cj_berlin

Das ist aber nur eine mögliche Meinung dazu. In einem Bundesministerium, wo ich mal im Projekt war, wurde ein Client nach *jedem* clientbezogenen Sicherheitsvorfall neu ausgerollt. Hat auch in der Regel nicht wirklich wehgetan.

Hallo liebe Freunde der (PowerShell-)Communty, die PowerShell User Group Hannover veranstaltet am 16. September den traditionellen PowerShell Saturday: kostenlos und werbefrei nur in Person ausschließlich deutschsprachige Speaker Ihr seid natürlich herzlich eingeladen! Alle Details (Agenda wird gerade ausgearbeitet) und Anmeldung: https://www.meetup.com/de-DE/psugh-hannover/events/291224383/ Ich hoffe, wir sehen uns zahlreich in Hannover! Ich bin jedenfalls als Speaker, vermutlich mit einem kleinen Workshop, dabei. Beste Grüße und stressfreie Ferienzeit!

Wenn keine Exchange-Dienste mehr laufen, kann der Ordner weg, sind vermutlich nur Performance- und andere Logs. Aber willst Du nicht eh den ganzen Server abmanagen?

Nope, 2019 ginge: https://learn.microsoft.com/en-us/windows-server-essentials/get-started/hardware-limits

Solange keine Lizenzprüfung kommt, passiert technisch gar nichts. Kommt eine Prüfung, bist du am ars***.

Bei den verbauten CPUs deckt übrigens die "Mindestlizenz" für Windows Server nicht alle Cores ab! Du brauchst die Basislizenz mit 16 Cores und noch 8 Cores als Ergänzung!

Moin, Variante 1: ihr habt tatsächlich kein Active Directory und keine weiteren Server am Start, die irgendwas anderes noch machen. Dann brauchst Du: einen Server (sollte schon mindestens 16GB RAM haben und, wenn der Server physisch ist, schadet eine Grafikkarte auch nicht, ist aber nicht Voraussetzung für das Ganze) ein Installationsmedium für Windows Server Standard 2019 eine Lizenz für Windows Server Standard 2019 für 16 CPU-Kerne Windows Server 2019 Device CALs für jedes Gerät, das auf den Server zugreifen wird (das ist nur Papier, wird nirgends installiert) Windows Server 2019 Remote Desktop Services Device CAL für jedes Gerät, das auf den Server zugreifen wird (diese werden tatsächlich ausgecheckt und getrackt - wenn ein User also abwechselnd seinen Laptop, sein iPad, sein Smartphone und seinen Fernseher für den Zugriff auf den Terminalserver nutzt, braucht er 4 CALs) Da Du hier keinen HTML5-Client nutzen kannst und ein Connection Broker Dir nicht wirklich hilft, musst Du auch keine vollwertige RDS-Bereitstellung einrichten, sondern brauchst lediglich die Rollen "RDS Session Host" und "RDS Lizenzserver". Der Vorteil für Dich, keinen Broker und keinen Web Access zu bauen, liegt darin, dass Du dich nicht mit SSL-Zertifikaten aufhalten musst, und die User greifen einfach mit MSTSC.EXE auf den Server zu und fertig. Variante 2: ihr habt Active Directory oder bereit, euch damit zu beschäftigen. Dann brauchst Du: einen Server wie oben - falls noch kein Domain Controller vorhanden ist, kann der Server ein Hyper-V-Host werden und zwei VMs fahren: Domain Controller und Terminalserver, welcher dann Mitglied der Domäne wird. Allerdings kann der Terminalserver dann nicht von der Grafikkarte profitieren, falls im Server eine verbaut ist. Installationsmedium und Server-Lizenz wie oben Server und RDS CALs für das, wovon ihr weniger habt (siehe Beispiel oben)

Abreißen, neu bauen, mit der richtigen Lizenz und mit dem richtigen Installationsmedium.

Also doch Essentials. Ob's die richtigen sind, kommt doch darauf an, ob Du 5 User an 100 Maschinen hast oder 100 User an 5 Maschinen Also zumindest kaufmännisch kommt es darauf an.

Zwei Dinge. 1. Du sagst "Standard". Kannst Du das bitte bestätigen: Get-WindowsEdition -Online 2. Server ist standalone: Hoffentlich habt ihr keine User CALs gekauft, denn die gehen nur im AD.

Wenn Du auf diesem Server PowerShell mit erhöhten Rechten öffnest und Get-WindowsFeature rds* absetzt, was kommt zurück?

Essentials bringt einen Teil der Terminaldienste bereits bei der Installation (des Essentials-Assistenten) mit. Diese Essential-App ist als RemoteApp bereitgestellt. Dann bin ich bei Jan, schau, ob Du die Rollen mit dem "großen" Assistenten installiert bekommst. Schnellstart habe ich persönlich in Produktion noch nie benutzt. Brauchst Du nicht. Du wirst trotzdem durch einen Assistenten geführt und wählst einfach bei allen Rollen denselben (=einzig vorhandenen) Server aus

Moin, nur mal als Sanity Check: Dieser Server ist mit Desktop Experience installiert ein Standard oder Datacenter, kein Essentials Mitglied in einer AD-Domäne

Wenn es auch bei anderen Usern ist, dann müsstest Du mal auf AppLocker / WDAC schauen.

Das riecht nach Constrained Language Mode, auch wenn die Ausgabe vom Freitag etwas anderes nahelegt... Was bekommst Du alles bei Get-Command ausgegeben?

Also zumindest weißt Du dann, dass Du alles richtig gemacht hast. In einem Drittel der Fälle braucht's trotztdem einen Reboot, die Deregistrierung/Neuregistrierung usw.

Und da nachschauen, wo Du es früher her hattest? https://www.heise.de/download/product/wsus-offline-update-ct-offline-update-38170

Moin, alles außer PDCe soll nicht "einen Zeitserver", sondern die Zeitquelle "NT5DS" eingetragen bekommen. In einigen Fällen musste der PDCe nach der Aktivierung der Policy neu gestartet werden, aber normalerweise funktioniert es wie beschrieben. Und klar, der PDCe sollte natürlich als NTP-Client aktiv sein, wenn er externe NTP-Zeit bekommen soll.

Moin, was liefert denn am DOS-Prompt powershell.exe -command "$ExecutionContext.SessionState.LanguageMode" ?

Moin, das Stichwort, welches Du suchst, lautet "Vererbung". Erstelle einen Einsprungsordner, berechtigen ihn richtig, dann werden auch die darunter erstellten Unterordner richtig berechtigt sein. Das andere Stichwort lautet "UAC". Wenn Du den "Administrator" entfernst, weil er ja in "Administratoren" ist, wirst Du feststellen, dass der Zugriff über die Freigabe sehr wohl funktioniert, das Problem besteht nur bei lokalem Zugriff.

Ich aber, drum sage ich's Dir ja

Moin, wenn Du ein belastbares Know-How hast, so gibt es bestimmt auch in Deinem Ort/Kreis kleine Systemhäuser, die Dir auf Stundenbasis solche Admintätigkeiten geben können. Das ist ein Dilemma, das jede dieser Firmen hat: eigentlich noch einen Mitarbeiter benötigen, jedoch weder finden noch bezahlen können.

Das ist aber eine etwas andere Aussage Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)

Wenn wir statt "Subnetz" lieber "Broadcastdomäne" schreiben, dann sind wir uns ganz bestimmt einig

Ach, was. Disjoint Namespaces sind sogar von Exchange supported, und das will was heißen