phatair

Hi,
leider nein

 
Microsoft ist der Meinung, dass ihre Defender Lösung trotzdem noch teilweise laufen sollte...
Ich finde es auch ziemlich unverständlich. Vor allem weil der Security Anbieter (MS Defender) im Security Center als deaktiviert deklariert wird.
Ist er aber nicht, so lange man die SmartAppControl Funktion noch aktiviert hat.
Das ist mal wieder MS Logik 
 
In der Enterprise Version ist die Funktion wohl ausgeschaltet. Wir nutzen aber Windows Pro in unserer Umgebung. Das meiste haben wir im Image gut angepasst bekommen, so dass der ganze Consumer Mist wegfällt. Aber jetzt kommt Smart App Control um die Ecke 
 
Das Problem ist aktuell jetzt nur, dass ich es nicht automatisiert hinbekomme, dass die Smart App Control deaktiviert wird.
Wie gesagt, mit dem oben genannten RegKey geht das schon. Aber da scheint der Defender nicht mitzubekommen das die Smart App Control ausgeschaltet wurde und läuft im passiv Modus weiter und braucht System Ressourcen und kann zu Problemen führen.
 
EDIT
Problem gelöst. Ich hoffe das hilft auch anderen - hat mich einen verdammten Tag gekostet dieses Problem zu lösen und dann hat es sich wenigstens gelohnt alles zu dokumentieren 
 
Man kann den Reg Key setzen und somit die Smart App Control auf deaktiviert setzen
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy]
"VerifiedAndReputablePolicyState"=dword:00000000
 
Wichtig ist nur, dass man danach noch CiTool.exe -r ausführt. Damit wird dann auch de MS Defender Antivirus deaktiviert, da damit wohl Policies neu eingelesen werden.
Nun steht auch mit Get-MPComputerStatus" beim Wert AMRunningMode ein "not running". Der Defender Dienst ist beendet und die MsMpEng.exe läuft nicht mehr.
 
Zu finden hier: https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/appcontrol#app-control-and-smart-app-control

 
Das Ganze ohne irgendwelche halbgaren workarounds die am Ende vielleicht nur mehr Probleme machen. Das Vorgehen ist so zumindest von MS offiziell dokumentiert.
Warum MS einem das so schwer macht... naja anderes Thema
 
Schönes WE
 
 

Ok, da sucht man längere Zeit nach einer Lösung und wenn man dann die Frage im Forum stellt, findet man die Lösung  :)
Ich habe dann dem Computer Objekt in der AD einfach eine weitere Gruppe temporär als Mitgliedschaft hinzugefügt. Den Server neu gestartet und nun zeigt gpresult -r wieder alle Computermitgliedschaft an. Auch wenn man die temporäre Gruppe danach wieder entfernt.
 
Ich hoffe damit sind alle Probleme, die durch den Befehl winmgmt /resetrepository hervorgerufen wurden, nun beseitigt.
Besonders ärgerlich war, dass die GPOs plötzlich nicht mehr gewirkt haben.
 
Vielleicht hilft ja der Beitrag in Zukunft jemanden.

Hi Thomas,
 
bekanntes Problem, siehe hier (die einzelnen Artikel sind in dem Artikel verlinkt) ->https://www.borncity.com/blog/2022/01/14/microsoft-patchday-probleme-jan-2022-bugs-besttigt-updates-zurckgezogen/
Gibt noch mehr Probleme mit den Januar Updates. Macht langsam kein Spaß mehr Windows Server zu administrieren bzw. zu aktualisieren...

Ich mache noch mal einen neuen Beitrag, einfach damit es etwas übersichtlicher ist. ich hoffe das ist OK und es hilft vielleicht dem ein oder anderen der auch von Roaming Profiles zu FSLogix wechseln möchte.
 
Ich habe den Fehler nun gefunden.
 
Das Problem war, dass ich das Script mit einem User ausgeführt habe der lokal Adminrechte hatte (um überhaupt das VHDX mounten zu können) und auch auf das Target Ziel schreiben durfte. Er war aber nicht auf das Roaming Profile selber berechtigt und damit konnte er die Berechtigungen im VHDX nicht setzen.
Das habe ich nun mal temporär angepasst und siehe da es läuft sauber durch.
Einzig im Script Convert-Roaming-Profiles.ps1 musste ich an der Stelle wo die Berechtigungen gesetzt werden "Administrators" durch "Administratoren" ersetzen, da wir eine Deutsche Umgebung haben.
 

 

Ok, ich bin mit den Gedanken wohl noch in 2018 - Sorry.
 
Die Meldung war nicht von Windows, sondern kam von ZenWorks. Wir haben letztes Jahr die Lizenz verlängert und hatten vergessen im System eine Lizenz zu aktualisieren.
Hat sich somit erledigt.

Hi Sunny,
 
ja die sind auch in der Delegierung enthalten. Nach dem Update habe ich schon alle Richtlinien überarbeitet.
 
Ich habe die Lösung auch schon gefunden. Hatte den Beitrag editiert:
 
Lösung gefunden bzw. Erklärung
https://support.micr...n-us/kb/3060859
 
Die Option funktioniert mit roaming profiles nicht. Wir nutzen für unseren RDP Server aber genau diese. Kennt jemand einen Trick wie man dies trotzdem zum laufen bekommt? :)
Einzige Lösung die ich sehe, ich baue mir einen weiteren Eintrag mit "Laufwerk löschen" und setze dann unter der Zielgruppenadressierung "wenn nicht Mitglied der Sicherheitsgruppe für das Laufwerk". Wenn der User dann in der Sicherheitsgruppe enthalten ist, wird das Laufwerk auf dem rDP Server verbunden. Entferne ich ihn aus der Gruppe, wird das Laufwerk durch den weiteren Eintrag gelöscht.
 
Gibts noch eine besere/clevere Lösung?

Also der FSRM schickt nur eine Benachrichtung raus, wenn man die Grenze z.B. von 95% überschreitet. Kopiere ich dann eine weitere Datei und erhöhe somit auf 96% wird aber keine weitere Benachrichtigung verschickt. Erst wenn ich die 95 unterschreite und dann wieder überschreite. Auf dieses Verhalten bezieht sich auch das Benachrichtigungslimit.
Vielleicht hilft das ja jemand anderem auch in Zukuft, um das Verhalten vom FSRM zu verstehen :)
 
Hier noch mal der Link zum Beitrag

Danke Dir, Sunny!
Ja, testen werde ich es noch, ich wollte mich nur absichern ob ich vielleicht komplett falsch liege oder etwas schwerwiegendes übersehe.
Auch wenn ich es teste, fühle ich mich bei solchen Sachen sicherer, wenn ich mir eine 2. Meinung eingeholt habe :)

Test war soweit erfolgreich. Auf die neue Freigabe kann über das bestehende Netzlaufwerk problemlos zugegriffen werden.
Nur bekomme ich den alten mount Pfad nicht entfernt. Wenn ich auf die Partition einen rechten Mausklick mache und mir die Laufwerksbuchstaben bzw. Pfade anzeigen lasse, erhalte ich beim entfernen des Pfades die Meldung "Zugriff verweigert".
Ich habe alle Zugriffe auf den mount Pfad entfernt und die Aktion auch als Administrator durchgeführt. Ich bekomme den mount Pfad aber einfach nicht raus. Hat hier noch jemand eine Idee? Ist zwar nur die Testumgebung aber ich würde gerne wissen wie ich diesen Fehler umgehen bzw. lösen kann.
 
EDIT: Hmm..komisch...nach 2 Neustarts hat es auf einmal per commandline funktioniert.