Cryer

Ist der UCPD einfach nur eine Gängelung und kann man den problemlos abschalten oder hat er (neben dem theoretischen) auch eine praktische Daseinsberechtigung? So ganz wird das in dem Artikel nicht klar. Meine Frage an sich beantwortetet es aber nicht, ob man so Sachen wie das Startmenü unter Windows 11 oder das Kontextmenü auch über die GPO-Templates konfigurieren kann.

Ich habe mir die Administrative Templates für Windows 11 24H2 runtergeladen und installiert, da ich so langsam mal beginnen wollte entsprechende GPOs vorzubereiten. Bislang löste ich vieles und das Wichtigste über Registryhacks der GPO, aber erstens deckt das nicht alles ab und zweitens war es mehr ein Behelf. Ich muss nun aber feststellen, dass man erstaunlich wenig an den Datenschutzeinstellung von Windows 11 per GPO einstellen kann und fast gar nichts beim Startmenü. Google gibt auch immer nur Links zu Seiten, wo die entsprechenden Registryhacks erklärt werden, selbst zu solchen Dingen wie Startmenü linksseitig, klassisches Kontextmenü oder Mehr angeheftete Elemente. Einige Einstellungen funktionieren unter Windows 11 auch gar nicht mehr (wie erwartet). Verweigert Microsoft hier wirklich Einstellungen für Windows 11 über die GPO oder mache ich was falsch? Gibt es Drittanbieter-Templates, die das Thema abdecken, also ähnlich wie wenn man sich Mozilla oder Google Templates installiert? Ich kann doch nicht unendlich Registryhacks in die GPO machen und mit laufendem Process-Monitor sämtliche Änderungen nachverfolgen die ich über die GUI von Windows 11 vornehme. Das ist auf Dauer zu mühsam, zumal einige Einstellungen an mehreren Stellen was verändern.

Danke für deine superschnelle Antwort, aber ich denke es macht wenig Sinn sich noch mit etwas zu befassen, das in absehbarer Zeit abgelöst wird.

Momentan verwende ich die unter Windows Server 2022 vorhandene Softwareinstallation via GPO um Software auf die Clients zu verteilen. Für das bisschen Software ist das bei mir auch ausreichend. Ich brauche nichts professionelles mit Hunderten von Funktionen und Möglichkeiten. Alles funktioniert soweit, aber nur solange die Geräte direkt im Unternehmensnetzwerk sind. Es funktioniert aber nicht mehr, wenn die Geräte mittels VPN verbunden werden / sind. Daher suche ich eine einfache Möglichkeit der Softwareverteilung die auch funktioniert, wenn die Geräte mittels VPN verbunden sind. Es darf gerne mit PSAppDeployToolkit kompatibel sein, aber wie gesagt nutze ich bislang nur die Verteilung mittels *.msi und alles was eine freie Verteilungssoftware zusätzlich kann ist ein netter Bonus. Die Software sollte leicht zu bedienen sein und die Anzahl der Clients unbegrenzt. Wichtig ist, dass man verschiedene Gruppen von Clients erstellen kann, so wie das in der GPO auch gesteuert werden kann. Nicht jede Software wird auf jedem Rechner benötigt. Wenn die Software die vorhandene AD-Struktur erkennt / übernimmt, wird das natürlich gerne genommen. Gibt es da etwas?

Ich benutze die GPO um eine handvoll Software auf die Clients zu verteilen. (Server: Windows Server 2022; Clients: Windows 10/11), Jetzt habe ich aus versehen auf einigen Clients eine Software deinstalliert und nun wird sie aber auch nicht mehr installiert. Weder Neustart hilft, noch ein "gpupdate / force". Außerdem scheint die Gruppenrichtlinie laut "gpresult /r" nicht mehr angewandt zu werden. Auf Rechnern auf denen die Software noch nicht installiert wurde, wird die GPO aber ausgeführt. Es scheint, dass die Richtlinie immer nur einmal ausgeführt wird und danach nicht mehr. Was kann ich nun machen, damit die Software auf den Clients auf denen ich sie gelöscht habe wieder verteilt wird?

