daabm

Der Workaround mit wscript und einem VBS-Wrapper scheint aktuell die einzig brauchbare Möglichkeit zu sein. wscript startet immer ohne sichtbares Fenster. Mir ist nichts anderes "brauchbares" für den Busy Admin bekannt.

@NilsK Erwischt Spaß beiseite - ich hatte eine Konversation mit Nils, und da kam ein Aspekt zur Sprache, den ich nicht bedacht habe. Ich bin so unterwegs, daß mir Bücher kaum helfen, meine Wissenserweiterung kommt vor allem aus Blogs und ähnlichem... (Selbstversuch, Bewußtseinserweiterung und all so Zeug ). Das hatte ich bei meinem Kommentar oben dämlicherweise ausgeblendet... Ich würde bei Fachbüchern empfehlen darauf zu achten, daß sie aus einem rennomierten Verlag stammen und daß der Autor auch noch irgendwo im Netz zu finden ist und nicht nur auf dem Buchrücken. Ich nehm mal Nils als Beispiel - bietet sich grad an: Er hat momentan 4 Bücher bei Amazon am Start, aber faq-o-matic.net ist auch noch da und hier ist er auch sehr aktiv. Das ist für mich Berufung. Und ein anderer mir bekannter Buchautor hat zwar auch 2 Bücher geschrieben, ist im Netz aber nirgends zu finden. Kein Blog, keine Website, keine Foren. Das ist dann Beruf.

Die stehen auf privat, weil der jeweilige Server beim Boot keinen DC findet. Warum? Das mußt Du jetzt herausfinden... Könnte helfen, den DC "vorher" neu zu starten und nicht alle gleichzeitig

Typo... Das wird schon ein Outlook-Objekt sein, sonst hätte es nicht diese Properties - auch wenn die nicht leer sein dürften. Ich kann allerdings auch nur die Glaskugel fragen, und die ist ziemlich trübe - hier mit O2016 kommt das raus: PS C:\WINDOWS\system32> $OL = New-Object -ComObject outlook.application $OL Application : Microsoft.Office.Interop.Outlook.ApplicationClass Class : olApplication Session : Microsoft.Office.Interop.Outlook.NameSpaceClass Parent : Assistant : Name : Outlook Version : 16.0.0.13328 COMAddIns : System.__ComObject Explorers : {} Inspectors : {} LanguageSettings : System.__ComObject ProductCode : {90160000-000F-0000-1000-0000000FF1CE} AnswerWizard : FeatureInstall : msoFeatureInstallOnDemand Reminders : {$null, $null, $null, $null...} DefaultProfileName : Outlook IsTrusted : False Assistance : System.__ComObject TimeZones : {System.__ComObject, System.__ComObject, System.__ComObject, System.__ComObject...} PickerDialog : System.__ComObject Kann es sein, daß es auf dem Rechner zwar Outlook gibt, aber kein Profil eingerichtet ist?

Ich bin bei Olaf - das ist ein ungünstiges Format. Du kannst dem Add-ADGroupMember schon ein Array von Usern mitgeben, die aufgenommen werden sollen. Aber dazu muß es aus Powershell-Sicht auch ein Array sein. Wenn Du UPNs bekommst (und zwar wirklich UPNs und nicht Mailadressen), dann kannst Du die auch direkt in ein Array stecken und übergeben, es wäre nicht nötig, sich die User-Objekte dafür einzeln zu holen. In deinem Code dürfte bei mehr als 1 Member schon Get-ADUser scheitern - dem kann man das so nicht übergeben. Weil es einfach keinen User gibt, dessen UPN so aussieht: "user.user01@contoso.com user.user02@contoso.com user.user03@contoso.com" Damit übergibst Du natürlich danach eine leere Memberliste Excel (bzw. Tabellen) gehen als Input für so was schon. Aber da Excel keine "nested tables" hat, brauchst Du als Input eine Tabelle mit genau 1 Gruppe, 1 User pro Zeile. Dann ist es easy. In Powershell würde man dafür ein PSCustomObject erstellen. Property "Name" wäre der Name der Gruppe, und Property "Members" wäre ein Array (!) der Mitglieder. Und genau dieses Array liefert Dir Import-CSV nicht. HTH, auch wenn's etwas wirr formuliert ist...

Ich habe keine validen Infos dazu gefunden - aber anscheinend passiert das nur bei (jedem) Neustart. Wenn in dem Moment (wegen VPN) keine Netzwerkverbindung zum AD vorhanden ist, wird nicht aktualisiert, und später im laufenden Betrieb wohl auch nicht mehr. Irgendwie auch nachvollziehbar - das im laufenden Betrieb immer wieder abzufragen/zu aktualisieren ist ja eigentlich Overkill. Und eine neue OS-Version ist beim Neustart ja spätestens präsent. Insofern mußt die fraglichen Clients wohl anders ermitteln - das Feld ist schreibbar, kannst Du also bei Bedarf auch gleich mit aktualisieren.

