daabm

Wie will ein IT-Unternehmen private und berufliche Internet-Nutzung überhaupt sinnvoll trennen? Ich recherchiere wegen eines geschäftlichen Problems, logge mich deswegen automatisch im MCSE-Board mit meinem privaten Account ein und besuche hier ein paar Seiten. Dann schaut jemand nach, was ich hier so treibe, und stellt fest, daß ich mehrere tausend Posts verfasst habe. Und jetzt? Abgesehen davon, was man in letzter Zeit von SSL-Interception bei den gängigen AV-Produkten hört (Avast...).

Die gleiche wie schon seit Jahren für den Bildschirmschoner.

Wir haben grad ne neue AD-Infrastruktur im Aufbau. Da klopp ich immer direkt alles sofort rein, was irgendwie Sicherheit erhöht. LDAP Signing enforced eh, AES256 für Kerberos, NTLM blocking und noch so ne Handvoll globale Settings, die vielen echt Aufwand machen. Aber diese vielen haben sich darum die letzten 15 Jahre nicht gekümmert, und das geht einfach nicht mehr...

Deine Frage sagt mir, daß Du die Antwort eh schon kennst. Was willst Du jetzt genau wissen?

Entweder suchst Du den LEI-Node mit XPath oder arbeitest trivial mit Try/Catch. Im Try greifst auf den LEI-Node zu, und (ohne das probiert zuhaben) das wirft dann entweder eine Exception (-> goto Catch) oder liefert $null. Beides sollte machbar sein. So sinngemäß: Try { If ( $Node.LEI ) { # Mach irgendwas } Else [ # Mach nix } } Catch { # Mach irgendwas anderes } Ist mir grad zu spät zum noch ausprobieren, gefühlt landest Du im Else-Block, wenn LEI nicht existiert. Frage: Wozu brauchst Du nen XMLWriter? Das ist doch in Powershell alles schon drinne...

Wir arbeiten daran Das ist nichts, was man mal eben so einführt... TL;DR: Man redet sich den Mund fusselig bei vielen - "das ist doch lästig", "das hat doch bisher auch funktioniert" usw... Als Kompromiss bleibt dann meist nur, das soweit möglich im eigenen Verantwortungsbereich umzusetzen (was wir tun) und zu hoffen, daß der Rest den Sinn versteht, bevor (!) was passiert.

Bei Monopoly heißt das "Zurück auf Los"... Entsorge Deinen Central Store, entsorge die WSUS-Policies und mach neu... Du hast offensichtlich ein völliges Durcheinander von Settings, die für unterschiedliche Windows-Versionen anwendbar sind.

Hmmm - hat jemand 445 ins Internet offen? Ne, nicht wirklich, oder doch?

Mir persönlich ist "universell" wichtiger als "universitär" - auch wenn das vielleicht sogar was ähnliches bedeutet BTT: @epsodus Wie ist denn der Stand Deiner Skripting-Erfahrungen?

Ja, wäre es. rsync wäre dann natürlich wieder besser, weil es nur blockbasierte Unterschiede überträgt statt kompletter Dateien - dafür ist halt der Aufwand höher für den Bereitsteller... Das mit den Checksummen kann man sich sparen, wenn man das nur mit seinen eigenen Daten macht - ich wüßte nicht, wann da mal wirklich was großartig schief ging. Aber ja, rechtlich relevant mag ein Argument dafür sein

Da müßte man jetzt wissen, was in $Node.OuterXML genau drinsteht. Vermutlich ein Syntax Error Oder $Node ist leer bzw enthält das falsche. Klassischer Fall von "zeige die kompletten Daten, dann können wir komplett helfen". Das entschuldigt aber nix - und es beschönigt auch nichts Nils ist eh einer der Jungspunde IMHO...

