daabm

Ja, kann man. Problem sind nicht die 2 Domänen, sondern daß es nur einen Bind-User in Domäne A geben soll, nicht in Domäne B. Bei den AD-Sources kann man aber nirgends angeben, wo sich der Bind-User befindet. Ok, in seinem DN steht es drin, aber wir vermuten, daß Clearpass den DN intern mit dem Hostnamen (=Zieldomäne) ergänzt, so daß LDAP://<DomäneB>:636/<BindDNausDomäneA> daraus wird.

Innerhalb eines Forest und mit 3269 statt 636 würde das ja funktionieren, aber wir haben halt 2 Forests - der DN von Domäne A ist in Domäne B natürlich ungültig.

@Nobbyaushb Der DC möchte da DC sein. Ist hier auch so... Hatte keine Lust, die Windows-Domäne in eine SAMBA-Domäne zu migrieren, und die Synos können in einer Windows-Domäne kein DC werden. Also laufen die Windows-DC jetzt als VM auf den Synos, die in diese Domäne gejoint sind

Muß man ein wenig tricksen bei AD-integriertem DNS, wenn Synology Updates für QEmu ausliefert - da waren mal beide DC nicht erreichbar, und die Synos müssen deshalb auch noch secondary DNS sein und sich selbst als DNS verwenden. Geht aber problemlos.

Und selbstverständlich gibt es auch auf einem DC lokale Richtlinien - siehe secpol.msc. (Fast) alles, was nicht aus einer GPO kommt, ist lokal. Ausnahme nur PW-Policies, die aus dem Domain Head in die DDP zurückwandern.

Hallo zusammen. Hat eigentlich nichts mit Windows direkt zu tun, aber hier paßt es am besten rein...

Ein Kunde setzt Aruba Clearpass als VPN-Lösung ein. User sind in Domäne A, Computer in Domäne B. Technischer Bind-User für Aruba ist auch in Domäne A. Die Domänen sind NICHT im gleichen Forest, aber es gibt einen Bidi-Trust. Die Clearpass-Appliance ist NICHT Mitglied einer dieser Domänen.

Wie muß Clearpass konfiguriert werden, damit der Bind-User aus Domäne A in Domäne B authentifiziert werden kann?

(Authentifizierung in Domäne A funktioniert problemlos.)

Die Doku (https://www.arubanetworks.com/techdocs/ClearPass/6.7/Aruba_DeployGd_HTML/Default.htm#Active Directory/AD_auth_source_adding.htm%3FTocPath%3DPreparing%20ClearPass%20for%20Active%20Directory%20Authentication|_____2) hab ich gelesen, aber da finde ich keine Erhellung. Und der Multi-Domain Support von Clearpass scheint sich auf einen Forest zu beschränken, in dem dann nicht AD (389/636) gefragt wird, sondern GC (3268/3269).

Bin für jeden Tip dankbar - der Kunde auch

Gruß Martin

Aber is schon geil, die Farbe. Noch nie gesehen, daß ein Auto im strahlenden Sonnenschein so konturlos werden kann 👍

Was sollte der NTLM-Response Dialekt des DC mit dem Zugriff auf ein anderes System zu tun haben - außer nichts natürlich

Bin bei Zahni. Hatten die Netapp-Kollegen bei uns auch schwer damit zu tun.

Wir kämfpen seit 2 Jahren gegen NTLM.... Man kommt sich vor wie der junge Don Qujchotte...

Und ich hab viel gelernt über Realms, Disjoint Namespaces und lauter so Zeug, was in einem nativen reinen Windows-AD-Umfeld einfach "out of the box" funktioniert. Aber natürlich stehen unsere Computer in DNS-Zonen, die keine Domain dahinter haben, registrieren aber die AD-Domains als SPN - und so geht das weiter. Drittanbieter scheitern gern komplett, weil sie mit Uni-(PAM-) Trusts nicht klarkommen und von "AuthUsers read all everywhere" ausgehen. Und natürlich keine Möglichkeit vorsehen, Realms zu definieren.

Da läuft noch ganz viel Wasser irgendwelche Bäche runter.

Du könntest auf dem TS mal mit secpol.msc schauen, ob auch da ein Inaktivitätslimit gesetzt ist. Und natürlich auch alle anderen Policies bzgl. RDS Session Host und Session Limits prüfen.

Man muß es aber nicht auch noch promoten - das liest dann wieder jemand, bei dem Kerberos eigentlich völlig ok wäre und schwupps ist er downlevel... Und ja, man kann auch in Cert-SANs IP-Adressen verbuddeln, aber das wird jetzt [OT/]

Oha, da weiß noch jemand, daß man bei Infofenstern Strg-C drücken kann 👍

vor 2 Stunden schrieb Nobbyaushb:

Oder \\<ipadresse>\freigabe

Erwähn das bitte nicht mehr. Wir wollen kein NTLM mehr...

Bin bei Norbert: nla durchstarten hilft. Geht notfalls per geplantem Task mit Trigger auf noch zu ermittelnde Events (gibt Eventlogs für wired und wifi, sollte sich was finden lassen).

