Sunny61

Weniger ist mehr. Es gab mal ein Excel Sheet von MS mit den Diensten, die man abschalten kann, finde ich auf die Schnelle nicht mehr. Alternativ: https://www.der-windows-papst.de/2019/12/01/windows-server-unnoetige-dienste-abschalten/ https://www.der-windows-papst.de/2020/12/15/windows-server-unwichtige-dienste-abschalten/ https://gist.github.com/GavinEke/abfc2a547aea74b9d74a2c0c598f3fd7 Das muss natürlich jeder selbst entscheiden, welche Dienste er deaktiviert.

Warum sollte es nicht funktionieren? Es kann natürlich sein, das weiß ich aber nicht, dass der Essential immer wieder herunterfährt oder Fehlermeldungen produziert, wenn er nicht mehr Chef im Ring ist. Hier gibt es ein paar Hinweise: https://www.andysblog.de/windows-active-directory-migration-von-windows-server-2012-essentials-zu-windows-server-2019-standard Alternativ kannst Du das Upgrade ja vorher in einer Testumgebung ausprobieren.

Hatte ich doch im ersten Posting beschrieben, Account dauerhaft deaktivieren und nur aktivieren bei Benutzung. Es gibt auch Software, die während der Arbeit des DL/Externen alles aufzeichnet.

Zusätzlich zu den Hinweisen von Ja, alle 2 Tage die RD-Server in der Nacht neu starten. Dann sollten alle Sitzungen weg sein.

Anstatt Admin oder System wäre es besser, den angemeldeten User zu verwenden: %userdomain%\%username% Was ist das für ein Script? Batch, VB oder Powershell? Wenn PS, wie genau sieht der Aufruf des Scriptes aus?

Unterschiedlich Produktgruppen bei MS, die nicht miteinander sprechen. ;)

OT = OffTopic. Wenn Du einen Server auf Hardware installierst, darfst Du auf diesem Server 2 VMs mit der gleichen Lizenz laufen lassen. Vorausgesetzt, auf dem Hyper-V Host, läuft kein anderer Dienst. D.h. Du könntest dann einen DC als VM und einen Fileserver als VM installieren und benutzen. Musst du aber nicht, mach so wie Du möchtest. EDIT: Wenn ein DC nur DC ist und ein Fileserver nur Fileserver ist, hat das Vorteile. Die sieht man jetzt vielleicht noch nicht, aber später möglicherweise.

Grundsätzlich ist es egal wohin du die User umleitest, entweder per RDP oder VNC auf einen Server/Client oder einen Link zu einem Webserver zur Verfügung stellen. Guacamole stellt nur eine Website zur Verfügung, der Rest ist dein Problem. Und natürlich gibst Du nur jedem User den Link/die Verbindung frei, die er auch nutzen soll.

Bei uns ist das im Einsatz: https://guacamole.apache.org/ Anmeldung 2FA. Von dort aus geht es weiter via RDP auf den Server, auf den der Dienstleister zugreifen muss. Die Konten sind dauerhaft gesperrt und werden nur auf Anforderung für die benötigte Dauer freigegeben. Die Frirewallfreigaben für die RDP-Verbindung können natürlich auch dauerhaft deaktiviert werden und nur für die Zeit der Verbindung freigeschaltet werden.

Darf der User denn auch "Methoden ausführen" auf der Root?

Man kann mit z.B. Notepad++ und dem Plugin Compare Plus sich die Unterschiede anzeigen lassen. Hast Du Werkzeug um das MSI zu bearbeiten? Falls nein, ORCA von Microsoft kann das, evtl. brauchst Du dann kein MST mehr dazu, sondern kannst die Einstellungen im MSI anpassen.

Alternativ: https://dnsforge.de/

Irgendwo hab ich kürzlich gehört, in Amsterdam werden Fahrzeuge mit H-Kennzeichen NICHT reingelassen. Allerdings hab ich das nicht verifiziert. Von vorne ist schon wuchtig, ist aber auch eine Reiselimousine. ;) Da ist meine Multi schon etwas schlanker. ;)

Ein H-Kennzeichen gibt es auch erst ab 30 Jahren, Youngtimer kann schon ab 25 sein, weiß ich allerdings nicht. Diese BMW ist mir viel zu wuchtig, ein Reisedampfer, aber dir muss sie gefallen.

Was hast Du denn für ein Moped?

