daabm

Ehrlich - habt Ihr alle keine Tastatur? Wen interessiert noch, was wo im Startmenü ist, seit man einfach Win drückt und 4 Buchstaben eintippt...

Hab ich doch oben schon geschrieben - AllUsers-Removal funktioniert nur, wenn es ein Bundle ist. Und das hier ist kein Bundle, muß also pro User deinstalliert werden. Wenn Du im geplanten Task einfach ".\Benutzer" einträgst (oder englisch ".\Users"), sollte das klappen. Wow - das hilft sogar mir noch. Hab mir bisher mit nem VBS-Wrapper und WScript beholfen...

Ich würde das mal etwas aufdröseln - Pipes in unbeaufsichtigten Skripts sind Mist, weil Du nicht loggen kannst, was in der Pipeline passiert... So als Vorschlag - und vielleicht mag ein Mod das in Skripting-Forum schieben, da gehört es eher hin Start-Transcript -Path "$( $MyInvocation.InvocationName ).Log" $Packages = Get-AppxPackage Microsoft.OutlookForWindows Write-Host "Number of Packages found: $( $Packages.Count )" If ( $Packages.Count -gt 0 ) { Foreach ( $Package in $Packages ) { $Package | Select Name, Version, InstallLocation | Format-Table -Autosize } Write-Host "Removing Packages..." Foreach ( $Package in $Packages ) { Remove-AppxPackage $Package -Verbose } } Else { Write-Host "No Packages found, nothing to do..." } Stop-Transcript Die Vorschläge mit "Remove-AppxPackage -AllUsers" werden nicht funktionieren, weil das kein Bundle ist, das kann nur pro User deinstalliert werden. Also muß auch das Skript im Benutzerkontext laufen.

Für die, die whoami nutzen wollen - das kennt auch /fo csv, damit kann man den Output in Powershell recht komfortabel weiterverarbeiten... $groups = whoami /groups /fo csv | ConvertFrom-Csv

🙈🙈🙈

Mein Reden - 32 GB ist für Work die goldene Mitte derzeit. Genügend Abstand zu "out of Memory", aber noch nicht zu teuer.

Dann fehlt seRemoteInteractiveLogonRight. Ist jetzt Dein Job herauszufinden warum Edit: Sysinternals "accesschk -a *" sagt Dir, wer's hat. Aber nicht warum oder warum nicht.

Ok, sorry - mein Hintergedanke war "ich kaufe heute einen neuen Rechner". Würde ich nie mit 16 GB machen... Wer's mag, go for it Da bist am browsen mit 15 Tabs (ja, das ist business as usual) und dann mußt ne große Excel-Tabelle aufmachen, während natürlich noch Outlook FAT und Teams laufen. Und das Unify Softphone. Was kosten 32/64 GB mehr im Vergleich zu 16 GB?

Naja... Surfmaschine #1 hier hat 8 GB Ram - das ist schon grenzwertig und macht keinen Spaß. Browser genehmigen sich ziemlich viel. Zweite Surfmaschine (32GB) nimmt sich 11 GB mit 3 Browser-Tabs - auch noch ohne jede Anwendung.

Eventlogs kennst Du? Ein Blick ins Security Eventlog des respektiven Clients könnte sich lohnen.

16 GB sind nicht mehr zeitgemäß, ansonsten gibt es im Business-Bereich eigentlich keinen Hersteller, der sich mit Windows noch grobe Schnitzer leistet bei den Clients. Ok, Docking Stations mit Thunderbolt/USB3 waren die letzten Jahre ein Thema, aber das dürfte inzwischen auch größtenteils gegessen sein.

...und Intel jetzt auch 32 Bit endlich wegwirft

A8 heute nachmittag für Stunden gesperrt, ich hatte eine interessante Route von Karlsruhe nach Stuttgart - über Walldorf/Sinsheim/Heilbronn 😒

Hier war heute strahlender Sonnenschein, zumindest die meiste Zeit. Morgen geht's wohl wieder bergab, damit morgen abend der Aufstieg zum Bergfest nicht so hoch wird

Ist möglicherweise ein Bug im MSI - das muß die administrative Bereitstellung unterstützen.

