Scharping-FVB

Liebes Forum, ich habe versucht RCG für einen Server und einen Client einzurichten. Für den Client habe ich diese GPO eingestellt: System/Credentials Delegation Policy Setting Restrict delegation of credentials to remote servers: Enabled Use the following restricted mode: Require Remote Credential Guard Für den Server: System/Credentials Delegation Policy Setting Remote host allows delegation of non-exportable credentials: Enabled Der zu testende AD-User ist Mitglied einer AD-Gruppe, die wiederum Mitglied der lokalen Gruppe "Remote Desktop Users" ist. Wenn ich mich mit einem AD-User anmelde, dann erhalte ich: "the requested session access is denied". Ist der AD-User Mitglied der lokalen Gruppe der Administratoren, funktioniert die Anmeldung. Im ersteren Fall kommt im Event Log, "successfully", obwohl die Anmeldung abgewiesen wird: An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: SERVER$ Account Domain: YYY Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin Mode: No Virtual Account: No Elevated Token: No Impersonation Level: Impersonation New Logon: Security ID: YYY\xxxx Account Name: xxxx Account Domain: YYY Im zweiten Fall, als lokaler Admin kommt dieses Ereignis: An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: SERVER$ Account Domain: YYY Logon ID: 0x3E7 Logon Information: Logon Type: 10 Restricted Admin Mode: No Virtual Account: No Elevated Token: No Impersonation Level: Impersonation New Logon: Security ID: YYY\addom-XXXX Account Name: addom-XXXX Account Domain: YYY Logon ID: 0x140036 Linked Logon ID: 0x13FFEE Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x8b8 Process Name: C:\Windows\System32\svchost.exe Network Information: Workstation Name: SERVER Source Network Address: 10.x.x.x Source Port: 0 Detailed Authentication Information: Logon Process: User32 Authentication Package: Negotiate Transited Services: - Package Name (NTLM only): - Was kann ich tun, um RCG für Domänen-Administratoren zu erzwingen? Viele Grüße Davorin

OK, das funktioniert generell. Doch ich habe dann ein anderes Problem mit Remote Credential Guard, für das ich einen neuen Thread eröffne.

Liebes Forum. wenn ich auf dem RDP-Server und dem Client RCG konfiguriert habe, wird dies nur dann genutzt, wenn ich mich mit dem lokal angemeldeten User am RDP-Server anmelde? Dann wird RCG ja gar nicht genutzt, wenn ich mich mit anderen Credentials, z.B. dem Domänen-Admin am RDP-Server anmelden will. Das würde bedeuten, dass ich mich erst lokal als Dom-Admin anmelden müsste, um auch RCG nutzen zu können. Stimmt das so? Wenn ja, wie kann ich dann die Credentials des Dom-Admins auf allen Ebene schützen? Anmeldung lokal mit Credential Guard und dann Remote mit Remote Credential Guard? Viele Grüße Davorin

Vielen Dank für eure Mühe. Bei mir will das einfach nicht. Ich habe dein XML direkt so übernommen, die gleiche Fehlermeldung erscheint und es passiert stundenlang nichts. Dann habe ich Windows von Null an neu installiert, in die Domäne gebracht, unsere Standard GPOs drauf wirken lassen und es noch ein Mal versucht. Auch hier der Fehler. Nun noch ein Versuch, mit blankem Windows ohne Domäne...

Der Troubleshooter ist es, der sagt, dass es nichts zu deinstallieren gäbe. Zudem lese ich auf der Webseite unter dem "Knopf", dass Office 2024 leider nicht deinstalliert werden könne. Was erklärt, warum nichts deinstalliert werden kann. Hier meine aktuelle 64-Bit XML, für die ich mich nicht angemeldet habe: <Configuration ID="48536b8c-a8a8-443c-b47b-cecf9b825c5c"> <Add OfficeClientEdition="64" Channel="PerpetualVL2024" MigrateArch="TRUE"> <Product ID="Standard2024Volume" PIDKEY="xxxxxxxxx"> <Language ID="de-de"/> <ExcludeApp ID="OneDrive"/> <ExcludeApp ID="Publisher"/> </Product> </Add> <Property Name="SharedComputerLicensing" Value="0"/> <Property Name="FORCEAPPSHUTDOWN" Value="FALSE"/> <Property Name="DeviceBasedLicensing" Value="0"/> <Property Name="SCLCacheOverride" Value="0"/> <Property Name="AUTOACTIVATE" Value="1"/> <Updates Enabled="FALSE"/> <RemoveMSI/> </Configuration>