Darum geht es doch nicht. Wenn Du Code in den Code Editor kopierst, wird der Code übersichtlicher dargestellt. Beispiel:

https://www.intel.de/content/www/de/de/products/sku/71275/intel-nuc-kit-dc3217iye/specifications.html USB 3.0-Konfiguration (extern + intern) 0 + 0

Ja, für PRTG haben wir das auch so umgesetzt. Vor allem die Automatisierung mit dem Script ist praktisch. ;)

Auf die Schnelle hab ich noch das hier gefunden: https://martellotech.com/blog/enable-remote-wmi-access-for-a-domain-user-account/ Und noch eine URL für ein Script: https://docs.microsoft.com/de-de/archive/blogs/spatdsg/set-wmi-namespace-security-via-gpo-script Das schon gen. Script brauchst Du doppelt, einmal für die DCs und einmal für die Member Server. Deinen User am besten in eine Gruppe, und die Gruppe anstatt dem User verwenden. Auf einem Member Server wmimgmt.msc als Admin starten > WMI-Kontrolle > Eigenschaften >Reiter Sicherheit > Root markieren > Sicherheit unten anklicken > Erweitert anklicken > über Hinzufügen die Gruppe hinzufügen und diese Berechtigungen vergeben. Ebenfalls auf diesen und untergeordneten Namespaces anwenden. Jetzt in einer Admin Commandline diesen Befehl ausführen: wmic /namespace:\\root /output:c:\sd.txt path __systemsecurity call getSD In der auf c:\ erstellten sd.txt findet sich ein langer String: {1, 0, 4, 129, 148, 0, 0, 0, 164, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0 und so weiter und so fort. Diesen String von den Leerzeichen befreien und ohne die Leerzeichen in die passende VBS-Datei kopieren und die Datei speichern. Die gleiche Vorgehensweise muss auf einem DC durchgeführt werden, jetzt hast Du 2 VB-Scripte, eins für die DCs und eins für die Member Server. Die beiden Scripte kannst Du in ein Share legen und als Computerstartupscript von den Servern ausführen lassen. DCs und Member separat natürlich. Bevor es weiter geht, noch auf einen anderen Server switchen, als Admin eine Commandline öffnen und die VBS-Datei für Server ausführen: cxcript.exe c:\Pfad-zur-WMI_Server.vbs Kontrolle: Jetzt auf dem Server wmimgmt.msc als Admin ausführen und die o.g. Schritte ausführen. Ist dort die Gruppe mit den passenden Berechtigungen zu sehen? Wenn ja, dann kann das Script verwendet werden. Nach Möglichkeit auch mit dem DC-Script so verfahren. Ein GPO für DCs und ein GPO für Memberserver erstellen. Beispielhaft die Vorgehensweise für Member Server: Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > DCOM: Computerstarteinschränkungen und Computerzugriffseinschränkungen jeweils über Sicherheit bearbeiten die Gruppe hinzufügen. Die Gruppe braucht an der Stelle alle Rechte: Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung. Mit OK alles bestätigen. Jetzt noch in die eingeschränkten Gruppen, dort über den Durchsuchen Dialog die Gruppen Leistungsüberwachtungsbenutzer und Remoteverwaltungsbenutzer hinzufügen. In jede der beiden Gruppen kommt deine Gruppe als Mitglied rein. Windows Firewall Regel für WMI nicht vergessen. Ich hoffe nichts vergessen zu haben, einfach mal den ersten Teil mit dem manuellen ausprobieren, wenn das klappt, sollte es mit dem GPO auch klappen.

Danke für die Rückmeldung. ;) Alle melden sich mit dem gleichen User + PW an der Anwendung an? Oje, was ist das denn? Ich würde an der Stelle Nachbesserung verlangen, das ist kein Verhalten für eine Anwendung im Jahr 2024.

Bei Docusnap hat mein früherer Kollege nichts dazu gefunden, ich such das am Anfang der Woche mal zusammen, falls ich bis Dienstag nichts geschrieben habe, meld dich einfach nochmal hier im Thread. ;) Die Variante mit dem Script verwenden wir tatsächlich nur für Geräte die sehr sehr selten an oder im Netz sind.

Die Berechtigungen der Docusnap Accounts kann man anpassen, dann brauchen die keine Admin Berechtigungen mehr. Dazu kann ich am Montag vom Arbeitsplatz aus etwas schreiben, dort hab ich die Details dazu.

Ich hatte dafür mal ein Tool, DesktopOK, da konnte man schön solche Einstellungen speichern und später wieder einen Restore machen. Kannst das Tool ja mal ausprobieren.

Die Boberger Dünen kannst Du in HH auch mal anschauen: https://www.hamburg.de/sehenswuerdigkeiten/4402700/boberger-duenen/

Liegen die Icons evtl. außerhalb des Sichtbereichs? Kannst Du mittels Tastatur direkt auf dem Desktop zu einem Icon wechseln und mit ENTER das Programm dann starten?