Sunny61

Wie MurdocX schon schrieb, McAfee deinstallieren, zusätzlich die Reste deinstallieren. Dafür gibt es einen Artikel bei McAfee: https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS101331 Das dort angebotene Tool bitte auch benutzen.

Was setzt ihr jetzt ein? McAfee hattet ihr ja mal eingesetzt. Melde dich an dem Rechner doch mal mit einem Benutzer an, der sich dort noch nie angemeldet hatte, funktioniert es dann?

Hier findest Du Details wie man das per GPO/XML erstellen kann: https://docs.microsoft.com/de-de/windows/configuration/customize-windows-10-start-screens-by-using-group-policy https://docs.microsoft.com/de-de/windows/configuration/windows-10-start-layout-options-and-policies

Ich habe mit SRP schon lange nicht mehr gearbeitet, aber gibt es nicht Standardregeln für %windir%, %programfiles% und weitere?

Wenn das Whitelisting korrekt eingerichtet ist, darf es kein blockieren geben. Details sollten im Eventlog zu finden sein. Entweder Zeichen für Zeichen vergleichen, oder hier posten was freigegeben und was blockiert wurde.

Es sollten natürlich anschließend die Änderungen vom Replica gezogen werden, d.h. die Edge Updates müssen auch auf den Replicas nach der Synchronisierung verschwinden.

Du solltest aktualisieren, der SQL ist nicht ganz up2date: https://sqlserverbuilds.blogspot.com/#sql2014x

Bitte, gern geschehen. :)

Hier mal das Script wie es jetzt von Norbert getestet und für gut befunden wurde. Lehnt ab und löscht die Edge Versionen, die in dieses Raster fallen: %edge-Stable%x64% Die aktuellste und höchste Version bleibt bestehen. USE [SUSDB] GO -- Lehnt und löscht ersetzte Edge Updates ab. 29.08.2020 Declare @Anzahl int Set @Anzahl = (Select Count([Updateid]) as Anz FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Stable%x64%' and Isdeclined = 0 AND [UpdateID] NOT IN (Select TOP 1 [Updateid] FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Stable%x64%' and Isdeclined = 0 Order By SUBSTRING(DefaultTitle, CHARINDEX('(',DefaultTitle,1)+1, LEN(DefaultTitle) -CHARINDEX('(',DefaultTitle,1)-1) desc ) ) print @Anzahl -- Anzahl der Versionen ausgeben, die abgelehnt und gelöscht werden können. Declare @UpdateID1 uniqueidentifier IF @Anzahl = 0 Begin Print '=0!' RETURN END IF ( @Anzahl > 0 ) START: Begin -- Hier beginnt die eigentliche Schleife und Arbeit. :) While ( @Anzahl > 0 ) BEGIN SET @UpdateID1 = ( Select TOP 1 [Updateid] FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Stable%x64%' and Isdeclined = 0 AND [UpdateID] NOT IN (Select TOP 1 [Updateid] FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Stable%x64%' and Isdeclined = 0 Order By SUBSTRING(DefaultTitle, CHARINDEX('(',DefaultTitle,1)+1, LEN(DefaultTitle) -CHARINDEX('(',DefaultTitle,1)-1) desc ) Order By SUBSTRING(DefaultTitle, CHARINDEX('(',DefaultTitle,1)+1, LEN(DefaultTitle) -CHARINDEX('(',DefaultTitle,1)-1) desc ) -- Update ablehnen. Die Stored Procedure spDeclineUpdate ist im Original bei jedem WSUS in der SUSDB dabei. EXEC [SUSDB].[dbo].[spDeclineUpdate] @UpdateID1; -- Update löschen. Die Stored Procedure spDeleteUpdateByUpdateID ist im Original bei jedem WSUS in der SUSDB dabei. EXEC [SUSDB].[dbo].[spDeleteUpdateByUpdateID] @UpdateID1; -- Von der Gesamt Anzahl abziehen. SET @Anzahl-=1 END IF( @Anzahl > 0 ) GOTO Start ELSE --Wenn es keine Edge Versionen zum Ablehnen gibt, wird die SP/das Script verlassen. RETURN END Und hier noch das Script, das die Edge Updates aus den Dev-, Beta-, Stable-x86 und ARM64 Kanälen ablehnt. Das kann jeder natürlich auf seine Bedürfnisse anpassen. USE [SUSDB] GO -- Lehnt und löscht Edge Updates ab. 29.08.2020 Declare @Anzahl int Set @Anzahl = (Select Count([Updateid]) as Anz FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Dev%' OR DefaultTitle like '%edge-Beta%' OR DefaultTitle like '%edge-stable%x86%' OR DefaultTitle like '%edge-stable%ARM64%' ) print @Anzahl -- Anzahl der Versionen ausgeben, die abgelehnt und gelöscht werden können. Declare @UpdateID1 uniqueidentifier IF @Anzahl = 0 Begin Print '=0!' RETURN END IF ( @Anzahl > 0 ) START: Begin -- Hier beginnt die eigentliche Schleife und Arbeit. :) While ( @Anzahl > 0 ) BEGIN SET @UpdateID1 = ( Select TOP 1 [Updateid] FROM [SUSDB].[PUBLIC_VIEWS].[vUpdate] where DefaultTitle like '%edge-Dev%' OR DefaultTitle like '%edge-Beta%' OR DefaultTitle like '%edge-stable%x86%' OR DefaultTitle like '%edge-stable%ARM64%' ) -- Update ablehnen. Die Stored Procedure spDeclineUpdate ist im Original bei jedem WSUS in der SUSDB dabei. EXEC [SUSDB].[dbo].[spDeclineUpdate] @UpdateID1; -- Update löschen. Die Stored Procedure spDeleteUpdateByUpdateID ist im Original bei jedem WSUS in der SUSDB dabei. EXEC [SUSDB].[dbo].[spDeleteUpdateByUpdateID] @UpdateID1; -- Von der Gesamt Anzahl abziehen. SET @Anzahl-=1 END IF( @Anzahl > 0 ) GOTO Start ELSE --Wenn es keine Edge Versionen zum Ablehnen gibt, wird die SP/das Script verlassen. RETURN END

