screamager

Moin! Erst ja - aber dann stoppt der fms (Microsoft-Filterverwaltungsdienst). Oder ist der obsolet wenn das Malwarescanning auf dem Exchange deaktiviert ist? Grüße, Rüdiger

Wenn nachweisbar ist, dass das Office nur bestimmte Gruppen nutzen (AppLocker) geht das durch (hatte ich letztens). Vermutlich aber im Fall der Fälle auch abhängig von der Prüfungsgesellschaft. Grüße, Rüdiger

Dann sieht es bitter aus.. - evtl. Browser content redirection. Aber das ist viel hätte, hätte... Mehr Infos zur Infrastruktur und was geht/erlaubt ist wäre wohl hilfreich. Grüße, Rüdiger

Teams geht auch im Browser. Terminalserver ist hier allerdings eine Spaßbremse falls nicht Citrix mit Optimierung verwendet wird. Grüße, Rüdiger

robocopy wäre hier schon passend. Versuch mal die Pfade in Anführungszeichen zu schreiben - da ist ein Leerzeichen drin. Grüße, Rüdiger

Hi! "Relativ" simpel geht das mit einer Sophos UTM, egal ob auf Blech oder virtuell und dann die Web Application Firewall (Reverse Proxy) davor. Anleitung gibt es bei frankysweb. Grüße, Rüdiger

Moin! Wir legen die Drucker im Regelfall auch lokal auf dem TS direkt über die IP an. Hierbei erstellen wir für jeden sichtbaren Drucker auch einen neuen Anschluss - so findet im Regelfall jeder User seinen Drucker. Die Probleme die Du beschreibst kenne ich. Manchmal führt leider kein Weg dran vorbei - bspw. fragt SAGE alle Drucker ab bevor es irgendwas tun (so hat uns das der Koop-Partner erklärt). Damit verlängert sich die Zeit bis zum Ausdruck im Regelfach seeeehr deutlich und führt zu Unmut. Grüße, Rüdiger

Eine Fräge wäre ja auch, was sonst noch auf dem Host läuft. Das muss man dann natürlich in Relation sehen. Noch dazu ist der Xeon Silver 4210 CPU ja kein GHz-Wunder.

Hallo zusammen, erstmal danke für die vielen hilfreichen Hinweise. Nachdem ich gestern und heute ca. 20 verschiedene Backups des Servers gebootet habe, konnte ich die Ursache finden. Es war tatsächlich der Virenscanner - genauer das HIPS-Modul des Eset File Security welches auf dem regelbasierten Filtermodus stand. Zurückgestellt auf den Automatischen Modus funktionierte der Server sofort wieder, wie er sollte. Darauf gekommen bin ich, falls es jemanden interessiert, das bei einem der gebooteten Backups eine Meldung des AV hochkam, wie man das HIPS denn konfigurieren möchte... Als ich mich das erste Mal mit dem bestehenden Fehler auf des Server geschaltet habe, war die Meldung nicht mehr zu sehen. Jetzt gilt es noch herauszufinden, wer da drauf geklickt hat. Viele Grüße, Rüdiger

Antwort ist leider: nö Lässt sich auch über die Powershell nicht deinstallieren - vermutlich weil auch hier die msiexec.exe zu Einsatz kommt.

Ich hol mir gerade mal die VM aus dem Backup zurück um da weiter dran rumzuspielen. @testperson Danke für den Tipp @MurdocX Hättest Du zufällig noch den Link parat. Zur Info, es läuft die Eset File Security auf dem Server (mit der ich sonst allerdings keine Probleme hatte und habe). Es sind auch keine wilden Policies gesetzt - ich teste das mal und melde mich. Vielen Dank

Funktioniert nicht - "kein Zugriff auf den Windows Installationsdienst" Meines erachtens hat es irgendwas mit dem System32-Ordner zu tun - genauer der cmd.exe. WIe gesagt, die cmd.exe kann ich öffenen - aber alles weitere innerhalb dieser funktioniert nicht. Sei es netstat oder netsh - beides funktionier übrigens auch nicht wenn ich aus dem Ordner heraus diese mit Doppelklick starte. Berechtigungen können es eigentlich nicht sein. Habe ich zum einen geprüft und die Powershell mit den internen CMD-lets funktioniert. Sobald ich hier aber wieder netstat etc. aufrufen will, fährt das Ganze wieder vor die Pumpe da im Hintergrunf wahrscheinlich die cmd.exe in irgendeiner Art und Weise referenziert wird. Versucht wurde mittlerweile bereits auch Offline über DVD mittels dism /image:c: /Cleanup-Image /RestoreHealth /Source:D: Ebenfalls ohne positives Ergebnis. Grüße, Rüdiger

Ja.

Habe ich ja bereits geschrieben - weder SRP noch Applocker sind konfiguriert. Und ja, ich habe es geprüft - zwischenzeitlich sogar mehrfach.

Nein, beides nicht konfiguriert - ist ja auch kein RDSH.