Mache ich das dann via Bridged-Mode? Ich bin etwas irritiert, weil nach meiner Gedankenlogik müssen die Datenpackete von der VM zur Netzwerkkarte des Host, von dort zum Router, von dort wieder zur Host-Netzwerkkarte der anderen Spieler und dann in die VM der anderen Spieler und umgekehrt. Wenn ich jetzt der Netzwerkkarte der VM ein anderes Segment an IP-Adressen zuweise als beim Host oder der FritzBox schneide ich doch die Verbindung ab? Gebe ich dem Host 192.168.2.x und der FritzBox 192.168.178.1 komme ich schließlich auch nicht mehr auf die FritzBox. Entschuldigt, wenn ich mich da gerade dämlich anstelle. Das ganze geht wohl schon in Richtung Netzwerk-Segmenttrennung und Firewalltechniken und das ist echt nicht mein Gebiet, weswegen ich dieses spezielle Thema inzwischen auch im Geschäft an eine externe Firma übertragen habe. (Generell das Thema Security)

Wie mache ich das bei einer FritzBox ohne, dass ich die VMs vorher mit der FritzBox verbinde?

Dann haben die VMs aber keinen Kontakt mehr untereinander, weil keinen Kontakt mehr zum Router der ja als Switch / Wlan Host fungiert.

Ich habe mir mit VMWare Workstation eine XP VM erstellt und darin verschiedene Spiele installiert, die darunter problemlos funktionieren. Nun wollen meine Geschwister und ich eine LAN-Party machen um die alten Klassiker wieder spielen zu können. Die alten Spiele haben ja noch den klassischen LAN-Modus Soweit erstmal kein Problem, allerdings müssen die VMs über die verschiedenen Hosts ja irgendwie miteinander kommunizieren, also Netzwerk. Gibt es eine Möglichkeit die VMs so miteinander zu verbinden, dass sie sich zwar im Netzwerk sehen, aber gleichzeitig keinen Kontakt ins Internet haben? Über die Gründe der Sicherheit muss ich in diesem Forum ja keine Worte verlieren.

Ich bin dabei eine GPO zu erstellen, die folgendes machen soll: Auf Computern soll beim Start folgendes .bat-Script ausgeführt werden: powershell.exe -ExecutionPolicy Bypass -File "\\ip\share\scripts\setFollowMeNormalAsDefault.ps1" Wichtig: Führe ich das .bat-Script als angemeldeter Benutzer manuell aus funktioniert das aufgerufene PowerShell-Script und macht was es soll. Ein Berechtigungsproblem liegt also nicht vor. Dazu gehe ich in im GPO-Editor unter "Computerkonfiguration" -> "Richtlinien" -> "Windows-Einstellungen" -> "Scripts (Start/Herunterfahren)" und habe dort das Script wie folgt beim "Start" eingetragen" Ich habe es auch mit dem Standardpfad probiert, mit dem PowerShell-Script direkt im entsprechneden Reiter und und und. Es will aber einfach nicht funktionieren. Die GPO wird einfach erstellt und erstmal auch nichts an den Sicherheitsfiltern oder so geändert (Authentifizierte Benutzer) Kurze Info, warum das Script nicht unter Benutzerkonfiguration erstellt wird: Es gibt Benutzer mit Tablets / Laptops und bei denen soll der FollowMe Normal-Drucker nicht zwangsweise auf Standard eingestellt werden. Das soll nur bei den Computern in den Dienststellen passieren, dann aber egal wer sich anmeldet. Habt ihr eine Idee, wo das Problem liegen könnte?

Ich habe einen RDS 2022 und leider trennen die Benutzer immer nur die Verbindung anstatt sich ordentlich abzumelden. Da kann man reden und schreiben was man will. Nun will ich immer, dass wenn ein Benutzer eine getrennte Sitzung wiederherstellt ein Hinweis erscheint, dass man sich doch bitte ordetnlich abmelden soll. Dazu habe ich ein kleienes Script geschrieben. Dieses ist jetzt (zum testen) erstmal so gestaltet, dass es immer ausgeführt wird und etwas anzeigt, egal ob eine getrennte Sitzung erkannt wurde oder nicht, einfach nur um sicher zu gehen, dass die Aufgabe überhaupt ausgeführt wird. In der Aufgabenplanung auf dem RDS habe ich folgendes eingestellt: Tab "Allgemein": Name: "Überwachung der Sitzungstrennung" Sicherheitsoptionen: Benutzerkonto: Administrator (Habe auch "System" probiert) Unabhängig von der Benutzeranmeldung ausführen Mit höchsten Privilegien ausführen Tab "Trigger": Trigger: Bei Verbinden mit Benutzersitzung Jeder Benutzer Verbindung mit lokaler Computer (Habe auch "Verbinden mit Remotecomputer" getestet) Aktiviert Tab "Aktionen": Aktion: Programm starten Pfad ist ein lokaler Pfad auf dem RDP. Habe ich über "Duchsuchen" ausgewählt Was mache ich falsch? Kann jeand helfen?

