StefanWe

vor 14 Minuten schrieb zahni:

Dann stelle es doch auf GPP um. Eigentlich  ist  das  Tool  schon lange überflüssig.

wir mappen die Drucker basierend auf dem Clientnamen. Das ist ein riesen Aufwand das mit GPPs abzubilden. Ich würd ja auch die rundll. Variante nehmen. Allerdings lassen sich damit nicht alle Drucker löschen und dann durch den neuen ersetzen.

Hallo,

wir nutzen con2prt um Drucker bei uns zu verbinden. Seit Bei Windows 1909 mit dem Juni / Juli Update haben wir jetzt die ersten Systeme, welche beim Ausführen von con2prt die Meldung "this app can't run on your pc" bringen.

Interessanterweise auch nicht immer. Mal ja - mal nein.

Am Virenscanner Trend Micro kann es nicht liegen. Diesen hab ich schon deaktiviert. 

Ich dachte erst, mit dem Setzen des Kompatibilitätsmodus auf Windows 7 ist der Fehler behoben. Leider aber auf einigen Geräten doch nicht.

Habt ihr das Problem auch, oder Lösungsvorschläge wie man die Software wieder ans Laufen bekommt?  Oder eventuell eine gute Alternative für Batch Logon Scripte ?

vor 19 Stunden schrieb DocData:

Du hast ein /48er bekommen. Das sind 65536 /64. Mehr als genug Platz. Pro VLAN ein /64. Du unterteilst einfach dein /48 in einzelne /64. Alternativ: Deine Firewall bekommt das /48 verpasst und per Prefix Delegation gibt sie /56er an anfragende Switches, Router weiter. Auf den Geräten kannst du dann das /56er in /64er unterteilen.

Bin jetzt nicht ganz sicher wie prefix delegation funktioniert, aber wenn mein Netz 2001:1234:1234::/48 ist, würde ich

2001:1234:1234:0001::2/64 für das wan interface nehmen 

2001:1234:1234:0002::1/64 für die dmz

2001:1234:1234:0003::1/64 als Transfernetz zum internen core

und dann die Netze 

2001:1234:1234:0004-Fffff::1/64 für die internen Netze nehmen und diese durch den core Routen lassen. 
 

oder bin ich auf dem Holzweg?

würde vom Bachgefühl auch auf Dhcpv6 setzen anstatt RA. Grade aus dem Grund DNS Server mitgeben zu können und die Option zu haben mit statischen und dynamischen ips in einem Subnetz arbeiten zu können. 

Hallo,

wir bekommen jetzt ein /48 IPv6 Netz vom Provider. Wir möchten einige bestimmte Systeme in der DMZ über v6 direkt erreichbar machen. 
 

Da wir noch keine Erfahrung mit v6 haben die Frage, wie man die Subnetze nutzt. Wir haben eine zentrale Firewall welche den Zugang zum Internet routet. Und einen zentralen Core Router. 
 

würde man nun eins oder ka 10 der Subnetze Für die DMZ nutzen. Könnte / sollte man dann die anderen Subnetze im LAN verwenden?(später)

Im lan bedeutet, durch den core Routen lassen, wobei jedes Subnetz dann wie in v4 in ein eigenes Vlan gesteckt wird?

Ok dann werden wir das wohl tun. Danke euch. 

Ja Exchange. An das Wandeln in universelle Gruppe hab ich auch gedacht. Allerdings untergräbt dies dann das AGDLP Prinzip. 
 

neue Gruppe finde ich doof, da dann die Mitgliedschaft in beiden gepflegt werden muss. 

Hallo,

wir haben immer mal wieder die Anforderung Anwender bestimmter Sicherheitsgruppen per Mail zu informieren. Beispiel für den VPN Zugang gibt es eine Domainlocal Group. 
nun sollen alle VPN Anwender informiert werden. Wie würdet ihr diese Aufgabe erledigen?

vor 11 Minuten schrieb testperson:

Das ist einmal für den DNS Server und dann noch für die Zone(n): https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

danke. mh beides ist deaktiviert.

vor 29 Minuten schrieb Nobbyaushb:

Da ist meiner Meinung nach der Aufräum-Prozess schuld, sofern aktiviert.