Das in dem Screenshot oben beschreibt es leider recht gut - die Kommandozeile bekomme ich auf - whoami oder gar ein ipconfig sind verboten - öffne ich die Powershell darf ich kein ipconfig aber ein get-netipaddress ausführen - ein sfc /scannow geht online natürlich auch nicht - offline mit einer 2019er DVD ohne Ergebnis Ich bin da langsam etwas ratlos...

Dann hätte ich das Problem bei dem neu angelegten Domänen-Admin aber nicht. Die Idee mit dem defekten Profil hatte ich auch schon

Ja, eine Anmeldung ist möglich. Ich habe auch die Vermutung dass es irgendwie mit der cmd.exe zu tun hat. Powershell geht - wenn das aber Funktionien wie sfc /scannow aufgerufen werden soll, bekomme ich wieder "Zugriff verweigert". Die GPO's hatte ich mir auch schon angesehen - dort aber nichts gefunden was auf so ein Verhalten hindeuten würde. Grüße, Rüdiger

Moin zusammen! Ich habe ein fieses Problem auf einem 2019-DC. Dieser ist auf Grund der Größe leider nicht Stand-Alone, sondern gleichzeitig auch Fileserver. Kurz zur Situation: - als wir irgendwann für den Kunden etwas ändern sollten, ist aufgefallen, dass der Domänen-Admin keinerlei Rechte mehr auf dem DC hat. Es funktioniert bsp. in der CMD noch nicht einmal ein "whoami" oder "ipconfig". Ein neu angelegter Domänen-Admin unterliegt auf dem DC den gleichen Problemen. Das Eventlog unter Sicherheit gibt leider nichts her Auf dem parallel laufenden Exchange-Server ist alles wunderbar. Dort sind bisher keine Probleme dieser Art aufgetreten. Hat jemand von Euch schon einmal so etwas gesehen und eventuelle einen Hinweis wo man suchen könnte? Oder gar eine Lösung Grüße, Rüdiger

Hi zusammen, scheint so als ob ich eine Lösung gefunden habe: $gpo = Get-GPO -Name GPOName $adgpo = [ADSI]"LDAP://CN=`{$($gpo.Id.guid)`},CN=Policies,CN=System,DC=domain,DC=local" $rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule( [System.Security.Principal.NTAccount]"domain\Domänen-Admins", "ExtendedRight", "Deny", [Guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" ) $acl = $adgpo.ObjectSecurity $acl.AddAccessRule($rule) $adgpo.CommitChanges() Hab's getestet, geht Hier gefunden: Technet Link und für die Security Permissions: https://technet.microsoft.com/en-us/library/ff405676.aspx Viele Grüße, Rüdiger

Hallo zusammen, kennt jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen? Folgendes Szenario: Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden. Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden. Vielen Dank für Eure Hilfe, Rüdiger

War auch vor vielen Monaten bei mir die einzige Möglichkeit. :jau: Hattest Du auch den Fall dass diverse Ordner/Dateien der .net-assemblys im Windows-Ordner fehlten? screamager

Hallo zusammen, für unsere Terminalserverumgebungen möchten wir langsam aber sich auf 2012 R2 umschwenken. Aus diesem Grund versuche ich die komplette Umgebung mehr oder weniger skriptbasiert (Powershell) zu installieren. Dies funktioniert soweit auch ganz gut - Broker, SessionHosts, GW ist drauf. Nun kann ich ja den RemotedesktopLizenzierungsmanager entweder über die Bereitstellung installieren oder direkt als Rollendienst (soll bei uns auf den Fileserver). Die erste Variante bekomme ich mit der Powershell nicht hin - die zweite schon. Hat jemand eine Idee wie ich die Installation über die Bereitstellung per Powershell hinbekomme? Danach kam die Konfiguration, auf meinen Server 2008R2 konnte ich alles per Powershell machen, z.B. Import-Module RemoteDesktopServices,ActiveDirectory set-item -path rds:\licenseserver\configuration\Firstname -value Vorname set-item -path rds:\licenseserver\configuration\Lastname -value Nachname set-item -path rds:\licenseserver\configuration\Company -value "Firma" set-item -path rds:\licenseserver\configuration\CountryRegion -value Land Set-Item -path RDS:\LicenseServer\ActivationStatus -Value 1 -ConnectionMethod AUTO -Reason 5 $LicCount = Read-Host “Anzahl der RDS-CALs?” New-Item -path RDS:\LicenseServer\LicenseKeyPacks -InstallOption INSTALL -ConnectionMethod AUTO -LicenseType AGREEMENT -AGREEMENTTYPE 0 -AGREEMENTNUMBER XXXXXXX -PRODUCTVERSION 2 -PRODUCTTYPE 1 -LICENSECOUNT $LicCOunt Get-ADComputer -filter "name -eq '$env:computername'" | Add-ADPrincipalGroupMembership -memberof "Terminalserver-Lizenzserver" net localgroup "Terminalserver-Lizenzserver" "NT-Autorität\Netzwerkdienst" /add Restart-Service TermServLicensing Wie bekomme ich das Skript oben für 2012R2 umgebaut? Das PSDrive RDS: gibt es dort nicht. Vielen Dank für Eure Hilfe! screamager