Jetzt hat sich die 32 Bit Installation aufgehängt, bzw. ich habe sie nach 2 Stunden abgewürgt, weil nichts mehr passierte. Es ist nichts installiert, es werden keine Apps angezeigt, aber dennoch kann ich 64 Bit nicht installieren, weil gemeldet wird, dass bereits 32 Bit installiert sei und ich mit der 32 Bit Installation fortfahren könne. Doch die hängt sich wieder auf, nach zwei Stunden ist wieder nichts passiert. Immer wieder der Format Fehler, obwohl ich die XML des ODT nicht mehr verändert habe und so wenig wie möglich eingestellt habe. Ein Office Uninstall Tool finde ich nicht, entweder wird auf Hilfe und Supportcenter verwiesen, was nichts deinstalliert oder der Troubleshooter versucht mittels PowerShell eine Deinstallation, meldet aber, dass kein Office installiert sei. Ich vermisse die Zeiten, in denen ein einfacher Doppelklick auf setup.exe ausgereicht hat, um Office (zuverlässig) zu installieren. Ich habe inzwischen auch Log Files gefunden, die nach Abbrechen der Installation angelegt werden, mit dem Inhalt kann ich gar nichts anfangen, vielleicht findet sich hier ja ein Experte dafür? PC-9968-20250130-1152a.log.txt Das war wohl mal Power Query, vor einigen Jahren. Ist inzwischen auch 64 Bit fähig

Ich bin einen Schritt weiter, mit der 64 bit Variante von ProPlus hat er funktioniert (wollen wir aber nicht, weil wir Std Lizenzen kaufen werden und 32 bit wegen Add-Ons brauchen), Download mit anschließender Installation. Ich teste gerade 32 bit Standard, gleiches XML, nur kleine Anpassungen dazu: <Add OfficeClientEdition="32" Channel="PerpetualVL2024" AllowCdnFallback="TRUE"> <Product ID="StandardVolume"> Mal sehen, der Download läuft seit 15 Minuten...

Danke für den Link, so etwas hat mir noch gefehlt, zum Verständnis. Der Download ist sehr langwierig, hilft aber leider auch nicht, der Fehler, auch mit einer neu erstellten XLM, bleibt: (8format error: invalid format specification field) Meine XML Dateien haben keinen Eintrag <Info Description="Office 2024 32-Bit" /> Der bleibt bei OfficeClientEdition="32" Ich habe die "Info Description" ausprobiert, anstelle meines Eintrags und zusätzlich dazu, beide Mal gab es einen Fehler. Das passt also nicht in mein XML: <Configuration ID="423b8222-3a8f-4bb2-a3b6-a64e230c279b"> <Add OfficeClientEdition="32" Channel="PerpetualVL2024" SourcePath="\\xx\xxxxxx\\install\MS Office 2024 Std. LTSC" AllowCdnFallback="TRUE"> <Product ID="Standard2024Volume" PIDKEY="YYYYYYYYYYYYY"> <Language ID="de-de" /> <ExcludeApp ID="OneDrive" /> </Product> </Add> <Property Name="SharedComputerLicensing" Value="0" /> <Property Name="FORCEAPPSHUTDOWN" Value="FALSE" /> <Property Name="DeviceBasedLicensing" Value="0" /> <Property Name="SCLCacheOverride" Value="0" /> <Property Name="AUTOACTIVATE" Value="1" /> <Updates Enabled="FALSE" /> <RemoveMSI /> </Configuration> Ich habe da nichts verändert gegenüber dem XML, das ich online erstellt habe. Ich habe Office vorher mit /download heruntergeladen. Ich führe das ganze in einer Admin-Shell aus. Mit Office 2019 hat das noch funktioniert.