Wenn's nicht zu viel Aufwand ist, würde ich dem User mal einen anderen Client spendieren. Ich weiß jetzt nicht wirklich im Detail, wie weit RDP auf lokale HW-Ressourcen zugreift, aber das sieht eigentlich nach einem HW-/Treiberproblem aus. Und mit Dingen wie RemoteFX landet davon ziemlich viel auf der Client-HW.

Central Store wegwerfen und mit dedizierten Admin-Workstations arbeiten eliminiert dieses Problem ziemlich schnell... Und gpmc.msc verhält sich ziemlich genau wie erwartet. Die Fehermeldungen waren vermutlich irgendwas mit "Ressource xyz from blabla.admx not found". Aber das kannst Du ja noch nachliefern. Ich stimme Norbert auch zu - Fettschrift in Forenbeiträgen sollte man sparsam verwenden. Sehr sparsam

Ja, hab ich. Aber wer immer nur nach den Trauben auf Nasenhöhe greift... Spaß beiseite, das war nicht böse gemeint. Aber es gibt viele Bücher, und leider auch viele schlechte, das wissen glaub alle hier. Du eh

Kann man sicher diskutieren (ich finde doch, die Screenshots reichen mir) - aber ein neues gutes Buch dazu wird es auf absehbare Zeit nicht mehr geben, da GPOs bei MSFT irgendwie "deprecated" sind, da entwickelt keiner mehr was weiter... Wenn Du durch meinen Blog stöberst, findest auch ein paar Beiträge zum Thema "Vererbungsreihenfolge, winning GPO" mit Beachtung von Loopback. Und zum Grundsatzproblem von "additiv" vor allem mit Bezug auf "Zuweisen von Benutzerrrechten".

Ich nicht - DDP und DDCP läßt man einfach, wie sie sind... Warum? Sie haben wellknown GUIDs, dcgpofix überschreibt sie, und Änderungen im Domain Head an PW-Policies wandern in die DDP zurück. Nur eine eigene "DDP" kann das übersteuern... Zum Thema "Benutzerrechte additiv statt last writer wins": https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html @michelo82 Du hast das falsche Buch gelesen

Fehlerursachen: #1 Firewalls #2 Schlangenöl und Antivirus #3-xxx alles andere SCNR

Vielleicht auch doch - man kann mMn das Thema nicht oft genug strapazieren, bis auch der letzte Betonkopf kapiert hat, daß Kennwörter a) eh out of date sind und b) regelmäßige Änderungen komplett kontraproduktiv

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"... Und eine Arbeits-VM auf einem Admin-Hostrechner, das ist doch nun wirklich keine große Einschränkung... Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%? Ich kann mir niemanden vorstellen, der das bei einer derart hohen Wahrscheinlichkeit machen würde... Keiner unserer Jumpserver kann ins Internet. Keiner der darüber ereichbaren Admin-Server kann ins Internet. Kein Domain Controller kann ins Internet. Und das ist auch gut so. (Könnte noch besser sein, aber ok...)

Lustig - grad antworte ich in einem anderen Thread mit einem Link, der auch hier prima paßt If it's not compromised, there's no need to change it.

...und für das Ändern von Computerkennwörtern (und auch das des krbtgt) gilt grundsätzlich das gleiche wie für alle anderen Kennwörter: If it's not compromised, there's no need to change it.

Was die MFA dabei helfen kann, entzieht sich mir komplett. Und "a device that is not trusted" kann man bei der ersten Anmeldung "abhaken" - da gibt's diese schöne Checkbox Vielleicht wäre Aufklärung besser als Regulierung - jede Regulierung hat Lücken und führt automatisch zur Suche nach Umgehungsmöglichkeiten. Und wenn Du bei der Regulierung bleiben willst: Was spricht dagegen, dem zweiten Account einen Zeitplan zu geben, der an die Schulzeiten angepaßt ist?

Oh ja, das unterschreibe ich. Gerne auch dreimal und mit einem goldenen Stift...

Gelitten dot com. Sorry, ist hart, aber gelöscht ist in dem Fall gelöscht. DFS-R hat keinen "Papierkorb".

Für Outlook gibt's immer noch Redemption von Dimastr. Aber die Lernkurve ist relativ steil - ob sich das lohnt?

Full ACK für Jan. Application Whitelisting, alles andere ist Schlangenöl...

Vielleicht wäre es einfacher, die Integration des Firmen-Device in die heimische Peripherie zu verbessern... Ich bin hier auch umgestiegen - Dell 3415UW hat einen Dual USB-Uplink, da reichen 2 Kabel am Firmen-Laptop (USB und HDMI) und ich bin "integriert". Mit einer USB-C Docking Station würde ggf. sogar 1 Kabel reichen. Ansonsten wird's wohl die Windows-FW sein, der eine passende Inbound-Regel für 3389 fehlt.

Also hier laufen 2 Synologys, die auch Gateway sind. Nur so, um etwas Verwirrung zu stiften

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

Was in Homeshare steht, resultiert aus dem Homedrive-Eintrag im AD-Account. Was auch immer Ihr da eingetragen habt.