Jump to content

daabm

Expert Member
  • Gesamte Inhalte

    5.183
  • Registriert seit

  • Letzter Besuch

Beste Lösungen

  1. daabm's post in GPO Zentraler Speicher - Frage zu den Sicherheitseinstellungen wurde als beste Lösung markiert.   
    Die Security Settings kommen aus der lokalen Registry - sceregvl.inf dürfte als Suchbegriff weiterhelfen. Und auch im Gruppenrichtlinien-Editor wird dafür nur das secpol.msc Snapin geladen. Das holt sich dann zwar seine Settings aus der jeweiligen GPO, aber die Darstellung unverändert aus der lokalen Registry. Ist halt W2K-Technologie
  2. daabm's post in DomainController in eigenes Netz, welche Ports werden benötigt wurde als beste Lösung markiert.   
    RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang
  3. daabm's post in VB6 - MSXML2 - Probleme mit leeren Felder wurde als beste Lösung markiert.   
    Here we go - bei mir liegt das in ner Funktion. Ist zwar VBS, aber das ist von VB6 nicht so weit weg, das solltest Du portieren können
    Das entscheidende ist das "manuelle" Einfügen von Zeilenumbrüchen an jedem "><" und das Transformieren per Stylesheet mit indent="yes".
    Dim strXmlCOMObject strXmlCOMObject = "Msxml2.DOMDocument.6.0" Function FormatXML( ByVal XMLObject ) Dim strXML, objXML, objXSL, strStyleSheet Set objXML = WScript.CreateObject( strXMLComObject ) Set objXSL = WScript.CreateObject( strXMLComObject ) strXML = Replace( XMLObject.XML, "><", ">" & vbCrLf & "<" ) objXML.LoadXML strXML strStylesheet = _ "<xsl:stylesheet version=""1.0"" xmlns:xsl=""http://www.w3.org/1999/XSL/Transform"">" & _ "<xsl:output method=""xml"" indent=""yes""/>" & _ "<xsl:template match=""/"">" & _ "<xsl:copy-of select="".""/>" & _ "</xsl:template>" & _ "</xsl:stylesheet>" objXSL.loadXML strStylesheet objXML.transformNode objXSL Return objXML.XML End Function  
  4. daabm's post in W10 in HyperV - lokal Anmelden wurde als beste Lösung markiert.   
    Da kommt IMHO üblicherweise vorher noch eine Abfrage nach der Auflösung. Wenn man die einfach mit Esc wegdrückt, landet man bei der "alten" direkten Verbindung ohne RDP.
  5. daabm's post in Win10 "beyond healing" - format C: einzige lösung? wurde als beste Lösung markiert.   
    Zu 2: "Funktioniert nicht" ist hier keine gültige Problembeschreibung
    Zu 3: Lösche die Policies-Regkeys nach dem Unjoin. HKLM|HKCU\Software\Policies und HKLM|HKCU\Software\Microsoft\Windows\CurrentVersion\Policies.
    Oder lösch die auch einfach mal so - das, was tatsächlich per GPO kommt, kommt danach wieder. Alles, was irgendwelche phänomenalen "Tools" gesetzt haben, ist dann wieder weg.
  6. daabm's post in Hyper-V unter Windows 10 und Fritz!Fernzugang wurde als beste Lösung markiert.   
    Ich weiß jetzt nicht, wie dein "Default Switch" konfiguriert ist - wenn der NAT macht, wird das nix. Dem Browser ist das egal, SSL auch, dem IPSec nicht.
  7. daabm's post in Net user Problem W2K Abfrage wurde als beste Lösung markiert.   
    Fast alle Commands von net.exe unterstützen den Parameter /Y, der Nachfragen unterdrückt. Und wenn New-LocalUser nicht gefunden wird, würde ich mal eine aktuelle OS//Powershell Version heranziehen
     
  8. daabm's post in Neuer DC Server2019 kein Sysvol & Netlogon wurde als beste Lösung markiert.   
    Nachdem das der einzige DC ist - kopier Sysvol per Robocopy /xj auf ne USB-Platte (reicht völlig, ist aber eigentlich unnötig) und mach, was in Step 2 steht.
    Was nutzt es Dir, den "neuen" DC zu bearbeiten, wenn der alte nicht replizieren will?
  9. daabm's post in Zero Trust wurde als beste Lösung markiert.   
    Und was genau ist jetzt die Frage? Nicht authentifizierte Zugriffe auf egal was gehen nicht.
  10. daabm's post in Neue GPO - Zugriff verweigert / Modifizieren: geht wurde als beste Lösung markiert.   
    Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g
    Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?
  11. daabm's post in GPO: Anmelden als Dienst für einen lokalen User wurde als beste Lösung markiert.   
    Nichts einfacher als das. Aber warum verwendet Ihr die DDP überhaupt für solche Sachen?
    https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html
    Wenn Du damit nicht klarkommst, melde Dich wieder.
    Und Tipp: Für lokale Benutzer einfach nicht den Object Picker nehmen ("..."), sondern schlicht reinschreiben...
  12. daabm's post in Symlink Ziel per Script aendern wurde als beste Lösung markiert.   
    Naja, man könnte Forenregeln lesen und auf Crossposts hinweisen In Powershell 4 (mit der 2012R2 ab Werk kam) kennt Get-Item noch kein .Target... Das kam erst mit Version 5. Deshalb geht's auch mit Win10...
  13. daabm's post in PS Script bei Benutzeranmeldung mit Adminrechten ausführen wurde als beste Lösung markiert.   
    Was hindert Dich daran, das ganz nativ mit Group Policy Preferences "Registry" zu machen? Item Level Targeting auf den Wert, wo der neue Name drinsteht, und dann halt schreiben... Geht da nämlich auch in HKLM.
  14. daabm's post in robocoy /MIR Spiegelung wurde als beste Lösung markiert.   
    Hast Du in der Quelle Symlinks "/xj"...
  15. daabm's post in GPO Richtig verstehen wurde als beste Lösung markiert.   
    Basisverzeichnis ist das Homelaufwerk, das kann ja für jeden User "irgendwo" liegen. Der Stammpfad ist für alle User gleich, und er kann sich natürlich vom Homelaufwerk unterscheiden. Es macht also NICHT das gleiche.
    Und beides taugt nix Wenn Du schon umleitest, leite um nach %homeshare%%homepath%Documents (ja, ohne "\").
  16. daabm's post in OU / Standort Admin wurde als beste Lösung markiert.   
    Nein, Du willst meinem "Vorschlag" nicht nachgehen. LOM ist nichts für KMU-Umgebungen, sorry. Und LOM ist eine globale Einstellung, da geht nix "selektiv".
     
