jostrn

Für die Zukunft: juristische Fragen stellt man konkret ("ich/wir") an den Anwalt, oder abstrakt ("man") in ein Forum. Die Rechtslage ist vollkommen klar - wie fast immer im Strafrecht! § 202a StGB Ausspähen von Daten: (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Was unbefugt bedeutet, kannst du dir denken, einen RA fragen, in einem Gesetzeskommentar nachschlagen (zB in der öffentlich zugänglichen juristische Bibliothek der nächsten Uni), oder es abstrakt formuliert in ein Forum posten. § 16 Abs. 1 StGB wäre in diesem Fall ebenfalls des Lesens wert.

Gestern habe ich zuletzt S/MIME-Zertifikate auf einer JULIA MailOffice Installation gepflegt. In meiner Firma läuft ein Djigzo/Ciphermail. Nur weil meine Firma und ein paar ihrer Kunden E-Mails verschlüsseln würde ich das nicht jedem Kunden empfehlen. Eine Investition muss gerechtfertigt sein und das ist kosten- wie nutzenmäßig immer eine Einzelfallbetrachtung. 98% der Unternehmen in Deutschland sind viel zu klein, als dass sich professionelle Spionage seitens eines ebenso kleinen Wettbewerbers lohnen würde. Professionelle Angriffe sind verdammt teuer - und mit bis zu drei Jahren Freiheitsstrafe bedroht, wenn man erwischt wird. Für die von euch genannten Beispiele sind die eigenen Mitarbeiter die größte Risikoquelle. Sich in eine (unverschlüsselte) SMTP-Sitzung einzuklinken ist ein ziemlicher Aufwand - auch wenn ein ARD-Reporter, der sich kurzfristig und oberflächlich, aber schnell in ein Thema einarbeiten kann, Gegenteiliges erzählen möge. Vor allem: wenn ich an Infrastrukturen wie DNS-Server rankomme, um MX-Einträge zu ändern, oder Routing-Tabellen umschreiben kann, dann muss ich Geheimnisse vermutlich nicht über SMTP abfischen. Natürlich entscheidet der Kaufmann, konkret der Geschäftsführer, wieviel Sicherheit seine Unternehmung braucht. So lange Mitarbeiter viel zu weitgehende Rechte auf Daten haben braucht man sich um E-Mail-Verschlüsselung wenig Gedanken machen. Telefoniert ihr alle eigentlich noch unverschlüsselt über das Telefonnetz? Asterisk hat seit 1.8 endlich SRTP und TLS, die Ciscos und Snoms können es auch. Trotzdem nutzt es keine Sau. Außer in meiner Firma. Vom Schreibtisch bis zum Server, nach draußen geht es dann unverschlüsselt, weil die Kunden kein Interesse daran haben und es ihnen auch keinen Vorteil brächte.

Wofür die Office Pro Plus SAL? Meines Erachtens wird je Benutzer des In-Place Archive eine Exchange Enterprise SAL (9MC-00001) benötigt, die Std-SAL Funktionalität ist in der Enterprise SAL inkludiert, wenn ich die SPUR richtig interpretiere: SPUR: http://www.microsoftvolumelicensing.com/userights/DocumentSearch.aspx?Mode=3&DocumentTypeId=2 Bei SharePoint kommt die Enterprise-CAL auf die Standard-CAL drauf, bei Exchange enthält die Enterprise CAL die Standard-CAL... irgendwie so glaube ich mich zu erinnern.

Braucht halt eine zweite Serverlizenz, wenn man es sauber machen will!

Manchmal sind es auch die ITler, denen es an Verständnis mangelt: Für 98% der deutschen Unternehmen dürfte es schlicht irrelevant sein, ob irgendein Geheimdienst ihre Korrespondenz auf Verbindungs- oder Inhaltebasis erfasst. Für irrelevanten Schutz gibt kein vernünftiger Kaufmann Geld aus. Banken, Versicherungen, Chemische Industrie oder Automobilhersteller, denen E-Mail-Verschlüsselung teilweise was bringt, machen es.

Handelt EA nach einem interaktiven Start von MT automatisch ohne dass Du was machst? Kenne mich mit EA leider nicht aus... Wo wird EA konfiguriert? %USERPROFILE%\AppData\Roaming\MetaQuotes\Terminal\[iD]\profiles\... ? Guck mal mit dem Sysinternals Process Monitor, ob terminal.exe diese Konfigurationsdateien lädt.

