testperson

Seit ~Oktober 2022 gibt es da keien Einschränkung mehr: Requirements to use AppLocker | Microsoft Learn

Dafür müsste man halt erstmal wissen, was denn da wie und warum mit den PFs gemacht wird.

Hi, im anderen Thread kam ja schon die "indirekte Frage" auf, warum werden die PFs überhaupt benötigt? Was bildet der Kunde da in den PFs ab, dass diese benötigt werden? Gruß Jan

Hi, ich _vermute_ du hast nicht genug Geduld. ;) Zusätzlich - falls du es nicht schon machst - solltest du Gruppen berechtigen und nicht direkt den/die User. Gruß Jan

Hi jetzt noch mit Batch anfangen. *SCNR* Die Frage wäre halt, ob es _wirklich_ Batch sein muss. Ansonsten würde ich in Richtung PowerShell gucken. $Ordner = "menue" if($Ordner -eq "menue"){ Write-Host "JA" } else{ Write-Host "NO" } Gruß Jan

Ich meine mich an DAN Software (von Medifox?) zu erinnern, die Software für Pflege entwickeln. Da hatte damals ein größerer Pflegeverbund "DAN Touch"(?) im Einsatz, was per Schloss / USB Token die Notebooks bzw. Tablets der Pflegekräfte entsperrt / gesperrt bzw. an- / abgemeldet hat. Vielleicht ist DAN ja im Einsatz oder die eingesetzte Software bietet auch so eine Möglichkeit.

Dafür muss aber Autodiscover sauber funktionieren. Zeroconfig übernimmt an der Stelle ja "nur", dass der Benutzer im ersten Screenshot seine E-Mail-Adresse nicht eintippen muss und diese aus dem AD kommt. Steht ja im Endeffekt auch so in den von dir verlinkten Artikel: Hier scheint ein Autodiscover vom Domain Provider oder Guesssmart bzw. wie es heißt reinzufunken und eben von irgendwo die Info zu bekommen, dass es sich um IMAP dreht.

Hi, mir ist bei einem Kunden die Event Id 6167 aus der Quelle "LSA (LsaSrv)" im Eventlog recht hartnäckig um die Ohren geflogen. Eine kurze Google Suche hatte dann diesen Beitrag hervorgezaubert. Gruß Jan

Hi, den Anmeldevorgang auf den lokalen Client "auslagern" und per SSOn auf den Terminalserver verbinden? Evtl. findet sich auch was aus der Richtung "Transformer" aus dem Citrix WEM oder man versucht das mit Bordmitteln / Kiosk nachzuahmen. Gruß Jan

Hi, ich würde darauf tippen, dass es genügt Autodiscover sauber zu konfigurieren und zusätzlich ggfs. per GPO am Client einzuschränken: GPS: AutoErmittlung deaktivieren Gruß Jan

Das kannst du so argumentieren und handhaben. Wie viel Arbeit ist es aber, das "kurz" in ein GPO zu packen und auf alle Systeme auszurollen? Lohnt es da "groß zu diskutieren" bzw. Energie in die Abwägung zu stecken?

Hi, oder auch: Kein RDP oder File Share mehr nach letzten Windows Update (LSA(LsaSrv) Event ID 6167) - Microsoft Q&A Es findet sich zum September Patchday unter Server 2025 / Win 11 24H2 recht viel in diese Richtung. Gruß Jan

An der Stelle könnte man darüber nachdenken, an den Hyper-V Hosts - losgelöst ob Domain / Workgroup - per Windows Firewall eine Deny In- / Outbound Regel zu erstellen, die eben die IP Range(s) der Workloads / restlichen Systeme abdeckt. Auf den restlichen Systemen wird das Ruleset dann einfach "umgekehrt" implementiert. Zwischen Hyper-V Hosts und Veeam Server bzw. ggfs. zwischen Veema Server und Workloads müsstest du dann etwas granularer rangehen. Bzw. auch wenn die Hosts in der Domain sind.

Hi, ich würde - losgelöst von Workgroup / Domain - ASAP "Gründe" beseitigen. Die Frage wäre, ob man den Admin Approval Mode nicht generell auch für den Built-In Admin aktiviert (User Account Control Admin Approval Mode for the Built-in Administrator account - Windows 10 | Microsoft Learn). Gruß Jan

Du hast ja auch eine "New-DynamicDistributionGroup" erstellt und keine "Get-DistributionGroupMember". Siehe: View members of a dynamic distribution group | Microsoft Learn