StefanWe

Hallo,

welche Erfahrung bzw. Welches Produkt habt ihr mit der Absicherung der Admin Konten mittels zweiten Faktor?

es soll sowohl interaktive Anmeldung, als auch Rdp Anmeldung oder Remote mittels Ausführen als Benutzer abgesichert werden.

habe da an yubikey gedacht. Ist das für Unternehmen geeignet? 
vernünftiges Management wäre gut, um es ggf.mspäter auch auf normale Benutzer auszuweiten. 
Sms oder Push muss nicht möglich sein. 

vor 7 Stunden schrieb falkebo:

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben

Interessanter Ansatz. 
aber zieht das? Im Endeffekt hängt ja doch das ad da hinter 

Hi Franz,

die core cal ist via User lizenziert. 

Hallo,

wir haben einen EA Vertrag mit 850 qualifizierten Desktops, insgesamt aber 1800 Mitarbeiter. Rest sind gewerbliche Mitarbeiter welche nicht am PC arbeiten.

Nun möchten wir gerne eine neue Webseite, ein Mitarbeiter Info Portal einführen und jedem Mitarbeiter Zugriff über sein Handy und personalisiertem Zugriff ermöglichen.

Um es einfach zu halten, würden wir gerne alle Mitarbeiter im Active Directory aufnehmen. Die Authentifizierung findet über ADFS (SAML2) statt.

Die Anwendung basiert auf Typo 3 und läuft auf einem Linux System. Keine sonstigen Zugriffe auf Windows Server. Ausschließlich die Authentifizierung.

Müssen nun für die Differenz der Benutzer Lizenzen angeschafft werden, wenn ja, welche ?

vor 5 Stunden schrieb Squire:

wir haben es aufgedröselt ...

 

es gibt einmal Apteilungsverzeichnisse (Zufriff nur die jeweiligen Abteilungen), dann gibt es Arbeitsgruppenverzeichnisse (übergreifend), Prozessverzeichnisse (übergreifend), Projektverzeichnisse (übergreifend)

da kommen zwar einiges an Gruppen zusammen, aber es ist einigermaßen sauber administrierbar. Berechtigungen werden bei uns in keinem Fall aufgebrochen. Nada, Njet, Nein - gibt es nicht

 

Wie geht ihr damit um wenn es innerhalb der Abteilung Teams gibt und diese nicht untereinander Daten sehen sollen ?

vor einer Stunde schrieb NilsK:

Moin,

 

das kann man nicht beantworten, ohne die Anforderungen im Detail zu kennen. Ich würde, wenn ich sowas aufbaue, nur nach dem AGDLP-Prinzip arbeiten, aber auch damit kann einiges sehr umständlich werden.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ 

 

Gruß, Nils

 

Das agdlp beherzigen wir. Hilft uns aber leider nicht, den Weg zum Zielordner frei zu machen. 

Wir würden für intern 1 und 2 jeweils eine DOM Lokal Gruppe anlegen. Aber die Frage, wie gibt man den Weg für den Anwender am einfachsten frei. Der Einstiegspunkt soll Abteilung X sein und natürlich soll der Anwender nur das sehen, worauf er auch berechtigt ist. Daher ist die ABE aktiviert. 

vor 5 Stunden schrieb magheinz:

Man lässt das Newsletterssstem einfach über eine andere IP laufen als den Rest der E-Mails. Oder habt ihr nur eine öffentliche für alles? 

 

Ich kann open EMM empfehlen. Das nutzen wir jetzt seit ein paar Jahren. Der Server ist schnell aufgesetzt. Am Design kann man dann ewig arbeiten. Keine Ahnung wie viel Spam unser Marketing darüber verschickt.

Danke, das liest sich super. Ich schaues mir einmal an. Vielen Dank 

Hallo,

jeder kennt es. Fileserver Berechtigungen sind ein Graus. 

Wir versuchen aktuell höchstens zwei Ebenen in die Tiefe zu berechtigen. 

Beispiel

Abteilung X

       - Alle

       - intern 1

       - intern 2

Wie würdet ihr nun die Berechtigung vergeben um so wenig wie möglich AD Gruppen zu benötigen?

