speer

Hallo zusammen, nachdem wir langsam auf Windows 10 1809 umsteigen sollen auch die Templates im Sysvol aktualisiert werden. Habe mir schon einen Plan zurechtgelegt und wollte noch kurz rückfragen ob Ihr hier es ähnlich oder genauso macht. Vorgehen (alles im Sysvol) 1. Bestehende PolicyDefinition im Sysvol kopieren (Kopie erstellen) 2. Umbennen in PolicyDefinition-1809 3. Neue Templates in PolicyDefinition-1809 kopieren und bestehende überschreiben 4. PolicyDefinition in PolicyDefinition-1703 umbennen 5. PolicyDefinition-1809 in PolicyDefinition umbennen 6. Ende Somit kann ich bei Fehlern "hoffentlich" problemlos die alten Templates reaktivieren. PolicyDefinition-1703 wird dann wieder PolicyDefinition. Ist es besser die Templates eines Windows 10 Rechners zu nehmen oder die downloadbaren von der MS Seite? Die Templates für 1803 sind abwärtskompatibel, gilt das auch noch für Windows XP/7 Clients (wir haben noch ca. 100 Stück in der Produktion)? Jetzt sind es doch mehr Fragen geworden Grüße Speer

Hallo zusammen, wir hatten heute einen Consultant bzgl. Security im Betrieb. Er hält unsere Wiederherstellungspunkte für gefährlich. Weil eben Schadsoftware sich dort mit einniesten kann und bei der Wiederherstellung reaktiviert wird. Macht das wirklich Sinn? Eigentlich läuft genau für diesen Zweck der Windows Defender & ATP mit um sowas zu vermeiden. Wir sind etwas skeptisch aber eben nicht 100% sicher was besser bzw. sinnvoller ist. Hat hierzu ggf. jemand Informationen bezogen auf Windows 10? Grüße Speer

Hi, solange die Daten nicht richtig aufbereitet sind, murkst man mit seinem Skript nur rum. An Deiner Stelle würde ich mir ein eigenen PSObject bauen und dieses entsprechend prüfen. Als Beispiel: $Daten = @() Import-CSV C:\kontakte.csv -Delimiter ";" | ForEach-Object { $array = New-Object PSCustomObject $array | Add-Member -type NoteProperty -Name Vorname -value $_.Vorname $array | Add-Member -type NoteProperty -Name Nachname -value $_.Nachname $array | Add-Member -type NoteProperty -Name Anrede -value $_.Anrede $Daten+=$array } # Ende foreach $Daten[X] Jetzt kannst du schön durch das Array ($Daten) durchiterieren. Ich bin kein Programmierer aber vom Ansatz hätte ich es so zumindest gemacht :) Obiger Code ist nur als Beispiel gedacht! Gruß Speer

Hirn, Hirn, Hirn... wo warst du Man sollte die Testroutine auf dem Zielrechner ausführen und nicht auf dem DC!!! Klar hat der keinen Zugriff da das MSA für einen anderen Server delegiert ist.

Hallo zusammen, in meiner Testumgebung treibt mich das Anlegen eines Managed Service Account in den Wahnsinn. Kurz der Reihe nach, für meine kleine Testumgebung möchte ich für einen SQL Server MSA verwenden. Auch wegen der Übung :) New-ADServiceAccount -Name "SQLMSA" -DNSHostName "SQL.testdomain.local" -Enabled $true Der Account wird ohne weitere Meldung angelegt und ist im AD unter "Managed Service Accounts". Der Test mittels Test-AdServiceAccount wird als false bewertet mit folgender Fehlermeldung: WARNUNG: Fehler beim Testen des verwalteten Dienstkontos "SQLMSA". Wenn es sich um ein eigenständiges Konto handelt, ist es mit einem anderen Computerobjekt in Active Directory verknüpft. Ha ndelt es sich um ein Gruppenkonto, ist der Computer entweder nicht zur Verwendung des Kontos berechtigt, oder er unterstützt nicht alle dafür erforderlichen Kerberos-Verschlüsselungstypen. We itere Informationen finden Sie im Betriebsprotokoll des verwalteten Dienstkontos. Ich sehe den Fehler nicht! Selbst die Beispiele im Technet funktionieren nicht und laufen immer auf obigen Fehler hinaus. Wieso ist dieser nicht mit dem omputerobjekt verknüpft? Hat jemand einen Tip :) Speer

Hallo zusammen, ist es möglich während der Installation eines msi Paketes den aktuellen Status abzufragen. Beispielweise welche Datei wird installiert, welche Werte werden in die Registry geschrieben usw. Mir wäre also wichtig, von außen in den Installationsprozess einzuklinken :)