Dynamische DNS-Clients haben eine Lease-Dauer, und so lang ist auch der DNS

 

Also entweder mit Reservierungen arbeiten die auf den MAC basieren (machen wir hier sowhl mit Clients als auch Druckern) oder den kritischen Systemen feste IP´s geben, dann ist das statisch

 

So mein Wissen und Kenntnisstand

Aber der Aufräumprozess ist doch der "Scavenge stale resource records " oder ?

Hallo,

wir haben einige sehr lang laufende PCs im Unternehmen. Das bedeutet, 10 , 20 und mehr Tage. Alle Clients bekommen per DHCP eine IP Adresse und registrieren sich sauber im DNS.

Nun kommt es aber immer wieder vor, dass die Systeme ihre DNS Einträge verlieren. Das System läuft weiter, aber der DNS Eintrag ist verschwunden.

Scavenge stale resource records ist auf unserer Zone nicht aktiviert. 

Wie kann man antriggern, das ein Client sich automatisch alle x Tage neu registriert im DNS?

An eine Identity Software hab ich auch schon gedacht. Hatte dort auch 8man im Blick. 
wir haben allerdings ein absolutes Chaos an Berechtigungsgruppen und leider auch immer wieder Mitarbeiter, welche unbedingt in zwei Abteilungen arbeiten aber irgendwie nicht so richtig. 
ach ihr kennt das. 
ich muss dann wohl ran, da Ordnung schaffen. @nils, welche Features fehlen deiner Meinung nach bei 8 man?

Hallo,

mich würde interessieren, wie ihr mit Berechtigungen auf Zeit umgeht. Bzw. wie ihr nachhaltet, ob jemand noch Berechtigungen für X benötigt ?

Bei über 1000 Benutzern ist dies doch recht Umfangreich und mit einem manuellen Nachhalten nicht mehr realisierbar.

Hallo,

wir haben zig Home Laufwerke, gerade von ausgeschiedenen Mitarbeitern, welche viel Platz weg nehmen.

Habt ihr eine Idee, wie ich Ordner finde, die sich seit einem Jahr nicht mehr schreibend genutzt werden? 

Hallo,

wir möchten in der Firma gerne unsere powershell scripte in eine versionscontrolle einchecken wie git. Am besten mit Visual Studio Code. 
 

wer nutzt so etwas und wenn, welches Produkt?

vor 4 Stunden schrieb NilsK:

Moin,

 

typischerweise wirst du sowas nicht hinbekommen, ohne beide Seiten - also beide Applikationshersteller - ins Boot zu holen. Vielleicht gibt es da schon Schnittstellen, die du nutzen kannst. Vielleicht müsste da aber auch erst was implementiert werden. Keine der modernen Auth*-Techniken bekommst du von außen nachträglich angekorkt, wenn das in den Applikationen nicht vorgesehen ist.

 

Ein Applikationshersteller sollte dich dabei unterstützen können, jedenfalls so weit, dass ein kundiger Dritter dir dabei helfen kann. Es kann nicht deine Aufgabe als Kunde sein, das alles selbst zu entwickeln.

 

Wer hat denn die bisherige Authentisierung des "Extranets" gebaut und auf welcher Technik beruht das?

 

Gruß, Nils

 

Ok, hätte ich dazusagen sollen, das Extranet ist von uns selbst entwickelt. ;)

vor 11 Stunden schrieb NilsK:

Moin,

 

OAuth ist, wie du schon richtig sagst, ein Protokoll zur Autorisierung, nicht zur Authentifizierung. Es dient also dazu, bereits "angemeldeten" Identitäten den Zugriff auf zusätzliche Ressourcen zu gewähren: Ein Facebook-User könnte so seine eigenen Tweets nach Facebook übernehmen.

