mwiederkehr

Nur für den Virenschutz nicht, das erledigt der Defender und macht dazu am wenigsten Probleme. Wenn Du mehr willst, wie gewisse Websites sperren etc., benötigst Du nach wie vor eine andere Lösung. Wobei ich das dann jeweils gerne auf der Firewall löse. Je weniger (systemnahe) Software auf einem Server, desto besser.

Wir haben das mit Camtasia gemacht. Vorteil gegenüber TeamViewer: man kann die Videos bearbeiten: schneiden, Effekte (Pfeile etc.) einfügen und allenfalls Audio oder Untertitel hinzufügen. Man kann die Videos als MP4 exportieren und es gibt einen Webplayer, mit welchem man das Video im Browser aus dem Intranet abspielen kann. Mit diesem Player hätte man dann auch erweiterte Features wie Quizzes im Video zur Verfügung.

Für das verwendet man einen Hostnamen im DNS ("server.domain.de"), welchen man bei Bedarf anpassen kann. Falls ihr keine fixe IP-Adresse habt, könntet ihr DynDNS verwenden, wobei ich das nicht empfehlen kann für Sachen, die zuverlässig funktionieren müssen.

SFTP-Verbindungen kann man nicht ohne Zusatzsoftware als Laufwerk verbinden. Mit WebDAV geht das. Eine Anleitung zur Einrichtung findest Du zum Beispiel hier: https://gridscale.io/community/tutorials/webdav-windows-server/ Natürlich verwendet man dafür HTTPS und in Deinem Fall würde ich den Zugriff auf die IP-Adresse des externen Servers beschränken.

Ja, weil man normale Arbeitsplatzlizenzen nehmen kann, da nur ein User gleichzeitig mit der Anwendung arbeiten kann. Aber ja, ist ein Spezialfall. Du hast recht, ich habe mich im Jahr geirrt. Aber der Server 2019 (jedenfalls die Version mit GUI) wird die nächsten Jahre auf 1809 bleiben. So wie ich das verstehe muss man unterscheiden zwischen der RDP-Verbindung und dem Drumherum wie Gateway, Connection Broker etc. Server als Client-OS brauchen Serverlizenzen und RDS-CALs. Client-OS brauchen VDA-Lizenzen. Betreibt man sie als RDS (eben mit Connection Broker, Web Interface etc.), braucht man zusätzlich RDS-CALs. Eine gute Grafik findet man auf https://www.awingu.com/de/demystifying-rdp-pt-2-understanding-microsofts-rds-vdi-licensing/ Zu beachten ist aber wie von Dir erwähnt, dass Server-OS nicht für VDI mit RDS unterstützt werden. Da müsste man für die RDS-Features zu Citrix greifen (welches dann auch Lizenzen braucht...). Fazit: wenn ich es richtig verstanden habe, sind Server als Client-OS nur günstiger, wenn man auf dem Host noch Serverlizenzen frei hat und keine VDI-Features braucht (sondern einfach jeder User fix auf „seinen“ Server verbindet).

Ein Server 2012 R2 mit aktivierter Desktop Experience hat noch weitgehend einem Windows 7 entsprochen. Ein Server 2019 lässt sich bestenfalls zu einem unvollständigen, veralteten Windows 10 LTS machen. Edge, WIA etc. fehlen. Aber klar, es gibt andere Browser und immer mehr Scanner kommen ohne Software aus. Der von Microsoft angekündigte Schritt, auf Windows 10 parallele Sessions zuzulassen und in Zukunft dieses für RDS zu verwenden, hat für viel Aufruhr gesorgt, aber eigentlich ist ein RDS-Server näher an einem Client als an einem Fileserver oder DC. Da fallen mir einige Kalkulationsanwendungen aus dem Vermessungsbereich ein. Auf einem Client installiert und aktiviert man sie, auf einem Server wollen sie einen Lizenzserver haben. Gibt es, aber Netzwerklizenzen sind wesentlich teurer als Arbeitsplatzlizenzen. Da ist man schnell fünfstellig für eine Lizenz.

Ich glaube Du hast RDS noch nicht ganz verstanden. Stell es Dir so vor: Du arbeitest mit Deinem Benutzernamen an Deinem PC. Dann kommt jemand und schliesst an Deinem PC einen zweiten Monitor sowie Maus und Tastatur an. Dieser arbeitet dann auch an Deinem PC, aber unter seinem Benutzerkonto. Er sieht nicht, was Du machst und Du nicht, was er macht. Aber wenn er eine Datei auf C: löscht, ist sie auch für Dich weg. Wenn er ein Programm nach C:\Programme installiert, ist es auch für Dich vorhanden.

Da gibt es keinen "Standard", das kommt ganz auf die Anforderungen an. Ich mache meist abends eine Vollsicherung und tagsüber viertelstündlich eine Sicherung der Logs. Sonntags baue ich zusätzlich Indizes mit mehr als 30% Fragmentierung neu auf. Aber: bei meinen Kunden ist eine DB mit zehn GB schon gross. Wenn Du mit grösseren Datenbanken arbeitest, musst Du die Strategie anpassen.