Z.B. in der Windows 7 Professional FPP EULA, siehe http://www.microsoft.com/en-us/legal/intellectualproperty/UseTerms/default.aspx:

Bei mir startet der Taskplaner die terminal.exe, habe unabhängig von der Benutzeranmeldung und mit höchsten Berechtigungen ausführen aktiviert. Woraus folgerst Du, dass das Programm nichts tut? Im Sysinternals Process Explorer verändert sich bei mir ständig das Working Set, irgendwas macht das Programm also.

OTRS mit ITSM-Erweiterung ist ein brauchbares Siehe http://otrs.github.io/doc/manual/itsm/3.3/en/html/index.html Wie Dr.Melzer anmerkte sollte man vor einer Entscheidung zugunsten einer Software seine Anforderungen spezifizieren. Freeware, Inventar und Trouble-Ticket-System hast Du schon vorgegeben, weiters könnte man sich fragen: Soll das System mandantenfähig sein? Soll eine Zeit- oder Kostenerfassung (für Mandanten) dabei sein? Soll das System mit vorhandenen, zB kaufmännischen Systemen integriert werden? Sollen Endanwender mit dem System interagieren? Soll eine Inventarisierung automatisch erfolgen? Sollen die Configuration Items auf nicht genehmigte Changes überwacht werden? ...

Ein paar ISPs geben ihren (Privat)Kunden keine öffentlich erreichbaren IPv4-Adressen mehr. Leite vorübergehend einen unkritischen externen Port auf der Fritz!Box weiter und prüfe, ob er von Außen erreichbar ist. Auf einem der Server wird schon was harmloses laufen, WWW ist dafür dankbar. Wenn das klappt könntest Du Dich über Exchange Active Sync und eventuell SSTP (VPN über HTTPS, erfordert Zertifikate) zu den Firewall-aufwendigeren VPN-Technologien vorarbeiten.

Sommerliche Grüße euch allen! Beim Check eines 2k8 Servers mit WSUS 2.3 erhalte ich für die WSUS-Konfiguration ein rotes Ausrufezeichen und folgenden Hinweis, siehe auch Anhang: Die Konfiguration für automatische Updates enthält ungültige oder beschädigte Daten. WSUS läuft auf einem anderen Server (2k12), die Konfiguration kommt über ein GPO und die Systeme sind beim Check gegen den Windows Update Server auf dem aktuellen Stand. Oberflächlich betrachtet scheint alles ok. Was will mir die Fehlermeldung im MBSA sagen - und viel wichtiger: wie werde ich sie los? Der WSUS wurde irgendwann vom Herunterladen und Cachen der Updates auf cachelosen Betrieb umgestellt. Kann da eine Einstellung nicht an den betroffenen Server gegangen sein? Im GPO ist dazu keine Einstellung. Vielen Dank und viele Grüße

Vielleicht kannst du das Projekt lizenzkostenneutral auch mit Mono und Linux umsetzen, aber bei WCF geht Mono schnell die Luft aus. Ganz ehrlich: wen eine kleine Unternehmung das Geld für die CALs nicht hat, dann würde ich die Finger davon lassen. Die Erfahrung lehrt, dass mit solchen Kunden nichts rumkommt. Muss jeder selbst wissen... bei deinem Anforderungsprofil lohnt sich eventuell ein Blick auf den Windows Server 2012 R2 Essentials ;-)

Dem ist nichts hinzuzufügen.

Will der Dr.Melzer dazu anstiften, gegen vertraglich vereinbarte Verschwiegenheitspflichten zu verstossen? Möglicherweise gibt es in dem MPN- oder SPLA-Vertrag entsprechende Klauseln... ;-) Die SPUR ist öffentlich. In ihr steht steht irgendwo oben in den Vorbestimmungen, dass reines Vermieten einer Lizenz nach SPUR nicht erlaubt ist. Der TO fragt nach einem gehosteten Szenario. Wenn reines Vermieten nicht erlaubt ist und es (neben den VL Rental Rights) ein spezielles Mietprogramm für Service Provider gibt, was wird wohl in diesen stehen ... Üblicherweise läßt sich ein Kunde vom Service Provider die korrekte Lizenzierung vertraglich zusichern. Strafrechtlich ist er damit fein raus, zivilrechtlich wohl auch. Dokumentation ist der Freund des Beklagten.