 

Die Session, die Norbert meint, ist diese:

[Woher kennt mich die Cloud? Die Folien | faq-o-matic.net]
https://www.faq-o-matic.net/2017/11/29/woher-kennt-mich-die-cloud-die-folien/

 

Tatsächlich wird OAuth bisweilen auch zur Authentifizierung verwendet, man kann das so hinbiegen (ich habe mich mit dem Teil selbst noch nicht beschäftigt). Die Hüter des Standards raten selbst aber davon ab:

 

[End User Authentication with OAuth 2.0 — OAuth]
https://oauth.net/articles/authentication/

Die Empfehlung lautet in solchen Fällen daher, auf OpenID Connect zu setzen. Aus Erfahrung rate ich dir, dazu intensiv mit deinem Anbieter zu sprechen. Ich erlebe es allzu oft, dass ein Applikationsanbieter kaum Kenntnisse von der Technik hat und dadurch am Ende ziemlichen Murks implementiert ...

 

Gruß, Nils

 

Hi Nils,

danke für das Feedback. Letzteres ist genau unser Ding. ich vermute, dass dort etwas entsteht, was nicht unbedingt viele durchblicken. Leider ist es sehr schwierig oauth know how zu finden. Wenn es um mehr geht, als seine eigene WebApp an Facebook oder Twitter anzubinden...

Unser Szenario soll wie folgt aussehen: 

Wir haben ein vorhandenes Extranet, welches über ein Forms basierte Anmeldemaske die "Kunden" authentifiziert. Dabei stehen die Benutzer und Kennwörter in einer Oracle DB. Die Forms Anmeldemaske ist auch irgendetwas von Oracle.

Nun soll in das Extranet ein Webplanner integriert werden. Dieser erfordert die Authorisierung über oauth. Was vom Ansatz auch gut ist. Nun fragen wir uns aber, wie wir das so integriert bekommen. Da wir ja derzeit keinen oauth Authorization Server haben.

Ich kann ja schlecht mich am Extranet über die Forms Anmeldung anmelden und irgendein oauth Authorization Server stellt dann das Ticket für den Benutzer zur Nutzung des WebPlanners aus.

Aktuell ist meine Idee, die Extranet Anmeldung auf einen Citrix Netscaler umzubauen, dieser würde ins Backend gegen einen LDAP Server prüfen (nicht Active Directory). Könnte dann aber auch für den Webplanner das oauth Ticket ausstellen, da der User ja generell über eine Sitzung Verfügt. 

Oder hab ich einen Denkfehler ?

Hallo,

ich versuche seit Tagen mich mit dem Thema OAUTH zu beschäftigen. (Nicht im Zusammenhang mit Azure) 

Wir bekommen eine Web App und die Entwickler möchten gerne OAUTH nutzen. Allerdings fehlen mir viele Grundlagen, die ich mir durch Recherche im Internet nicht zusammenreimen kann.

SAML hingegen kenn ich und nutze ich schon seit Jahren.

Wenn ich es richtig verstehe, ist oauth ein authorization Protokoll, aber nicht für Authentifizierung gedacht. Aber wie authentifiziert sich ein Anwender vorher? Der oauth Server kann ja nicht jedem x beliebigen ein Access Token ausstellen.

Woran erkenne ich, ob ich oauth, oder openid connect nutze?

Hallo,

bei der 9200er Serie gibt es ja ein schönes neues Webinterface. Ich weiß, ein echter Netzwerker will nur die CLI und alles andere ist böse.

Im Tagesgeschäft, um einen Port in ein VLAN zu konfigurieren hilft aber vielleicht doch die GUI dem ein oder anderen Mitarbeiter der nicht so CLI affin ist.

Jetzt wurde uns vom Dienstleister aber abgeraten das Webinterface zu nehmen. Begründung - cli ist das einzig wahre. Ja danke.

Wie ist hier die Meinung dazu ?

vor 1 Minute schrieb Dukel:

Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO.

Hi Dukel,

ich finde nur die GPO zum Erlauben von Benutzern sich anzumelden. Hier steht bei Clients generell Domänen Benutzer drin. Gleiches gilt für RDP.

