Cryer

Ich bin dabei eine GPO zu erstellen, die folgendes machen soll: Auf Computern soll beim Start folgendes .bat-Script ausgeführt werden: powershell.exe -ExecutionPolicy Bypass -File "\\ip\share\scripts\setFollowMeNormalAsDefault.ps1" Wichtig: Führe ich das .bat-Script als angemeldeter Benutzer manuell aus funktioniert das aufgerufene PowerShell-Script und macht was es soll. Ein Berechtigungsproblem liegt also nicht vor. Dazu gehe ich in im GPO-Editor unter "Computerkonfiguration" -> "Richtlinien" -> "Windows-Einstellungen" -> "Scripts (Start/Herunterfahren)" und habe dort das Script wie folgt beim "Start" eingetragen" Ich habe es auch mit dem Standardpfad probiert, mit dem PowerShell-Script direkt im entsprechneden Reiter und und und. Es will aber einfach nicht funktionieren. Die GPO wird einfach erstellt und erstmal auch nichts an den Sicherheitsfiltern oder so geändert (Authentifizierte Benutzer) Kurze Info, warum das Script nicht unter Benutzerkonfiguration erstellt wird: Es gibt Benutzer mit Tablets / Laptops und bei denen soll der FollowMe Normal-Drucker nicht zwangsweise auf Standard eingestellt werden. Das soll nur bei den Computern in den Dienststellen passieren, dann aber egal wer sich anmeldet. Habt ihr eine Idee, wo das Problem liegen könnte?

Ich habe einen RDS 2022 und leider trennen die Benutzer immer nur die Verbindung anstatt sich ordentlich abzumelden. Da kann man reden und schreiben was man will. Nun will ich immer, dass wenn ein Benutzer eine getrennte Sitzung wiederherstellt ein Hinweis erscheint, dass man sich doch bitte ordetnlich abmelden soll. Dazu habe ich ein kleienes Script geschrieben. Dieses ist jetzt (zum testen) erstmal so gestaltet, dass es immer ausgeführt wird und etwas anzeigt, egal ob eine getrennte Sitzung erkannt wurde oder nicht, einfach nur um sicher zu gehen, dass die Aufgabe überhaupt ausgeführt wird. In der Aufgabenplanung auf dem RDS habe ich folgendes eingestellt: Tab "Allgemein": Name: "Überwachung der Sitzungstrennung" Sicherheitsoptionen: Benutzerkonto: Administrator (Habe auch "System" probiert) Unabhängig von der Benutzeranmeldung ausführen Mit höchsten Privilegien ausführen Tab "Trigger": Trigger: Bei Verbinden mit Benutzersitzung Jeder Benutzer Verbindung mit lokaler Computer (Habe auch "Verbinden mit Remotecomputer" getestet) Aktiviert Tab "Aktionen": Aktion: Programm starten Pfad ist ein lokaler Pfad auf dem RDP. Habe ich über "Duchsuchen" ausgewählt Was mache ich falsch? Kann jeand helfen?

OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute. Um dann aber wieder auf das Thema zu kommen: Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen?

Warum so aggressiv? Und viele funktionieren noch und einige offensichtlich nicht mehr. Wissen tut es offenbar keiner, verlassen kann man sich auf nichts und das Chaos ist wie immer perfekt. Typisch Microsoft. Aber gut, dass die ja selbst nicht mehr wissen, was die eigentlich machen, beweisen sie ja Monat für Monat mit dem Patchday, wovor jeder Admin inzwischen zittert und besser mal mind. eine Woche aufschiebt bis andere das Versuchtskanickel gespielt haben. Nichtmal eine Beschreibung bzw. anwendbaren Systeme können sie anpassen und eher weniger erfahrene Admins wie ich rennen dann ins offene Messer (und werden dann noch angemacht, weil suggetiert wird, dass sie noch aktuell sind und funktionieren.)

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich. Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

Da steht aber "Mindestens". Also gehe ich davon aus, dass es auch unter späteren Versionen von Windows funktioniert und die Richtlinie an den Clients die notwendigen Einstellungen vornimt. Wenn das nicht der Fall ist, dann ist die Beschreibung schlichtweg Müll, weil dann die entsprechenden Versionen von Windows gelistet sein sollten, bzw. (weil Windows XP schon lange aus dem Support ist) als Veraltet gekennzeichnet sein oder am besten gar nicht mehr erst zur Verfügung stehen. Ich denke so siehts eher aus. Immerhin ist es ein Windows Server 2022 von dem wir hier sprechen. Ich habe auch schon andere Richtlinien gesehen, wo explizit dann beispielsweise einfach nur "Windows Vista" oder Windows 8 / 8.1 steht. Ich sehe da bei mir keinen Denkfehler.

Ist das, was du da beschreibst nicht ein Funktionsaccount?