Hallo, da dies mein erster Post diesen Jahres ist: Frohes neues Jahr euch allen. Aktuell überschreitet ein Benutzer in Exchange 2010 die maximal zulässige Anzahl von 500 Objekten vom Typ 'objtFolder'. Wie identifiziere ich den Übeltäter? Exchange beschreibt ihn mir als /o=MeineFirma/ou=Exchange Administrative Group (ABCDEFGH12ABCDE)/cn=Recipients/cn=userb26fc065'. Vermutlich handelt es sich um ein Schnittstellenprogramm (Virenscanner, Archivierungslösung, ...). Kann ich den Namen übers AD finden? (Ich habe schon gesucht, aber nichts gefunden.) Vielen Dank und viele Grüße

Keinen, in den MS-Trainings früher hieß es Benutzer-Global-Lokal-Berechtigung. In der ersten Variante fällt die lokale Gruppe weg, in der Zweiten steht stattdessen eine globale Gruppe. Beide Varianten sind anders, als ich es mal gelernt habe ;) Irgendwo hänge ich gedanklich! Du hast für jedes Verzeichnis eine Gruppe Verzeichnisname-RW, in der z.B. die globale Gruppe G steht und darin ist Benutzer X Mitglied - wie kommst Du dann vom Benutzer auf die Verzeichnisse? Das ist elegant, habe ich auch gleich gemacht und eine Gruppe "Verzeichnisname-LT" (für list & traverse) angelegt. Vergibst Du die traverse-Rechte nur über NTFS oder auch über das GPO?

Gibt es bei euch VERZEICHNIS_xx-Gruppen oder eher ABTEILUNG_xx-Gruppen? Sind diese Gruppen global oder lokal?

Guten Abend, wie verteilt ihr die Berechtigungen auf ein firmenweites Netzlaufwerk in kleinen bis mittleren Unternehmen? Gibt es best practices? So mache ich es normalerweise: Die Benutzer kommen in globale Funktionsgruppen (wie "Geschäftsführung", "Buchhaltung", "Personal"). Dabei versuche ich, verschachtelte globale Gruppen zu vermeiden. Nur für bestimmte Freigaben (z.B. "Datev", "Lexware", "sFirm", ...) erstelle ich lokale Gruppen, denen ich die globalen Gruppen hinzufüge. Für das Firmenlaufwerk lege ich keine lokalen Gruppen an, sondern gebe den globalen Gruppen auf Freigabeebene Vollzugriff. Bei den NTFS-Berechtigungen klicke ich die globalen Gruppen direkt in die Ordner und dokumentiere über die Rechte die organisatorischen Verfügungsrechte. Beispielsweise bekommt die globale Gruppe Sekretariat Ändern-Rechte während die Geschäftsführung Vollzugriff hat. Wer Änderungen selbst vornehmen könnte darf RfCs genehmigen. Jetzt habe ich einen neuen Server übernommen, bei dem die Rechte wie folgt konfiguriert sind: Die Benutzer sind in globalen Gruppen, wie bei mir. Im AD gibt es eine OU für Dateisystemberechtigungen. Für jeden Ordner im Firmenlaufwerk gibt es eine globale Gruppe mit dem Namen des Ordners und den Rechten, z.B. für den Ordner "Personal" eine Gruppe "Personal-RW". RW steht für ReadWrite, also Ändern. In diesen Gruppen stehen die globalen Benutzergruppen. Jeder Ordner im Freigaberoot enthält also eine Gruppe Ordnername-RW mit Ändern-Berechtigung sowie die Administratoren mit Vollzugriff. Für Unterordner, die die Vererbung durchbrechen, gibt es analog Gruppen "Rootordner_Unterordner-Berechtigung". Ich sehe so eine Struktur zum ersten Mal und ich nehme folgende Nachteile gegenüber meinem Vorgehen war: Es gibt keine lokalen Gruppen. Ich muss mich (ohne Zusatzsoftware) durch mindestens zwei Gruppen hangeln um zu sehen, wer berechtigt ist. Weil es meist nur "-RW"-Gruppen gibt haben alle Benutzer Ändern-Rechte. Ich brauche also eine zusätzliche Informationsquelle um zu wissen, wer Änderungen der Berechtigungen genehmigen darf. Es gibt für jeden Ordner mit durchbrochener Vererbung mindestens eine eigene globale Gruppe, was ich redundant finde. Gegenüber meinem System habe ich jetzt schon 31 statt 12 Gruppen. Vielleicht gibt es auch Vorteile, die ich nicht erkannt habe. Welche dieser beiden unterschiedlichen Vorgehensweisen würdet ihr nehmen bzw. was würdet ihr anders (besser ;) ) machen? Vielen Dank vorweg und viele Grüße

