xrated2

darum geht es nicht, die Bedeutung vom Setting "Auto" wurde anders definiert.

Hallo an einem DC stürzt es beim editieren einer GPP (also alles mit Einstellungen) reproduzierbarab. Das Programm mmc.exe Version 10.0.17763.1697 hat die Interaktion mit Windows beendet und wurde geschlossen. Überprüfen Sie den Problemverlauf in der Systemsteuerung "Sicherheit und Wartung", um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 7f1c dcdiag bringt: Der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" wurde mit dem folgenden dienstspezifischen Fehler beendet: Fehler. Ereignis-ID: 0xC0001B70 Der Dienst steht auf Manuell und beendet. Mit diesem Tool sehe ich keine Fehler zwischen den beiden DC: https://github.com/ryanries/ADReplStatus/releases

Es scheint so das MS gerne die Default Settings umstellt. So bin ich gestern zufällig darauf gekommen das User auf einmal Forwarder einstellen können obwohl dies früher default geblockt war. In der Policy steht als Default also Automatic und das wurde umgestellt. You can use outbound spam filter policies to control automatic forwarding to external recipients. Three settings are available: Automatic - System-controlled: This is the default setting. This setting is now the same as Off. When this setting was originally introduced, it was equivalent to On. Over time, thanks to the principles of secure by default, this setting was gradually changed to Off for all customers. For more information, see this blog post. Wieso wird sowas bei bestehenden Accounts überhaupt umgestellt? Kann mir nicht vorstellen das dies in Firmen gewünscht ist wenn Geschäftsmails auf die Privatadresse umgeleitet werden.

Ist nicht Credential Guard zuständig für das weiterreichen der Anmeldeinformationen an rasphone? (Checkbox automatisch Anmeldenamen....) Weiß jetzt leider nicht mehr an welchem Gerät das war aber es stand Device Guard und Hypervisor in der Liste. Auf jeden Fall funktioniert es ja jetzt ohne Device Guard.

Es steht auch geschrieben das die Funktion erst unter Enterprise möglich wäre, es handelt sich aber um 11 Pro.

Es handelt sich um ein SSTP VPN von MS das zwecks Always On (meldet sich automatisch an nach dem einloggen in Windows) eben automatisch die Anmeldedaten von Windows verwendet um sich anzumelden. Genau diese Übernahme vom Passwort geht mit Device Guard nicht mehr.

Problem war, mein VPN hat sich nicht mehr automatisch angemeldet. Unter rasphone war die Option "Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden" ausgegraut. War schon kurz davor den Laptop neu zu installieren, weil löschen und neu hinzufügen der VPN Verbindung nichts brachte bis ich das gefunden habe: https://learn.microsoft.com/en-us/answers/questions/1101135/w11-22h2-add-vpnconnection-usewinlogoncredential-n When enabled, it prevents the existing windows login from being passed to the VPN connection so users are propmted for credentials and it does not automatically connect and this feature also prevents the saving of cached credentials on RDP connections where the login must be specifically entered. Ich weiß nicht warum mir das erst jetzt aufgefallen ist, weil 22H2 schon länger aktiv sein müsste aber anscheinend läuft dieser Device Guard nicht auf allen Laptops automatisch. Bei nagelneuen Thinkpad E14 G6 taucht der nämlich unter Systeminformation / Virtualisierungsbasierte Sicherheit, nicht auf. Da steht dann unter ausgeführte Dienste: Durch Hypervisor erzwungene Codeintegrität. Habe jetzt Device Guard über GPO deaktiviert: Computer Configuration\Administrative Templates\System\Device Guard Turn On Virtualization Based Security Disabled

So gehe ich vor wenn ich es allen zuweise. Allerdings geht das bei dieser Policy nicht weil das Sharepoint Laufwerk im Explorer sonst bei vielen doppelt erscheinen würde, weil es manuell verlinkt ist. P.S wenn man 3. macht, fügt der dann nicht wieder das gleiche wie in 1. hinzu? P.P.S. bei 2 von 3 PCs ging die GPO ja auf Anhieb

Ich konnte die Fragen nicht so ganz zuordnen. Wegen dem PC, hatte ich schon geschrieben das Authentifizierte Benutzer auch Computerkonten beeinhaltet. Weiß nicht ob das ein generelles Einstellungsproblem ist wenn andere GPO mit der gleichen Art von Rechtevergabe funktionieren.

Hier 3 Bilder mit den relevanten Einstellungen

hatte ich schon gesehen, Authentifizierte User ist ja unter Delegation zugewiesen und beeinhaltet standardmäßig auch Computerkonten. Und wie gesagt, bei manchen PCs geht es, bei anderen nicht. Bei einem PC habe ich mehrmals neugestartet und gpupdate (auch mit /force) ausgeführt, es ging erst als ich den User direkt der GPO zugewiesen hatte. Irgendwas stimmt da nicht.

