Jump to content

StefanWe

Members
  • Content Count

    1,406
  • Joined

  • Last visited

Everything posted by StefanWe

  1. Hallo, wir hatten vor ca. 2 Jahren den Versuch unternommen, Windows Hello (nicht Hello for Business) auf unseren Geräten zu aktivieren. Das hat soweit auch funktioniert. Nun haben wir schon seit längerer Zeit festgestellt, dass beim Wechsel des Kennwortes es immer wieder zu Problemen kommt. Daher haben wir in der GPO Windows Hello deaktiviert. Es kann also bei neuen Geräten nicht mehr aktiviert werden. Aber alle Bestandsgeräte, die es einmalig aktiviert haben, können es weiterhin nutzen. Kennt ihr eine Möglichkeit, Windows Hello (PIN + Biometrie) restlos zu deaktivieren?
  2. Hallo, wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. anfangen würden wir mit den Domänen Controllern und adfs. gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag?
  3. Es scheint der folgende Regkey zu helfen. HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover Create a DWORD named ExcludeExplicitO365Endpoint Set value to 1 Restart Outlook Die Frage ist nur, verbauen wir uns damit etwas wenn wir später mal auf exchange online migrieren.
  4. Hallo, wir betreiben einen Exchange 2016 DAG Cluster mit CU 18. Authentifizierung am Exchange (Outlook Anywhere) steht auf Kerberos, bzw. Negotiate. In Vorbereitung auf die neue Office 2019 Version haben wir einige Benutzer schon umgestellt. Diese erhalten manchmal, aber einige auch immer beim Start von Outlook 2019 eine Kennwortabfrage, so wie man sie von Basic Authentication kennt. Bei Outlook 2016 war alles gut. Wir haben schon im Windows Anmeldespeicher alle alten gespeicherten Kennwörter entfernt, dennoch kommt immer mal wieder diese Meldung. Woran liegt das?
  5. Hallo, ich versuche gerade etwas Grundlagenwissen aufzubauen im Bereich oauth und Azure b2c. Wir möchten gern ein b2c aufbauen und dort verschiedene Applikationen anbinden. Das b2c soll als zentrale Authentifizierungsstelle dienen. die Anwendungen sind Web Apps oder Rest Webservices. Ich kann im b2c Applikationen registrieren und die Authentifizierung funktioniert. aber wie steuere ich nun, welcher Benutzer welche Anwendung/Webservice bzw. Endpunkt nutzen darf.
  6. Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.
  7. Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.
  8. Hallo, es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer. Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$. Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur ab
  9. Ist vielleicht etwas Off topic dazu, aber womit würdest du solch einen einfaches Webservice erstellen?
  10. Danke, über die Customization Page bin ich auch schon gestoßen. Schön ist das mit dem Description Text nicht. Habt ihr die Anforderung noch nie bekommen ? Woher soll der Anwender auch wissen, was als Komplexität gilt, wenn es ihm nicht angezeigt wird?
  11. Guten Morgen, hat jemand auf der change Password Seite beim ADFS Server einen Text hinterlegt, wie die Kennwortkomplexität aussieht ? Wenn ja, wie habt ihr das am besten gelöst ?
  12. soweit ich weiß unterstützt chrome/chromium die file:// Pfade nicht mehr. Siehe: https://support.google.com/gsa/answer/2664790?hl=en
  13. Der Ansatz ist nachvollziehbar. Allerdings wissen wir nicht genau, auf welchen Systemen der Account zugreift, bzw. Zugreifen muss. wie nennt man das, historisch gewachsen. ps Eventid 4624 beinhaltet leider nicht die Workstation.