Das könnte man mit https://www.sandboxie.com/ bewerkstelligen. Aber es würde wohl schon reichen, die Anwendung von einer separaten Partition zu starten und jeweils nach Beenden per Script die Schattenkopie wieder herzustellen.

Kann das Verhalten leider bestätigen. Irgendwo muss Microsoft in der Update-Routine einen gröberen Bock geschossen haben. Es ist mir nicht klar, wie man einen Core einer modernen CPU während fast einer Stunde auslasten kann nur für den "Download" eines Updates. Ich nehme ja nicht an, dass die TiWorker.exe nebenbei Bitcoins mined. Habe schon viele Beiträge zum Thema gelesen, aber noch nirgends eine Lösung gefunden. Es sieht so aus, als ob Microsoft das nicht zu beheben gedenkt.

Evtl. würde es helfen, die für Drag & Drop minimal erforderliche Distanz zu erhöhen: https://www.tech-faq.net/versehentliches-verschieben-von-ordnern-verhinden/ Habe auch schon bei Kunden gesehen, dass die Mitarbeiter auf der obersten Ebene keine Löschrechte haben. So kann nicht ein Kunde in einen anderen Kunden verschoben werden, aber weiter unten in der Hierarchie ist Verschieben immer noch möglich.

Dafür reicht ein aktueller i7 gut aus, allenfalls tut es auch ein i5. RAM würde ich mindestens 16 GB nehmen und als Speicher eine schnelle SSD (NVMe). Falls Du die VMs nicht längerfristig brauchst, könnte auch Azure eine gute Option sein: dort kannst Du Dir die VMs zusammenklicken, beliebig neu erstellen lassen etc. und die Lizenzen sind auch gleich dabei.

Bei solch heiklen Daten und den günstigen Preisen für USB-Sticks würde ich das so machen: eine grosszügige Anzahl an (mit dem Firmenlogo bedruckten) USB-Sticks einkaufen und jeder Teilnehmer kann seinen USB-Stick behalten. So seid ihr aus der Haftung bezüglich "Löschen vergessen" und gleichzeitig wirkt ihr nicht kleinlich, weil man einen Stück für zwei Euro zurückgeben muss.

Da kann ich zustimmen. Einen eigenen Exchange betreibt man als Hoster nur für grössere Kunden. Aber ich kenne immer mehr Hoster, die das "Kleinkundengeschäft" an Office 365 auslagern. Erstens lohnt es sich nicht mehr wie noch vor einigen Jahren (weil Office 365 zu günstig ist), zweitens kann man viele Features nicht anbieten (AAD Connect...) und drittens ist es -obwohl von Microsoft supported- immer eine heikle Sache. Im Outlook selbst habe ich nie von Problemen mit der Trennung der Kunden gehört, aber ein Admin muss nur einmal eine Transportregel falsch einrichten, ein Konto bekommt eine falsche Default Public Folder Mailbox und der Kunde sieht die fremde Domain dann beim Autodiscover, das Panel zeigt nach einem Update zu viele Benutzer an... Für Partnerfirmen, die sich gegenseitig der Übersichtlichkeit halber nicht sehen SOLLEN, würde ich das noch machen, aber nicht, wenn völlig unabhängige Kunden sich nicht sehen DÜRFEN.

Wie Nils schon geschrieben hat, lassen sich Flashspeicher nicht sicher löschen. Dies, weil der Speichercontroller die Daten immer neu verteilt ("wear leveling"). Wenn Windows Sektor 10 beschreibt, landen die Daten auf Sektor 90. Was ursprünglich auf Sektor 10 war, ist für das Betriebssystem unsichtbar und somit immun gegen Überschreibversuche. Ein Angreifer könnte den Speicherchip auslöten und komplett auslesen. (Es gibt Sticks, auf denen sich der Speicher nicht zerstörungsfrei auslöten lässt. Oder solche, welche die Daten verschlüsseln und bei denen man den Schlüssel wegwerfen kann, was ein Überschreiben hinfällig macht.) Die Frage ist, wie sicher in Deinem Szenario die Löschung sein muss: sind da heikle Daten drauf oder will man einfach verhindern, dass ein Kursteilnehmer Schadsoftware auf dem Stick platziert, bevor er ihn zurück gibt? Gegen Schadsoftware hilft eine Schnellformatierung, gegen Wiederherstellungstool hilft ein vollständiges Überschreiben. Gegen Angreifer mit Spezialhardware helfen nur spezielle Sticks, welche aber wohl teurer sind als einfach jeweils neue Sticks auszugeben.

