mwiederkehr

Alle mir bekannten Clients behalten bei Nichterreichbarkeit des Servers die E-Mails in einem Ordner ("Postausgang") und versuchen sie bei jedem Intervall zuzustellen. Bei Fehlern zeigen sie mehr oder weniger prominent eine Meldung an, versuchen die Zustellung aber beliebig lange weiter. Sie generieren keine NDRs.

Es ist, wie Nils schon erwähnte, ein Gebastel. Aber es sollte funktionieren. VMware gibt sich bei der Workstation viel Mühe für solche Features und sollte alles können, was benötigt wird:

• USB an VM durchreichen
• Anwendungen aus VM als Anwendung auf Host darstellen (Desktop der VM ausblenden), das Feature heisst "Unity"
• gemeinsame Datenspeicherung, Dateien aus VM auf Host ablegen (das ginge natürlich auch über das Netzwerk), Drag&Drop aus und in VM
• Drucker vom Host durchreichen

Der kostenlose VMware Workstation Player sollte für Deine Zwecke ausreichend sein.

Ich glaube das Durcheinander kommt von der unterschiedlichen Interpretation des Begriffs "Desktop". "Desktop" im Sinne von "Desktop-OS" vs. "Zugriff auf Desktop von Terminalserver (mit Server-OS)" (im Gegensatz zu einzeln freigegebenen Anwendungen, "RemoteApps").

Ich würde auch sagen, dass man für Server-OS keine VDA benötigt. Ich habe noch nie eine VDA gekauft und bislang gab es bei Lizenzprüfungen bei Kunden keinerlei Beanstandungen diesbezüglich. Weder bei solchem mit RDS im Haus und ThinClients mit Linux, noch bei solchen, welche ihre Anwendungen per RDS ihren Kunden anbieten und per SPLA lizenziert sind.

vor einer Stunde schrieb Weingeist:

Zwar schon etwas her, aber dafür gibts auch gute Lösungen, zumindest wenn man das öfter machen muss: PDF-Printer mit Overlay Funktion

Eine sehr elegante Lösung, gute Idee!

Mit dem Drucker von PDF XChange kann man ein PDF überlagern. Oder, wenn man es etwas ausgefeilter will, kann man mit den PDF Tools einen Ordner auf Excel-Dateien überwachen, diese zu PDF konvertieren und Kopf- und Fusszeile anfügen. Da diese dynamisch erzeugt werden, kann man Sachen wie Seitenzahl, Datum etc. einfügen.

Wäre das jetzt nicht ein klassischer Fall für eine "Emergency Mitigation" (https://learn.microsoft.com/en-us/exchange/exchange-emergency-mitigation-service?view=exchserver-2019)? Aktuell wurde dort noch keine entsprechende Regel veröffentlicht.

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory liefert eine Begründung, weshalb der Account nicht deaktiviert werden sollte:

Zitat

This guide used to recommend disabling the account. This was removed as the forest recovery white paper makes use of the default administrator account. The reason is, this is the only account that allows logon without a Global Catalog Server.

Der Artikel empfiehlt einige Einstellungen zur Absicherung.

Theoretisch sollte es mit der Windows Firewall funktionieren. Man kann zumindest Regeln auf Benutzer beschränken. So wäre eine Verbieten-Regel auf die entsprechenden Ports für den Benutzer denkbar. Ausprobiert habe ich es allerdings nicht.

In der Industrie ist das gang und gäbe. Die Steuerungen von CNC-Maschinen laufen häufig auf Windows XP, ein Kunde hat noch eine Drehbank mit MS-DOS (inkl. nachgerüstetem TCP/IP). Die Robotersteuerung läuft mit OpenVMS auf DEC Alpha, die Messmaschine mit HP-UX auf RISC-V.

Wobei sich Alpha und RISC-V mittlerweile mit guter Performance emulieren lassen. Es gibt Emulatoren von namhaften Herstellern, inkl. Garantie und Support. Die Lizenzen sind teuer, aber günstiger, als die ganze Steuerung auszuwechseln (deren Hersteller oft nicht mehr existiert). Die grösste Herausforderung ist, noch irgendwo alte SCSI-Karten mit dem richtigen Anschluss zu finden, um ein Disk-Image machen zu können.

