kosta88

OK, nein, das passt schon. Ist schon hilfreich zu wissen dass man auf jeden Fall ein zentrales Management einbeziehen soll.

Aktuell ist es dringend notwendig die aktuelle Umgebung zu aktualisieren. Es steht dem Kunden in ca. 4 Wochen eine Umstellung unserer Umgebung bevor, und dafür müssen alle Rechner up-to-date sein. Hier wird vermutlich darauf hinauslaufen, alles händisch zu machen.

vor 5 Minuten schrieb NilsK:

Moin,

 

entschuldige, aber deine Frage ist etwas durcheinander formuliert. Wonach fragst du jetzt genau?

 

Gruß, Nils

 

Tut mir leid, war nicht die Absicht. Grundsätzlich einfach: wie würdet ihr die Sache bei so einem Kunden angehen? Ist es zeitlich auf Workgroup-Basis machbar und überhaupt sinnvoll? Wenn zentrales Management empfohlen, welche Alternativen hat man zum Management-Server on-premise (Azure AD?)?

Konzept steht mal so:

Zwei Teile, erstmal die große Aktualisierung aller Rechner. Tlw. neue Rechner, tlw. nur Aktualisierungen (dem Kunden steht eine Umstellung der Citrix Umgebung an, und das muss vorher gemacht werden). Und dann etwas langfristig - und hier stehen wir an.

vor 9 Minuten schrieb monstermania:

Ich würde in so einem Fall ganz klar in Richtung Microsoft 365 denken.

Zentrale Verwaltung/Management der Clients dann per Intune.

 

Sind auch gerade dabei uns in das Thema AAD/Intune/Autopilot einzuarbeiten (Verwaltung unserer mobilen Notebookuser).

Habe von Intune lediglich gehört, kenne ich aber nicht. Zu bedenken ist dass der Kunde lokal so gut wie nichts installiert hat. Die Clients müssen nur up-to-date bleiben, und unsere Zugangssoftware muss installiert (und up-to-date) sein. Das wäre schön wenn man deployen könnte und sicherstellen dass es überall aktuell ist (so mache ich es bei uns in der Domäne).

Ich werde mich auf jeden Fall in das Thema einlesen -> Danke!

Wir hatten heute bereits ein Meeting wegen Konzept. Und um den zu bearbeiten müssen wir erstmal uns ausdenken müssen, ob das für uns überhaupt machbar ist. Sowohl zeitlich wie auch finanziell. Die Frage ist hier zu Erfahrung dazu. Würde man überhaupt sowas angehen, ohne eine Domäne?

Hallo,

ohne viel Blahblah (kann ich gerne auf Anforderung tun), sagen wir mal ihr müsst 40 Rechner in einem Unternehmen ohne Domäne managen.

Der Kunde arbeitet im RZ per Citrix, und verwendet die lokale Ebene kaum (braucht aber lt. meinen Infos lokal auch Internet, somit ist lokal A/V auch Pflicht). Die Windows-Konten ist auch überall gleich, sowohl der Einstiegsuser (ohne Passwort) wie auch der Admin (KW überall gleich, sehr einfach auch). Die einzige "Sicherheit" sind die userspezifischen Anmeldungen über Citrix, wo tlw. auch die Passwörter im Browser gespeichert werden... grausam.

Ein Konzept für das Unternehmen entsteht bereits, was ich suche sind die Tools die ich für diesen Zweck einsetzen kann, speziell für die Inventarisierung und Verwaltung. Es soll möglichst viel automatisiert laufen.

Weiterhin ist auch die Überlegung die Verwaltung ggf. via Azure AD zu machen. Der Kunde hat zumindest eine sehr stabile Internet Anbindung.

Was wir nicht machen können, ist dort einen Server für AD aufstellen - das geht alleine aus dem Grund, weil er der Kunde ins RZ gezogen ist um keine lokale Server-Umgebung haben zu müssen. Abgesehen davon dass man dann noch Absicherungen wie USV und Backup braucht...

Meine Gedanken gehen in der Richtung PDQ-Tools und/oder WAC. Ein Konzept wie und wann die Updates gemacht werden, entsteht noch, aber es sollte für uns so wenig Arbeit wie möglich bedeuten (Automatisierung) und für Kunden so viel Transparenz wie möglich.

Wie würdet ihr das lösen/angehen?