Da die GPO nur Settings unter Benutzerkonfiguration hat habe ich eine Gruppe unter Sicherheitsfilterung zugewiesen in der sich die einzelnen User befinden. Bei einem PC ging es erst als in den User direkt der GPO hinzugefügt habe, ganz seltsam. Unter Delegation steht auch alles identisch drin mit Leserechten. Zusätzlich steht dort noch Authentifizierte Benutzer mit Lesen

Hallo Eine User GPO für automatische Sharepoint Mappings im Explorer habe ich erstellt (das 256 Zeichenlimit scheint nun auch passe zu sein). Diese habe ich dann einer lokalen Domänengruppe zugewiesen und unter Windows 11 wurde mit gpresult angezeigt das die GPO nicht angewendet wird, wegen Sicherheitsfilterung. Unter Windows 10 bekam ich von dem 1 zugewiesenem User Feedback das das Mapping funktionieren würde. Jetzt habe ich eine globale Gruppe zugewiesen und das funktioniert unter Windows 11. War das schon immer so oder ist das wirklich nur bei Windows 11 so?

Ich habe dies wieder aktiviert: Zugriff auf alle Windows Update-Funktionen entfernen Das habe ich entfernt (Dualscan): Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird Und dann habe ich noch hinzugefügt: Quelldienst für bestimmte Klassen von Windows-Updates angeben Aktiviert Quelldienst für die folgenden Klassen von Windows-Updates angeben: Featureupdates Windows Server Update Services Qualitätsupdates Windows Server Update Services Treiberupdates Windows Server Update Services Andere Updates Windows Server Update Services Und es scheint wieder zu funktionieren. Immer wieder toll das MS ständig was an den Update Einstellungen ändert. Nun kann ich unter Windows 11 nicht nach neuen Updates suchen aber in erweiterten Optionen noch Sachen verstellen, dass ist aber auch nicht Sinn der Sache.

Die Clients laufen seit Corona zu 90% alle im Homeoffice. Es gibt nur 2 Standorte, bei einem ist nur 1 PC und beim anderen ist das Büro nur gemietet mit WLAN Zugang. Da würde wahrscheinlich sowas mehr Sinn machen: https://www.policypak.com/resources/pp-blog/windows-update-business/ Aktuell ziehen sich die Clients wenigstens wieder Updates. Ich müsste jetzt mal probieren was passiert wenn ich dieses Setting: Zielversion für Funktionsupdates 22H2 weglasse. Ob der dann WSUS folgt und bei 22H2 bleibt oder auf 23H2 geht.

Der WSUS Server ist an einem anderen Standort. Deswegen macht es keinen Sinn das sich die Clients von dort die Updates holen. Ich habe jetzt aktuell die Option "DisableWindowsUpdateAccess" entfernt aber die Zielversion in der GPO angegeben. Ich habe in WSUS eh immer nur die Funktionupgrades selber gesteuert. Dualscan (Keine Richtlinien für Updaterückstell..) ist auch deaktiviert. Windows-Komponenten/Windows UpdateAusblenden Richtlinie Einstellung Kommentar Clientseitige Zielzuordnung aktivieren Aktiviert Zielgruppenname für diesen Computer K5-PC Richtlinie Einstellung Kommentar Internen Pfad für den Microsoft Updatedienst angeben Aktiviert Interner Updatedienst zum Ermitteln von Updates: http://k5aux.ad.xxx.com:8530 Intranetserver für die Statistik: http://k5aux.ad.xxx.com:8530 Alternativen Downloadserver festlegen: (Beispiel: https://IntranetUpd01) Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist Deaktiviert Erzwingen Sie nicht das Anheften von TLS-Zertifikaten für den Windows Update-Client, um Updates zu erkennen. Wählen Sie das Proxy Verhalten für den Windows Update-Client zum Ermitteln von Updates aus: Richtlinie Einstellung Kommentar Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird Aktiviert Suchhäufigkeit für automatische Updates Aktiviert In folgenden Abständen (Stunden) nach Updates suchen: 1 Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden Richtlinie Einstellung Kommentar Zielversion des Funktionsupdates auswählen Aktiviert Für welche Windows-Produktversion möchten Sie Funktionsupdates erhalten? Beispiel: Windows 10 Windows 10 Zielversion für Funktionsupdates 22H2 Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden Richtlinie Einstellung Kommentar Beim Empfang von Qualitätsupdates auswählen Aktiviert Anzahl der Tage, die der Empfang eines Qualitätsupdates nach der Freigabe zurückgestellt werden soll: 30 Qualitätsupdates aussetzen ab (Beispiel für das Format jjjj-mm-tt: 2016-10-30) Richtlinie Einstellung Kommentar Zeitpunkt für den Erhalt von Vorabversionen und Funktionsupdates auswählen Aktiviert Wie viele Tage nach dem Erstellen eines Funktionsupdates möchten Sie die Aktualisierung zurückstellen, bevor Sie für das Gerät angeboten wird? 30 Vorabversionen oder Funktionsupdates aussetzen ab: (Beispiel für das Format jjjj-mm-tt: 2016-10-30) Windows-Komponenten/ÜbermittlungsoptimierungAusblenden Richtlinie Einstellung Kommentar Downloadmodus Aktiviert Downloadmodus: LAN (1)

