cj_berlin

Sorry, das hat hier NIEMAND gesagt. 5 Device CAL reichen für 5 User, wenn sie insgesamt max. 5 Devices haben . Wenn Du ein Büro mit 5 Clients hast und nur von dort mit RDS gearbeitet wird, dann können auch 500 Leute kommen, und die 5 Device CALs reichen trotzdem. Wenn Du 3 Leute hast und jeder hat Desktop, Notebook, Tablet, Smart Fridge und Smart TV und möchte von all diesen Geräten auf RDS zugreifen, brauchst Du 15 Device CALs (oder 3 User CALs, dann aber Active Directory).

Diese Einstellung sollte aber doch unabhängig von der Version gelten...

Was ist denn die aktuelle Meinung von CIS? Schon lange nicht mehr geschaut...

DREI verschiedene CPUs in einerm Rechner? Das ist geil.

Moin, https://www.manning.com/books/learn-powershell-scripting-in-a-month-of-lunches

10.x.y.z ist ein klassisches privates Netz

Dabei bräuchtest Du ja eigentlich "Remoteverwaltungsbenutzer", die genau dafür da ist - aber eigentlich auch schon zu hoch privilegiert :-( Und wenn die Firewall genau das tut (Workstations per IP-Adresse über WMI ansprechen) dann verheiratest Du dich halt für immer mit NTLM, nur um einen Logoff zu erkennen. Was ist denn die konkrete Bedrohung, die mit diesem Mechanismus abgewendet werden soll? Dass jemand sich nach Feierabend die IP vom Kollegen reinspooft und auf irgendwelche hochgeheimen Internetseiten zugreifen kann, wo der Kollege hin darf und der Spoofende nicht?

wscad, steht im OP @ag1 Wenn Du einen Server 202x mit einer verbauten Grafikkarte hast, kannst Du diese per DDA an die VM schleifen, und hast dann in der VM eine Grafikkarte. Herstellertreiber drauf, und schon hast Du OpenGL und Grafik. Ansonsten ist der Hinweis auf Guest Additions korrekt, ohne diese gehen alle erweiterten Features, so auch die 3D-Beschleunigung, nicht.

Moin, lass mal Daniel auf dem Terminalserver diesen ausführen und schau, ob da irgendwelche Claims sind, die da nicht sein sollen: [Security.Principal.WindowsIdentity]::GetCurrent().Claims | Select-Object -Property Issuer, @{'l'='Type'; 'e'={$_.Type.Split('/')[-1]}}, Value und dann natürlich gern den DanielCopy dasselbe machen lassen und vergleichen

Was @daabm sagt. Least Privilege für STAS ist nichts für Leute, die ein Leben haben.

Moin, speziell für AVD weiß ich es nicht, aber normales RDP versucht immer eine direkte Verbindung, bevor es zu anderen Mitteln greift, um zu bestimmen, ob RD Gateway benutzt werden soll. RDP Shortpath in AVD (erkennst Du am UDP-Traffic) wird auch nur direkt ausgeführt, am Proxy vorbei. Vielleicht habt ihr das ja aktiviert?

Trumpf ist immer wieder ein Ärgernis. Schaut man auf deren Werbung, muss man meinen, dass sie das 21. Jahrhundert bereits hinter sich gelassen haben. Mein ehemaliger Arbeitgeber hat sich mal für ein AD- und Exchange-Review dort beworben, der Fragebogen zur Person des vorgeschlagenen Consultants war deutlich schlimmer (und wesentlich umfangreicher) als der für die Sicherheitsüberprüfung II. Ich kann nicht beurteilen, ob die Maschinen wirklich so geil sind, aber EDV können die Brüder einfach nicht - vor 25 Jahren nicht, und heute immer noch nicht. Aber ich war auch bei einer Ausschreibung dabei, zu der Trumpf aus genau diesen Gründen nicht zugelassen wurde. Manchmal gibt's auch Gerechtigkeit auf der Welt...

Kannst Du mal zur Probe den Cache Mode auf einem der PCs abschalten?

Nein, bist Du nicht. Das müsstest Du auch als Anwendungsentwickler wissen, wenn Du für Windows entwickelst. UAC kann man entfernt mit sudo vergleichen - Du hast das Recht, dir Adminrechte zu nehmen, aber Du hast sie (d.h. Privilegien in Deinem Token) nicht von vornherein in Deiner interaktiven Sitzung. Deine Einstellungen (ja, es sind die Richtigen) sind soweit in Ordnung. Wenn der Screenshot aus dem GPResult kommt natürlich Versuch's zu Sicherheit von einem Member mit installiertem AD-RSAT aus. Falls das auch nicht hinhaut, schau nach den Berechtigungen auf Domänen-Ebene, die ich vorhin erwähnt habe.