Ich habe die XML über das (online) ODT erstellt, wie ich in meinem ersten Satz schon schrieb. Neu erstellen hat nicht geholfen.

Liebes Forum, ich versuche (bisher erfolglos) Office 2024 LTSC zu installieren. Über das ODT habe ich mir eine Install XML erstellt und über setup /configure Konfiguration.xml aufgerufen. <Configuration ID="2112f12f-431c-4ef5-bfd7-c437b23a9e33"> <Add OfficeClientEdition="32" Channel="PerpetualVL2024"> <Product ID="Standard2024Volume" PIDKEY="XXXXXXXXXXXXXXXXX"> <Language ID="de-de"/> <ExcludeApp ID="OneDrive"/> </Product> </Add> <Property Name="SharedComputerLicensing" Value="0"/> <Property Name="FORCEAPPSHUTDOWN" Value="TRUE"/> <Property Name="DeviceBasedLicensing" Value="0"/> <Property Name="SCLCacheOverride" Value="0"/> <Property Name="AUTOACTIVATE" Value="1"/> <Updates Enabled="FALSE"/> <AppSettings> <Setup Name="Company" Value="ZZZZZZZZZZZZ."/> </AppSettings> <Display Level="Full" AcceptEULA="TRUE"/> </Configuration> Leider hängt die Installation sehr lange, bis die dann mit einem Fehler abbricht. Im Systray ist das Icon zu sehen, mit der Meldung: Microsoft 365 und Office werden im Hintergrund installiert (14`format error: invalid format specification field´) Ich habe den Key angepasst und die Edition auf 32 gesetzt. Wo in der Konfiguration ist (m)ein Fehler? Viele Grüße Davorin

Liebes Forum, wir wollen Transportregel erstellen, welche den Betreff einer eingehenden E-Mail kennzeichnen (prepend), je nachdem, woher die Mail kommt. 1. Innerhalb der Organisation, 2. von eigenen Servern und von 3. außerhalb. Eigentlich sollte das ja einfach sein, besonders das erste. Die Regel stehen in dieser Reihenfolge am Ende aller Transportregeln 1. Internal Mail: Recipient inside organization & sender inside organization (stop prozessing more rules) 2. ServerMail: Recipient member of ... & sender's IP in the range... (stop prozessing more rules) 3. External Mail: recipient member of ... & sender outside organization Nun klappt es leider nicht bei allen Mails nach Regel 2. Diese werden bei bestimmten Absender-IPs trotz explizitem Eintrag durch die dritte Regel gekennzeichnet. Gibt es eine Möglichkeit, herauszufinden, warum eine Regel nicht angewandt wurde? Im Ereignisprotokoll kann ich nur sehen, dass eine Regel angewandt wurde, nicht aber, warum bzw. warum nicht. Viele Grüße Davorin

Und der kann mir die technische Details bezüglich der Update-Verteilung erklären? Ich glaube nicht.

Liebes Forum, kann mir jemand helfen, wie ich ESU für Windows 10 Enterprise bekomme, wie die Updates bezogen werden und wie ich die dann verteilen kann. Ich habe im Web nicht wirklich erhellendes gefunden. Für uns als lokale Infrastruktur wäre Azure Arch notwendig. Arch triggert offenbar den WSUS, der weiterhin die Updates vorhält. Bekommt der dann die ESU auch, so dass die dort angezeigt und freigegeben werden können? Ich vermute, dass es wie bei Windows 7 laufen wird, doch da habe ich keine Erfahrung, weil nicht benötigt. Nun aber schaffen wir die Migration zu Windows 11 sehr wahrscheinlich nicht rechtzeitig und benötigen zumindest ein Jahr ESU für Unternehmen. Viele Grüße Davorin

Es war ClickShare, das Extension Pack. Die Desktop App hat das gleiche Problem verursacht. Nach Deinstallation und Neustart hat die interne Kamera wieder ein Bild gezeigt, anstelle von schwarz

Kann ich nicht sagen, da unser Image schon Treiber und Apps enthält. Ich schau mir das aber mal bei einer Neuinstallation an und prüfe die Kamera nach jedem Schritt.