Nachdem jetzt die Pakete über WPP wieder funktionieren (die Pakete werden ja über WSUS installiert) ist mir aufgefallen das Windows 10 und 11 keine MS Updates von WSUS bekommen. Fehler im Eventlog: 0x8024002e Im WSUS ist eingestellt das sich die Clients von MS direkt runterladen sollen, dass hat bisher auch so funktioniert. Wsus ist mit Port 8530 http eingestellt. Wenn ich diese Option https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetCommunicationManagement::RemoveWindowsUpdate_ICM&Language=de-de DisableWindowsUpdateAccess auf 0 stelle dann funktionieren die Updates wieder aber dann ist WSUS ja komplett ausgehebelt oder?

Ja irgendwie muss es so gewesen sein. Aber auf dem Server hatte WPP be revise auch schon gemeckert das es ungültig ist. Vielleicht war das schon länger so. Und der Client hat wohl einfach nur nach Ablauf des Zertifikats nichts mehr installiert.

WPP hatte ich schon vor einiger Zeit aktualisiert, da scheint ja nichts mehr neues zu kommen. Merkwürdig ist eben das die Pakete ja schon seit einiger Zeit ungültig waren aber sich erst durch den Zertifikatwechsel nicht mehr installieren ließen.

Ach ist das mit "resign" gemeint, hatte ich ganz übersehen. Da dachte ich eher das heisst soviel wie Paket "kündigen". Aber was ist denn da die Ursache?

Bei WPP ist nach vielen Jahren das Zertifikat abgelaufen. Habe also ein neues erstellt innerhalb WPP und es via GPO mit der bekannten Methode an die Clients verteilt. Zwischendurch am Server das alte Zertifikat gelöscht und später wieder importiert (von einem Client) als es nicht mehr ging, weiß nicht ob das der Fehler war. Kann ich mir aber nicht vorstellen. Privater Schlüssel scheint laut certlm noch da zu sein. Das seltsame ist das die meisten Pakete nicht mehr funktionieren, neuere d.h. von diesem und letzten Jahr anscheinend schon. Die Frage ist, was da passiert ist? Scheint schon mit dem ablauf des alten Zertifikates zu tun haben. Wenn man in WPP beim betroffenen Paket auf revise geht "verfication of file signature failed" beim .cab file. Die Clients bringen den Fehler "einige Dateien sind nicht signiert" 800B0109 Cab File von WPP: Wenn ich auf dem Server das entsprechende .cab File von WPP raussuche steht bei Signatur: Ein erforderliche Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. Als Signaturzeitpunkt steht: Nicht verfügbar Unter Signaturliste steht: WPP Self-Signed sha1 Nicht verfügbar WPP Self-Signed sha256 Nicht verfügbar In dem Zertifikat selber steht sha512 Lösung: Signieren des cab files mit dem neuen Zertifikat. Als erstes habe ich dann in certlm für User erneut das neue Zertifikat inkl. private key importiert, sonst findet es signtool nicht. Man könnte aber auch das pfx mit signtool direkt angeben. Der Befehl lautet dann signtool sign /v /fd sha1 /tr http://timestamp.digicert.com /td sha1 /n "WPP Self-Signed" cabfile signtool sign /v /as /fd sha256 /tr http://timestamp.digicert.com /td sha256 /n "WPP Self-Signed" cabfile

Es ist O365. Dann werde ich wohl alle Adressen als Verteilerlisten neu anlegen müssen.

Frag mich nicht was die da veranstalten. Zu den Regeln habe ich nichts über Variablen gefunden d.h. zumindest %%To%% geht schon mal nicht https://learn.microsoft.com/en-us/exchange/policy-and-compliance/mail-flow-rules/actions?view=exchserver-2019

lässt sich das auch nur auf bestimmte Adressen einschränken? Es geht um ein Postfach mit ca. 300x Alias

Wenn es die Empfängeradresse anzeigt an die ursprünglich gesendet wurde, anzeigt wäre schon damit geholfen. Weiß der Geier warum es in Outlook nicht möglich ist, die Formel [SearchFromEmail] aber nicht [SearchToEmail] als Spalte hinzuzufügen.