zahni

Na die Stelle wo was nicht geht. Wie gesagt. HIER geht es.

Nun zeige und doch noch das Bild vom Server, auf dem es nicht geht.

Unter NT4 gab es keine Domänen-Lokale Gruppen. Wozu auch. Es gab nur eine Domäne. Nachdem, was ich damals gelernt hatte, sollte man auf dem Server eine lokale Gruppe erstellen, diese Gruppen berechtigen, und in diese Server-Lokale Gruppe eine entsprechende Globale Gruppe aus der Domäne hinzufügen. User sind dann Member dieser globalen Gruppe. Ansonsten kann ich Dir auch nicht sagen, was bei Dir nicht klappt. Vielleicht nur ein Bedienfehler ? Oder Du verwechselst Domänen-Lokale mit Server-Lokalen Gruppen ?

Na wenn der DC 2003 ist, wäre der höchste Modus 2003

Also hier geht es. Sind die Betriebsmodi des DC's jeweils auf dem höchst möglichen Modus ?

Eigentlich sollte Stepstone gut besucht und bestückt sein.

Wo werden diese Gruppen nicht erkannt ? Hast Du mehr als eine Domäne im Forest ? Beachte hier, dass die Gruppe "Domänen-Lokal" ist.

Sorry, ich meinte maxmobil. Habe mich im Beitrag vertan.

@maxmobil, Vorher hat der Trojaner mal eben noch den Inhalt der Dateien nach Hause telefoniert und erpresst Dich dann damit. Sorry, aber die Einstellung "wir haben doch ein Backup" zieht nicht. Das bekommst Du notfalls auch bei der NSA ;) Ein Backup ist natürlich notwendig. Das aber als Schutz vor Viren zu verkaufen, ist fahrlässig.

Sagt wer ?

Sorry, für die Frage: Du vergibst den Computernamen beim Admin als Passwort ? Über dieses Konzept solltest Du nochmal nachdenken. Das können wir leider nicht Supporten.

Wenn der Scanner den Virus / Trojaner kennt, bestimmt. Leider ist das bei gehackten Website ganz selten der Fall, weil die EXE'en "tagesfrisch" erstellt werden

Jede beliebige Exe, Du ein passenden Verzeichnis kopierst. Z.b. die Notepad.exe. Stell Dir mal vor, die Notepad.exe würde die TXT-Datei verschlüsselt abspeichern und Dir eine Webseite zum Entsperren anzeigen. Ein Virus ist es nicht, sondern ein Trojaner, denn die Exe hat keine Routine zum Verbreiten eingebaut. Verschlüsselt ist die TXT-Datei aber trotzdem. Ich gerade mal nach Event-ID 865 gesucht. Bei einem User wurde kürzlich C:\Users\UserXYZ\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZQSGTFU3\install_flashplayer13x32axau_gtba_chra_dy_aaa_aih.exe blockiert. Die Exe deutet zumindest auf einem Adware-Installer hin. K.A. warum die Proxy vorbei kam. Vermutlich per HTTPS.

Diese Aussage Stimmt heute so nicht mehr. Besonders für Trojaner , die es auf Geld (PaySafe-Card, etc) abgesehen haben. Zum kurzzeitigen Ausspionieren reicht auch der Benutzermodus.

Hier muss ich Dir widersprechen: Viele Trojaner sind heute darauf ausgelegt im Kontext des Benutzers ausgeführt zu werden. Für so einen Erpressungstrojaner ist das völlig ausreichend. Die SRP funktioniert gut. Was ist Deine Frage ?

Ein paar Stichpunkte für ein Unternehmensnetz: - USB-Ports für User sperren. Dateien können durch den Benutzerservice (nach Virenscan) eingelesen werden. - Zugang zum Internet nur über einen Proxy , der aktiv filtert, d.h., der automatisch bekannte Malware-Url's sperrt und ausführbaren Code (z.B. Exe und DLL) herausfiltert, inkl. einer Virenscanner-Funktion - Filter auf Mailsystem, der "aktive" Inhalte filtert - User keine lokalen Adminrechte - Applocker oder Software Restriction Policy verwenden. Beide werden, wenn richtig konfiguriert, das Ausführung von Programmen verhindern, die in nicht "erlaubten" Verzeichnissen gespeichert werden, z.B. %temp% und dem Browser Cache. - Virenscanner, falls der neue Viren zufällig erkennen sollte ;) P: "Neu" sind solche Trojaner nicht. Nur waren die älteren Versionen schlecht programmiert. Die Verschlüsselung lies sich aushebeln.

Man könnte die GPO's exportieren.

Was Du sucht ist vermutlich eine View.

Uhrzeit 10 a.m. PDT. http://blogs.technet.com/b/microsoft_blog/archive/2014/05/01/updating-internet-explorer-and-driving-security.aspx Happy Pätching ;) Edit: Ich sehe gerade, es ist schon da.

Falls das 50% HT Kerne sind: Die dürften eigentlich nicht mitzählen. HT lässt sich aber i.d.R. im Bios-Setup abschalten.

Und dann kam GW-BASIC ;)

Dann hast Du Dich z.B. mit einem lokalen Administrator angemeldet. Das Konto hat dann in der Domäne vermutlich ein anderes Passwort. Kein Grund zur Sorge. Melde Dich lokal einfach mit einem Domänen-Admin an oder mit einem anderen Domänen-Konto das die erforderlichen lokalen Rechte hat.

Dann musst Du eine lokale "Built-In" Gruppe berechtigen, z.B. "Users" bzw. "Benutzer". Wobei ich dieser Grippe nur das max. Recht "ändern" geben würden. Die SID dieser Gruppen ändert sich zwischen den PC's nicht.

In der Parent Partition würde ich nach Möglichkeit nichts weiter laufen lassen. Vor allen Dingen keinen Webbrowser im Internet-Zugang. Dann die Firewall einschalten. Aus meiner Sicht sollte dann ein Virenscanner entbehrlich sein.

Solche Meldungen kommen gern, wenn ein Konto gesperrt wurde Dann sollte aber im Security-Log auch was stehen.