Ich finde aber keine GPO, die bestimmte Gruppen verweigert.

Ich bin über folgenden Artikel von Franky gestolpert. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients.

Für das Tier 1 würde ich entsprechende Admin Konten anlegen. 

Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt.

Wie geht man mit RSAT Tools um. Würde man die Benutzer für Tier 2, berechtigen, RSAT Tools zu benutzen um damit Aufgaben zu erledigen, welche das Tier 2 betreffen? Also Beispielsweise DHCP, Gruppenrichtlinien oder AD Benutzer und Computer verwalten ?

vor 32 Minuten schrieb NorbertFe:

Für mich ist das keine Frage. Und wer sich über diese Tatsache Gedanken macht, sollte nochmal überlegen, warum er denn delegation einführen will. 

Ganz klar, nur die Rechte die er für seine täglichen Aufgaben benötigt. 

Hallo,

wir sind gerade dabei und schaffen die Domänen-Admins ab und ersetzen diese durch delegierte Administration. 

Bedeutet: Aktuell arbeiten 17 Leute in der IT als Dom Admin. Schön einfach und praktisch, man kommt überall dran. Das wollen wir nun nicht mehr.

Die Admins administrieren vom Client,  über Fileserver Berechtigungen bis hin zu Servern eigentlich alles. Allerdings nur in ihrem Scope.

Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen. Damit dieses "ummelden" nciht notwendig ist.

Eine Admin Station wäre auch eine Idee, aber bedeutet auch doppelten Aufwand.

Klar, ist der eine normale Benutzer mit allen Berechtigungen ausgestattet, und wird gekapert, so hat der Angreifer gleich volles Recht auf alles. Hat der Admin aber zwei Benutzer und muss sich ständig ummelden, nervt es ihn. Hat eventuell für den admin Benutzer ein schlechtes Kennwort und ist ebenfalls leicht angreifbar.

Hatte auch schon überlegt, alle zentralen Server mit einem admin Benutzer zu verwalten, alle Clients mit dem normalen Benutzer. Aber sobald es dann an RSAT Tools geht, nervt es wieder, diese mittels Ausführen als auszuführen.

Daher meine Frage, welchem Konzept verfolgt ihr ? Jetzt könnte die klassische Frage sein, Anforderung definieren. Da würde ich antworten, höchstmaß an Sicherheit bei bestmöglichem Komfort für die Admins.

Wir haben keine großen Industriegeheimnisse und sind auch kein Chemie oder sonstwas Konzern. Also alles recht simpel gehalten bei uns.

Wir haben eher die Probleme Richtung Netzwerk. 

vor einer Stunde schrieb Dukel:

Wurden diese Fehler in VMWare erkannt? Dann VMWare mittel nutzen oder PRTG nutzen um die VMWare Fehler abzufragen.

leider nein.

Die Anwender meckerten, es läuft langsam. Und wir suchten uns nen Wolf. Und klar, kann man jetzt einzelne Werte abfragen. Aber dann muss man im Vorfeld wissen, welche Werte sollte man abfragen. Und es muss doch jemanden geben, der ein entsprechendes Monitoring für vSphere entwickelt hat. Im besten Fall eben mit SAN und Netzwerk Monitoring.

Hi,

wir betreiben eine vSphere Umgebung mit 10 Hosts und ca. 400 VMs. Unser größtes Defizit liegt aber im Monitoring. Da haben wir zentral PRTG. Aber die vorhandenen Sensoren haben uns noch nie geholfen. 
 

wir hatten letztens einen Serienfehler der FC Sfps. Jetzt haben wir Ärger mit den Broadcom nics. Paketverluste. Wohl ein bug in der Firmware. 
 

ärgerlich daran, wir brauchen Tage um den Fehler zu finden. Und reagieren immer nur, start proaktiv solche Fehler zu erkennen. 
 

Selbst die Sensoren zu bauen braucht Zeit und warum das Rad neu erfinden ? Daher die Frage, wie überwacht ihr eure vSphere Umgebung mit Cisco nexus Switches und Brocade SAN ?