cj_berlin

OK, wenn ihr explizit nicht wollt, dass ein User Berechtigungen schreibt (und das ist für das Mitnehmen der Berechtigungen notwendig), warum weist ihr ihnen dann das Recht "Berechtigungen setzen" zu?

Bei Mark Z glaube ich's aber

Moin, das wäre ein *privater* Switch.

Das hat Nadella gesagt. Manchmal möchte ich auch das, was er raucht...

Dann hat halt niemand ein Store-Package für diese Version gemacht. Das ist immer so, wenn man aus Repositories schöpft, die "jemand" pflegt

Moin, Deine gewünschtre Zielversion ist also schon mal nicht dabei.

Nein, alles, was auf Domain- und Site-Ebene verknüpft ist.

Seit 2022 gibt es leider keinen Hyper-V-Server mehr. ich sag's ja nur Bevor jemand anfängt, sich "VDI" in RDS anzugucken Obwohl ich zwei Firmen kenne, die damit sehr zufrieden sind...

Das ist auch durchaus verständlich. Ein Cluster ohne AD hat aber Limitierungen, die man halt vorher kennen und auch langfristig akzeptieren muss. Spätestens wenn Themen wie S2D, Shielded VMs oder zumindest vTPM für Bitlocker/VBS in den VMs ans Tapet kommen, müssen die Hosts in (eine) AD-Domäne. Wir haben in mehreren Projekten einen kleinen Infrastrukturforest aufgebaut, der halt nur Hyper-V-Hosts und die dazugehörigen Fileserver beinhaltete, damit war dann einiges mehr möglich, und man hatte dennoch keinen Durchgriff zwischen Infrastruktur und Produktion. Für kleine Regional-Standorte oder so spielt das alles keine Rolle, und da kann (und sollte) man solche AD-lose Cluster bauen.

Moin, für Horizon findest Du sicherlich keine echte Alternative für on-prem mit reinen Microsoft-Mitteln. Je nachdem, wieviel Du in Teradici investiert hast, könnte Citrix interessant sein, oder eben auch nicht. Allerdings würde Citrix mit Hyper-V SCVMM voraussetzen, was wieder nichts für schwache Nerven ist. Also vielleicht doch Azure Virtual Desktop, kann man auch on-prem hosten. Für Server-Virtualisierung ist Hyper-V absolut praxistauglich. Ich würde frühzeitig mit WAC beginnen, macht vieles einfacher, und Du kannst damit sogar VMs in einem Arbeitsgang klonen. Wenn Du mit Storage Spaces Direct anfängst, führt eh kein Weg am WAC vorbei. íSCSI konfiguriert man am besten per PowerShell. Oder man nutzt SMB3, wenn der Storage das hergibt und für Windows Clustering freigegeben ist. Also der reine Storage-Footprint ist bei ESXi 8 höher als bei Server 2022 Core

Ich würde sagen, die EXE schreibt die Ausgabe in den Error-Stream statt nach StdOut, und PowerShell interpretiert es korrekterweise als Exception Wäre nicht das erste DOS-Tool, das sowas macht. Kannst vor dem Aufruf $ErrorActionPreference auf 'SilentlyContinue' und danach zurück auf den vorherigen Wert setzen. Besser wäre natürlich, einfach PowerShell zu nutzen Es gibt den System.DirectoryServices-Namespace, es gibt das OpenAD-Modul von Jordan Borean in der Gallery, die Möglichkeiten sind schier endlos.

Die Inhalte in Profile$ Schon, in der User-Registry, aber Du schriebst ja, dass es die Erstanmeldung dieses Users an diesem Client ist. Da er kein Roaming-Profil hat (und selbst wenn er eins hätte, liegt der Verdacht nahe, dass es mit DC01 vom Netz gegangen ist) ist es aber unwahrscheinlich. Mach einen GPRESULT und schau, ob Dich was anspringt. Vielleicht ist es etwas, was per Computer, aber im User-Kontext gesetzt wird? Registry-GPP, Login-Skript, Scheduled Task, sowas..