  14. Hallo, wir möchten gerne für sensible Konten protokollieren, auf welchen Workstations / Servern diese sich anmelden. Dafür haben wir auf den Domänencontrollern die Advanced Audit Policy aktiviert, das erfolgreiche und fehlgeschlagene Logon Events protokolliert werden. Leider taucht hier aber nicht der Workstation Name auf. Wisst ihr, wie ich den Workstationnamen ebenfalls mit rausbekomme? Theoretisch müsste der Domänencontroller ja sehen, von welchem Client das Kerberos Token angefragt wird.
  15. Haben PRTG. Wollen aber vom Client aus dezentral prüfen und alarmieren. Unser PRtg ist mit 9000 Sensoren jetzt schon recht groß.
  16. Hallo, wir haben hunderte von Maschinen PCs, teils noch Windows XP embedded. Leider gehen uns dort immer mal wieder die Festplatten kaputt. Daher würden wir gerne regelmäßig die Smart Daten einsammeln. habt ihr eine Idee wie am besten? Am liebsten wäre mir ja ein kleines Tool je System was nicht viel Last verursacht und einmal täglich den Status Irgendwohin zentral meldet.
  17. Nur eben nicht alle Drucker löschen.
  18. wir mappen die Drucker basierend auf dem Clientnamen. Das ist ein riesen Aufwand das mit GPPs abzubilden. Ich würd ja auch die rundll. Variante nehmen. Allerdings lassen sich damit nicht alle Drucker löschen und dann durch den neuen ersetzen.
  19. Hallo, wir nutzen con2prt um Drucker bei uns zu verbinden. Seit Bei Windows 1909 mit dem Juni / Juli Update haben wir jetzt die ersten Systeme, welche beim Ausführen von con2prt die Meldung "this app can't run on your pc" bringen. Interessanterweise auch nicht immer. Mal ja - mal nein. Am Virenscanner Trend Micro kann es nicht liegen. Diesen hab ich schon deaktiviert. Ich dachte erst, mit dem Setzen des Kompatibilitätsmodus auf Windows 7 ist der Fehler behoben. Leider aber auf einigen Geräten doch nicht. Habt ihr das Problem auch, oder Lösungsvorschläge wie man
  20. Bin jetzt nicht ganz sicher wie prefix delegation funktioniert, aber wenn mein Netz 2001:1234:1234::/48 ist, würde ich 2001:1234:1234:0001::2/64 für das wan interface nehmen 2001:1234:1234:0002::1/64 für die dmz 2001:1234:1234:0003::1/64 als Transfernetz zum internen core und dann die Netze 2001:1234:1234:0004-Fffff::1/64 für die internen Netze nehmen und diese durch den core Routen lassen. oder bin ich auf dem Holzweg? würde vom Bachgefühl auch auf Dhcpv6 setzen anstatt RA. Grade aus dem Grund DNS Server mitge
  21. Hallo, wir bekommen jetzt ein /48 IPv6 Netz vom Provider. Wir möchten einige bestimmte Systeme in der DMZ über v6 direkt erreichbar machen. Da wir noch keine Erfahrung mit v6 haben die Frage, wie man die Subnetze nutzt. Wir haben eine zentrale Firewall welche den Zugang zum Internet routet. Und einen zentralen Core Router. würde man nun eins oder ka 10 der Subnetze Für die DMZ nutzen. Könnte / sollte man dann die anderen Subnetze im LAN verwenden?(später) Im lan bedeutet, durch den core Routen lassen, wobei jedes Subnetz dann wie in v4 in ein eigenes Vlan g
  22. Ja Exchange. An das Wandeln in universelle Gruppe hab ich auch gedacht. Allerdings untergräbt dies dann das AGDLP Prinzip. neue Gruppe finde ich doof, da dann die Mitgliedschaft in beiden gepflegt werden muss.
  23. Hallo, wir haben immer mal wieder die Anforderung Anwender bestimmter Sicherheitsgruppen per Mail zu informieren. Beispiel für den VPN Zugang gibt es eine Domainlocal Group. nun sollen alle VPN Anwender informiert werden. Wie würdet ihr diese Aufgabe erledigen?
×
×
  • Create New...