Olaf, ich sehe viel zu oft "Tipps", irgendwas mit GPP Files zu lösen. Und der Tipp ist jedesmal falsch... Man kann es nicht oft genug wiederholen

Ich spare mir mal das Einlesen - das Parsen geht so: Foreach ( $Node in $xml.SctiesFincgRptgTxStatRpt.TradData.Stat ) { $Node.InnerXml $Node.OuterXml $OutFileId = $Node.TechRcrdId } InnerXML ist das, was zwischen den <Stat>-Tags steht. OuterXML schließt die <Stat>-Tags mit ein. Edit: Mit OuterXML erzeugst Du also direkt eine valide XML-Datei mit Start- und End-Tag. Das jetzt in eine Datei zu schreiben und noch den Inhalt der ID als Name zu verwenden, sollte kein Problem sein. Und warum Olaf eine Phobie gegen XML hat, kann ich grad nicht nachvollziehen - nichts ist einfacher, als gutes XML in Powershell zu verarbeiten Und noch so als Tip: Wenn man die For-Schleife einmal ohne Code zwischen { und } durchlaufen läßt, kann man für $Node beim weiteren Bearbeiten Intellisense verwenden Macht vieles einfacher, vor allem bei den eigenartigen Tagnamen, die hier (vermutlich mit einem Grund) auftauchen.

Nein, das will man nicht benutzen. Nein, das will man nicht benutzen. Nein, das will man nicht... Spaß beiseite: Es gibt viele nützliche Settings in GPOs. Die GPP Files gehören NICHT dazu.

Die Diskussion ist müßig - MS hat das alles schon komplett durchdokumentiert: https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Das MUSST Du umstellen, vorher ist alles nix

Zitat von ganz weit oben: $CredPassword = ConvertTo-SecureString "_____" -AsPlainText -Force Mit nur Unterstrichen hätte es dann auch funktioniert. Schmeiß die Klartextkennwörter aus dem Skript raus und autorisiere die IP des Systems zum Relay-Versenden...

Und heute weiß kaum mehr einer, was LPT eigentlich bedeutet... Oder TTY. (Spoiler: Wer nutzt heute noch einen Zeilendruckeranschluss?)

Nachdem Du das Ereignis 5312 gefunden hast (Liste der anwendbaren GPOs): Direkt danach kommt eines der nicht anwendbaren inkl. Begründung - steht da Deine vermisste GPO drin? Und wenn nein: Was steht denn im GPResult als Distinguished Name des Benutzers und unter Computer/Policies/System/GroupPolicy zu Loopback? Edit: Die Screenshots sind ja nett, aber quasi alles interessante fehlt

Stop! S-1-5-80 und S-1-5-82 sind keine normalen User-Accounts... Das sind Dienste-SIDs, die sich aus dem Dienstnamen ableiten (sc getsid)... Und die können hier nicht wirklich aufgelöst werden, das geht nur auf Rechnern, auf denen es die entsprechenden Dienste gibt.

Ich glaub auch nicht, daß Robocopy was damit zu tun hat. Eher eine Überlast an einer der beteiligten Netzwerkkomponenten... Und wenn ich VPN höre: Ich hab's vor vielen Jahren auch mal geschafft, nen VPN-Knoten lahmzulegen. Die Effekte sind - hm - "lustig"

Ich würde ja mit Telnet anfangen und schauen, ob ich vom Server ein EHLO bekomme... Ohne das ist alles weitere zum Scheitern verurteilt.

Manche möchten das - warum auch immer. https://www.grouppolicy.biz/2012/07/how-to-configuring-ie-site-zone-mapping-using-group-policy-without-locking-out-the-user/ beschreibt das korrekte Vorgehen.

Also ich nicht. Ich lese auch keine Anleitungen... Du etwa?

gpresult /r ist etwas sparsam in der Anzeige - besser wäre gpresult /h report.html. Und natürlich die Ereignisanzeige. Gruppenrichtlinien haben seit 2005 ein eigenes Eventlog (Anwendungs- und Dienstprotokolle/Microsoft/Windows/GroupPolicy:Operational)