Das ist eigentlich ein Hosting-Szenario. Dies wird von Microsoft seit Exchange 2010 offiziell unterstützt, ohne hässliche Tricks mit Berechtigungen auf Adresslisten entziehen etc. Mit den Adressbuchrichtlinien kommt man sehr weit, besonders wenn die Clients nur über HTTPS zugreifen (und der Mailclient nicht mal eben mit dem AD sprechen kann). Es gibt noch einige Fallstricke bezüglich Standardberechtigungen in Kalendern und öffentlichen Ordnern, welche einen Mehraufwand verursachen, wenn man eine komplette Trennung haben will. Fazit: es ist möglich (und wird überall eingesetzt, wo Hosted Exchange angeboten wird), aber es ist nicht in fünf Minuten zusammen geklickt. Hier eine Anleitung: Multi-Tenancy and Hosting Guidance for Exchange Server 2013

Es gibt schon Tools, die eine MBR-Partitionstabelle ohne Datenverlust zu GPT konvertieren. Bei der Systemdisk ist es damit aber noch nicht getan. Man muss den Bootloader auf UEFI umstellen, und das bedingt die Erstellung zusätzlicher Partitionen. Es gibt seit einiger Zeit ein Tool von Microsoft dafür, welches aus der Installationsumgebung von Windows 10 gestartet werden kann: https://docs.microsoft.com/en-us/windows/deployment/mbr-to-gpt Ich weiss aber nicht, ob das auch für Server 2012 funktioniert.

Danke für eure Antworten! Wenn Martin den Key hat, sieht es für den Kollegen wohl eher schlecht aus... Ist aber schon speziell von Microsoft, die Verschlüsselung ohne Rückfrage zu aktivieren. (Wobei ich nicht ausschliessen kann, dass der Benutzer damals "ich will keinen Recovery Key ausdrucken" oder so geklickt hat.)

Hallo zusammen Wurde gerade mit einem Fall von Privatanwender-Support betraut, der meine Kenntnisse in diesem Bereich übersteigt: Ein Notebook mit Windows 10 Home wurde zur Reparatur eingeschickt. Das Mainboard musste ausgetauscht werden. Seither verlangt das Gerät beim Start einen Wiederherstellungsschlüssel. Der Anwender weiss natürlich nichts von einer Verschlüsselung... Was ich herausgefunden habe: Windows 10 verschlüsselt die Disk, sobald man sich mit einem Microsoft Account anmeldet. Der Schlüssel wird dabei (zumindest bei Home-Versionen) automatisch bei Microsoft gesichert. Laut Anleitungen soll er unter https://onedrive.live.com/RecoveryKey abrufbar sein. Auch könne man das Senden des Keys an Microsoft nicht verhindern. Nur leider steht dort kein Key. Bei einem Account eines anderen Anwenders, welcher auf einem anderen Gerät verwendet wird, steht auch kein Key. Deshalb vermute ich, dass ich am falschen Ort schaue und nicht beide Anwender unabhängig voneinander die Keys manuell gelöscht haben. Ich weiss, so Heimanwender-Zeugs ist wohl nicht das Spezialgebiet der Member hier, aber vielleicht hat ja jemand einen Tipp. Vielen Dank!

Ich habe mal eine Demo von Citrix Endpoint Management gesehen, als es noch XenMobile hiess. Das sah durchdacht und benutzerfreundlich aus. (Wobei die Benutzerfreundlichkeit bei Container-Lösungen zwangsläufig eingeschränkt ist.)

Wenn Du das WSUS-Verzeichnis ausschliesst, schliesst Du ausgerechnet das Verzeichnis aus, in welchem Inhalte von aussen gespeichert werden. Aber ja, ich sehe Deine Sicht: die Lizenz ist vorhanden und ein Virenscanner mehr schadet ja nicht. Experten würden jetzt dagegen halten mit: a.) "jede Software erhöht den Wartungsaufwand und die Problemanfälligkeit" und b.) "jede Software erhöht die Angriffsfläche". Ich persönlich installiere keine Virenscanner von Drittanbietern mehr, habe zu viel erlebt damit. Den Windows Defender lasse ich aber laufen.

Grundsätzlich sollte potentiell gefährliche Software blockiert werden, bevor sie den Rechner erreicht. Will heissen: die E-Mail mit dem bösen Link drin sollte dem Benutzer nicht zugestellt werden oder falls doch, sollte der Link sich nicht öffnen lassen. Der Virenscanner ist dann die letzte Verteidigungslinie. Ihr macht es schon richtig, dass man vom Server aus nicht im Internet surfen kann. Zusätzlich noch den Zugriff per Firewall auf die notwendigen Ports beschränken und zeitnah Updates einspielen und ich wäre zufrieden. Aber es kann gut sein, dass jemandem von der "anderen Seite" ein Szenario einfällt, bei dem ein Virenscanner auf dem KMS hilfreich wäre.

Du könntest die Bildschirmsperre auf dem Server allenfalls in Abhängigkeit vom Client aktivieren bzw. deaktivieren. Meldet man sich von einem internen Client an, ist die Sperre deaktiviert. Meldet man sich von extern an, ist sie aktiviert.

Roboter und 3D-Drucker würden mich zu einem Besuch verleiten. Wiederkommen würde ich aber nur, wenn die Qualität der Speisen und der Service stimmen. „Attraktionen“ sind meist nicht langfristig interessant. Andere Idee: Katzen. Nerds lieben Katzen.

bcdedit /set hypervisorlaunchtype off und anschliessender Neustart sollen helfen.