Hi, so könnte es mit der Batch gehen. Habe es aber nicht getestet... ohne Gewähr :) @echo off SETLOCAL EnableDelayedExpansion for /f "tokens=*" %%i in ('wmic printer get name') do ( set drucker=%%i if "!drucker:~0,2!" == "\\" ( call rundll32 printui.dll,PrintUIEntry /dn /n \\printserver\!drucker! ) )

Hallo Dukel, Danke für Deine Antwort. arbeite mich nochmals durch :)

Perfekt, vielen Dank für die Antwort

Hallo zusammen, meine Frage bezieht sich auf das löschen eines Snapshot bei VMware. Mich interessiert, braucht das System zum Löschen zusätzlichen Speicherplatz auf der LUN?

Hallo zusammen, mich treibt im Moment die Umstellung von NTLM+lokale Benutzer auf MSA/Kerberos in den Wahnsinn. Der Aufbau ist: Server1 - Aufruf Webseite zu Server2 über http Server2 - IIS mit Webseite und eigenem Application Pool Server3 - MS SQL 2016 Server für Server2 Server1 hat ein Dienstkonto (MSA-Server1) um in einem Intervall Daten an den Server2 zu übertragen. Auf Server2 läuft IIS der die Daten von Server1 entgegennimmt, aufbereitet und an Server3 übergibt zum Schreiben in die DB. Server3 hat eine SQL2016 Instanz unter dem MSA domain\SQL-SVC-2016. Meine Domäne heißt domain.local :) Meine Idee war, den Konstrukt, bei dem wir durch das Sicherheitsaudiot fielen :), über Kerberos abzusichern. Soweit ich es verstanden habe, genügt es, wenn Server1 das Dienstkonto ein TGT vom DC für Server2 und Server3 erhält. Mit setSPN setzte ich für Server2 und Server3 setspn -S HTTP/Server2 domain\MSA-Server1 setspn -S MSSQLSvc/Server3.domain.local:1433 domain\SQL-SVC-2016 Wieso funktioniert der Mist nicht :D... Weder im Eventlog noch im SQL log ist irgendwas zu erkennen warum es nicht klappt. Ich glaube ich muss mir eine Kerberos Schulung verschreiben lassen.... :( Grüße Speer

Alles klar, danke für die Antworten. Zumindest war mein Gedankengang soweit ok. Wünsche noch einen schönen, sonnigen Sonntag :)

Angenommen der DNS/AD Eintrag kann nicht vollständig entfernt werden. Protokolliert ein DC dieses Event als Fehler?Angenommen der neue DC erhält gleiche IP und DNS Name, was würde bei einer unvollständigen Säuberung passieren?

Hi, ist nur für mich zur Info. Hat nichts mit einer richtigen Umgebung zu tun.

Hallo zusammen, hätte eine Frage zum herabstufen eines AD Controllers. Angenommen sei eine GEsamtstruktur mit 20-30 DC und RODCs. Verteilt über mehrere Sites und verschiedenen Replikationsintervallen. Jetzt soll ein DC 2012 durch einen 2016 ersetzt werden. Der neue soll dabei den gleichen Namen wie der alte DC erhalten. Was passiert nun genau im Hintergrund. Informiert der zu herabstufende DCs seinen Replikationskumpel dass er ab sofort kein DC mehr ist. Dieser entfernt alle Einträge im AD/DNS die auf diesen DC zeigen und informiert wiederum seine replikationsparter. Erfolgt hier automatisch eine Pushreplikationen? Wann tritt in diesem Fall der KDC auf den Plan und generiert neue Replikationsrouten bzw. berechnet diese neu? Stimmt das obige soweit oder liege ich weit weg...? Grüße Speer

Hallo zusammen, spiele gerne in der Testumgebung mit dem Orchestrator 2016. Ich bin nun auf ein Problem gestoßen, auf das ich mir keinen Reim machen kann. Also, im Orchestrator ein Parent und Child Runbook erstellt. Mittels Invoke-Runbook rufe ich das Child Runbook auf. Dort wird ein Ordnerpfad übergeben und anschließend ein Powershell Skript darauf ausgeführt. Beim Invoke-Runbook ist der Haken bei Wait for completion gesetzt. Starte ich das Parent-Runbook über den TEster, bleibt dieser stehen beim Ausführen des Childrunbooks. Selbst nach 5 Minuten gibt es keine Statusänderung. Führe ich hingegen das Childrunbook über den Tester aus, funktioniert alles wie gewollt. Auch das setzten anderer Anmeldedaten in der Invoke-Runbook Aktivity hat keine Änderung gebracht. Wieso hängt sich Orchestrator beim Aufruf des Childrunbooks weg sobald ein Powershell Skript gestartet werden soll? Ist das ein bekanntes Problem?