    Da wäre es einfacher, die Gruppenstruktur so umzubauen, daß die delegierten Gruppen eben KEINE Auswirkungen weiter oben haben. Für Gruppen gilt prinzipiell das gleiche wie für GPOs: Was sich in unteren OUs befindet, darf weiter oben nicht verwendet werden. Sonst kann man nicht sinnvoll delegieren.
  17. daabm's post in NTLM Version rausfinden wurde als beste Lösung markiert.   
    Ich gebe zu, daß ich das Problem "so" noch nie hatte... Vielleicht hilft das explizite NTLM-Auditing? 
    https://blogs.technet.microsoft.com/askds/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7/
  18. daabm's post in Windows 10 als Server betreiben wurde als beste Lösung markiert.   
    Wenn der TO doch unbedingt nen Client als Server betreiben will.... laßt ihn doch. Ich würde ja auch nen Essentials nehmen in dem Fall. Oder wie immer 2 DCs und dann App-Server dazu. Bei 25 Clients finde ich 2 VM-Hosts ok, die je 1 DC hosten und 1 File/Application-Server.
  19. daabm's post in Anmelden von Domänen Benutzer an bestimmten Rechner lässt sich nicht unterbinden wurde als beste Lösung markiert.   
    Du brauchst auch keine Gruppe "Du darfst nicht". "Du darfst" reicht völlig.
    "Lokal anmelden zulassen" für "Administratoren, Domain\mathe", dann darf sich keiner mehr anmelden, der nicht Admin oder in Mathe ist... Ich versteh irgendwie Deine Schwierigkeiten nicht
  20. daabm's post in Managed Service Accounts - ein paar Fragen wurde als beste Lösung markiert.   
    Durchnumerieren wäre besser als eine Bullet List, dann klappt es mit der Antwort besser
    1. Nein
    2. Ja
    3. Ja (bzw. wieso auf dem DC? Der wird in der Domäne erstellt, von wo Du das machst ist schnuppe...)
    4. IMHO Nein - Ja
    5. Unverständlich
     
  21. daabm's post in Berechtigungsfehler bei SYSVOL-Replikation wurde als beste Lösung markiert.   
    Nimm mal im Sicherheitsfilter "Authentifizierte Benutzer" auf und wieder raus. Da verhakt sich gerne ein ACL-Eintrag im Sysvol, den die GPMC nicht mag ("Synchronize"-Recht für AuthUsers).
  22. daabm's post in BPA: DHCP-Anmeldeinformationen für dynamisches DNS wurde als beste Lösung markiert.   
    Und Dr. Google liefert Dir das nicht als ersten Treffer? Das kann ein xyz-Account sein, der braucht gar nichts.
  23. daabm's post in Terminalserver - Probleme mit Basisverezeichnis und Ordnerumleitung wurde als beste Lösung markiert.   
    Da müsste man jetzt wissen, was MS unter einem "Benutzeralias" versteht: "Der Basisverzeichnispfad jedes Benutzers setzt sich aus dem angegebenen Stammpfad des Basisverzeichnisses und dem Benutzeralias zusammen."
    Warum machst Du das nicht einfach konventionell über das Homeset des AD-Accounts? Alternativ kannst Du in der Ordnerumleitung den statischen Pfad \\server\share\%username%.%userdnsdomain% verwenden. Oder %homeshare%%homepath% (ich weiß aber nicht, ob das mit der RDP-Basispfad-Policy korrekt gefüllt wird...)
  24. daabm's post in Server 2016: lange Dateinamen in 16 Bit-Anwendung? wurde als beste Lösung markiert.   
    Läßt sich ganz kurz beantworten: Kunde weiß nicht, von was er spricht....
    Vorher hat er in Explorer vielleicht lange Namen gesehen, aber niemals in seiner Anwendung :)
  25. daabm's post in Fehler Laufwerkszuordnung mittel GPO wurde als beste Lösung markiert.   
    Das wäre jetzt der richtige Zeitpunkt, die Sysvol-Replikation zu reparieren :-) Stichwort D2/D4 - wenn Du mehr Infos brauchst, melde Dich gern noch mal.
    Und nein, keine der in der Meldung angegebenen Ursachen ist relevant - Sysvol repliziert nicht mehr, das mußt Du beheben.
×
×
  • Neu erstellen...