Cryer

Ich benutze die GPO um eine handvoll Software auf die Clients zu verteilen. (Server: Windows Server 2022; Clients: Windows 10/11), Jetzt habe ich aus versehen auf einigen Clients eine Software deinstalliert und nun wird sie aber auch nicht mehr installiert. Weder Neustart hilft, noch ein "gpupdate / force". Außerdem scheint die Gruppenrichtlinie laut "gpresult /r" nicht mehr angewandt zu werden. Auf Rechnern auf denen die Software noch nicht installiert wurde, wird die GPO aber ausgeführt. Es scheint, dass die Richtlinie immer nur einmal ausgeführt wird und danach nicht mehr. Was kann ich nun machen, damit die Software auf den Clients auf denen ich sie gelöscht habe wieder verteilt wird?

Mache ich das dann via Bridged-Mode? Ich bin etwas irritiert, weil nach meiner Gedankenlogik müssen die Datenpackete von der VM zur Netzwerkkarte des Host, von dort zum Router, von dort wieder zur Host-Netzwerkkarte der anderen Spieler und dann in die VM der anderen Spieler und umgekehrt. Wenn ich jetzt der Netzwerkkarte der VM ein anderes Segment an IP-Adressen zuweise als beim Host oder der FritzBox schneide ich doch die Verbindung ab? Gebe ich dem Host 192.168.2.x und der FritzBox 192.168.178.1 komme ich schließlich auch nicht mehr auf die FritzBox. Entschuldigt, wenn ich mich da gerade dämlich anstelle. Das ganze geht wohl schon in Richtung Netzwerk-Segmenttrennung und Firewalltechniken und das ist echt nicht mein Gebiet, weswegen ich dieses spezielle Thema inzwischen auch im Geschäft an eine externe Firma übertragen habe. (Generell das Thema Security)

Wie mache ich das bei einer FritzBox ohne, dass ich die VMs vorher mit der FritzBox verbinde?

Dann haben die VMs aber keinen Kontakt mehr untereinander, weil keinen Kontakt mehr zum Router der ja als Switch / Wlan Host fungiert.

Ich habe mir mit VMWare Workstation eine XP VM erstellt und darin verschiedene Spiele installiert, die darunter problemlos funktionieren. Nun wollen meine Geschwister und ich eine LAN-Party machen um die alten Klassiker wieder spielen zu können. Die alten Spiele haben ja noch den klassischen LAN-Modus Soweit erstmal kein Problem, allerdings müssen die VMs über die verschiedenen Hosts ja irgendwie miteinander kommunizieren, also Netzwerk. Gibt es eine Möglichkeit die VMs so miteinander zu verbinden, dass sie sich zwar im Netzwerk sehen, aber gleichzeitig keinen Kontakt ins Internet haben? Über die Gründe der Sicherheit muss ich in diesem Forum ja keine Worte verlieren.

Ich bin dabei eine GPO zu erstellen, die folgendes machen soll: Auf Computern soll beim Start folgendes .bat-Script ausgeführt werden: powershell.exe -ExecutionPolicy Bypass -File "\\ip\share\scripts\setFollowMeNormalAsDefault.ps1" Wichtig: Führe ich das .bat-Script als angemeldeter Benutzer manuell aus funktioniert das aufgerufene PowerShell-Script und macht was es soll. Ein Berechtigungsproblem liegt also nicht vor. Dazu gehe ich in im GPO-Editor unter "Computerkonfiguration" -> "Richtlinien" -> "Windows-Einstellungen" -> "Scripts (Start/Herunterfahren)" und habe dort das Script wie folgt beim "Start" eingetragen" Ich habe es auch mit dem Standardpfad probiert, mit dem PowerShell-Script direkt im entsprechneden Reiter und und und. Es will aber einfach nicht funktionieren. Die GPO wird einfach erstellt und erstmal auch nichts an den Sicherheitsfiltern oder so geändert (Authentifizierte Benutzer) Kurze Info, warum das Script nicht unter Benutzerkonfiguration erstellt wird: Es gibt Benutzer mit Tablets / Laptops und bei denen soll der FollowMe Normal-Drucker nicht zwangsweise auf Standard eingestellt werden. Das soll nur bei den Computern in den Dienststellen passieren, dann aber egal wer sich anmeldet. Habt ihr eine Idee, wo das Problem liegen könnte?