Danke für die Antworten. Die Webseite die BofH verlinkt hat ist super! Muß jetzt nur noch herausfinden weshalb im Orchestrator in einem Child-Runbook kein Powershell Skript ausgeführt wird :(

Hallo zusammen, möchte für eine Basisordnerstruktur die Berechtigungen entsprechend setzen. Dabei soll auf den Basisordner des benutzers die Vererbung von überliegenden Objekt deaktivert sein. Außerdem sollen nur der Benutzer, Administratoren und System Zugriff erhalten. $Acl.SetAccessRuleProtection($true, $false) $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($Username, 'Modify','ContainerInherit,ObjectInherit', 'None', 'Allow') $Acl.SetAccessRule($Ar) Set-Acl -path $Path -AclObject $Acl Kann ich zwar meinen Benutzer $Username die Berechtigungen erteilen, allerdings bleibt beispielsweise die Gruppe User trotzdem berechtigt und sind in der ACE Auflistung enthalten. Wie bekommt man eine Gruppe aus der ACE Aufzählung raus???

Hallo, ein Schuß von mir ins blaue... gebe zusätzlich zur Weiterleitung des GW noch die Sessionhosts mit an. Soweit ich weiß benötigst du von extern zum GW nur HTTPS und kannst RDP Port schließen. Wieso verwendest du einen anderen Port als den Default 3389 Port für RDP? Schau dir den Verbindungsversuch auf der Firewall an. Somit weißt du ob die FW blockt oder das RDP-GW ein Problem hat.

Hm, wie ist den der Weg eines gedruckten Dokuments. Ist ein Printserver vorhanden, direkt zum Drucker oder evtl. etwas über GPO geregelt? Schau mal ob im Spoolerverzeichnis der Druckauftrag auftaucht und tatsächlich gelöscht wird.

Hallo, wir verwenden für diesen Zweck eine Orchestrierungssoftware. Wobei man ehrlicherweise sagen muss, es ist total überdimensioniert, letzten Endes liest das Powershellskript das pwdLastSet jedes Benutzeraccounts aus und vergleicht diesen mit der Domänenvorgabe. Liegt das pwdLastSet unter 5 Wochen, erhält der Benutzer täglich eine Erinnerungsmail. Das funktioniert bei uns hervorragend. Es gibt mit Sicherheit fertige Skripts im Internet die dieses Thema aufgreifen. Ist keine Orchestrierungssoftware vorhanden kann auch der Aufgabenplaner verwendet werden. Ansonsten käme evtl. ein Selfservice Portal in Frage? Gibt wahrscheinlich zig Möglichkeiten... ist halt immer von den Anforderungen des Betriebes abhängig. Speer

Also ich kann in dem Skript keinen Fehler erkennen. Der einzige mögliche Fehler könnte ein falscher Wert in $folder sein.

Hallo, das Vorgehen paßt soweit. Wir verwenden für unsere Testumgebung den Broker und Lizenzserver der produktiven Umgebung mit. Falls die Testumgebung nicht autark arbeiten muss ist dieser Weg der gemeinsamen Nutzung der Ressourcens möglich. Je nachdem wie groß die Farmen sind/werden und wie deren Verfügbarkeit eingestuft ist/wird, käme evtl. zur Redundanz ein zweiter Broker in Erwägung. Seit 2012 ist das über Bordmitteln möglich. Auch ein Broker braucht Updates, Neustarts, etc. und ohne Broker ist/sind die Farm(en) im Chaos :)

Ich könnte mir allerhöchstens vorstellen, dass es zu einer Verzögerung bei einer NTLM Authentifizierung kommen kann. Wobei man dann Fragen muß, warum NTLM überhaupt verwendet wurde...

Wir verwenden hierfür eine Orchestrierungssoftware. Der Ein- bzw. Austritt von Mitarbeitern erledigt die Personalabteilung direkt ohne weiteres zutun der IT. Meistens sind viele Module für die gängisten Systeme integriert (AD, Exchange, Azure, Hyper-V, SAP, etc.) oder lassen sich zukaufen. Zudem ist fast immer ein Modul für eine Programmier/Skriptsprache vorhanden (C# oder Powershell). Vieles läßt sich einfach zusammenklicken und für den Rest... Powershell Bei größeren Runbooks macht es Sinn vorher einen Ablaufplan zu erstellen. Ansonsten verhaspelt man sich gerne mal ;) Falls Ihr SCCM lizenziert haben solltet, vielleicht habt ihr auch den System Center Orchestrator gekauft.