Öffne eine Cmd.exe, darin set path | clip eingeben, hier dann per STRG + V in einen Code Tag einfügen. So sieht man das dann sauber und ordentlich.

Ist Terminal02 auch korrekt aktiviert? Hast Du den Lizenzserver auch per GPO den beiden RDS Servern bekannt gemacht? https://it-dude.de/anleitungen/server-2019-remotedesktop-service-terminalserver-lizenzserver-gpo/

Bei so vielen Usern ist es besser ihnen eine Anleitung an die Hand zu geben.

Hintergrundbild nicht verändern macht man über GPO > Benutzerkonfiguration. Paket ist mir keines bekannt, muss aber auch nichts heißen. Du kannst natürlich den Usern das Ausführen von %SystemRoot%\system32\control.exe verbieten, dann können sie die Systemsteuerung nicht aufrufen. Möchtest Du nur einzelne Icons verbieten oder ausblenden, hier ist eine Liste der Icons: http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0584.htm Was dann evtl. alles nicht mehr funktioniert, darfst Du selbst erkunden. :) Wenn man Software installiert und das Programicon in C:\Users\Public\Desktop verschiebt, kann der User es nicht mehr löschen. Natürlich könnte man das alles weiter einschränken, aber ob das wirklich zielführend ist?

Du kannst im \\deineDomain\SysVol\DeineDomain\Policies nach der GUID suchen, wenn Du sie findest innerhalb der Ordner nach verwertbaren Informationen suchen.

Das ist fast exakt das, was in dem von mir gep. Artikel auch drin steht. Stell den privaten Speicher auch ein, am besten so, wie in dem von mir verlinkten Artikel genannt ist. Hauptsache es klappt jetzt. ;)

Haben sich auch bereits alle Clients beim WSUS gemeldet? Was heißt 2 waren in der Verwaltung? 2 Admins waren auf dem WSUS angemeldet und hatten die WSUS.MSC geöffnet? Hast Du denn Updates zur Installation freigegeben? Läuft da evtl. noch ein großer Download? Wie ist der Server dimensioniert? Wieviel CPUs und wie viel RAM sind eingebaut? Du kannst auch schauen ob der IIS läuft, den auch mal durchstarten. Im IIS kannst Du auch die Einstellungen setzen, die in diesem Artikel genannt sind: https://www.404techsupport.com/2016/03/21/iis-wsus-private-memory/ Anschließend den Server einmal neu starten.

Wenn es im Userobjekt hinterlegt ist, greift aber auch kein GPO. Wenn das Anmeldescript in einem GPO liegen würde, dann könntest Du dem TS das Übernehmen des GPO verbieten. Und ja, das geht so. Im Userobjekt das Script entfernen, dafür in eine GPO packen, Userkonfig > Windows Einstellungen > Scripts.

Die Frage hat Nobby schon beantwortet, ich weiß es nicht, halte aber meine Systeme immer recht aktuell, dazu zählt auch der Exchange.

Dann mal ran an die Aktualisierung, dir fehlt das letzte CU: https://docs.microsoft.com/de-de/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

Aber nur, wenn man DualScan NICHT abgeschaltet hat, via GPO. Lies dir mal diesen Artikel durch: https://schweigerstechblog.de/windows-defender-updates-ueber-wsus-beziehen/ Mehrmals täglich synchronisieren: https://docs.microsoft.com/de-de/troubleshoot/mem/configmgr/deploy-definition-updates-using-wsus Und diesen Artikel lesen: https://docs.microsoft.com/de-de/windows/security/threat-protection/microsoft-defender-antivirus/manage-protection-updates-microsoft-defender-antivirus Ja, gibt es schon länger. Aber der TE soll das erstmal sauber konfigurieren, dann sieht man weiter.

Habt ihr einen WSUS im Einsatz? Falls ja, wie sieht das GPO für den WSUS aus?

Woher kommt jetzt das GPO? Melde dich als der Archivbenutzer an einem System an und versuche auf die Daten zuzugreifen, auf die er später auch zugreifen soll.

Kann denn der Archivbenutzer über die Freigabe auf den Client zugreifen? \\Client\Freigabe

Dann zeig doch mal ein ipconfig /all | clip [ENTER]. Und hier dann in ein Code Fenster einfügen. Anoyminiseren der Daten nicht vergessen. Einmal von DC1, DC2 und DC3, falls Du 3 DCs hast. Und noch von einem Client.

Welcher Cache? Meinst Du Cached Credentials? Melde dich an einem Client mit einem Domänen Benutzer an. Nach der erfolgreichen Anmeldung öffnest Du eine Commandline. Gib SET ein und drück ENTER. Suche nach LOGONSERVER, welcher steht drin?