Als Alternative ist mir eine Zeitschaltuhr eingefallen: Strom weg, wenn die Sicherung fertig ist, Strom ein vor der Sicherung. "Always Power on" lässt sich bestimmt konfigurieren im BIOS. Vorteil: Gar kein Stromverbrauch, wenn ausgeschaltet.

Wie geschrieben, ist ausgehendes NAT mit Windows-Bordmitteln soweit ich weiss nicht möglich. Die meisten Anwendungen halten sich aber an die Proxy-Einstellungen des Systems. Diese findest Du in der Systemsteuerung unter dem Punkt "Internetoptionen".

Evtl. ist beim Anmeldescript die Benutzersitzung noch nicht so weit aufgebaut, um Zugriff auf den verschlüsselten Speicher mit den Zugangsdaten zu gewährleisten? Hilft eine Pause von zehn Sekunden im Script?

Oder hat der Benutzer Adminrechte und das Script wird mit erhöhten Rechten ausgeführt (oder die Zugangsdaten wurden mit erhöhten Rechten eingetragen)? Bei UAC gibt es zwei verschiedene Kennwortspeicher, einen "normalen" und einen für Sitzungen mit erhöhten Rechten.

Soweit ich weiss, kann die Windows-Firewall kein Outbound-NAT. Es sollte aber reichen, wenn Du die Ports 80 TCP, 443 TCP sowie 443 UDP (Quic, in modernen Browsern schon aktiv) ausgehend blockierst und nur zum Proxy erlaubst.

Ein Kunde, für den „selbst gehostet“ ein Kriterium war, arbeitet mit ISL Online. Es läuft gemäss seiner Aussage gut. LDAP-Authentifizierung und RDP-Forwarding kann es laut Website.

Wie Nils schon geschrieben hat, fehlt Dir das Backend. ASP-Dateien werden auf dem Server ausgeführt. Nur der generierte HTML-Code wird zum Browser übertragen. Der Backend-Code ist somit nicht in Archiven enthalten.

Zum Vergleich: Du kannst auch nicht auf google.com gehen, im Browser auf „Webseite speichern“ klicken und hast dann Google kopiert.

vor 4 Stunden schrieb cerit:

Leider wird ein ticketing system nicht erwünscht. Weshalb auch immer menagement eben...

Nach meiner Erfahrung haben viele Leute eine falsche Vorstellung von Ticketsystemen. Sie kennen solche Systeme nur von ihrer letzten Anfrage an eine grosse Firma und denken an die vielen E-Mails, die dadurch generiert wurden: Ticket eröffnet, seit einem Tag nichts mehr gehört, Ticket geschlossen, Umfrage, Erinnerung zur Umfrage... Das nervt, aber man kann ein Ticketsystem auch betreiben, ohne die Kunden zu nerven.

Deshalb ein Tipp: Richte ein Ticketsystem ein und lass es die E-Mails abrufen. Nach einer Woche schaust Du es mit dem Management an. Wenn man mit echten Daten arbeitet, ist der Nutzen besser vermittelbar als mit "Lorem ipsum"-Test-Tickets.

Der Gelesen-Status wird nach meinen Erfahrungen bei Exchange sehr schnell synchronisiert. Wenn ich auf dem Smartphone eine E-Mail lese, dauert es keine fünf Sekunden, bis sie auf dem Outlook am Rechner auch als gelesen markiert ist. Eine Migration zu Exchange (Online) würde also wahrscheinlich eine Verbesserung bringen. Evtl. hilft schon, wie von Norbert empfohlen, eine Umstellung auf Thunderbird. Denn eigentlich sollte IMAP auch recht zügig sein.

Aber ich sehe es wie Dukel und würde dringend zu einem Ticketsystem raten. Zu schnell wird der Gelesen-Status fälschlicherweise geändert. Ein, zwei falsche Klicks und alles ist gelesen oder ungelesen.

