blub
-
Gesamte Inhalte
7.598 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von blub
-
-
Habe ich das soweit richtig verstanden?
Ich denke schon. User- und Clientzeit getrennt für die User- und Client Kerberostickets zu betrachten, ist ja sinnvoll.
-
Solange IPv6 nicht gemeinsam mit dem Provider "bis ins Internet" konfiguriert ist, stört es nicht, und es gibt auch keinen Konfigurationsbedarf. In dem Fall konfiguriert es sich im lokalen Subnetz automatisch und wird dort auch für lokale Kommunikation verwendet. Abschalten ist nicht supportet und führt (sehr) oft zu Fehlern. Einfach in Ruhe lassen.
Will ich nicht unkommentiert stehen lassen:
Wenn man nicht weiß was man tut, kann man sich mit IPv6 neue Einfallstore in sein Netzwerk einhandeln!
Meine Empfehlung, wenn man es nicht braucht, ist ausschalten oder zumindest zuerst den NIST-Guideline verinnerlichen:
http://csrc.nist.gov/publications/nistbul/January2011-ITLBulletin.pdf
konkret diese beiden Absätze:
-> Security Issues to be Considered in the Deployment of IPv6
-> NIST Recommendations for the Secure Deployment of IPv6
So einfach mal im Vorbeigehen über IPv6 ja/ nein entscheiden, würde ich nicht.
blub
-
Hallo,
Prinzipiell ist dafür die Klasse "FileSystemWatcher" geeignet
https://gallery.technet.microsoft.com/scriptcenter/Powershell-FileSystemWatche-dfd7084b
Natürlich kann man mit Powershell auch nach einem verschobenen Ordner suchen.
https://technet.microsoft.com/en-us/library/hh849800.aspx
Schon etwas älter, dafür gut abgehangen, sind die ETW-Events unter WMI
https://msdn.microsoft.com/en-us/library/aa826686(v=vs.85).aspx
Deine Aufgabe hört sich eventuell etwas einfacher an, als sie tatsächlich ist, da die Nebenbedingungen eine große Rolle beim Bau einer sinnvollen Lösung spielen dürften.
blub
-
Da ist glaube ich ein Verständnisproblem:
- Du (=dein Useraccount) meldest dich nicht am Client, sondern am DC an. Daher hat dein TGT-Ticket auch die Zeit des AnmdeldeDCs.
- Dein Client versucht sich mit seinem Computerkonto und seiner (verdrehten) Zeit am DC anzumelden und bekommt bei TimeSkew > 5 Minuten eine auf die Finger.
führ doch mal beispielsweise "gpupdate" aus (bitte ohne -force, sonst werden wir geschimpft
).Die Userpolicy dürfte in jedem Fall gezogen werden.
Die Clientpolicy nur, wenn die Clientzeit soweit im Rahmen liegt. Ohne ClientTicket gibt's kein Sessionticket für den Client
Große Probleme gibt es, wenn mehrere DCs einer Domäne nicht ausreichend synchron laufen.
Ich hoffe, dass stimmt so einigermaßen.
blub
-
das "/force" nach gpupdate ist bei mir so tief in die Finger Sehnen und Muskeln eingebrannt, das bekomme ich wohl nie mehr raus. Genauso wie z.B. das "/all" bei ipconfig, auch wenn ich es gar nicht brauche.
Mal ehrlich, wer von uns ist so flexibel und hat diese cmd-Klassiker schon aus seinem Repertoire gestrichen und durch modernere, zweifellos mächtigere Befehle ersetzt?
- Invoke-Gpupdate
-
/force - einfach die Macht zu besitzen, es tun zu können :D. Schadet ja auch nicht.
-
Nicht zu empfehlen, aber du kannst smb1.0 auf den 2012-Servern nachinstallieren.
Blub
-
sieh dir doch mal mit "klist tgt" das Kerberos Anmelde-Ticket an.
- Hast du überhaupt eines?