Ich habe einen RDS 2022 und leider trennen die Benutzer immer nur die Verbindung anstatt sich ordentlich abzumelden. Da kann man reden und schreiben was man will. Nun will ich immer, dass wenn ein Benutzer eine getrennte Sitzung wiederherstellt ein Hinweis erscheint, dass man sich doch bitte ordetnlich abmelden soll. Dazu habe ich ein kleienes Script geschrieben. Dieses ist jetzt (zum testen) erstmal so gestaltet, dass es immer ausgeführt wird und etwas anzeigt, egal ob eine getrennte Sitzung erkannt wurde oder nicht, einfach nur um sicher zu gehen, dass die Aufgabe überhaupt ausgeführt wird. In der Aufgabenplanung auf dem RDS habe ich folgendes eingestellt: Tab "Allgemein": Name: "Überwachung der Sitzungstrennung" Sicherheitsoptionen: Benutzerkonto: Administrator (Habe auch "System" probiert) Unabhängig von der Benutzeranmeldung ausführen Mit höchsten Privilegien ausführen Tab "Trigger": Trigger: Bei Verbinden mit Benutzersitzung Jeder Benutzer Verbindung mit lokaler Computer (Habe auch "Verbinden mit Remotecomputer" getestet) Aktiviert Tab "Aktionen": Aktion: Programm starten Pfad ist ein lokaler Pfad auf dem RDP. Habe ich über "Duchsuchen" ausgewählt Was mache ich falsch? Kann jeand helfen?

OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute. Um dann aber wieder auf das Thema zu kommen: Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen?

Warum so aggressiv? Und viele funktionieren noch und einige offensichtlich nicht mehr. Wissen tut es offenbar keiner, verlassen kann man sich auf nichts und das Chaos ist wie immer perfekt. Typisch Microsoft. Aber gut, dass die ja selbst nicht mehr wissen, was die eigentlich machen, beweisen sie ja Monat für Monat mit dem Patchday, wovor jeder Admin inzwischen zittert und besser mal mind. eine Woche aufschiebt bis andere das Versuchtskanickel gespielt haben. Nichtmal eine Beschreibung bzw. anwendbaren Systeme können sie anpassen und eher weniger erfahrene Admins wie ich rennen dann ins offene Messer (und werden dann noch angemacht, weil suggetiert wird, dass sie noch aktuell sind und funktionieren.)

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich. Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

Da steht aber "Mindestens". Also gehe ich davon aus, dass es auch unter späteren Versionen von Windows funktioniert und die Richtlinie an den Clients die notwendigen Einstellungen vornimt. Wenn das nicht der Fall ist, dann ist die Beschreibung schlichtweg Müll, weil dann die entsprechenden Versionen von Windows gelistet sein sollten, bzw. (weil Windows XP schon lange aus dem Support ist) als Veraltet gekennzeichnet sein oder am besten gar nicht mehr erst zur Verfügung stehen. Ich denke so siehts eher aus. Immerhin ist es ein Windows Server 2022 von dem wir hier sprechen. Ich habe auch schon andere Richtlinien gesehen, wo explizit dann beispielsweise einfach nur "Windows Vista" oder Windows 8 / 8.1 steht. Ich sehe da bei mir keinen Denkfehler.

Ist das, was du da beschreibst nicht ein Funktionsaccount?

Ja, sind sie. Kannst du mir auch bitte die Frage beantworten, was dann die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" noch soll? Natürlich hätte ich es testen können, aber ich verstehe auch gerne was ich mache.

Weil manche Leute ihr Laptop / Tablet mitnehmen und nicht von überall aus die Möglichkeit haben sich mit unserem Server zu verbinden, der aktuell primär für die persönliche Authentifizierung und Richtlinienvergabe zuständig ist. Es gibt eine zweite Plattform (Citrix Workspace) unserer übergeordneten Organisation, auf die ich aber keinen großen Einfluss habe, wo sich die Leute über den Browser anmelden und wo im Grunde auch alle Daten bislang liegen. Nur kann man dort nicht hineinscannen. Das ganze soll bis zum Herbst komplett geändert werden und die Citrix-Plattform wegfallen, aber aktuell läuft das noch so. Aktuell sind wir halt mitten im Umstellungsprozess. Später wird dann natürlich nur noch auf unseren Server gescannt werden können (Siehe anderer Thread von mir) Viele nutzen auch den Komfort des Scan-to-Mail, ist aber halt nicht für alle gleichermaßen praktisch.

Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann. Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann. Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden.