ineedhelp

Genau. Der Kiosk-Benutzer soll nur auf bestimmte Ordner zugreifen dürfen. Laut Explorer Einschränkungen sind standardmäßig alle Ordner gesperrt. Ausnahmen können unterhalb des Knotens FileExplorerNamespaceRestrictions zugelassen werden. Beim genaueren Durchlesen des Online-Artikels fällt mir jetzt auf, dass der Zugriff nur auf Download-Ordner und Wechselträger zugelassen werden kann. Im Explorer werden dann nur die zugelassenen Ordner angezeigt. Ich hatte gehofft, dass man auf einfache Art den Zugriff weitere Ordner erlauben kann. Dann werde es doch über die Konfiguration der NTFS-Berechtigung lösen müssen.

Ich habe mir eine VM erstellt und die Systemanforderung an Windows 11 für TPM und SecureBoot während der Installation umgangen. Leider greift diese Einstellung nicht. Der Kioskbenutzer kann auf alle Ordner zugreifen. Ich weiß, dass ich jetzt keinen Support von Microsoft habe. Aber ich habe keine andere Wahl, um die Einstellungen zu testen, weil mir die passende Hardware fehlt.

Ich habe keine Testmaschine,, die mit Windows 11 lauffähig ist .... Ausserdem kann ich doch die Konfiguration eins zu eins auf Windows 11 übertragen. Vielleicht war der Titel da auch unglücklich gewählt.

Gerade bin ich dabei einen Kiosk mit mehreren Apps zu konfigurieren. Bisher funktioniert auch alles gut .... Leider bekomme ich es aber nicht hin, dass der Benutzer Zugriff auf mehrere Ordner im Explorer erhält. Unterhalb des Knotens FileExplorerNamespaceRestrictions weitere Knoten AllowedNamespace hinzufügen, lies die Konfigurationsdatei nicht anwenden. Beispiel bei Microsoft <rs5:FileExplorerNamespaceRestrictions> <rs5:AllowedNamespace Name="Downloads"/> </rs5:FileExplorerNamespaceRestrictions> Auszug aus der Xml-Schemadefinition für zugewiesenen Zugriff. Durch die Schemadefinition blicke ich nicht durch und mir ist schleierhaft, wie anhand dieser Informationen meine Konfigurationsdatei zusammenstelle. Vielleicht könnte mich da noch jemand etwas erhellen und/oder die passenden Links und Lektüre liefern. <xs:complexType name="fileExplorerNamespaceRestrictions_t"> <xs:choice> <xs:sequence minOccurs="0"> <xs:element name="AllowedNamespace" type="allowedFileExplorerNamespace_t" minOccurs="0"/> <xs:element ref="v3:AllowRemovableDrives" minOccurs="0" maxOccurs="1"/> </xs:sequence> <xs:element ref="v3:NoRestriction" minOccurs="0" maxOccurs="1" /> </xs:choice> </xs:complexType> <xs:complexType name="allowedFileExplorerNamespace_t"> <xs:attribute name="Name" type="allowedFileExplorerNamespaceValues_t" use="required"/> </xs:complexType> <xs:simpleType name="allowedFileExplorerNamespaceValues_t"> <xs:restriction base="xs:string"> <xs:enumeration value="Downloads"/> </xs:restriction> </xs:simpleType> Oder bedeutet es, weil Download hier explizit aufgeführt ist, dass nur dieser Ordner erlaubt werden kann. Also kann nur zwischen Alles verbieten, Download erlauben und alles erlauben wählen?

https natürlich. Auf diese Seite wird man weitergeleitet, wenn man in https://www.telekom.de/start über das Männchen in rechten Ecke fährt und Zum Login klickt.

Anhand vom gp-pack Browser – Chrome, Edge, Edge (Chromium), Firefox habe ich unsere Browser per Gruppenrichtlinie konfiguriert. Leider kann die Seite http://accounts.login.idm.telekom.com nicht mehr aufgerufen werden. Die Website ist nicht erreichbar. Wie kann ich möglichst einfach herausfinden, welche Einstellung dafür verantwortlilch ist. Geändert habe ich schon, dass kein Proxy im Browser verwendet wird. Bisher ohne Erfolg. Über eine (einfache) Lösung würde ich mich freuen.