Ja, sind sie. Kannst du mir auch bitte die Frage beantworten, was dann die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" noch soll? Natürlich hätte ich es testen können, aber ich verstehe auch gerne was ich mache.

Weil manche Leute ihr Laptop / Tablet mitnehmen und nicht von überall aus die Möglichkeit haben sich mit unserem Server zu verbinden, der aktuell primär für die persönliche Authentifizierung und Richtlinienvergabe zuständig ist. Es gibt eine zweite Plattform (Citrix Workspace) unserer übergeordneten Organisation, auf die ich aber keinen großen Einfluss habe, wo sich die Leute über den Browser anmelden und wo im Grunde auch alle Daten bislang liegen. Nur kann man dort nicht hineinscannen. Das ganze soll bis zum Herbst komplett geändert werden und die Citrix-Plattform wegfallen, aber aktuell läuft das noch so. Aktuell sind wir halt mitten im Umstellungsprozess. Später wird dann natürlich nur noch auf unseren Server gescannt werden können (Siehe anderer Thread von mir) Viele nutzen auch den Komfort des Scan-to-Mail, ist aber halt nicht für alle gleichermaßen praktisch.

Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann. Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann. Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden.

Ich würde gerne die Datei- und Druckfreigabe aktivieren, allerdings zeigt die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" keine Wirkung. Eine Recheche brachte das Ergebbnis, dass das wohl über "Richtlinien" -> "Windows-Einstellungen" -> "Windows Defender Firewall mit erweiterter Sicherheit" -> "Eingehender Regel" gemacht werden muss. So ist es zumindest hier beschrieben. Frage 1: Ist das richtig? Frage 2: Wozu gibt es dann die GPO-Einstellung "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen", wenn die eh nichts bringt? Die Richtlinie habe ich natürlich im Bereich Domäneprofil vorgenommen. Systeme: Windows Server 2022, Richtlinie soll auf Windows 10-Systemen angewandt werden, bzw. dort teste ich es gerade.

Südwest Deutschland

Was ich gegen IPv6 habe? Das ich damit keine Verbindung ins Geschäft aufbauen oder von unterwegs auf meine private NAS zugreifen kann. IPv6 ist einfach der letzte Dreck, zumindest so wie es offenbar von den Providern umgesetzt wird. Die Probleme der Kollegen mit einem Kabelanschluss sind Warnung genug. Vor allem während Corona wurde das mehr als deutlich wie kastriert das Internet dadurch wird.

Gibt es eigentlich noch zuverlässige, und halbwegs günstige Internetprovider bei denen man zuverlässig eine dynamische IPv4-Adresse bekommt? Hintergrund ist natürlich, dass ich als Admin oft Home Office mache und mich mittels VPN ins Geschäft verbinde. Da kann man IPv6 vergessen und ich lasse mich da auch auf keine Experiemnte ein. Damit ist Vodafone per se schonmal raus. Ich hatte erst an 1und1 gedacht, weil diese ja das Netz der Telekom nutzen, aber was man so ließt vergeben auch die standardmäßig nur eine IPv6-Adresse und selbst mit Bitten und Betteln ist da teilweise nichts zu machen. Da das Kabel-Fernsehen bei mir mit Ende des Nebenkostenprivileg über Kabel weg fällt muss der neue Anbieter auch Fernsehen anbieten. Ich habe und werde bei Vodafone keinen eigenen Vertrag abschließen. Momentan bin ich bei der Telekom und zahle rund 52€ für eine 100/40 Leitung und Magenta TV in SD Qualität. (Bei dem alten Kram den ich zu 99% gucke ist das auch völlig OK) Ich finde das zu teuer und suche daher was günstigeres und wenn ich alle zwei Jahre den Anbieter wechseln muss um sowas wie Neukundenboni oder Cashback kassieren zu können. Das Spiel mache ich ja auch bereits jährlich bei der Energieversogung. Von daher... Wenn jemand etwas empefehlen kann darf er es gerne mitteilen.

Ich habe mich noch nicht mit Docker oder generell mit Containern beschäftigt. Immer mehr Anbieter bieten ihre Produkte aber als Dockerimage an. Das Problem: Docker ist gar nicht kostenfrei, bzw. nur noch sehr eingeschränkt. Als Alternative ließt man immer wieder Podman. Ich habe bislang nicht so ganz verstanden, ob Dockerimages nun kompatibel mit Podman sind oder nicht und ob man Docker-Tutorials auch auf Podman anwenden kann, weil beides die gleiche Basis hat. Tutorials oder Kurse zu Podman, zumindest auf Deutsch finden sich leider kaum und bevor ich nun unnötig viel Zeit in das Eine oder Andere investiere, nur um dann fest zu stellen, dass es nutzlos war frage ich besser mal nach. Kann mich bitte jemand zu dem Thema aufklären?