Anhand der Fehlermeldung würde ich sagen, es kann nur Folder Redirection sein. Und diese kann eigentlich nur aus einer Group Policy kommen. Ich hoffe, Du hast den alten DC noch nicht entsorgt, denn demnach sind da echte Benutzerdaten drauf....

Moin, GPRESULT ist Dein Freund. Es kann für das Verhalten einige Gründe geben: Reihenfolge ist falsch, so dass die Standard-GPO immer gewinnt Die virtuellen Computer wurden nicht rebootet, nachdem sie zu der Gruppe hinzugefügt wurden, und es ist nicht genug Zeit (10h) vergangen Die andere GPO ist erzwungen oder noch irgendetwas. Wie gesagt, GPRESULT (auf dem Hyper-V-Client) ist Dein Freund.

Kommt auf die Internet-Bandbreite und Auslastung der Gallery an, aber ich habe schon 15+ Minuten gesehen...

Moin, Graph ist ein Riesen-Monster und besteht aus zig Sub-Modulen. Die Installation dauert deswegen lange. Das solltest Du auf jeden Fall nicht in der Windows PowerShell installieren, sondern in PowerShell 7, aber falls das in Windows PowerShell doch funktionieren muss, musst Du in Deinem Profil $MaximumFunctionCount = 32768 setzen.

Naja, die *Anforderung* ist ja kein Zertifikat - sie ist nur mit dem Key des Antragstellers signiert. Wenn sie nicht durch einen Erollment Agent "im Auftrag von" erzeugt wird, ist der Antragsteller und der Erzeuger der Anforderung dieselbe Person

Indem Du Zertifikate bei Deiner CA beantragst und nicht als Selfsigned erzeugst? Kannst Du mal einen Screenshot posten? Oder braucht man dafür 10 Posts oder so?

Moin, das hat nichts mit PowerShell zu tun. Du brauchst die seSecurityPrivilege, und das ist im normalen Token ausgeblendet, selbst wenn es im Admin-Token enthalten wäre. Du kannst mal schauen, was passiert, wenn Du dem Service-User in der Group Policy (oder LGPO) das Recht explizit gibst ("manage auditing and security log", meine ich). Vielleicht reicht es ja schon. Falls nicht, musst Du mit sc privs den Icinga Agent-Dienst anweisen, dieses Recht beim Starten anzufordern. Davon völlig abgesehen: Deinen Least Privilege-Ansatz in allen Ehren, aber Monitoring mit einem normalen Benutzerkonto ist sehr ungewöhnlich.

Terminal wäre ein Beispiel.

Das ist nur PowerShell Core und nur lokal.

...aber bist Du auch lokaler Admin auf der Zielmaschine? Kannst Du mal den obigen Invoke-Copmmand, aber mit dem folgenden Scriptblock laufen lassen: $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) Wenn $false zurückkommt, weißt Du auch schon bescheid

Was man natürlich, zumindest im Android-Bereich, auch machen kann, ist SD-Karte nutzen und die Speicherung von Fotos darauf umbiegen. Karte raus aus dem Telefon, rein in den Rechner, Robocopy - schneller wird's mit Sicherheit nicht und robuster auch nicht. Für Apple gab es so ein Third Party-Tool, das für Musik und Fotos kostenlos ware und auf Treibern aus iTunes basierte, keine Ahnung ob das noch benötigt, unterstützt und angeboten wird.

Kenne ich auch so. Das ist so ähnlich "wirkungsvoll" wie bei den Firmen, die die Kommandozeile deaktivieren, denn winget funktioniert mit dieser Einschränkung weiterhin

Moin, es geht ja nicht darum, die Einstellung zu verwalten, sondern darum, die Verwaltung dieser Einstellung zu delegieren Im AD wäre das einfach, aber in Exchange RBAC müsste man recht tief reingehen, sofern man der jeweiligen Gruppe nicht generell die Berechtigungsverwaltung, sondern nur Send-As erlauben möchte.