Gerade befasste ich mich dem Thema Erweiterte Überwachunngsrichtliniekonfiguration und dabei bin ich auf die Berechtigungskonstanten gestossen. Gerne hätte ich gewusst, was das Präfix Se in den Konstanten zu bedeuten hat. Meine bisherige Internetrecherche blieb aber erfolglos. Vielleicht weiss ja hier jemand Bescheid und könnte mir auch die Internetquelle nennen.

Das werde ich mir mal anschauen. Die Einträge im Ereignisprotokoll finde ich auch nicht sehr aussagekräftig.

Eigentlich wollte ich gerade von den Anmeldeskripte weg und es per GPP lösen. Lt Registryeintrag (HKLM\SYSTEM\CurrentControlSet\Services\<NetworkProvider>\NetworkProvider) handelt sich bei cbfs6 um Virtual Network Shares CBFS v6 und P9NP bei um Plan 9 Network Provider. Der Benutzer hat leider lokale administrative Rechte, die aufgrund einer Entscheidung vom Vorgesetzten, nicht entzogen werden darf. Kleines Update: Meine Remoterechere auf dem Rechner hat ergeben, dass der Provider cbfs6 von dem Programm RaiDrive genutzt wird. Das Programm wurde bereits im November 2023 installiert. Im RaiDrive-Forum bin ich wegen des Fehlers noch nicht fundig geworden.

Leider keinen Erfolg. Nach dem Neustart stand der Eintrag cbfs6 wieder an erster Stelle .... Gibt es eine Gruppenrichtlinie, die diesen Wert beeinflußt? Kurzes Update: Mir wurde berichtet, dass wenn der Benutzer gpupdate manuell ausführt, die Netzlaufwerke ordnungsgemäß verbunden werden.

Es wird folgendes angezeigt:

Die Laufwerkszuordnung per GPP hat bisher super funktioniert. Seit letzter Woche funktioniert diese Zuordnung an der Gruppenrichtlinie wurde nichts verändert. In der Angabe für den Speicherort werden Variablen verwendet. wie zum Bespiel \\%LogonDomain%\Homes\%LogonUser% In der Ereignisanzeige wird der FEHLER: 0x80070043 Der Netzwerkname wurde nicht gefunden. ausgegeben. Leider ist die Meldung in der Ereignisanzeige nicht sehr aussagekräftig und ich weiß nicht, wie ich das Problem beheben kann. Über einen kleinen Stoß in die richtige Richtung bin ich dankbar.

@All. Lässt sich (am liebsten mittels PowerShell Direkt) feststellen, wann die Installation eines Windowssbetriebsystem in einer virtuellen Maschinen unter Hyper-V abgeschlossen ist? Mittels PowerShell lass ich mir oft automatisiert eine Testumgebung mit mehreren Server- und Client-VMs erstellen. Schön wäre es, wenn das Skript so lange könnte bis die OS-Installation abgeschlossen ist. Dann ließe sich zum Beispiel mittels PowerShell Direkt, die Testdomäne samt Organisationseinheiten, Benutzer, Gruppen und Computer anlegen. Die Suche im Netz war leider bisher erfolglos? Ihr würdet mir da sehr weiterhelfen.

Danke für diesen Warnhinweis. Leider verwirrt es ein bißchen. Warum hat Mircosoft die Objekte-Eigenschaft in .NET oder in der ADSI-COM-Komponente nicht so implementiert wie die Attribute im Verzeichnisdienst? Aber das weiß wohl nur Mircosoft. Darauf bin ich gar nicht kommen. Meine Skripte werde ich dann gleich mal mit Parameter erweitern. Meine Testdomäne möchte ich nicht unbedingt verbiegen, aber DCShadow und DSInternals werde ich mir mal anschauen.

Leider lassen sich Eigenschaften lastLogon und lastLogonTimestamp auch nicht verändern. Lt. dieser Ausgabe darf ich doch schreibend auf die Eigenschaft zugreifen. lastLogon Property System.Int64 lastLogon {get;set;} lastLogonTimestamp Property System.Int64 lastLogonTimestamp {get;set;} Weil ich das Objektalter oder die letzte Anmeldung in meinen Skripten überprüfe und die Bedingungen in den Skripten nicht ändern möchte. Ich dachte, dass es einfacher wäre, es entsprechend in der Testdomäne zu simulieren und die betreffende Objekteigenschaften zu verändern.