Hab ich zuerst kontaktiert und das hier alles schon gemacht: ****** Rufen Sie bitte einmal die folgenden Seiten auf und führen die Tests durch. https://www.onlinemictest.com/ https://de.webcamtests.com/ Ist Mikrofon/Webcam im BIOS aktiviert? Welche BIOS Version ist aktuell installiert? Bitte aktualisieren falls nicht aktuell. Aktuell ist die Version: Downloadlink: Überprüfen Sie bitte die Datenschutzeinstellungen Wird das Mikrofon und die Webcam im Gerätemanager angezeigt? Gibt es dort Ausrufezeichen oder unbekannte Geräte? Installieren Sie die Webcam-Treiber neu Zurücksetzen der Kameraanwendung Navigieren Sie zur Kamera (App) und wählen Sie dann App-Einstellungen. Klicken Sie Reparieren im Abschnitt Zurücksetzen. Starten Sie die Problembehandlung für die Videowiedergabe Halten Sie die Windows-Taste gedrückt und drücken Sie dann die q-Taste. Geben Sie in das Suchfeld troubleshooter/Problembehandlung ein. Klicken Sie in der Liste der Programme auf Problembehandlung (Systemeinstellungen). Klicken Sie unter Andere Problembehandlungen auf Videowiedergabe, und folgen Sie dann den Aufforderungen. Schließen Sie nach Beendigung der Problembehandlung das Fenster Einstellungen. Sollte das Problem weiterhin bestehen, so führen Sie bitte Dell Command Update Driver Restore (Treiber-Wiederherstellung) aus. Adminrechte werden dabei benötigt. Diese Option ist keine normale Updatefunktion sondern erwirkt nochmals die saubere Neuinstallation aller installierten und neu gefundenen Treiber. DELL Command Update Download: https://www.dell.com/support/home/de-de/drivers/driversdetails?driverid=j6pnp&lwp=rt Deaktivieren Sie dazu bitte vorher unbedingt die automatischen Updates von Windows. Deaktivieren der automatischen Treiberupdates von Windows 10 und 11: https://www.dell.com/support/kbdoc/de-de/000194492/so-verhindern-sie-dass-windows-updates-heruntergeladen-und-installiert-werden Nach einem sauberen Neustart dann den Dell Command Update Driver Restore, welcher das System zwingt, alle Treiber von Dell Servern neu herunterzuladen und zu installieren. Dell Command Update Driver Restore / Treiber-Wiederherstellung: https://www.dell.com/support/kbdoc/de-de/000177525/erweiterte-treiberwiederherstellung-mit-dell-command-update?lwp=rt

Ist für die Kamera-App an, da steht sogar der letzte Zugriff, der gerade eben war. Nehme ich den Schieber raus, so meldet die Kamera-App, dass die Datenschutzeinstellungen nicht passen. Wenn ich den Schieber wieder auf "erlauben" setze, meldet die App nichts mehr, bleibt aber schwarz.

Liebes Forum, bei einem Dell Laptop haben wir das Problem, dass die Kamera ein schwarzes Bild liefert, in der Kamera-App und in Zoom. Im Dell Support Assist Tool ist ein Kamerabild/video zu sehen und auch in einem Web-Test (https://de.webcamtests.com/). In einer nackten Installation funktioniert die Kamera auch. Treiber löschen und neu heruntergeladenen Dell-Treiber installieren hat nicht geholfen. Hat jemand eine Idee, was das sein könnte? Ja, ich habe den Schieber vor der Kamera zur richtigen Seite geschoben Viele Grüße Davorin

Danke für den Link

Die Meldung hat ja nichts mit rechtzeitig aktualisierten Zertifikaten zu tun, sondern mit den alten Mails, die ein inzwischen abgelaufenes Zertifikat haben. Ein aktuellen Zertifikat hat darauf keinen Einfluss. Die User aktualisieren ihre Zertifikate mehr oder weniger rechtzeitig, gibt ja Erinnerungsmails dazu Schade, dass es keine Ausnahme für einzelne (alte) Zertifikate gibt.