Danke

Ich habe die benutzerdefinierte Installation gemacht, nachdem ich bisschen erkundigt habe, was die Sachen tun...

UPN ist (bei Testusern in einer Unter-OU, die gesynct wurde) als vorname.nachname@office.company.com.

Nun ist es zuerst falsch gelaufen, es wurde ein neuer Benutzer in AAD erstellt. Der Grund dafür war, dass der Testuser in O365 Admin war. Den neuen Benutzer gelöscht, heruntergestuft, und nochmal gesynct. Damit hat's dann funktioniert. Im AAD steht auch gesynct aus AD.

Aber ich habe jetzt ein weiteres Problem. Alles das habe ich gemacht um Seamless SSO zu haben. Es ist mein Verständnis, dass jede App, bzw. Seite, die die Login-Maske von MS aufruft (das weiße Popup-Fenster mit Microsoft Logindaten), eigentlich sich automatisch einloggen sollte.

Ich habe nach Vorgabe die GP-Einträge, die Benutzer bekommen die GPO, im IE sieht man auch die Einträge, AAD zeigt auch dass SSO aktiv ist, Pass-Through ist aktiv, Pass-Hash ist inaktiv... und es popt auf, und es tut sich nix.

Ideen, wie troubleshoote ich das weiter?

Hallo,

ich bin soeben dabei mich bei Azure AD Connect zu informieren, und möchte grundsätzlich bei uns wegen SSO bei Office 365 implementieren.

Unsere interne Domäne (AD) ist internal.company.com, und unsere Office 365 Domäne ist office.company.com. Der einfachste Weg soweit ich gesehen habe, ist den UPN Suffix (office.company.com) in AD einzutragen.

Ich möchte die Umstellung vorerst mit einem Test-Benutzer probieren, daher habe ich den UPN des Benutzer auf office.company.com umgestellt, und bin dabei Azure AD Connect zu installieren.

Ich lese bei MS dass nur die gleichen UPNs gesynct werden, und non-routable mit onmicrosoft-Benutzern (gibts eh keine bei uns). Aber sicherheitshalber die Frage...

Kann die Installation von Azure AD Connect bei den normalen Benutzern die noch nicht auf UPN Suffix office.company.com umgestellt wurden Probleme verursachen?

Danke

Hallo,

beim DFS kann man ABE einschalten, was eigentlich bedeuten soll dass der Benutzer die Ordner, auf die er keinen Zugriff hat, auch keine Ansicht bekommt.

Und mann zwei Einstellungen treffen: vererbte Berechtigungen benutzen oder explizite Berechtigungen setzen.

Wenn ich die expliziten Berechtigungen setzen, verschwinden gewisse Orden bei Benutzern.

Wenn ich aber die vererbte Berechtigungen setze, dann funktioniert es nicht.

Die Berechtigungen auf der Freigabe sind in Ordnung.

Wenn ich mittels UNC Pfad prüfe, hat der Benutzer keinen Zugriff auf gewisse Ordner.

Kann mir jemand sagen was los ist, wo der Fehler eventuell liegen könnte?

Danke

Wollte nur Feedback geben, dass ich keine Lösung dazu gefunden habe. Letztendlich habe ich folgendes gemacht:

Server-Restore, im WPP alles exportiert, dann alles in WPP gelöscht, Update auf 2019 gemacht, und dann wieder alles importiert. Seitdem ist alles wieder genau wie es sein soll.

Hallo,

hat jemand Idee warum ich beim WPP doppelte Einträge habe, die sich nicht entfernen lassen? Ein Beispiel siehe Screenshot:

Ich kann zwar den (0) Eintrag löschen, aber dann entsteht das:

Ich kann "Delete Me!" dann löschen, der obere (0) Eintrag verschwindet nicht.

Ideen?

Danke.

Keine Ideen, oder habe ich was vergessen?

Hallo,

immer wieder Probleme mit WSUS und Windows Update...

Also mein erstes Problem ist dass die Mitarbeiter nicht mehr die große blaue Benachrichtigung über bevorstehenden Neustart bekommen - ich sehe es nur auf unseren Servern, dass Updates vorhanden sind. Aber die Clients zeigen es nicht. Idee was das ist?

Das sind die Einstellungen:

Zum Thema WSUS:

Dieser zeigt dass Updates für die Clients noch offen (needed) sind, jedoch im Report steht nichts drinnen. Darüber hinaus, wenn ich dann im WSUS den Rechner entferne, am Client die WU-Bereinigung durchführe, und nochmals nach Updates suche, erscheint der Rechner im WSUS als grün. S05 ist der WSUS, C24 einer der Win10 Clients.