OK, dann hatte ich die interne Bezeichnung eines anderen Unternehmens wo das so bezeichnet wird falsch verwendet. Sorry Leute. Um dann aber wieder auf das Thema zu kommen: Wie kann ich einen Account erstellen, den man zur Anbindung externer Dienste verwendet, ggf. auch rechtemäßig entsprechend einschränken, dass ausschließlich eine Authentifizierung damit stattfinden kann, aber keine Anmeldung an den Clients möglich ist? Geht das ausschließlich über GPO oder kann man irgendwo, ggf. über PowerShell ein entsprechendes Benutzerattribut setzen?

Warum so aggressiv? Und viele funktionieren noch und einige offensichtlich nicht mehr. Wissen tut es offenbar keiner, verlassen kann man sich auf nichts und das Chaos ist wie immer perfekt. Typisch Microsoft. Aber gut, dass die ja selbst nicht mehr wissen, was die eigentlich machen, beweisen sie ja Monat für Monat mit dem Patchday, wovor jeder Admin inzwischen zittert und besser mal mind. eine Woche aufschiebt bis andere das Versuchtskanickel gespielt haben. Nichtmal eine Beschreibung bzw. anwendbaren Systeme können sie anpassen und eher weniger erfahrene Admins wie ich rennen dann ins offene Messer (und werden dann noch angemacht, weil suggetiert wird, dass sie noch aktuell sind und funktionieren.)

Service-Account: Account zur Anbindung und Authentifizierung externer Dienste gegenüber AD. Anmeldung an PCs damit nicht möglich. Funktionsaccount: Kann nur an Computen verwendet werden, bei denen der Account hinterlegt wurde. Bei allen anderen Geräten wird die Anmeldung verweigert.

Da steht aber "Mindestens". Also gehe ich davon aus, dass es auch unter späteren Versionen von Windows funktioniert und die Richtlinie an den Clients die notwendigen Einstellungen vornimt. Wenn das nicht der Fall ist, dann ist die Beschreibung schlichtweg Müll, weil dann die entsprechenden Versionen von Windows gelistet sein sollten, bzw. (weil Windows XP schon lange aus dem Support ist) als Veraltet gekennzeichnet sein oder am besten gar nicht mehr erst zur Verfügung stehen. Ich denke so siehts eher aus. Immerhin ist es ein Windows Server 2022 von dem wir hier sprechen. Ich habe auch schon andere Richtlinien gesehen, wo explizit dann beispielsweise einfach nur "Windows Vista" oder Windows 8 / 8.1 steht. Ich sehe da bei mir keinen Denkfehler.

Ist das, was du da beschreibst nicht ein Funktionsaccount?

Ja, sind sie. Kannst du mir auch bitte die Frage beantworten, was dann die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" noch soll? Natürlich hätte ich es testen können, aber ich verstehe auch gerne was ich mache.

Weil manche Leute ihr Laptop / Tablet mitnehmen und nicht von überall aus die Möglichkeit haben sich mit unserem Server zu verbinden, der aktuell primär für die persönliche Authentifizierung und Richtlinienvergabe zuständig ist. Es gibt eine zweite Plattform (Citrix Workspace) unserer übergeordneten Organisation, auf die ich aber keinen großen Einfluss habe, wo sich die Leute über den Browser anmelden und wo im Grunde auch alle Daten bislang liegen. Nur kann man dort nicht hineinscannen. Das ganze soll bis zum Herbst komplett geändert werden und die Citrix-Plattform wegfallen, aber aktuell läuft das noch so. Aktuell sind wir halt mitten im Umstellungsprozess. Später wird dann natürlich nur noch auf unseren Server gescannt werden können (Siehe anderer Thread von mir) Viele nutzen auch den Komfort des Scan-to-Mail, ist aber halt nicht für alle gleichermaßen praktisch.

Ich würde gerne einen Service-Account in Windows Server 2022 anlegen. Also einen Benutzer, der sich gegenüber AD authenifizieren, aber nicht an einem Computer anmelden kann. Ziel ist es, dass man damit zum Beispiel Dokuwiki an AD anbindet oder Kopierer auf eine Dateifreigabe auf dem Server scannen können, also letztlich halt externe Dienste an AD anbinden kann. Ich meine, dass es früher auch mal eine entsprechende Checkbox in der Benutzverwaltung auf dem Server gab, aber entweder finde ich sie nicht mehr oder die Option wurde gestrichen. Früher habe ich sowas nicht verwendet, aber jetzt mit der kompletten Neustrukturierung von Netzwerk und Server soll es natürlich richtig gemacht werden.