Die PowerShell ist für Scripts gedacht und das Einbinden von Winforms ist ein Gebastel aus meiner Sicht. Visual Studio ist kostenlos, damit kann man komfortabel GUIs designen, Windows Forms oder sogar WPF (wobei das die Komplexität erhöht) und wenn man die Anwendung für .NET Framework 4.x kompiliert, läuft sie auf jedem einigermassen modernen Windows ohne zusätzliche Komponenten. C# ist nicht so schwer zu erlernen, zumindest nicht für einfachere Sachen.

Es sollte mit "ExtensionInstallForcelist" gehen:

https://chromeenterprise.google/policies/#ExtensionInstallForcelist

https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-policies#extensioninstallforcelist

Der einzige Grund, der aus meiner Sicht für regelmässige Kennwortwechsel von solchen Konten spricht, ist die Routine. Ich habe schon Umgebungen gesehen, in denen man nicht gewagt hat, das Admin-Passwort zu ändern, weil dann "sicher etwas nicht mehr läuft". Bei Verdacht auf Kompromittierung muss man die Passwörter wechseln können, ohne befürchten zu müssen, dass es zu Problemen kommt. In grossen Umgebungen ist das wohl kein Thema, aber in Betrieben, in welchen nur wenige Personen zuständig sind, ist die Verlockung gross, in der Not "provisorisch" mal den Admin als Dienstkonto einzutragen und dann "später" die Berechtigungen abzuklären.

vor 3 Minuten schrieb Weingeist:

Entweder hat die Version immer noch die Prüfung auf Deutsch-Deutschland

Ich konnte bis jetzt noch keinen SQL Server mit "Deutsch/Schweiz" installieren. Erstmals gemeldet habe ich das Problem 2005.

Ich bin etwas erstaunt, dass hier alle das Herabstufen empfehlen. Ist es nicht seit WS2012 so, dass man nur das Computerobjekt des alten DC zu löschen braucht? Also vorausgesetzt natürlich, man braucht den alten DC nicht mehr für andere Aufgaben und sorgt dafür, dass er nie mehr ans Netzwerk kommt.

Mit $Contacts[0] solltest Du den ersten Unterordner erhalten, mit $Contacts["Kunden"] den Kundenordner, unabhängig von dessen Position.

Ich weiss nicht, ob $Contacts.Folders einen Enumerator hat. Falls ja, könntest Du mit foreach($Folder in $Contacts.Folders) alle Unterordner durchgehen. Sonst musst Du eine Schleife nehmen mit $Contacts.Folders.GetNext() und die solange ausführen, bis der Rückgabewert $null ist.

Beispielcode habe ich nur für VBA gefunden:

Zugriff auf einen Unterordner: https://docs.microsoft.com/en-us/office/vba/api/outlook.namespace.getdefaultfolder

Iteration über alle Unterordner: https://docs.microsoft.com/en-us/office/vba/api/outlook.folders.getnext

vor 5 Stunden schrieb testperson:

Wäre die Experts Live (Experts Live Germany) evtl. eine solche Türe?

Danke für den Hinweis! Das Programm ist spannend, aber ich bräuchte je einen vollen Tag für An- und Abreise. Ich fahre gerne mit der Deutschen Bahn, aber nicht, wenn man umsteigen muss.

Ich habe das Gefühl, dass das Sponsoring-Geld auch bei grossen Firmen nicht mehr so locker sitzt. Die NT-Anwendertreffen durften jeweils bei der Microsoft in Wallisellen Gastrecht geniessen und meist gab es danach noch etwas zu Essen. Da ich mich nicht an andere Sponsoren erinnern kann, gehe ich davon aus, dass Microsoft das aus dem Marketing-Budget bezahlt hat. Manchmal wurden sogar eine Xbox oder ein Zune-Player verlost.

Wenn man all das Geld selbst eintreiben muss, ist es tatsächlich sehr viel Aufwand.

Aber ja, hoffen wir, dass irgendwo eine neue Türe aufgeht!