- relativ weit oben in der Ausgabe siehst du die Anmeldezeit und den Timeskew
- auch in den Security-Eventlogs siehst du, wie sich der Client tatsächlich anmeldet
blub
-
Nach meinen Informationen kannst du jeweils eines dieser Updates überspringen, musst dann aber zwingend das nächste installieren.
habe ich auch mal gelesen.
Momentan bekommt man für alle drei Versionen 1507, 1511, 1607 Security Updates. Ich habe noch nicht gehört, wann beispielsweise die 1507 outdated sein soll.
-
-
Den Usern den Vollzugriff auf NTFS und ggf. auch auf dem Share (wenn User per SMB auf das Share zugreifen) nehmen und nur noch Ändern erlauben. Damit schränkt man die Möglichkeit für die Anwender ZugriffsRechte auf Fileobjekte zu entfernen stark ein.
Solch Spezialisten an Usern gibt es überall.
-
https://gallery.technet.microsoft.com/scriptcenter/Get-Network-NTP-Time-with-07b216ca
Damit kannst du einfach jedes Device/ Rechner nach der Zeit auf 123 fragen.
z.B. out of the box die Antowrt meiner FritzBox
Get-NtpTime 192.168.178.1 NtpServer : 192.168.178.1 NtpTime : 29.09.2016 22:03:04 OffsetSeconds : 0,546 NtpVersionNumber : 3 Mode_text : server Stratum : 3 ReferenceIdentifier : 188.40.93.201 <pns.as-computer.biz>
-
2
-
-
Gerne!
Wenn man noch in das ein oder andere Buch investiert, kann man aus der Site Einiges an Wissen rausholen.
-
"Schneide den Elefant in Scheiben", wie man so schön sagt.
Nimm dir einzelne Themenblöcke z.b. anhand eines Lehrbuches strukturiert nacheinander vor.
ActiveDirectory, DNS, DHCP, Berechtigungskonzept, etc. kann man nicht einfach mal so eben hochziehen und verstehen.
Irgendetwas mit zuwenig Hintergrund zu installieren und dann auf Fehlersuche zu gehen, ist nicht zielführend und nur frustrierend.
-
Schau doch mal hier rein:
Hier gibt es zahlreiche komplette IT-Kurse zum Ansehen, für die man als Präsenzveranstaltung viel Geld bezahlen müsste. Vielleicht passt der MCSA-Track für dich.
-
1
-
-
Ich durchblicke deine Berechtigungsorganisation nicht so ganz.
- Laut deiner Aussage am Anfang gibt es kein Active Directory, nur den Fileserver KPHServer
- Laut den Bildchen weiter untern gibt es aber "KPH\Domänen-Admins" etc. , also doch eine Art Domäne. (Heißen die AD "Domain Admins" auf deutsch tatsächlich "Domänen-Admins"??)
Wie und wo authentifiziert sich der User, mit dem du auf das Share zugreifst. Von welcher Art von Maschine greift der User auf das Share am Server zu. Nutzt du Hardware oder Virtuelle Maschinen?
Ich vermute mal, dass du es schaffst, das MS-Berechtigungskonzept u.a. mit den Aktionen an "everyone" und "spezial" ins Straucheln zu bringen, aber nach 20s fängt sich das System doch noch irgendwie und macht dann irgendwie irgendwas. Aber auch DNS lässt sich mit wenigen Klicks in einen chaotischen Zustand versetzen!
-
allerdings bekommt man nach ein paar Jahren einen Konzern-Stempel aufgedrückt, der einen Wechsel zurück in den Mittelstand eher schwierig macht. :cool:
Einmal Konzern -> immer Konzern (muss ja nicht immer derselbe sein).