So sieht es dann aus:

Idee?

Danke

Danke, das war's genau! 

Und weiß man eigentlich warum diese Meldung ("Could not reconnect all network drives") aufkommt?

Ich habe nämlich damit ein gravierendes Problem, und zwar erkennt unsere Software anstatt das Laufwerk (wie es sein soll) den UNC-Pfad (soll nicht sein), wenn die Software gestartet wird, OHNE vorher auf das Laufwerk zu klicken.

Update:

Gelöst. Alle GPOs für Laufwerke, hatte 4, in eine GPO konsolidiert, dann alle mittels Zielgruppenadressierung richtig adressiert, Update, Reconnect abgehakt, auf Benutzer-Kontext umgestellt (Haken auf der 2. Seite), und letztendlich als oberste Priorität ein Delete-All Laufwerk erstellt.

Jetzt ist alles grün, keine Meldungen mehr!

Hallo,

hab hier einen Server 2019 mit zwei Freigaben, und mittels GPO als Laufwerk zugewiesen.

Nach einiger Zeit, ich kann nicht sagen wie lange genau, aber vielleicht Stunde oder paar Stunden, ist das Laufwerk über UNC-Pfad weiterhin ansprechbar, aber über dem zugewiesenen Laufwerk nicht mehr.

Ich bekomme einfach die Meldung LW:\ ist nicht verfügbar.

Versuche ich es zu trennen, steht dass es nicht existiert.

Abmelden und wieder anmelden, und das Problem ist weg.

Vielleicht relevant, ich bin auch von dem Bug betroffen, wo ich ständig die Meldung "Could not reconnect all network drives" (jedoch wenn sie mal angeklickt werden, erscheinen sind als in Ordnung und verbunden).

Gibt's da was bekanntes?

Danke

Hallo,

ja, der normale RDP Client. Habe aber auch Remote Desktop Manager, hier kann ich auch auswählen welche RDP-Version. Habe sowohl mit 8.1 und 7.1 probiert (und auch mstsc.exe was bei Win10 dabei ist).

Aber: ich kann mir das ganze erst wieder Mitte November ansehen, bis dorthin ist Ruhe

vor 1 Minute schrieb NorbertFe:

Das Schloss sagt nicht, dass das Zertifikat verwendet wird. Das siehst du nur, wenn du auf das Schloss klickst und dir dort der Button fürs Zertifikat angezeigt wird.

Ja, das ist auch so - wenn ich dort mir das Zertifikat ansehen, es ist das RDS-Zertifikat.

So ne K...

Ich habe heute meinen Rechner heute neu aufgesetzt, werden morgen dann weiter suchen... wobei ich selber nicht mehr weiß wo ich suchen soll...

Btw. Zertifikat funktioniert auch. Bei der TLS1.0 Verbindung (davon gehe ich aus, wenn es ohne TLS1.0 nicht funktioniert), wird der Zertifikat (Schloss) angezeigt. Zertifikat ist ein SHA256 RSA4096 SAN Zertifikat.

vor 6 Minuten schrieb NorbertFe:

OK :) Und wenn du jetzt am Server TLS 1.0 und TLS 1.2 aktivierst, geht es dann?

Sobald ich TLS1.0 am Server aktiviere (und neustarte), geht es. TLS1.2 ist (wurde) nie deaktiviert.

vor 5 Minuten schrieb NorbertFe:

Ich hoffe, du erwartest bei der BEschreibung jetzt keine konstruktive Unterstützung. ;)

Touché.

Best Practice Einstellung beinhaltet TLS1.0, 1.1 und 1.2, alle Hashes und alle Key Exchanges. In meiner Einstellung habe ich nur TLS 1.0 entfernt.

Nach dem PDF habe ich dann weiterhin TLS 1.1 und Hashes MD5 und SHA, sowie Key Exchange Diffie-Hellman entfernt (so wie nach Vorhabe, sowohl am Client wie am Server).

Ja, schon. Ich habe paar Haken dann noch zusätzlich lt. Anleitung entfernt, aber das hat auch nichts gebracht.

