oelk

Hallo Sunny61,

da ist schlicht nichts drin bzw zu diesem Zeitpunkt passiert.

Selbst in der cbs.log stand nichts brauchbares drin.

Und dann, plötzlich ca 25 später, fing er plötzlich an was zu holen.

Nein, das ist nicht zuverlässig.

Ich setze jetzt immer neue VMs auf bzw starte aus enem Grund-Snapshop und probiere Möglichkeiten aus.

Mit PSWindowsUpdate kann man wenigsten sehen, wann er was gemacht hat.

Das nenn ich dann mal Benutzerfreundlich.

MfG

Hallo, danke für die Antworten.

Natürlich hatte ich an die GPO (gpedit.msc) gedacht.

Ich installiere also testweise Server 2022 und Windows10  hier in einer VM und setze

'Automatisches herunterladen und installieren laut Zeitplan', Jeden Samstag, 19:00, jede Woche.

Passiert ist bei beiden nichts.

Heute nochmal den Zeitpunkt auf 12:00 gesetzt, wieder nichts.

Nach einer W10 Installation mit 20H1 sollte er mehrmals ein Update ziehen.

Auf der Kommandozeile bleibt dann eigentlich nur die Powershell mit PSWIndowsUpdate

MfG

Hallo zusammen,

ist sowas möglich? Ein Kollege fragte danach.

Das ist ein Server 2022 als VM, der ist kein DC und hat auch keine AD-Anbindung.

Die Updates darf der Server holen und installieren, aber der Neustart soll dann zB alle 14 Tage Sonntags durch geführt werden.

MfG

Hallo, das hat ein bisschen gedauert.

Ich da mal verschiedene Lösungen ausprobiert:

https://www.klaurie.de/windows/Network_tracing_Windows.html

Letztendlich hilft nur der Microsoft Network monitor netmon.

MfG

vor 14 Minuten schrieb NilsK:

Moin,

 

du solltest dir deshalb auch nicht zu viele Sorgen machen. Die Execution Policy ist kein echtes Sicherheitsfeature. Man kann sie bei jedem Aufruf auch individuell manipulieren, was Schadsoftware im Zweifel auch macht.

Die Execution Policy soll vor versehentlichem manuellen Ausführen schützen. Viel mehr erreicht sie nicht.

 

Gruß, Nils

 

Danke, diese Information hilft mir schon mal weiter. Danke

MfG

Das ist etwas verstörend.

get-executionpolicy -list zeigt alles undefined

get-executionpolicy  zeigt restricted

Wo ist da der Unterschied? Welche Liste wird abgerufen?

MfG
 

Ich hab gerade bei meiner Frau nachgeschaut, da steht alles auf Undefined.

Kann das durch eine legale Software geändert worden sein?

Wir sind nicht teil einer Domäne, nicht Teil eines AD.

Meister Schwichtenberg scheigt sich leider in seinem Powershell-Buch über die Standardenstellungen aus.

In einer VM habe ich gerade ein W10Pro (war eine frische INstallation von letzter Woche )

hochgefahren, das ist auch alles auf undefind.

Kann also nicht ganz stimmen.

So:

ps als user aufgerufen zeigt get-executionpolicy retricted, get-executionpolicy-list alles undined

ps als admin aufgerufen zeigt das gleiche.

MfG

Hallo,

wie sollte denn die executionpolicy zB auf W10Pro aussehen?

Bei mir sieht das so aus:

 Get-ExecutionPolicy -list

        Scope         ExecutionPolicy
        -----          ---------------
MachinePolicy    Undefined
   UserPolicy       Undefined
      Process        Undefined
  CurrentUser     Undefined
 LocalMachine    Bypass

Sollte das nicht zumindest lokal auf 'Restricted' stehen?

AK

vor 22 Stunden schrieb NilsK:

Moin,

 

Du bist uns zu den Lizenzen auch keine Rechenschaft schuldig. Da in solchen Konstrukten aber sehr oft die richtigen Lizenzen vergessen werden, solltest du dich in eigenem Interesse um das Thema kümmern.

