daabm

Das interessiert den Server keinen Deut. Nahezu kein Server bei uns kann ins Internt, und denen geht's im großen und ganzen nicht schlecht

Du wärst der erste, der "einfacher und billiger" erfolgreich umsetzt. Viel Glück damit, und wenn es klappt, wäre es ein prima Geschäftsmodell... Ich gehe nicht davon aus. Du bist einer von denen, die mit dafür verantwortlich sind, daß sich Malware so leicht ausbreiten und so lange halten kann. jm2c

"Zertifikat anzeigen" könnte helfen - und die URL, auf die Du zugreifst. Paßt das nicht zusammen -> gelitten.com.

Kommt wohl auf den konkreten Vertrag an, den außer Dir hier niemand kennt.

Procmon kann prima filtern, z.B auf die Reg-Keys... Aber ich schließe mich den Vorrednern an. Deine Beiträge zeugen nicht von strukturiertem Vorgehen. Und Du springst wirr quer über alle möglichen Themen und Problembereiche.

Gibt z.B auch das Connections-Plugin von IBM/HCL, das auf Server-Versionen grundlos die Installation verweigert, weil die Umgebungsprüfung im MSI schlampig ist Da half das Re-Authoring des MSI-Pakets, aber dafür muß man auch erst mal entweder viel Geld investieren (InstallShield) oder eine steile Lernkurve hinlegen (Orca). Und die Signatur ist dann natürlich auch noch futsch...

Immer gern - "Betriebsblindheit" ist auch für mich keine unbekannte Krankheit

"Ein wenig" doch über OneDrive und dessen Teilen-Funktion.

Ich würde eher mal in die Anmeldeinformationsverwaltung schauen Und da alles rauswerfen, was mit dem Firmennetzwerk zu tun hat.

Was war an meinem Tip so unverständlich? Wenn Du wie von @Sunny61 vorgeschlagen diese Keys alle gelöscht hast, kommt einer davon nach einem Reboot wieder? Und "Insider" ist nie "einfach da", da muß man immer aktiv beitreten - hast Du eine Eval-Version?

Der Fehler ist recht eindeutig... Auch der Fehlercode: E_INVALIDARG Beschäftige Dich mal damit, was für ein OSDBitlocker.exe da aufgerufen wird und welche Parameter es unterstützt.

Es gibt auch noch die Suche in der GPMC - Kontextmenü der Domäne. Kennt nur kaum jemand Die Frage wäre eher: Was genau soll denn gefunden werden? Wie ich das verstehe, läuft es auf Handarbeit raus - GPOs aufräumen ist nicht automatisierbar.

Ich würde auch sagen "nimm preiswerte Standardware". Die SW-Anforderungen sind ja überschaubar, das schafft jedes 200 Euro-Tablet. Und genau da würde ich mich auch umschauen. Lieber öfter mal neu als immer nur Ärger mit sündig teurer Industrie-Spezialware

Na, ich würde dann Mark Russinovich folgen: If you don't know what to do, use Process Monitor Wenn die Update-Seite behauptet, daß die Organsiation das festgelegt hat, müssen Reg-Werte dazu vorhanden sein. Wenn ich die lösche und sie automatisch wiederkommen, finde ich mit Procmon heraus, wer das macht. So einfach kann das Leben sein

So war das nicht gemeint - ich spreche fließend Batch (inkl delayedExpansion und aller Variationen von "for") und VBScript. Ich hab auch mit |, & und > mehr Erfahrung als die meisten (eins davon reicht übrigens, doppelte braucht man nicht). Nur verstehe ich nicht, warum sich noch jemand in aufwändige Batch-Konstrukte reinfuchst, wenn es in Powershell so viel einfacher ist. "Code von anderen" trägt zu meinen Skripts übrigens sicher mehr als 30% bei - die meisten Standardprobleme hat ja schon mal jemand gelöst, ich erfinde nicht gerne neue Räder

"Stuck in batch" SCNR...

Wirre Vorgehensweise... Lösch mal HKLM\Software\Policies und HKLM\Software\Microsoft\Windows\CurrentVersion\Policies. Nicht alles, was da drin steht, muß per GPO kommen, man kann das auch "einfach so" oder per SCCM reinschreiben. Dann neu booten. GPOs immer noch da? Wenn ja: "gpresult /h report.html" und das HTML dann anschauen. Wo kommen die GPOs her?

Würde mich auch interessieren. Weil ich im Moment keine Idee habe, was "Mucken von einem Switch" später mit der Benutzeranmeldung zu tun haben können

Das stimmt nur, solange keine PrivEsc möglich war - und genau das ist eine der häufigsten Sicherheitslücken. Bin ich SYSTEM, kann ich alles mitlesen. Deshalb ja auch "Admin-Workstation auf Blech, Arbeits-Workstation als VM" und nicht anders herum.

"Sauberer" macht man's andersrum: Die Admin-Maschine ist das Blech, und die Work-Maschine ist eine VM auf dem Blech. Das Risiko geht ja von der Work-Maschine aus, und wenn die der VM-Host ist, kommt ein Schädling recht einfach in die Admin-VM rein oder schafft es, Logon-Credentials abzufangen (die tippst Du ja auf dem Blech = Work-Maschine ein). Ist die Work-Maschine ein VM, muß der Schädling daraus erst mal ausbrechen... Das ist auch die preiswerte Alternative zur dedizierten Admin-Workstation, die Microsoft in ESAE empfiehlt. Dazu kommen noch Policies, die dem Work-User die Anmeldung an der Admin-Maschine verweigern und andersrum. https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html verdeutlicht das grundsätzliche Prinzip, wie man so was sehr einfach und extrem flexibel umsetzen kann. Und idealerweise wird das ergänzt durch Applocker/SRP/xyz, so daß auf der Admin-Workstation nichts gestartet werden kann, was für die Administration nicht benötigt wird. Und ja, da bin ich bei @Gulp, das kann einen Rattenschwanz hinterherziehen

...wurde eigentlich schon alles gesagt, aber mal in anderen Worten: Routen kann es viele geben, Proxy-Server auch. Aber DNS - wenn kein FQDN verwendet wird - gibt es nur EINEN. Oben schreibst Du: Und dann schreibst Du: Also was genau funktioniert eigentlich nicht und was genau ist das Ziel? Fehlen Dir nur die DNS-Suffixe auf den Netzwerkverbindungen?

Um Dir noch zu sagen, was Du falsch gemacht hast: Beim 2. Get-ADComputer fehlt der Properties-Schalter... Der ist wichtig, Get-ADxyz holt per default nur bestimmte fest definierte Attribute.

Ojeh... Für die FW gibt es 2 Grundeinstellungen: "Zulassen" oder "Blockieren". Wählst Du einfach zweiteres, ist Deine Anforderung doch ganz einfach zu erfüllen - da kommen dann Regeln dazu, die im lokalen Subnetz ziemlich viel zulassen und von Remote halt nur noch was gewünscht ist.

Laps ist keine Option, da bin ich bei Nils. Lies Dich mal hier durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Kann man problemlos auf Dein Szenario anpassen... DL-Gruppe erstellen für jeden Rechner. GG-Gruppe für User, die auf Rechnergruppen müssen. User in GG-Gruppe, die in die entsprechenden DL-Gruppen. Fertig.

In Deinem Screenshot ist der "Client" Key markiert. Hast Du auch die Server-Keys passend konfiguriert?