daabm

Aktuell läuft es auf Sprungserver raus (RDP), auf denen dann entweder die Admin-Tools vorhanden sind oder ein weiterer RDP-Jump erfolgt.

Suchen ist nicht mehr en vogue...

Wie will ein IT-Unternehmen private und berufliche Internet-Nutzung überhaupt sinnvoll trennen? Ich recherchiere wegen eines geschäftlichen Problems, logge mich deswegen automatisch im MCSE-Board mit meinem privaten Account ein und besuche hier ein paar Seiten. Dann schaut jemand nach, was ich hier so treibe, und stellt fest, daß ich mehrere tausend Posts verfasst habe. Und jetzt?

Abgesehen davon, was man in letzter Zeit von SSL-Interception bei den gängigen AV-Produkten hört (Avast...).

Die gleiche wie schon seit Jahren für den Bildschirmschoner.

Wir haben grad ne neue AD-Infrastruktur im Aufbau. Da klopp ich immer direkt alles sofort rein, was irgendwie Sicherheit erhöht. LDAP Signing enforced eh, AES256 für Kerberos, NTLM blocking und noch so ne Handvoll globale Settings, die vielen echt Aufwand machen. Aber diese vielen haben sich darum die letzten 15 Jahre nicht gekümmert, und das geht einfach nicht mehr... 

Deine Frage sagt mir, daß Du die Antwort eh schon kennst. Was willst Du jetzt genau wissen?

Entweder suchst Du den LEI-Node mit XPath oder arbeitest trivial mit Try/Catch. Im Try greifst  auf den LEI-Node zu, und (ohne das probiert zuhaben) das wirft dann entweder eine Exception (-> goto Catch) oder liefert $null. Beides sollte machbar sein. So sinngemäß:

Try {
	If ( $Node.LEI ) {
		# Mach irgendwas
	} Else [
		# Mach nix
	}
}
Catch {
	# Mach irgendwas anderes
}

Ist mir grad zu spät zum noch ausprobieren, gefühlt landest Du im Else-Block, wenn LEI nicht existiert.

Frage: Wozu brauchst Du nen XMLWriter? Das ist doch in Powershell alles schon drinne...

Wir arbeiten daran Das ist nichts, was man mal eben so einführt... TL;DR: Man redet sich den Mund fusselig bei vielen - "das ist doch lästig", "das hat doch bisher auch funktioniert" usw... Als Kompromiss bleibt dann meist nur, das soweit möglich im eigenen Verantwortungsbereich umzusetzen (was wir tun) und zu hoffen, daß der Rest den Sinn versteht, bevor (!) was passiert.

Bei Monopoly heißt das "Zurück auf Los"... Entsorge Deinen Central Store, entsorge die WSUS-Policies und mach neu... Du hast offensichtlich ein völliges Durcheinander von Settings, die für unterschiedliche Windows-Versionen anwendbar sind.

Hmmm - hat jemand 445 ins Internet offen? Ne, nicht wirklich, oder doch?

Mir persönlich ist "universell" wichtiger als "universitär" - auch wenn das vielleicht sogar was ähnliches bedeutet

BTT: @epsodus Wie ist denn der Stand Deiner Skripting-Erfahrungen?

Ja, wäre es. rsync wäre dann natürlich wieder besser, weil es nur blockbasierte Unterschiede überträgt statt kompletter Dateien - dafür ist halt der Aufwand höher für den Bereitsteller...

Das mit den Checksummen kann man sich sparen, wenn man das nur mit seinen eigenen Daten macht - ich wüßte nicht, wann da mal wirklich was großartig schief ging. Aber ja, rechtlich relevant mag ein Argument dafür sein

vor 6 Stunden schrieb epsodus:

$OutFileId = $Node.TechRcrdId


ERROR: In C:\DTCC TEST\Sta_Einlesen_Test.ps1:48 Zeichen:31
ERROR: +     $OutFileId = $Node.TechRcrdId
ERROR: +                                  ~
ERROR: Unerwartetes Token "" in Ausdruck oder Anweisung.
ERROR:     + CategoryInfo          : ParserError: (:) [], ParseException
ERROR:     + FullyQualifiedErrorId : UnexpectedToken
ERROR:

Da müßte man jetzt wissen, was in $Node.OuterXML genau drinsteht. Vermutlich ein Syntax Error

Oder $Node ist leer bzw enthält das falsche. Klassischer Fall von "zeige die kompletten Daten, dann können wir komplett helfen".

vor einer Stunde schrieb epsodus:

Dann sagen wir es mal so, in Deinem Geburtsjahr habe ich meine Ausbildung begonnen, demnach bin ich kein alter Herr, sondern ein Greis.