 

Gruß, Nils

Danke für den Hinweis, ich werde es beherzigen und weiterreichen.

Was ich nicht ganz verstehe: ein VPN reicht IP-Verbindungen an eine DB eines anderen Herstellers als Microsoft auf einem

Windows-Server weiter. Welche Rolle spielen da Windows-Lizenzen?

MfG

vor 40 Minuten schrieb cj_berlin:

Der Einwand von @NilsK ist aber nicht von der Hand zu weisen - wenn Benutzer aus "ihren eigenen Strukturen" kommen, das heißt, nicht eurer Organisation angehören und ihre Geräte auch nicht, wird die Lizenzierung des Ganzen richtig spannend.

 

Nächste Frage, um Dich von Network Traces als Methode zur Logon-Protokollierung abzuhalten: Könnt ihr die benötigten Daten nicht aus dem VPN ziehen? Dort lassen sie sich vielleicht sogar einem User zuordnen, denn die IP, welche der VPN-Server vergibt, ist ja vermutlich nicht für jeden User fix...

Ja, doch, geht irgendwie, wir wollten es aber direkt auf dem Server realisieren.

MIt den Lizenzen bin ich nicht betraut, da kann ich zum jetzigen Zeitpunkt nichts sagen.

MfG

vor 10 Minuten schrieb daabm:

Und die DB kann keine Logins protokollieren? (Bei DBs bin ich etwas - hm - "ahnungslos"? )

Nein, in diesem Falle wohl nicht, wir wollen auch nicht an der DB des Herstellers/Lieferanten rumspielen.

Ok, eben gesehen: netsh bietet die Parameter permament und maxsize das könnte helfen.

siehe auch hier bitte:

https://support.citrix.com/article/CTX214599

oder auch hier auf dem github:

https://github.com/dmauser/PS-Network-Capture/blob/master/Basic-Net-Capture.ps1

MfG

vor 3 Minuten schrieb cj_berlin:

Authentifizieren tun sich die User aber trotzdem. Insofern hat der Einwurf von @daabm auch ohne AD Bestand.

Oder verbinden sie sich direkt zur Datenbank auf einem Datenbark-Port und mit der dort vorhandenen internen Authentifzierung?

Genau das: direkt über eine Port auf die Datenbank.

OK, mal zur Auflösung/Korrektur.

Auf dem Server läuft eine Datenbank, der Hersteller/Software-Lieferant verlangt zZt den Windows-Server 2016,

kein AD, Clients/Benutzer kommen icht aus lokalen Netz, also kein AD. Die Benutzer kommen aus dem Internet über ein VPN auf den Server bzw auf die Datenbank und haben teilweise ihre eigenen Strukturen oder sogar Standalone,

und wir wollen wissen, wer angemeldet ist und es in den letzten Tagen war.

Die netsh-Lösung sieht auf den ersten Blick gut aus, müsste aber nach den Windows-Updates und einem Rechnerneustart,

jedesmal von Hand neu gestartetn werden. Wäre die etl-Datei begrenzt? Ich vermute nicht., Dann wäre irgendwann die Rechnerplatte voll.

Zudem müsste man jedesmal über die Ereignisanzeige die etl-Datei öffnen. Etwas umständlich.

Ich schau mal, was es mit den 'advanced audit policies' auf sich hat, werde aber auch noch mal das

'NetEventPacketCapture' genauer in Augenschein nehmen. Ich hab da einige vielversprechende Links gefunden.

MfG

Hallo Gemeinde,

gibt es eine Möglichkeit festzustellen / mitzuschneiden welche IP wann angemeldet war?

Am besten mit Windows Board Mitteln.

Jetzt bin ich nicht der Powershell Freak, habe da aber ein 'NetEventPacketCapture' gefunden.

Dem Namen nach würde ich vermuten es wäre dafür geeignet.

Sicher gibt es den Microsoft netmon oder von Nirsoft smartsniff, aber Boardmittel wären mir eigentlich lieber.

Gesucht wird also IP mit Datum und Uhrzeit.