Ich würde gerne die Datei- und Druckfreigabe aktivieren, allerdings zeigt die GPO "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen" keine Wirkung. Eine Recheche brachte das Ergebbnis, dass das wohl über "Richtlinien" -> "Windows-Einstellungen" -> "Windows Defender Firewall mit erweiterter Sicherheit" -> "Eingehender Regel" gemacht werden muss. So ist es zumindest hier beschrieben. Frage 1: Ist das richtig? Frage 2: Wozu gibt es dann die GPO-Einstellung "Windows Defender Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen", wenn die eh nichts bringt? Die Richtlinie habe ich natürlich im Bereich Domäneprofil vorgenommen. Systeme: Windows Server 2022, Richtlinie soll auf Windows 10-Systemen angewandt werden, bzw. dort teste ich es gerade.

Südwest Deutschland

Was ich gegen IPv6 habe? Das ich damit keine Verbindung ins Geschäft aufbauen oder von unterwegs auf meine private NAS zugreifen kann. IPv6 ist einfach der letzte Dreck, zumindest so wie es offenbar von den Providern umgesetzt wird. Die Probleme der Kollegen mit einem Kabelanschluss sind Warnung genug. Vor allem während Corona wurde das mehr als deutlich wie kastriert das Internet dadurch wird.

Gibt es eigentlich noch zuverlässige, und halbwegs günstige Internetprovider bei denen man zuverlässig eine dynamische IPv4-Adresse bekommt? Hintergrund ist natürlich, dass ich als Admin oft Home Office mache und mich mittels VPN ins Geschäft verbinde. Da kann man IPv6 vergessen und ich lasse mich da auch auf keine Experiemnte ein. Damit ist Vodafone per se schonmal raus. Ich hatte erst an 1und1 gedacht, weil diese ja das Netz der Telekom nutzen, aber was man so ließt vergeben auch die standardmäßig nur eine IPv6-Adresse und selbst mit Bitten und Betteln ist da teilweise nichts zu machen. Da das Kabel-Fernsehen bei mir mit Ende des Nebenkostenprivileg über Kabel weg fällt muss der neue Anbieter auch Fernsehen anbieten. Ich habe und werde bei Vodafone keinen eigenen Vertrag abschließen. Momentan bin ich bei der Telekom und zahle rund 52€ für eine 100/40 Leitung und Magenta TV in SD Qualität. (Bei dem alten Kram den ich zu 99% gucke ist das auch völlig OK) Ich finde das zu teuer und suche daher was günstigeres und wenn ich alle zwei Jahre den Anbieter wechseln muss um sowas wie Neukundenboni oder Cashback kassieren zu können. Das Spiel mache ich ja auch bereits jährlich bei der Energieversogung. Von daher... Wenn jemand etwas empefehlen kann darf er es gerne mitteilen.

Ich habe mich noch nicht mit Docker oder generell mit Containern beschäftigt. Immer mehr Anbieter bieten ihre Produkte aber als Dockerimage an. Das Problem: Docker ist gar nicht kostenfrei, bzw. nur noch sehr eingeschränkt. Als Alternative ließt man immer wieder Podman. Ich habe bislang nicht so ganz verstanden, ob Dockerimages nun kompatibel mit Podman sind oder nicht und ob man Docker-Tutorials auch auf Podman anwenden kann, weil beides die gleiche Basis hat. Tutorials oder Kurse zu Podman, zumindest auf Deutsch finden sich leider kaum und bevor ich nun unnötig viel Zeit in das Eine oder Andere investiere, nur um dann fest zu stellen, dass es nutzlos war frage ich besser mal nach. Kann mich bitte jemand zu dem Thema aufklären?

Ich würde gerne per GPO eine RDP-Verknüpfung auf das Desktop ausgewählrer Benutzer verteilen. Soweit erstmal kein Problem: Ich möchte zusätzlich bereits das Feld "Computer" ausgefüllt haben. (Also IP) und der "Benutzername" soll ebenfalls bereits vorausgefüllt sein und zwar mit dem Benutzernamen mit dem der Benutzer am Computerangemeldet ist. Außerdem soll beim Verbindungsaufbau keine Warnmeldung angezeigt werden von wegen dem Zertifikat, bzw. wegen der Identität. Im Idealfall machen die Benutzer einen Doppelklick auf das Icon, werden aufgefordert ihr Passwort einzugeben und gelangen dann sofort auf dem RDS. Kann mir bitte jemand erklären, wie man das umsetzt?