Das entschuldigt aber nix - und es beschönigt auch nichts Nils ist eh einer der Jungspunde IMHO...

Olaf, ich sehe viel zu oft "Tipps", irgendwas mit GPP Files zu lösen. Und der Tipp ist jedesmal falsch... Man kann es nicht oft genug wiederholen

Ich spare mir mal das Einlesen - das Parsen geht so:

Foreach ( $Node in $xml.SctiesFincgRptgTxStatRpt.TradData.Stat ) {
    $Node.InnerXml
    $Node.OuterXml
    $OutFileId = $Node.TechRcrdId
}

InnerXML ist das, was zwischen den <Stat>-Tags steht. OuterXML schließt die <Stat>-Tags mit ein. Edit: Mit OuterXML erzeugst Du also direkt eine valide XML-Datei mit Start- und End-Tag.

Das jetzt in eine Datei zu schreiben und noch den Inhalt der ID als Name zu verwenden, sollte kein Problem sein. Und warum Olaf eine Phobie gegen XML hat, kann ich grad nicht nachvollziehen - nichts ist einfacher, als gutes XML in Powershell zu verarbeiten

Und noch so als Tip: Wenn man die For-Schleife einmal ohne Code zwischen { und } durchlaufen läßt, kann man für $Node beim weiteren Bearbeiten Intellisense verwenden Macht vieles einfacher, vor allem bei den eigenartigen Tagnamen, die hier (vermutlich mit einem Grund) auftauchen.

Am 6.3.2020 um 16:08 schrieb BOfH_666:

Computer Configuration -> Preferences -> Windows Settings -> Files

User Configuration -> Preferences -> Windows Settings -> Files

Nein, das will man nicht benutzen. Nein, das will man nicht benutzen. Nein, das will man nicht...

Spaß beiseite: Es gibt viele nützliche Settings in GPOs. Die GPP Files gehören NICHT dazu.

Die Diskussion ist müßig - MS hat das alles schon komplett durchdokumentiert: https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Am 6.3.2020 um 18:21 schrieb nonickatall:

Der DHCP läuft auf der FRITZ!Box, aber das werde ich umstellen

 

Das  MUSST Du umstellen, vorher ist alles nix

Zitat von ganz weit oben: $CredPassword = ConvertTo-SecureString "_____" -AsPlainText -Force

Mit nur Unterstrichen hätte es dann auch funktioniert. Schmeiß die Klartextkennwörter aus dem Skript raus und autorisiere die IP des Systems zum Relay-Versenden...

Am 20.2.2020 um 17:34 schrieb Sunny61:

[OT]

Ein früherer Kollege hat immer LTP anstatt LPT gesagt und geschrieben. :)

[/ot]

Und heute weiß kaum mehr einer, was LPT eigentlich bedeutet... Oder TTY.

(Spoiler: Wer nutzt heute noch einen Zeilendruckeranschluss?)

Nachdem Du das Ereignis 5312 gefunden hast (Liste der anwendbaren GPOs): Direkt danach kommt eines der nicht anwendbaren inkl. Begründung - steht da Deine vermisste GPO drin? Und wenn nein: Was steht denn im GPResult als Distinguished Name des Benutzers und unter Computer/Policies/System/GroupPolicy zu Loopback?

Edit: Die Screenshots sind ja nett, aber quasi alles interessante fehlt

Stop! S-1-5-80 und S-1-5-82 sind keine normalen User-Accounts... Das sind Dienste-SIDs, die sich aus dem Dienstnamen ableiten (sc getsid)...

Und die können hier nicht wirklich aufgelöst werden, das geht nur auf Rechnern, auf denen es die entsprechenden Dienste gibt.

Ich glaub auch nicht, daß Robocopy was damit zu tun hat. Eher eine Überlast an einer der beteiligten Netzwerkkomponenten... Und wenn ich VPN höre: Ich hab's vor vielen Jahren auch mal geschafft, nen VPN-Knoten lahmzulegen. Die Effekte sind - hm - "lustig"

Ich würde ja mit Telnet anfangen und schauen, ob ich vom Server ein EHLO bekomme... Ohne das ist alles weitere zum Scheitern verurteilt.

Manche möchten das - warum auch immer. https://www.grouppolicy.biz/2012/07/how-to-configuring-ie-site-zone-mapping-using-group-policy-without-locking-out-the-user/ beschreibt das korrekte Vorgehen.