MfG

Das Thema hat sich erledigt, ich hab den Stick entsorgt.

Danke trotzdem allen.

MfG

Da das Programm nicht beendet wurde konnte ich auch in nichts reinschauen.

MfG

MurdocX:

Eine Domäne geht auf der Maschine nicht, der Lieferant des DBMS/Software hat das nicht abgesegnet.

Ich sach dazu jetzt nix...

Die Maschine ist kein Virtualisierungshost, alles echtes Blech.

Ich sehe schon, wir haben da kaum Möglichkeiten.

MfG

Danke für Eure Antworten,

siche,r Schalter drücken wäre auch eine Option.

Wie soll der Neustart ohne Account funktionieren?

Wie wird das eingerichtet?

Neustart geht, auch wenn die Datenbank steht und der Tomcat spinnt.

Danach läuft wieder alles.

Zitat

Die Admins sollten passende, personalisierte administrative Accounts haben.

Kannst Du das bitte genauer ausführen. Was ist damit gemeint?

MfG

Das hat mir nciht wirklich geholfen, das

perfmon /report 

läuft seit Stunden, ich habs jetzt beendet.

MfG

Ein neuer Mitarbeiter soll im Zweifelsfall die Maschine neustarten dürfen, wenn die anderen Coronabedingt

gerade nicht da sind, aber das Admin-Passwort bekommt er noch nicht. Nur den Zugang zum Raum.

Nicht meine Entscheidung. Mehr kann ich dazu nicht sagen.

Remote ist nicht möglich wg strikter Trennung der Netze.

MfG

Moin,

ich bekomme in der Ereignisanzeige / Anwendung die Meldung

Winlogon

Der Winlogon-Benachrichtigungsabonnent <SessionEnv> war nicht verfügbar, um das Benachrichtigungsereignis zu verarbeiten.

Was bedeutet das, was fehlt ihm?

W10 Pro 21H1

MfG

Danke für Deine Antwort,

Ich möchte einen zusätzlichen Benutzer anlegen, der nur das recht hat den Server neu zustarten oder herunter zu fahren.

Alles andere soll verboten sein. Keine Eingriffe ins Sysem, keine Softwareinstallation, nur neu starten oder herunterfahren.

AK

Hallo,

ich habe hier einen Windows Server 2016, zunächst ohne AD-DC und möchte ein lokales Benutzerkonto,

nur zum Neustarten/Runterfahren. Ansonsten keine Rechte.

Also Benutzer angelegt:

net user neustart /add

Passwort setzen, ok.

Dann Gruppenrichtlinie setzen:

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Zuweisen von Benutzerrechten/

Herunterfahen des Systems, Benutzer neustart hinzufügen.

Das klappt auch soweit ganz gut, er gehört zur Gruppe 'Benutzer' und kann weder gpedit, noch secpol oder wf aufrufen.

Aber Neustarten und Herunterfahren.

Leider stellte ich fest, das er doch über die Powershell Programme herunterladen kann zB Firefox

und diese auch bedingt installieren kann.

Die Abfrage nach dem Admin-Kennwort mit nein übergehen und fertigstellen.

Firefox lässt sich aufrufen.

Wie kann ich das Installieren von Software verhinden? Gibt's einen Trick?

MfG

Moin Gemeinde,

ich wollte mir gerne einen USB-Stick zur Installation erstellen.

Ich halte mich da an diese Anleitung:

https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/winpe-intro

ADK und AddOns sind installiert.

Beim DISKPART hängt es dann, das sieht den USB-Stick nicht.

Im Bild ist das Kommando 'wpeinit' zusehen hier auf den Rechnernen aber nicht zu finden.

Unter WIndows 10 (21H1) wird er erkannt mit Laufwerksbuchstaben E:, in der Datenträgerverwaltung auch,

nur DISKPART sieht ihn nicht.

Komischerweise zeigt LIST DISK nichts an, aber LIST VOLUME schon!

Lässt sich das beheben?

Auf zwei verschiedenen Rechnern das gleiche Problem.

Für Antworten oder gar Lösungen wäre ich dankbar