Liebes Forum, gibt es eine Möglichkeit, die Outlook Warnung vor einem abgelaufenen Zertifikat für ein bestimmtes Zertifikat zu deaktivieren? Wir setzen Zertifikate zur Verschlüsselung und Signierung ein. Ist nun eines dieser Zertifikate abgelaufen, erscheint in Outlook immer eine Warnmeldung, wenn alte Mails geöffnet werden. Ein "Installieren" des Zertifikats in Outlook über diesen Warndialog hilft nicht. Es nervt die Nutzenden beim Öffnen alter Mails, dass da ständig die Meldung kommt und erst nach zwei Klicks die Mail angezeigt wird. Viele Grüße Davorin

Tut mir leid, ich komme erst Montag wieder dazu, das zu testen.

Liebes Forum, ein seltsames Phänomen: Ein Domain-Admin versucht sich an einem Remote-Server anzumelden, die Anmeldung wird abgewiesen: "Mit diesen Benutzerdaten kann keine Verbindung hergestellt werden". An allen anderen Servern der Domäne ist eine Anmeldung mit "diesen Benutzerdaten" allerdings möglich. Da dies nicht umgehend kommt, sind die Anmeldedaten korrekt, auch würde das mit "Benutzername oder Kennwort falsch" quittiert werden. Ein anderer Domain-Admin (allerdings auch Enterprise Admin) kann sich problemlos anmelden, RDP-User ebenso. Im lokalen und DC Event-Log wird Ereignis 4643 geloggt, also eine Abmeldung, die nicht von Benutzer initiiert wurde. Scheint so, dass erst eine Verbindung aufgebaut, die dann abgewiesen wird. - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4634</EventID> <Version>0</Version> <Level>0</Level> <Task>12545</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2024-07-24T06:57:22.589326800Z" /> <EventRecordID>10976596</EventRecordID> <Correlation /> <Execution ProcessID="712" ThreadID="6160" /> <Channel>Security</Channel> <Computer>dc1.xx.xxxxx.de</Computer> <Security /> </System> - <EventData> <Data Name="TargetUserSid">S-1-5-21-1565xxxx-40xxx176-1xxx25-xxxx</Data> <Data Name="TargetUserName">xxxxxxx</Data> <Data Name="TargetDomainName">CS</Data> <Data Name="TargetLogonId">0x9xxxe2</Data> <Data Name="LogonType">3</Data> </EventData> </Event> Auch ein explizites Hinzufügen des Dom-Admins zur lokalen Gruppe der Administratoren und Remote Desktop Users hat keine Besserung gebracht. Was läuft da schief? Viele Grüße Davorin

Liebes Forum, an die Dell Nutzer: Setzt ihr auf Laptops die Tools Command Update und/oder Support Assist ein? Meine Erfahrung war, dass die Software ohne Nutzeraktion Treiber lädt und installiert und auch Meldungen abgibt. All das unkontrollierbar, obwohl der Haken bei "Automatisch" nicht gesetzt war. Auch verhinderte Command Update ein Sysprep. Wie sind eure Erfahrungen damit? Viele Grüße Davorin

Ok, ich hätte einfach mal nachsehen müssen, auf der Dell Seite zur Kompatibilität. Nur sechs unserer noch in Betrieb befindlichen Laptops erfüllen die Voraussetzungen nicht. Für die tägliche Arbeit sind die noch gut geeignet. Ich tausche Laptops ja nicht nur, weil sie keine Garantie mehr haben, sondern dann, wenn sie nicht mehr funktionieren oder zu schwach sind. Alles andere finde ich weder wirtschaftlich (warum Geld ausgeben, wenn es noch läuft) noch nachhaltig (warum entsorgen und neu beschaffen, wenn es noch läuft). Bei Servern ist das anders, die brauchen Support, weil die nicht einfach so getauscht werden können, wenn die nicht mehr wollen. Vielen Dank für die Antworten! Es ist schön, dass auch bei diesem Thema keine Vorwürfe, sondern konstruktive Vorschläge kamen