Micha1985

Hallo in die Runde!
wie kann ich am besten herausfinden, welche Anmeldescripte in dem SysVol Ordner nicht in Verwendung sind bzw. keinen Benutzer hinterlegt ist?
Ich wollte jetzt nicht alles einzeln durchgehen.
Vielen Dank für eure Hilfe :)

ja es hat damit geklappt besten Dank!

Bin zwar noch nicht so lange in der Thematik aber ich sehe keinen Grund wieso nicht.
Es müsste nur der Befehl Get-ADComputer mit dem Parameter -SearchBase ergänzt werden. Der Parameter gibt den distinguished name (DN) deiner gewünschten OU an.
Sollte ich mich irren, sind Ergänzungen gewünscht.

In AD-Users and Computers eine neue LDAP-Query anlegen
(&(objectCategory=computer)(!(operatingSystem=*Server*))) und über View - Add/Remove Columns die Spalte "Modified" einblenden.
Danach sortieren und du kannst die Konten direkt deaktivieren/löschen/verschieben oder was auch immer du damit machen möchtest.
Vorteil: du bist schon in der AD und falls im Feld "Description" noch irgendwelchen näheren Infos dazu stehen warum die Kiste nur einmal im Schaltjahr benutzt wird kannst du das auch gleich sehen.
Ja, das ist nicht PowerShell, funktioniert aber genauso gut und man kann ggf. noch mehr Infos direkt rausziehen.

Servus zusammen, versuche mal das hier:
Get-ADComputer -Filter * -Properties operatingsystem, lastlogondate, enabled | 
    Where-Object {
        ($_.operatingsystem -notlike "*Server*") -and
        ($_.lastlogondate -le (Get-Date).AddDays(-365)) -and
        ($_.enabled -eq $true)
    } |
    Sort-Object lastlogondate |
    Format-Table Name, Lastlogondate

bitte beachten das ihr PowerShell auch als ADMIN ausführt 

lg 

Alle Rollen auf einem. Dieser ein sollte natürlich gut gesichert sein Desaster Recovery technisch...
Dann kann man im Worst Case auf alle anderen DCs verzichten und muss nur den einen Restoren um wieder Voll dabei zu sein.
Wenn du das Verteilst haste unter umständen ein Problem... Und wenn das keine VM sondern echte Hardware ist kannste echt viel spass haben, wenn man auch noch erstmal Hardware wieder klar schiff bekommen muss...
Meine Meinung.
 
Wegen Härtung, z.B. in einer DMZ habe ich GPOs für jeden einzelnen Server in der DMZ erstellt welche die lokale Firewall setzen, also innerhalb der DMZ können die Server sich nicht kontaktieren. Und per GPO bietet den Vorteil das ein Angreifer die Settings auch nicht drehen kann da grau hinterlegt...
Und die Zugriffe aus DMZ <> LAN usw... regelt die Hardware Firewall.
Das ganze auf den Port und IP genau abgestimmt. Kann man sich auch für ins LAN überlegen.
Eventuell Server auch in verschiedene VLANs generell aufteilen z.B. DCs seperates VLAN und per Hardware Firewall absichern usw... Oder Clients in Seperate VLANs je nach Abteilung und Funktion und dann entsprechend Client Gruppen und Server Gruppen Firewall technisch genau fein tunen...

Und halt noch die anderen Tips was die Kollegen oben so schreiben, stichwort Admin Konzept, immer Up to Date sein Patch technisch, das übliche halt...

Zu solchen Fragen gibt es den IT-Grundschutz vom BSI und die dazugehörigen Bausteine:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/07_SYS_IT_Systeme/SYS_1_2_3_Windows_Server_Edition_2023.pdf?__blob=publicationFile&v=5

Hallo,
erstmals zum Netzwerk:
Server hinter einer dedizierten Firewall stellen Server in das vorhergesehene VLAN zuweisen Zugriff via ACLs steuern Zum Windows Server selbst:
Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren Der LAPS Admin hat natürlich einen anderen Namen Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung. Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken. Server minimal und sauber halten -> Keine unnötigen Tools installieren! Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw. Lokale Windows Firewall überprüfen und konfigurieren Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück! Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉

Ich weiß ja nicht was genau dein Ziel dabei ist aber reicht es nicht aus einfach das Häkchen zu setzen "automatisch verbinden" bei dein ausgewählten WLAN?
Immer wenn dein Notebook (Surface) das WLAN findet, verbindet es auch automatisch damit. Selbst wenn es verloren gehen sollte durch schlechte Verbindung oder sonst was, würde es sofort wieder damit verbinden.
Vorausgesetzt dein WLAN ist eingeschaltet.

Es könnte mit Sicherheit so ein Script geschrieben werden (falls das, was @CrazyS. geschrieben hat, nicht ausreicht), ich lese aber zwischen den Zeilen ein tiefergehendes Problem, weswegen Du dieses Script benötigst.
Also Butter bei die Fische: wieso brauchst Du so ein Script? Eventuell kann die Ursache bekämpft werden statt das Symptom zu lindern.

Dann wäre es vielleicht sinnvoller den Zugriff auf die WLAN Einstellungen zu begrenzen.  

Würde es nicht reichen, den angemeldeten User soweit zu kastrieren, dass er die Einstellungen gar nicht erst sehen/ändern kann?
Ich versteh das so: das prinzipielle Setup funktioniert, solange kein Unbefugter daran rumfummelt und Zeug verstellt. Einfache Lösung: Fummelrechte wegnehmen. Hilft natürlich nicht wen es noch einen manuellen Schalter für "WIFI aus" geben sollte, aber dann hilft auch kein Script.
Alternativ kommt das Ding direkt im Kioskmodus mit der benötigten Software hoch, dann kann der User auch weder links noch rechts.
Edit: Bevor ich noch eine weitere Fehlerquelle/muss-ich-mich-drum-kümmern-Stelle einbaue, nehm ich lieber das Problem (= User kann an den Einstellungen fummeln) aus der Gleichung.

Falls du keine Office-GPOs findest, kann es sein dass dir die ADMX Dateien dazu noch fehlen:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Ich würde mir nur die "Schmerzpunkte" raussuchen und diese per GPO steuern. Vor allem wenn man erst damit anfängt diese Dinge zentral zu stuern muss man sehr vorsichtig um die eingeschliffene Arbeitsweise der User manövrieren, sondt steht das Telefon nicht still.

Sollte so sein, ja.
Das ist auch der einzige (mit bekannte) Weg das Postfach loszuwerden ohne den AD User gleich mit zu entsorgen.

Moin!
Wie Dir Deine Shell schon mitgeteilt hat wollte da die Syntax nicht. Du hast versucht verschiedene Typen miteinander zu vergleichen. So solltest Du weiter kommen.
Viel Erfolg