Vielleicht für die Diskussion ausschlaggebend: ich habe eine Gruppenrichtlinie die RDP freischaltet, und diese hat zwei zusätzliche Einstellungen:

Unter Remote Desktop Services / Remote Desktop Session Host / Security:

Security Layer: SSL

NLA forciert

Ich denke aber nicht, dass das in irgendeiner Weise stört, denn SSL ist ja lt. Beschreibung TLS1.0, und MS oben beschreibt das als TLS1.2...

Ich habe zwar versucht schon die Einstellungen zurückzusetzen, bringt aber nix (wie eigentlich erwartet...).

vor 2 Minuten schrieb zahni:

Vielleicht stellt Du noch SHA-1 Zertifikate aus?

Nein. Beide Zertifikate die verwendet werden sind SHA256 (kommen von der internen CA). Extern haben wir nix.

Hallo,

ich versuche bei einem RDS (Srv2016) TLS1.0 abzudrehen.

Allerdings nach der Abschaltung von TLS1.0 in SCHANNEL (eigentlich via IISCrypto, aber ist ja gleich...), kann man sich auf den RDS per RDP nicht mehr verbinden.

Security Settings in Session Collection sind SSL (TLS 1.0) und High Encryption Level. (MS schreibt ja dass nur die Anzeige nicht stimmt: https://support.microsoft.com/en-in/help/3097192/incorrect-tls-is-displayed-when-you-use-rdp-with-ssl-encryption)

Client ist Windows 10 1809.

Was mache ich denn nicht richtig?

Danke

Am 6/23/2018 um 00:20 schrieb NorbertFe:

Aus meiner Sicht etwas besser ist es, eine entsprechende Bedingung in das Update Paket einzubauen (bspw. Vorhandensein des Registry Keys HKLM\Software\DeineFirma\Paket1) und diesen Key per GPO und Sicherheitsfilterung zu verteilen. Dann brauchst du die PCs nur im AD in die entsprechenden Sicherheitsgruppen werfen, sie ziehen die passenden GPOs anhand der Mitgliedschaften und danach treffen auch die Pakete entsprechend. Nicht besonders schön, weil man das leider an zwei Stellen administrieren muß, aber besser als per GPO Verteilung der Software.

 

Bye

Norbert

Hi,

habe deine Variante implementiert, wollte nur sagen funktioniert super, und vielen Dank!

Ein ISO mittels MCT hat leider nicht geholfen. Am Ende kam immer eine Nachricht, leider hab ich kein Screenshot mehr, aber was mit SECOND_BOOT, ein Fehlercode dabei. Googeln des Fehlercodes und der Fehlermeldung zeigte diverse Sachen die man versuchen kann, inkl. A/V deinstallieren, was ich auch dann letztendlich versucht habe. Ohne Erfolg.

Aber tatsächlich, catroot2 habe ich nicht gelöscht. Ich habe noch überlegt paar Skripten die ich auf Technet Gallery zu finden sind zu probieren. Aber dann habe ich eigentlich beschlossen die Sache zu belassen, denn in einem Monat kommt schon 1809, und wenn das nicht draufgeht, dann werde ich die Skripts versuchen, bevor ich den Rechner neu aufsetze.

Wir haben Sophos Endpoint und InterceptX. Keine A/V Lösung ist 100%, aber bei uns sind die Kategorien recht eng eingestellt. Aber, alles ist möglich. :)

Hallo,

im Einsatz ist ein WSUS auf Server 2016 und 25 Clients.

Nur ein Client installiert nicht alle Updates (ausgerechnet der vom Chef):

Ich verstehe nicht der Client das EN-LP installieren will, wenn die einzige Sprache die installiert Deutsch ist. Und da 1709 aktuell drauf ist, warum DE_LP nicht gezogen wird.

Englisch ist schon im Netz vorhanden, unter anderem auch mein Rechner.

Weiterhin warum 1803 nicht gezogen wird, verstehe ich auch nicht: auf allen anderen Clients wurde 1803 automatisch installiert.

Ich habe bereits versuche SoftwareDistribution zu löschen, und den Rechner im WSUS neu zu erstellen - leider keine Änderung.

Welches Logs sind betroffene Logs die ich prüfen kann, bzw. Ideen warum das passiert?

Danke

Ich denke wenn man schon auf die erste (längere) Frage antwortet, dann wird ein ja/nein auf zweite Frage nicht wirklich ein Mehraufwand bedeuten.

Danke, werde ich nachlesen.