In der Tat, wir sind gespannt. Sogar ich, obwohl ich mit XCH/EXO kaum zu tun habe Dafür kenne ich mich mit Schemas gut aus.

Den Trainer würde ich gern mal kennen lernen.

Und wenn die Lösung ist, das LDIF des Schemaupdates vorher zu manipulieren und alle Änderungen an User-Objekten rauszuwerfen: Viel Spaß, wenn dann mal ein Supportcase passiert...

Die RDP-Sitzung wurde "getrennt" oder "gesperrt"?

Ehrlich - habt Ihr alle keine Tastatur? Wen interessiert noch, was wo im Startmenü ist, seit man einfach Win drückt und 4 Buchstaben eintippt...

Am 16.11.2023 um 09:24 schrieb MiLLHouSe:

das -AllUsers hinzugefügt und nun steht im Log, dass er ein Paket gefunden hat

Nur deinstalliert hat er nix, das Paket ist weiterhin vorhanden.

Hab ich doch oben schon geschrieben - AllUsers-Removal funktioniert nur, wenn es ein Bundle ist. Und das hier ist kein Bundle, muß also pro User deinstalliert werden. Wenn Du im geplanten Task einfach ".\Benutzer" einträgst (oder englisch ".\Users"), sollte das klappen.

Am 16.11.2023 um 10:43 schrieb BOfH_666:

Dafür gibt es die Kommandozeilen-Option "-WindowStyle Hidden". Diese muss aber als erstes (vor allen anderen ...) angegeben werden, um korrekt zu funktionieren. ☝

Wow - das hilft sogar mir noch. Hab mir bisher mit nem VBS-Wrapper und WScript beholfen...

Ich würde das mal etwas aufdröseln - Pipes in unbeaufsichtigten Skripts sind Mist, weil Du nicht loggen kannst, was in der Pipeline passiert...

So als Vorschlag - und vielleicht mag ein Mod das in  Skripting-Forum schieben, da gehört es eher hin

Start-Transcript -Path "$( $MyInvocation.InvocationName ).Log"

$Packages = Get-AppxPackage Microsoft.OutlookForWindows
  
Write-Host "Number of Packages found: $( $Packages.Count )"
If ( $Packages.Count -gt 0 ) {
  Foreach ( $Package in $Packages ) {
  	$Package | Select Name, Version, InstallLocation | Format-Table -Autosize
  }
  Write-Host "Removing Packages..."
  Foreach ( $Package in $Packages ) {
   Remove-AppxPackage $Package -Verbose
  }
} Else {
  Write-Host "No Packages found, nothing to do..."
}
 
Stop-Transcript

Die Vorschläge mit "Remove-AppxPackage -AllUsers" werden nicht funktionieren, weil das kein Bundle ist, das kann nur pro User deinstalliert werden. Also muß auch das Skript im Benutzerkontext laufen.

Für die, die whoami nutzen wollen - das kennt auch /fo csv, damit kann man den Output in Powershell recht komfortabel weiterverarbeiten...

$groups = whoami /groups /fo csv | ConvertFrom-Csv 

vor 13 Stunden schrieb phatair:

6GB RAM

🙈🙈🙈

Mein Reden - 32 GB ist für Work die goldene Mitte derzeit. Genügend Abstand zu "out of Memory", aber noch nicht zu teuer.

vor 56 Minuten schrieb teletubbieland:

Fehlerursache:        Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt.

Dann fehlt seRemoteInteractiveLogonRight. Ist jetzt Dein Job herauszufinden warum

Edit: Sysinternals "accesschk -a *" sagt Dir, wer's hat. Aber nicht warum oder warum nicht.

Ok, sorry - mein Hintergedanke war "ich kaufe heute einen neuen Rechner". Würde ich nie mit 16 GB machen... Wer's mag, go for it Da bist am browsen mit 15 Tabs (ja, das ist business as usual) und dann mußt ne große Excel-Tabelle aufmachen, während natürlich noch Outlook FAT und Teams laufen. Und das Unify Softphone. Was kosten 32/64 GB mehr im Vergleich zu 16 GB?

Naja... Surfmaschine #1 hier hat 8 GB Ram - das ist schon grenzwertig und macht keinen Spaß. Browser genehmigen sich ziemlich viel. Zweite Surfmaschine (32GB) nimmt sich 11 GB mit 3 Browser-Tabs - auch noch ohne jede Anwendung.

Eventlogs kennst Du? Ein Blick ins Security Eventlog des respektiven Clients könnte sich lohnen.

16 GB sind nicht mehr zeitgemäß, ansonsten gibt es im Business-Bereich eigentlich keinen Hersteller, der sich mit Windows noch grobe Schnitzer leistet bei den Clients. Ok, Docking Stations mit Thunderbolt/USB3 waren die letzten Jahre ein Thema, aber das dürfte inzwischen auch größtenteils gegessen sein.

...und Intel jetzt auch 32 Bit endlich wegwirft