Bei den Benutzern in meiner Testdomäne möchte ich gerne das Erstellungsdatum ändern. Leider wird ein Fehler geworfen, wenn ich versuche, das Erstellungsdatum zu ändern. Aus der Dokumentation zum WhenCreated-Attribut lässt sich nicht entnehmen, ob das Attribut schreibgeschütz ist. Wie kann das Skript mit System-Rechten ausgeführt werden? $user = Get-ADUser -Identity 'John Doe' -Properties whenCreated $user.whenCreated = [DateTime]::Now.AddDays(-90) # Ausgabe: Ausnahme beim Festlegen von "whencreated": "Der Adapter kann den Wert der whencreated-Eigenschaft nicht festlegen." $de = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($user.DistinguishedName)") $de.whenCreated = [DateTime]::Now.AddDays(-90) # $de.Properties['whenCreated'][0] = [DateTime]::Now.AddDays(-90) $de.CommitChanges() # Ausgabe: Ausnahme beim Aufrufen von "CommitChanges" mit 0 Argument(en): "Es ist eine Beschränkungsverletzung aufgetreten. Für jede Lösung bin ich dankbar.

@Community Ich habe einen Server auf dem nur von einem bestimmten IP-Adressbereich per RDP zu gegriffen werden darf. Dieser Server darf aber nur auf bestimmte IP-Adressen per RDP zugreifen. Wie müssen die Windows Firewallregeln aussehen? Ich habe schon so viele Möglichkeiten und sperre mich leider immer wieder per RDP aus. Zum Glück kann ich mich lokal an den Server anmelden. Danke im Voraus und wünsche ein sonniges Wochenende.

Als Erstes hatte ich die Herausgeber-Regel. Damit hatte es auch noch nicht funktioniert. Danach habe ich erst zum Pfad-Regel gewechselt. Eigentlich sollte er die Variable richtig auflösen. Durch die Variable werden die 32-Bit und 64-Bit Installation gleich abgedeckt. Nach dem Mittag werde es mal mit der ausgeschriebenen Variante probieren.

Für den Benutzer kommt die Meldung: Die Ausführung von %PROGRAMFILES%\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE wurde zugelassen, wäre jedoch verhindert worden, wäre die AppLocker-Richtlinie erzwungen worden. Lt. Gruppenmitgliedschaft und Regel dürfte der Benutzer die Anwendung ausführen. Keine Ahnung, warum das Programm geblockt wird. Die AppLocker-Richtlinie habe ich jetzt noch weiter mit dem Cmdlet Test-AppLockerPolicy untersucht. Vielen Dank im Voraus.

Vielen Dank für den PowerShell-Befehl. Ein Paar Änderungen habe ich vorgenommen. Die Ausnahmen lege ich ebenfalls im PSCustomObject ab und exportiere das ArrayList-Objekt als Csv-Datei. Hier die AppLocker-Standardrichtlinie und hier die Richtlinie, die die Ausnahmen wieder zulässt. In beiden Richtlinien ist die Pfad gleich geschrieben .... Auswertung für den Computer. Die Richtlinie wird angewendet. Der Benutzer ist in der "richtigen" Gruppe. Das Programm würde immer noch nicht ausgeführt werden. Für mich erschließt es sich nicht, warum AppLocker die Ausführung verhindern würde. Einen Hinweis finde ich leider nicht .... Vielen Dank im Voraus.

Gruppenmitgliedschaften des angemeldeten Benutzers überprüft Dieses Konzept habe ich ähnlich umgesetzt. Statt den Deny Action Rules habe ich die Programme als Ausnahmen für die Gruppe Jeder definiert, da ich die Verweigern-Regeln später für die Administratoren nicht wieder erlauben kann. Wie es in dem Microsoft-Artikel Understanding AppLocker rule exceptions beschrieben wird, habe ich es umgesetzt. Vielen Dank im Voraus.