-
- Aus meiner Erfahrung unter 2008/ 2008R2 gibt es bei Domänen dieser Größernordnung immer wieder Replikationsstörungen durch LingeringObjects etc, besonders wenn Leitungen länger unterbrochen sind bzw. DCs ausfallen. Unsere DCs stehen aber wiegesagt teilweise auch in Afrika. (gut ... bei dir ist es Österreich
) Domänen mit 2012R2-DCs sind stabiler geworden, aber trotzdem ist der Betrieb alleine dieser 80DCs auch mit 2012 keine Oneman-Show.- DC/ RODCs: da gibt's genügend Papers über Vor- und Nachteile. Meiner Erfahrung lösen RODCs durch ihre Definition manchmal ein Gefühl von geringer Wichtigkeit und damit geringerer Sorgfaltspflicht bei Admins aus, was nicht gut ist.
- Umso größer und komplexer eine IT Umgebung wird, umso mehr ist Professionalität gefordert bei Planung, Betrieb und Weiterentwicklung. Sonst endet das Vorhaben unweigerlich so wie bei deinem Kollegen.
Vielleicht hilfts dir was
blub
-
Wo liegen denn die Standorte geografisch?
In Teilen Afrikas oder Russlands dauerts schon mal ein oder zwei Wochen bis ein Techniker vor Ort ist, um ein Netzwerkdevice zu tauschen.
Für die Berechnung der Replikationslast gibt es von MS Artikel mit Formeln und Tabellen. Du musst individuell rechnen und kannst nicht deine Umgebung mit anderen Umgebungen vergleichen.
-
Hallo,
kennst du die Microsoft Empfehlungen bzgl. Userpasswörtern?
1. Maintain an 8-character minimum length requirement (and longer is not necessarily better).
2. Eliminate character-composition requirements.
3. Eliminate mandatory periodic password resets for user accounts.
4. Ban common passwords, to keep the most vulnerable passwords out of your system.
5. Educate your users not to re-use their password for non-work-related purposes.
6. Enforce registration for multi-factor authentication.
7. Enable risk based multi-factor authentication challenges.https://www.microsoft.com/en-us/research/publication/password-guidance/
Systemaccounts, besonders solche mit eigenem SPN, sollten aber mindestens 25 Zeichen lang sein und auch ab und zu mal geändert werden.
blub
-
Dann war dein Password wohl《leer》.
Aber vielleicht solltet ihr euch mal grundsätzliche Gedanken über eure IT machen. Ein Dienstleister, der leere Passwörter (warum auch immer) zulässt, das ist z.B. keine besonders gute Wahl.Es bringt wenig, wenn du nur hier und da an ein paar Schrauben drehst. Bei 20 Clients hängen wahrscheinlich etwa 20 Arbeitsplätze d.h. Jobs von dieser IT ab...
-
Hi,
Kontrolliere doch mal, ob auf den Clients Autologon konfiguriert wurde:
https://support.microsoft.com/en-us/kb/324737
https://technet.microsoft.com/en-us/sysinternals/autologon.aspx
Ich muss ja nicht alles verstehen, solange es funktioniert, oder?
eine gefährliche Einstellung in der IT, aber sehr verbreitet. Muss man aber nicht übernehmen bzw. akzeptieren.
blub
-
Nur um aktuell zu unterfüttern, warum es eine sehr schlechte Idee ist, Usern lokale Adminrechte zum Arbeiten zu geben.
https://technet.microsoft.com/library/security/ms16-104
An attacker who successfully exploited the vulnerabilities could gain the same user rights as the current user.
Das wird sicher nicht die letzte Schwachstelle gewesen sein, mit der sich ein Angreifer/ Malware von Außen auf einer Maschine Adminrechte verschaffen kann.
Wenn auch noch mehrere Monate mit dem Patchen gewartet wird, dann darf man alles, nur bitte nicht wundern!
-
Welche handfesten Gründe gibts den für IPv6, außer "weil es da ist"?
Ich kenne eigentlich nur einen einzigen echten Grund.
).
Powershell Array Vergleichen
in Windows Forum — Scripting
Geschrieben
probiers mal direkt:
$New = $Array_VM | Where {$Array_VM_want -NotContains $_}
$New.OwnerNodes