Jeweils für intern 1 und 2 eine eigene AD Gruppe machen, diese auf den oberen Ordnern nur mit Leserecht This Folder, oder normal Read setzen und bei intern 1 und 2 die Vererbung aufheben, und die Gruppe des anderen Ordnern entferne und die eigene Gruppe auf Modify setzen?

gibt es mittlerweile schönere Möglichkeiten, wen weg zu, eigenen Ordner dem Anwender zu berechtigen?

Wir schicken monatlich mehrere 10.000 Mails an unsere Kunden. 

Täglich allerdings auch schon unzählige Bestellungen an Lieferanten. Da fallen wohl die paar Newsletter Mails nicht mehr auf. 

Danke für die Antworten. 

Hallo,

wir möchten gern Newsletter direkt versenden und nicht über Anbieter wie Cleverreach. 

Könnt Ihr Software hierfür empfehlen?

oh wei. Jetzt hab ich einige Rollen über die GUI hinzugefügt und erhalte nun die Meldung: "Diese Rollengruppe kann nicht hierher kopiert werden, da sie Rollen enthält, die mit mehreren Schreibbereichen oder exklusiven Schreibbereichen zugewiesen wurden"

Kennt dies jemand?  Ich kann in der Gui ja gar nicht den Schreib Bereich mitgeben...

Allerbesten Dank

wie gesagt - grundsätzlich funktioniert wieder alles. Ich bin mir nur nicht sicher, ob alle Rollen (RBAC) dieser Gruppe wieder hinzugefügt wurden.

Denn zu Beginn fehlte zum Beispiel die Rolle Databases. Ich konnte also keine Datenbanken mehr bearbeiten.

Daher die Frage, ob jemand per Powershell einmal seine Rollen, die der oben genannten Gruppe zugewiesen wurden, hier posten kann. Das wäre super.

Vielen Dank.

Hallo,

mein Kollege hat ausversehen die Gruppe Organization Management gelöscht und damit alle Admins vom Exchange ausgesperrt. Wir haben die Gruppe über ein AD Single Item Restore wiederhergestellt. Allerdings innerhalb von Exchange sind nicht alle Rollen dieser Gruppe hinzugefügt worden.

Einige habe ich manuell hinzugefügt - glaube aber noch nicht alle erwischt zu haben.

Kann mir bitte jemand die zugewiesenen Rollen der Gruppe "Organization Management" hier posten.

Vielen vielen Dank.

Aus meiner Zeit als Citrix Consultant hatte ich auch immer wieder das Problem, wie mache ich den PVS Store Hochverfügbar.

DFS-R = mist hierfür

Scale Out Fileserver = nicht supported von MS

Wir haben es entweder per Robocopy gemacht, oder Citrix hat mitlerweile das vDisk Replicator tool. Ist ne GUI für robocopy. https://www.citrix.com/blogs/2018/06/08/vdisk-replicator-utility/

Ansonsten kann ich irgendeinen Hochverfügbaren Filer empfehlen, der SMB v3 und neuer bereitstellt. NetApp zum Beispiel. Dann hast du überhaupt keine Sorgen was mit deinen vDisks passiert.

PVS Server kann ruhig virtuell laufen, der muss nicht in Physik sein.

Ich muss aber sagen, seit 1903 ist MCS die deutlich bessere Alternative. Du hast auch RAM Cache wie beim PVS. Einzige, du hast keine Versionierung und damit kein richtiges Testing. Ansonsten viel viel einfacher im Handling und weniger Overhead.

Hallo,

Teams ist ja in voller Munde. Aber wie geht ihr mit den Daten um, wenn die Teams aufgelöst und das Projekt abgeschlossen ist?

archiviert ihr dann das Teams? Migriert ihr die Daten irgendwo hin?

was ist, wenn nach 2-3 Jahren doch noch jemand die Daten sucht, weiß dass es da mal etwas gab, aber niemals Mitglied des Teams Team war?

selbst der globale Azure Admin hat keinen direkten Zugriff auf die Teams Daten und muss sich erst berechtigen. 

Wir kommen von klassischen Fileserver Abteilungsordner. Die ganze Abteilung hat darauf Berechtigung und das bleibt bis auf Lebzeiten so.

bei Teams ist dies ja anders. Daher die Frage, wie geht ihr damit um, bzw. Habt ihr euch darüber schon Gedanken gemacht?

Ist aad connect mit auf dem adfs Server installiert?

ich habe nie aadconnect für die adfs Einrichtung genutzt. 