Du meinst, wegen UAC und so? Ja, gute Frage. @lindner wenn Du direkt auf dem DC hockst, musst Du die Werkzeuge, mit denen Du das AD bearbeitest, "Als Administrator" starten. Vermutlich hast Du bei Deinem BSI-Durchlauf die Benutzerkontensteuerung für DCs auf "Automatisch verweigern" gestellt. Noch ein Grund, sich nicht interaktiv auf DCs anzumelden

Moin, die beiden Häkchen sind aber zwei verschiedene Attribute. "Muss Kenwort ändern" ist pwdLastSet (setzen --> 0, entfernen --> aktueller Zeitstempel), "Kennwort läuft nicht ab" ist ein Bit in userAccoutControl. Wenn im "Effektiven Zugriff" tatsächlich grüne Häkchen fürs Schreiben dieser beiden Attribute zu finden ist, schau Dir die effektiven Berechtigungen desselben Users am Root-Knoten der Domäne. Dort gibt es spezielle Berechtigungen wie "Unexpire Password", die auch verweigert werden könnten. Vielleicht wirst Du da fündig.

Sorry, die unausgesprochene Message meines letzten Posts sollte sein: Hol Dir Hilfe, nicht so sehr bei der Installation von Terminalservern wie bei der Folgeabschätzung dieser Schritte.

Moin, Möglich? absolut. Du kannst in einer AD-Domäne so viele voneinander unabhängige Terminalserver-Umgebungen betreiben wie Du möchtest. Aus technischen Gründen sollte es nicht mehr als drei RDS-Lizenzserver geben, die Per-User-CALs ausstellen, aber auch dafür gibt es Workarounds. Sinnvoll? aus verwaltungstechnischer Sicht ja. Den Security-Aspekt des ganzen muss die Firma/Organisation jedoch vorher bewerten. Schüler werden Mist bauen, absichtlich oder unabsichtlich. Willst Du den Mist in Deinem AD zulassen, muss jemand Vorkehrungen dafür treffen, dass er nicht die Produktions-Umgebung wegreißt. Ich erinnere gerne daran, dass auch der Bundestag damals über die Schulungsumgebung gehackt wurde, auch wenn die verwendete Technologie auf der ganzen Strecke eine ganz andere war als bei euch.

OK, also sind's ZWEI VPNs: eins beim ERP-Hoster und eins von euch. Wie groß ist die Umgebung? Vielleicht würde so ein Cloud-VPN eure Probleme für vertretbares Geld lösen oder zumindest auf den Cloud-Provider verlagern. Euer WAN würde dann einen VPN-Tunnel - über welche WAN-Leitung auch immer - zum Cloud-VPN unterhalten, und den Traffic zum ERP-Hoster darüber routen. Selbiges könnte man auch für OpenVPN betreiben. Ist zwar Tunnel im Tunnel, aber je nachdem, welche Dienste darüber gehen und wie dick die physischen Uplinks sind, mag es funktionieren.. Mit dem DNS Round Robin hast Du es genau richtig verstanden. Es gibt keinen allgemeingültigen Standard, wie die Client-Anwendung damit umzugehen hat, daher hilft nur ein Gespräch mit den Leuten, die sie im konkreten Fall betreiben.

Moin, gibt es zwischen "VPN" und "ERP Hoster" einen Zusammenhang, oder sind es einfach die zwei Systeme, die vom WAN-Failover betroffen sind? Der Inbound-Teil (VPN) könnte vielleicht einfach ein sekundäres Profil verwenden, das versucht wird, falls das primäre Profil sich nicht verbinden kann. Oder Round Robin, und einige Connections gehen über die Backup-Leitung rein (stört das?). Für den Outbound-Teil (ERP Hoster) - entweder sie können FQDN abbilden, das mehrere IP-Adressen zurückgibt (Round Robin), oder man schaltet einen VPN-Gateway in der Cloud dazwischen, und dessen IP ist dann für den ERP Hoster für die Zulassung maßgeblich.

WDS und MDT sind aber zwei Paar Schuhe

Moin, wenn man das dynamisch (in Bezug auf die Adressen) haben möchte: Die "normalen" PowerShell-Cmdlets für Firewall-Regeln unterstützen durchaus auch das Bearbeiten des Regelwerks in einer GPO: https://learn.microsoft.com/en-us/powershell/module/netsecurity/new-netfirewallrule?view=windowsserver2025-ps#-policystore

Warum aktiviert ihr auf dem Test-PC nicht einfach Logging statt gleich zu blockieren? Dann siehst Du auch gleich, was angesprochen wird und auf NTLM zurückfällt.

Nicht Task-Manager. Hyper-V Manager.

HPE iLO hat das auch zum Teil, ich meine, das wird sogar als ein "USB-Netwerkadapter" erkannt. Muss man in iLO deaktivieren.