daabm

Coole Scheibe - wie schaltet man die auf durchsichtig, Knopf am Lenker? SCNR

Ich kann bestätigen, daß es das nicht ist. Wenn Du eine VPN-Verbindung herstellst und Dich dann sofort anmeldest, ist die RootDSE noch nicht da und Du machst eine Offline-Anmeldung mit allen bekannten Nebenwirkungen.

Wenn man Runspaces nicht selber programmieren will, ist Foreach -Parallel sicher eines der interessantesten. Ist halt "einfacher", ein fertiges Cmdlet zu benutzen. Aber wie immer natürlich auch langsamer. Ich weiß aber nicht, ob Foreach überhaupt in einem Modul steckt oder ob das "core" ist.

Hier kamen auch nur 3 Unwetterwarnungen mit schwerem Gewitter und Hagel, aber Hof und Garten sind staubtrocken

Das mit den Gruppen bei whoami ist blödsinnig umgesetzt Es gibt in der Tat eine Zeit die man nach dem Herstellen der VPN-Verbindung warten muß, bis der Rechner die RootDSE-Verbindung gefunden hat. Ohne die ist es ein Cached Logon, der User merkt davon nichts. Sind so roundabout 10 bis 30 Sekunden. In Skripts kann man das abfangen durch ne Schleife, beim interaktiven Logon fällt mir dazu leider auch nichts ein - wir haben das gleiche Problem. Und wir schieben deshalb auch nen gpupdate hinterher... 😂

Danke - der Teil vor dem Komma hätte mir gereicht 😂

Verstehe ich nicht so. Ich verstehe das so, daß die VM 2 NICs braucht, die jeweisl auf das VLAN getaggt sein müssen. Und daß Switch und Phy das Tagging verarbeiten können müssen. Beim Switch wissen wir das ja schon, und bei der Phy sollte es auch passen, sonst könntest Du im Treiber ja kein VLAN einstellen.

"mit der Windows-Anmeldung" ist zweideutig... "VORHER" wäre wichtig. Also bevor die Logon-Session aufgebaut wird. klist dürfte da nicht helfen, da cached Creds (noch) kein Kerberos machen.

Linkservice https://www.thorsten-butz.de/7mythen/

[OT] @cj_berlin muß er wirklich in der Gruppe sein oder kann man die Delegationen nachbauen? [/OT]

Mal hier durchlesen? https://learn.microsoft.com/de-de/windows-server/virtualization/hyper-v/deploy/configure-virtual-local-areal-networks-for-hyper-v Ich hab zuhause keine VLANs (Fritzbox kann das nicht), und in der Firma machen es andere - aber für mich klingt das danach, daß VLAN 20 schlicht in der pfsense nicht ankommt. Die deshalb 2 VMNet Adapter bekommen muß, von denen einer auf 1 und einer auf 20 läuft. Bin aber Noob bei dem Thema Ich hätte hier übrigens auch Proxmox genommen und Windows mal Windows sein lassen.

Der Meinung von @cj_berlin würde ich mich anschließen. Was ist der Mehrwert, eine zweite Umgebung zu installieren/pflegen? Vermutlich braucht Dein IT-Leiter mal ne kurze Eingleisung über den Unterschied von Powershell mit und ohne "Windows" davor.

Ist für mich auch naheliegend. Der Verbindungsaufbau aktualisiert Clientname in VolatileEnvironment, und jeder neue Prozess darf den neuen Wert bekommen.

War da nicht was, daß Code von ChatGPT i.d.R. "halbfertig" ist?

...und nebenher das Kerberos-1x1 mit disjoint Namespaces, vielen DNS-Quirks und vielen Keytabs. Ich kann's inzwischen auswendig Vorgestern gelernt: Für Unix (Keytabs) gibt es nur Principal Names. Windows unterscheidet User und Service. Und wenn ein Keytab nur SPNs enthält, bekommt man damit bei einem Windows-KDC kein TGT. Ein Unix-KDC würde das machen, Principal ist Principal. Vor längerem schon gelernt: Nicht alle Anwendungen verwenden bei Kerberos den FQDN, den man konfiguriert. Manche machen "heimlich" DNS-Resolution und hangeln sich bis zum A-Record durch -> SPN muß registriert werden. (Und wir haben nicht nur CName-Records, sondern auch DName 🙈.) Und auch vor längerem schon gelernt: Nicht alle Anwendungen machen SSL-Handshake mit dem FQDN. Manche (wie ldp.exe) machen hier auch DNS-Resolution -> SAN im Cert erforderlich. Es hört nie auf 😂 Und ja, Du hättest Spaß. Aber ok, erst mal Wasser fließen lassen.

Das macht ne andere Truppe, das läuft aus Splunk raus weiter in Graylog/QRadar. Problem für uns ist grad der Eingangskanal Splunk mit Lizensierung auf Events pro Sekunde. Aber da arbeiten wir an einer Alternative.

Großes Wort, gelassen ausgesprochen. Wir haben eh schon Mühe mit den Sec-Eventlogs. Sind überall auf 4 GB konfiguriert, aber wir könnten genauso auch auf 100 MB setzen, hätte den gleichen Nutzen. Mit 100 MB würden sie 5 Minuten Rollover haben, mit den 4 GB sind es etwa 6 Stunden. Objekt-Auditing in AD scheidet völlig aus, das kostet zu viel (Splunk).

Weil das Framework (.NET) nicht weiß, was der Verzeichnisdienst dahinter (AD DS, AD LDS, irgendein LDAP) für Attributanforderungen hat. Du kannst die AD-Cmdlets ja genauso gegen einen AD LDS benutzen, und was dessen Schema so zu Attributen sagt, weiß vorher niemand

Ich hab keine Ahnung von dem BPA oder von HyperV in dem Zusammehang, aber vom Stacktrace her hat da "irgendwas" einen Namen, mit dem XML nicht glücklich ist. Und mit Glück liegt irgendwo jetzt dieses XML rum. Vom Stacktrace her könnte es eine der Properties hier sein: bei Microsoft.BestPractices.CoreInterface.EngineManager.TransformResults(FileInfo tempEngineDetailFile, String engineReport, String modelId, String subModelId, String computerName, String context, String& descriptionMessage)

Ja, der Sammelanschluß kostet etwa die Hälfte der Einzelverträge. Deshalb hat sich unsere Eigentümergemeinschaft auch entschlossen, den Sammelvertrag weiter beizubehalten und den Mietern einzeln anzubieten. Wir gehen davon aus, daß die meisten damit einverstanden sind.

Was soll da passieren, wenn kein Management drum rum auf den Namen angewiesen ist?

Norberts erstes Pixi? 😂

Ihr vergesst glaub alle grad die einfachste Form der MFA: Zweiter Admin, der die zweite Hälfte des Kennworts weiß... Klar ist das unkomfortabel, weil man diesen 2. Admin "zur Hand" haben muß, aber mehr als nix ist es auf jeden Fall.

Dann setz das doch per GPO, dann klappt es ohne manuelle Nacharbeiten... https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789188(v=ws.11)#environment-extension Geht überhaupt nicht, das ist nur in der aktuellen PS-Session persistent.

Die haben ein 64-stelliges Zufallskennwort, auf jedem Member anders. Wozu sollte ich das wechseln?