Hallo, in einem Netzwerk mit Windows 2003 Server und Windows Server 2008 R2 DCs verschwindet ein DC (2k8R2) seit gestern immer wieder aus der DNS-Zone, auch wenn ich ihn neu anlege. Selbst trägt er sich nicht mehr ein. Beim dritten manuellen Neuanstellen habe ich jetzt die Schreibrechte für die DCs verweigert und harre der Dinge. Hat jemand von Euch eine Idee, was da schief läuft? Vielen Dank und viele Grüße

Hallo, kennt jemand eine Möglichkeit, via PowerShell oder .NET die Informationen auszulesen, die bei einer EFS-verschlüsselten Datei unter Eigenschaften, Reiter Allgemein, Schaltfläche Erweitert, Schaltfläche Details angezeigt werden? Dort stehen die "Benutzer, die auf eine Datei unerkannt zugreifen können" mit Benutzername und Fingerabdruck ihres Schlüssels sowie "Datenwiederherstellungs-Agenten dieser Datei laut Wiederherstellungsrichtlinie" mit Benutzername und Fingerabdruck. Wichtig wären mir die berechtigten Benutzer. Vielen Dank für jede Information und viele Grüße

Hallo, der Exchange 2010 Server exchange.domain.local ist für owa, Active Sync etc. unter exchange.publicdomain.de erreichbar. Für exchange.publicdomain.de wurde ein 3rd-Party Zertifikat besorgt und installiert. Daneben gibt es das selbsterstellte Zertifikat für exchange.domain.local. Outlook 2010 Clients, die über den HTTPs-Proxy auf Exchange zugreifen werfen eine Zertifikatsmeldung, weil das Zertifikat nur den öffentlichen Namen des Exchange enthält, aber nicht den tatsächlichen, lokalen Servernamen. In der Domäne gibt es eine PKI mit der ich ein domänenweit gültiges Zertifikat erzeugen kann. Ich verstehe mein aktuelles Problem so, dass der Exchange Server das 3rd-Party-Zertifikat sowohl für den HTTPs-Proxytunnel als auch für die Kommunikation mit dem Exchange benutzt. Wo kann ich das "innere" Zertifikat ändern? In der Exchange-Verwaltungskonsole unter Serverkonfiguration, Exchange-Zertifikate sind beide Zertifikate gelistet: 3rdParty-Zertifikat: IMAP, POP, IIS Selbsterstellt: SMTP Vielen Dank und viele Grüße

Interessant, ich glaube mich zu erinnern, dass sekundäre DNS-Zonen der saubere Weg sind ;)

Hatte ich mitgelesen und für mich ausgeschlossen, weil in dem Thema die Benutzer selbst keinen Zugriff hatten. Ist es echt so, dass ich als Domänenadmin Gruppenänderungen erst nach einer Neuanmeldung des betroffenen Benutzers sehe?

Hallo und einen hoffenlich sonnigen Nachmittag :cool: Auf einem WinSrv 2008, zugleich ein DC, habe ich eine Dateifreigabe mit mehreren Unterverzeichnissen. Die Berechtigungen auf die Unterverzeichnisse löse ich über NTFS-Berechtigungen für AD-Gruppen. Das ist glaube ich so üblich. Jetzt habe ich ein AD-Benutzerkonto einer berechtigten AD-Gruppe hinzugefügt, in der Ansicht der effektiven (NTFS-)Berechtigungen des Unterverzeichnisses erscheint das AD-Benutzerkonto aber ohne Berechtigungen. Behelfsweise habe ich das Benutzerkonto zusätzlich zu den Gruppen hinzugefügt, damit erscheint es jetzt auch mit den korrekten Rechten. Warum klappt es nicht mit der Gruppe? Muss ich mich in mehr Geduld üben weil die DCs sich erst replizieren müssen bevor die Änderungen in die NTFS-Gruppen kommen?! :confused: Vielen Dank für erklärende Worte und viele Grüße

Guten Nachmittag, auf einem einzelnen Windows 7-Client wählt Word 2010 bei einem Abteilungsdrucker per default das falsche Druckerfach und der Anwender muss die Einstellung händisch korrigieren. Unter allen anderen Windows-Anwendungen (ich glaube inklusive Excel, Outlook, ...) stimmt das Druckerfach. Im Druckertreiber in der Systemsteuerung paßt es auch. Mich beschäftigen zwei Fragen: Praktisch: Wie löse ich das Problem? Theoretisch: Speichert Word eigene Druckereinstellungen, die die Werte des Betriebssystems überschreiben? Vielen Dank und Grüße