz dein Ziel das du damit erreichen möchtest. Könntest du das nochmal erklären?

Für einen PC so einen großen Aufwand zu betreiben, würde ich nicht machen. Dazu gibt es auf dem Weg einfach zu viele Stolpersteine. Besser wäre das über die gängigen Wege: Powershell (New-SmbShare) https://docs.microsoft.com/en-us/powershell/module/smbshare/new-smbshare?view=win10-ps MMC (Freigegebene Ordner) RDP WMI https://support.microsoft.com/en-us/help/295622/how-to-create-a-share-remotely-by-using-the-windows-management-instrum CMD https://www.windows-commandline.com/list-create-delete-network-shares/ Alle Varianten sind remote bedienbar.

Die Eigenschaft "IsSuperseded" sagt, ob ein Update ersetzt worden ist und gilt für alle Updates. Damit solltest du weiterkommen :-) # Update genehmigen # Prüft ob das Update ersetzt wurde If ( $UpdateItem.Update.IsSuperseded -eq $true ) { # Update wurde ersetzt! Write-Log -Eintrag "Übersprungen; $UpdateName; Grund: Update wurde ersetzt!" Continue } # Prüft ob die EULA Akzeptiert werden muss und tut dies If ( $UpdateItem.Update.RequiresLicenseAgreementAcceptance -eq $true ) { $UpdateItem.Update.AcceptLicenseAgreement() Write-Log -Eintrag "Genehmigt; EULA für $UpdateName; Grund: Voraussetzung für das Update" } $UpdateItem | Approve-WsusUpdate -Action Install -TargetGroupName 'All Computers' -Verbose Write-Log -Eintrag "Genehmigt; $UpdateName; Grund: Updatebezeichning und Klassifizierung OK!"

Da dürft sich schon was anpassen lassen. Ich hab bei uns schon ein Skript für den WSUS geschrieben und am laufen.

Wenn ich das Wort „Dienststelle“ jetzt mal interpretiere, dann wäre die Skript-Lösung vermutlich die machbarere von beiden Varianten. Gehe ich richtig der Annahme, dass du keinen Zugriff auf die Server hast?

Wenn du keine Hardware kaufen möchtest, dann kannst du auch einen alten PC nutzen und ihn z.B mit einem Linux und WireGuard bespielen. Da kannst du dir auch Lizenzkosten sparen. Bei Problemen bei der Umsetzung können wir dich gerne weitergehend unterstützen. Wir helfen gerne, wenn die Lösung dann Hand und Fuß hat.

Als Resultat leite ich mal ab, dass es keine merklichen Unterschiede gibt. Auch die angepasste Firmware wird ihren Teil dazu beisteuern. Das klingt logisch.

Da bin ich zu 100% bei Dir.

Die Auswirkungen, die bei Dir zu sehen sind, zeigen ganz deutlich, dass das Produkt nicht dafür geeignet ist auf einem Domaincontroller betrieben zu werden.

Ich würde Dir eine Sophos UTM empfehlen. Die gibt’s als FullGuard für Heimnutzer kostenlos inkl. Updates.

Super, danke der Rückmeldung.

Einige finden auch das mit den Computern war eine blöde Idee, deshalb schaffen wir sie trotzdem nicht ab. Ich persönlich finde die Ribbons eine der angenehmsten Umstellungen bei Office. Was ja nicht heißt, das auch Veränderungen gleich schlecht wären. Warten wir die Änderungen mal ab. Bei Office hat es auch einige Versionen (2007 - 2013) gebraucht, damit diese Effizient gestaltet waren.

Es gibt unterschiede. Vorweg, das muss nicht für jeden Hersteller gleich gelten. Meine Erfahrungen sind, dass die WindowsClient-Treiber mehr Features bieten, wie z.B. das Einstellen ob bei einem Druck getackert werden soll. Das zeigt sich in den Druckeroptionen bei denen dann das volle Menü angezeigt wird. Der Druckertreiber ist auch viel großer. Teilweise 50MB+ im Vergleich zu einem 3MB WindowsServer-Treibers. Hier kommt es schlicht auf die Kompatibilität des Treibers und deine Anforderungen bzw. der Mitarbeiter an. Manche müssen einfach nur drucken, statt ein Auswahlfenster mit Optionen zu bieten.

Powershell-Remoting bietet Dir die Möglichkeit die du brauchst, um das einmalig und von deinem PC auf allen auszuführen. blog.netspi.com | PowerShell Remoting Cheatsheet https://blog.netspi.com/powershell-remoting-cheatsheet/#:~:text=PowerShell Remoting Cheatsheet 1 Introduction to PowerShell Remoting.,Now we can play around a little. Hier ein Beispiel, wie du die Computer aus dem AD abrufen kanns: Get-ADComputer -Filter {Name -like "Desktop*"} "Desktop" kann auch durch ein Wildcard-Zeichen * ersetzt werden. Über ForEach-Object kannst du alle dort angezeigten Objekte einzeln verarbeiten: Microsoft Docs | About ForEach https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_foreach?view=powershell-7