Du könntest auf dem neuen adfs einfach per powershell mit den Befehl convert-msoldomaintofedersted den Trust neu aufbauen. Vermutlich musst du den Trust vorher einmal löschen. 

Haben active Sync mit der Migration ex2010 zu 16 umgestellt. Dank parallelbetrieb. 

Für OA hab ich mich einfach noch nicht getraut, da ich kein Lust auf nicht verbindende Outlook Clients habe. 

Wollte es aber nun gerne in Angriff nehmen. 

vor 8 Minuten schrieb NorbertFe:

Dazu gibts irgendwo ein passendes whitepaper bei ms. Wie nutzt den. Active sync Kerberos? Oder hast du ne Firewall dafür die das nach hinten zum exchange regelt?

Die Clients haben ein Zertifikat und unsere mobile iron sentry macht dann Kerberos constrained Delegation. 

vor 46 Minuten schrieb NorbertFe:

Ich. Das geht nahtlos. Dran denken auch Mapi http zu konfigurieren.

Mapi http ist seit Anbeginn meiner ex 2016 schon aktiviert worden. 

Da ich eine dag nutze und für active Sync Kerberos bereits aktiviert und diesen Cluster User mit dem namespace versehen habe, sollte es dann ja reichen die Authentifizierung auf Kerberos umzustellen. Also für das Mali Virtual dir und das rpchttp directory. 

Hab ich etwas übersehen ?

wird es einen ntlm fallback geben ?

Hallo,

betreibt jemand OA mit Kerberos Authebtifizierung? Wie flüssig läuft die Umstellung von ntlm auf Kerberos?

kerberos nutze ich bereits für active Sync. 

Ich befürchte nur, wenn ich von ntlm auf Kerberos umstelle, dass meine Clients sich nicht mehr sofort verbinden können. 

Bis Autodiscover aktualisiert ist und die Clients dann bei autodiscover neu Anfragen kann es ja etwas dauern. 

Wie habt ihr umgestellt und welche Erfahrung gemacht?

Hallo,

wie viele andere auch nutze ich meist nur das von Feld und deren Auto complete Liste. 

Allerdings ist dies leider keine Volltextsuche. 

Kennt jemand eine Erweiterung die dies ermöglicht?

vor einer Stunde schrieb testperson:

HIi,

bei der (mittlerweile leider nur noch verfügbaren (cloud only)) Azure MFA bin ich mir nicht sicher, aber kannst du nicht im Enrollement einfach ein normales Telefon angeben und die Einrichtung per Anruf machen lassen? Wäre Alternativ vielleicht auch ein "betreutes Enrollement" mit immer dem gleichen Smartphone machbar?

 

Danach könntest du den smartphonelosen Usern ein OATH Token überlassen. Wobei ich hier nicht sicher bin, ob das bereits geht oder noch Preview ist.

 

Gruß

Jan

Die Token sind noch in der Preview Phase. 

An das Festnetz Telefon hab ich auch schon gedacht. Aber ich kenn ja meine Benutzer. 

Das kapiert keiner, weil es irgendwie unüblich ist. 

Der ganze Enrollment Prozess bei mfa ist irgendwie nicht sonderlich super. 

Daher würd ich gern nur Hello einsetzen. 

Aber dann gibts ja leider die Probleme mit dem Kennwort ändern. 

Puh kein Feedback? Liegt es daran das noch keiner Hello for Business umgesetzt hat? Oder ich der einzige bin der ein Problem mit dem fehlenden Smartphone habe ?

Hallo,

wer setzt welches bei sich im AD ein? Wir haben zu Testzwecken beides aktiv, aber gewisse Probleme.

Microsoft Hello: funktioniert super. Aber wenn der Benutzer sein AD Kennwort ändert, wird das AD Konto gesperrt. (Bei uns nach 15 falschen Kennworteingaben)

ich tippe drauf, dass durch Hello das alte AD Kennwort oder der ntlm hash gespeichert wird und dies bei einer Kennwortänderung nicht aktualisiert wird. 

Kennt ihr das Problem? Wie zu lösen?

hello for business:

kennwortänderungen ohne Probleme. Aber Benutzer brauchen ein Mobiltelefon zwecks Zwangs MFA. Hat leider nicht jeder bei uns. 

Wie geht ihr das Thema an?