tesso

Danke für die Info. Nach Lesen des Blogartikels verstehe ich auch was das Problems war/ist. Ich habe den Essentials bei keinem Kunden im Einsatz.

Liegt die DB und die Logs auch an der gleichen Stelle wie auf dem alten Server? Vergleiche bitte die Pfade von Get-MailboxDatabase mit deinen Pfaden.

und das nur für den einen Ordner oder eine Datei.

Das habe ich schon mehrfach erlebt, das die das nicht anders können. Erst nach längerer Diskussion hatten sie dann komischerweise auch eine Lösung über einen USB-Stick. Ich hätte sie würgen können.

Ich verstehe nicht was du tust. Wieso die alte Domain entfernen? Läuft die Replikation? DNS? FSMO Rollen wirklich alle verschoben?

Wie oft nun noch? Als Dienstleister hätte ich paar mehr Ideen von dir erwartet.

Du bist doch selbst Dienstleister. Ich tue mich sehr schwer damit eine Exfiltration 100%ig auszuschließen, du kannst das besser als ich.

Hm, ich habe das bisher in allen Windows gesehen, war vielleicht Zufall.

Den Befall kannst du so einfach ausschließen? Du solltest ins Pentestgeschäft einsteigen. Es gibt etliche Maßnahmen sich so zu verstecken, daß du nichts siehst. Kein Kommentar.

Das ist Einstellung in Windows, nicht der Netzwerkkarte. (Dort gibt es das evtl. auch, je nach Treiber)

Vom Netz nehmen und neu aufsetzen? Dauert doch auch nicht so lange und du kannst dir die ganze Bastelei sparen. Zumindest der Exchange ist kompromittiert. Wie sieht es mit anderen System (DC) aus? Gab es schon Daten Exfiltration? Evtl. ist die gesamte Umgebung schon gefallen. Den weiter zu betreiben ist unverantwortlich.

Und was folgerst du raus? Welche Maßnahmen unternimmst du jetzt?

Das ist ein Feature von Windows 10, das man deaktivieren kann. Sollte irgendwo im Umkreis der WLAN Einstellung in Windows befinden.

Dann könnte das Kennwort noch irgendwo gespeichert. Mit dem hmail kenne ich mich nicht aus.

Evtl. hast ein Problem mit 365. Dann könnte das helfen. https://www.managed-office.at/wissensdatenbank/item/office-365-autodiscover-uebergehen oder dein Autodiscover ist nicht korrekt konfiguriert.

Kommt darauf an, was und wie du überwachst. Man kann das einschränken. Wenn die Dateien jede Woche weg sind hast du auch keine neue Erkenntnis. Da möchte ich schon wissen wer oder was dort löscht.

Dann hast du irgendwas falsch gemacht. Das nutzen wir seit x Jahren und es funktioniert.

Mir fällt da die erweiterte Überwachung im AD ein. Dort siehst du dann auch wer löscht. Vorsicht, das könnte auch Personalüberwachung werden.

Genau darum testet man ja.

Klingt auf den ersten Blick richtig. Warum probierst du es nicht einfach aus?

Lies noch einmal die Anleitung, die du umsetzen willst. Du kannst mit GPO Dateien, Ordner und Verknüfungen anlegen.

Niemand wird dich daran hindern. Noch mehr Informationen die du "vergessen" hast uns zu liefern? Ich hätte als Idee das mit GPOs zu machen.

Du hast anscheinend eine andere Vorstellung von Ordnerumleitung als Microsoft. Die Umleitung hat NICHTS mit dem Vorgeben des Startlayouts zu tun. Den Link für die Einstellung der korrekten Berechtigungen für die Ordnerumleitung findest du selbst, da bin ich mir sicher. Eine Anstösse dazu hast du bekommen.

Das habe ich befürchtet. Du bist mit deiner Lösung völlig auf dem Holzweg. Ich vermute du willst folgendes https://docs.microsoft.com/de-de/windows/configuration/customize-and-export-start-layout Das hilft vielleicht auch https://www.zdnet.de/88276943/windows-10-einheitliches-startmenue-fuer-alle-nutzer-einrichten/

Die Berechtigungen stimmen nicht. Im Technet gibt es eine genaue Beschreibung mit den notwendigen Berechtigungen. Wenn ich mich richtig erinnere wird im Ordner ein Verzeichnis für den Benutzer angelegt.