In den Gruppenrichtlinien sind keine Deny Actions Rules definiert. Understanding AppLocker rule behavior Wie ich AppLocker verstehe, werden grundsätzlich alle Programme an der Ausführung gehindert, wenn diese nicht explizit zugelassen wurde. Grundsätzlich funktioniert auch meine Konfiguration. In der Standardrichtrichtlinie habe ich mehrere Ausnahmen definiert, die ich später explizit erlaube. Leider würden bei einigen Benutzern, trotz "richtiger" Gruppenmitgliedschaft, die Ausführung der Anwendung durch AppLocker blockiert. Nun suche ich nach Hinweisen, warum die Anwendung nicht zugelassen wurde. Vielen Dank im Voraus.,

Vielen Dank. Es gibt nur Zulassen-Regeln. In der Standardregel Alle Dateien im Ordner "Programme" für die Gruppe Jeder habe ich beispielsweise die Herausgeber-Ausnahme Mozilla Thunderbird eingetragen. (Keine Filterung nach Dateiname und -version) In der zweiten Gruppenrichtlinie habe ich Mozilla Thunderbird für eine bestimmte (domänenlokale) Gruppe per Herausgeber- und Pfadregel wieder zugelassen. Das funktioniert soweit ganz gut. Nur kommt bei einigen Gruppenmitgliedern die Meldung, dass AppLocker die Ausführung von Mozilla Thunderbird verhindern würde, wenn es aktiv wäre. Leider fehlt der Hinweis, warum gerade bei diesen Gruppenmitgliedern die Ausführung verhindert wird. Die Reihenfolge der Gruppenrichtlinie habe ich auch so angepasst, dass erst die allgemeine und dann die Gruppenrichtlinie mit den Ausnahmen wieder zulassen, ausgeführt wird. Vielleicht ist das auch unnötig. Kann es sein, das AppLocker die Regeln sowieso zusammenführt. Wenn eine Anwendung versucht ein Programm startet, welches das Starten durch AppLocker verhindern, wird der Benutzer durch die Anzeige Diese App ... gesperrt informiert? Vielen Dank für die Hilfe.

@All Für unsere Remotedesktop-Sitzungshosts habe ich zwei AppLocker-Gruppenrichtlinien definiert. In der ersten Richtlinie sind die von Microsoft vorgegebenen Standardrichtlinien mit Ausnahmen konfiguriert und in der zweiten werden die Ausnahmen für bestimmte (domänenlokale) Gruppen wieder erlaubt. In beiden Richtlinien ist AppLocker im Überwachungsmodus geschaltet. Die Warnungshinweise aus dem AppLocker-Ereignisprotokoll sind an einem Sammlungsserver weitergeleitet. Nun zu meinen Fragen: Bei wenigen Benutzern kommt die Meldung, dass die Ausführung von einer Anwerdung verhindert worden wäre, wenn die AppLocker-Regel erzwungen worden wäre. Diesen Benutzern habe ich aber über Gruppenmitgliedschaft erlaubt, die Anwendung auszuführen. Wie kann ich feststellen, warum AppLocker bei diesen Benutzern das Ausführen der Anwendung verhindert hat? Im Standardregelwerk Alle Dateien im Ordner "Windows" für die Gruppe Jeder sind Ausnahmen wie %SYSTEM32%\ATBROKER.EXE, %SYSTEM32%\CMD.EXE, %SYSTEM32%\RUNDLL32.EXE eingetragen. Hierzu gibt es auch ein Paar Einträge in der Ereignisanzeige. Lässt sich feststellen, warum diese Anwendungen gestartet wurde bzw. von welchem Programm diese Anwendungen gestartet wurden? Vielen Dank im Voraus.

Wie mache ich es konkret? Diesen Vorgehensweise habe ich noch nicht ausprobiert und wüßte nicht wie es genau anstellen soll und wie ich zur gewünschten Einstellung in der Gruppenlinie komme. Ich denke aber, dass Google Chrome diese Informationen irgendwo im Verzeichnis %LOCALAPPDATA&\Google\Chrome\User Data ablegt. Aber wie bekomme ich das genau heraus. Vielen Dank im Voraus.