Wie gesagt: In einem Netzwerktrace kannst Du den SSL-Handshake nachvollziehen und da siehst Du auch, was schiefgeht. Und daß das "lokal auf der CA" läuft, bedeutet erst mal nichts. Das Windows-OS muß dieser CA ja auch erst mal vertrauen.

Das ist dann aber Security by Obscurity... Man könnte das über die Windows-Firewall lösen, outbound per Default blocken und nur Richtung Proxy alles zulassen (oder auch nur 80/443). In der Annahme, daß der Kiosk-User kein lokaler Admin ist.

Ja ok, manchmal vergesse ich wie meine Parameter heißen Wenn da überal N/A steht, klappt der SSL-Handshake nicht. Netzwerktrace sagt Dir, was genau schiefgeht. CA-Kette nicht vertrauenswürdig vermutlich, obwohl ich das eigentlich ignoriere (extra einen Verificaction Callback eingebaut, der immer $True liefert). Oder falsche Namen/SAN im Zertifikat.

Spaß beiseite, für große ADs ist das ein Thema. Weniger VM-DCs mit mehr Cores. Für mich wäre es nice, wenn wir mit 1-2 pro Primärsite auskämen. Geht aber derzeit nicht, zu viel Logontraffic. Ok, geht schon, führt aber zu negativer "User Experience"... Gibts doch mit den FGPP/PSO schon ewig. Unter welchem Baum hast Du die letzten 15 Jahre geschlafen? SCNR...

So einfach ist das jetzt leider nicht. Bei LDAPS kannst Du nicht festlegen, welches Zertifikat verwendet wird... Da mußt dann "remote" schauen, welches im SSL-Handshake präsentiert wird. Soweit ich weiß, wird von allen, die "Server-Auth" haben, das neueste genommen. Test: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Aufrufen mit -Ports 636 -IncludeSSL -SSLPorts 636, dann siehst zumindest mal welche SAN und so im Cert stehen. Wenn Du's genauer weissen willst: -PassThru anhängen und das Ergebnis speichern, dann hast ein Objekt, in dem das Cert drinsteckt inkl. .Save( "Dateiname" ) Methode. Aber jetzt wird's zu esoterisch Das mit "muß der CA-Kette vertrauen" steht oben ja schon. Ich weiß übrigens nicht, ob LDAPS mit SelfSigned überhaupt funktioniert, nie probiert mangels Umgebung ohne CA

Hilft immer, wenn man sich diese dämlichen Auto-Übersetzungen mal auf englisch anschaut... Falsche Syntax Dir fehlt das file: Präfix. Local network file:\\network\shares\sites.xml Und nachdem sie bei dem local File "/" verwenden statt "\", kann auch das noch falsch sein.

Ja, hat er. Sieht man in der Fußleiste des Explorer

Wenn Du noch mal genau drüber nachdenkst, kannst Du es vermutlich selbst beantworten Alle GPOs haben eine Versionsnummer. Ist bei einer davon die Version beim nächsten GPUpdate (Start/Logon/Background) anders, wird alles, was darin an CSEs enthalten ist, erneut verarbeitet (Registry, Security, Ordnerumleitung, Applocker, xyz - gibt glaub 45 Stück). Ist sie überall gleich wie beim letzten GPUpdate, werden nur die CSEs verarbeitet, bei denen "auch ohne Änderungen" aktiv ist. Ausnahme ist Security, das wird alle (weiß nicht mehr genau) x Stunden auch ohne Änderungen zwangsweise angewendet. Und Deine Idee zur Konfiguration ist ok.

Weekend sundowner... 🍹

Wenns komplizierter sein darf, kann hinter Where-Object auch ein Skriptblock kommen