zahni

Wenn man mit den Client-Produkten via Citrix Netscaler ADC oder z.B. Vmware UAG zugreift, halte ich das Risiko für vertretbar. USB, Zwischenablage und Drucken kann man jeweils sperren und die Endpoints hängen eh im Internet, Bei VPN würde ich das auch anders sehen.

Bei mir hatte das komische Kerberos-Tool von MS beim SQL 2022 bei mir nicht mehr funktioniert. Das sollte man händisch machen. Läuft der SQL mit einem Domain-Konto? Da müssen die SPN's rein. Prüfe auch, ob Du nicht irgendwo Dopplungen hast.

Eventuell ein anderer SQL-Client, der kein NTLM mehr macht?

Bei uns Backup-DC: - System State und File-System via Backup Agent -AD-Backup via AD-Agenten der Backupsoftware (damit kann man einzelne Objekte zurück sichern) -Snapshot-Sicherungen der virtuellen DC's. Da kann man sich dann was aussuchen.

Warum kein Backup von den DC's? Wichtig ist, dass man im DR-Fall nur einen DC wiederherstellt und alle anderen DC's neu installiert. Dazu muss man nach dem Restore natürlich vorher die alten DC's im AD entfernen. Einen DC kann man durchaus per Snapshot sichern. Der muss dann aber im DR-Fall der alleinige DC sein. Man darf keinen anderen DC aus einer Snapshot-Sicherung wiederherstellen oder geben einen anderen noch funktionierenden DC.

Eigentlich müsste zuerst ein Migrationskonzept für alle Lösungen erstellt werden und darauf basierend eine Leistungsbeschreibung. Beispielsweise sind nicht alles Anwendungen kompatibel mit WebDAV (Sharepoint, One Drive). Access-DB's werden z.B. komplett heruntergeladen, geändert und wieder hochgeladen. Man kann da nicht gemeinsam zugreifen. Das würde nur über eine Web-Lösung gehen. Die Access Web App ist kaum eine Alternative, zumal man das pro Lösung machen müsste. Ohne so ein Konzept würde ich kein Angebot abgeben bzw. nur ein Angebot zu Konzepterstellung.

Eigener Tennant? Microsoft Entra Connect installiert? Nur dann geht SSO mit dem lokalen AD-Konto. https://learn.microsoft.com/en-us/microsoft-365/enterprise/set-up-directory-synchronization?view=o365-worldwide Ansonsten https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/enable-or-disable-modern-authentication-in-exchange-online

Wie wäre es mit Outlook, wie sonst auch? Ansonsten wird der Mac ein korrekt konfiguriertes Autodiscover für Deine Internet-Domain erwarten. https://support.apple.com/de-de/guide/deployment/dep158966b23/web

Ich habe auch die Erfahrung gemacht, dass originale Intel-Treiber besser funktioniert. Leider verpassen sich Hardwarehersteller oft eigene Device-ID, mit denen generische Treiber von Intel nicht mehr funktionieren. Wenn der Treiber sich partout nicht installieren lässt, mal ein den Einstellungen prüfen, ob Flow Control in beiden Richtungen aktiviert ist.

Mein Kollege macht das irgendwie beim SCCM-Deploy der Rechner. Den Bitlocker später für Bios-Updates anzuhalten, ist dann aber kein Problem. Du könntest auch remote mit PSEXECUTE probieren. Die MMC benutze ich auch nur ganz selten, Wir benutzen schon ewig https://www.systemtools.com/hyena/ Da muss man nicht ständig Tools jonglieren und kann bei Bedarf trotzdem entsprechende GUI-Elemente vom RSAT aufrufen.

Ah, ok. Noch nie gesehen oder benutzt. Kaum in meinen "Contoso"-Seminaren offenbar nicht vor. Sieht doch wie ein eigenen Objekt mit Attributen aus. Man lernt nie aus... Das ich ein einem Freitag nochmal das dazulerne

Hm, in meiner MMC kann ich da nichts aufklappen. Wobei ich noch Windows 10 mit den 2019'er Tools habe. Vermutlich ist das nur eine andere Darstellung. Aber gut: Das Property heißt dann wirklich wie im Internet geheißen und man kann es auch mit Domain-Admin-Rechten nicht direkt in der Liste der Attribute sehen. mit den 2019'er MMC-Tools ist es komplett unsichtbar. Und wenn MS das als "Child-Object" bezeichnet, ok. Auf diese Daten kann man aber eben nur via einer speziellen API zugreifen: https://learn.microsoft.com/en-us/powershell/module/mbam/read-adrecoveryinformation?view=win-mdop2-ps

Ich habe mal ein wenig bei uns geguckt und gegoogelt. Ich tippe darauf, dass der im "ntsecuritydescriptor" gespeichert wird. Das Attribut zeigt die normale MMC von Windows nicht an. Nur ein Zusatztool von uns. In der MMC ist eine Funktion implementiert, die dann im Reiter Bitlocker Wiederherstellungsschlüssel den Schlüssel anzeigt. Hier habe ich dazu eine längere Diskussion gefunden. Ich warne aber davor, hier irgendwelche Rechte zu verstellen: https://administrator.de/forum/bitlocker-wiederherstellungsschluessel-werden-nicht-im-ad-gespeichert-343431.html

Hä? Der Recovery-key ist doch nur ein Property im Computer-Objekt.

Hatte er die Funktion "Vorschaltseite anzeigen" aktiv und dort eine geeignete Haftungsausschluss-Erklärung platziert? Bitte mal nach wlan störerhaftung Googeln. Leider kein ganz einfaches Thema, wo ihm nur ein Anwalt helfen kann. Eigentlich soll die Störerhaftung abgeschafft sein, leider ist dies im Detail dann doch nicht so. Siehe https://www.wbs.legal/urheberrecht/bgh-zur-stoererhaftung-gewerbliche-betreiber-offener-wlan-netze-koennen-sich-freuen-24238/ PS: Rechtsberatung ist und leider nicht erlaubt.

Ich glaube, so einfach geh das nicht. Dieses Property ist explizit nur für Domain-Admins lesbar und beschreibbar, damit andere User die Recovery-Keys nicht auslesen können.

Heute kam dann doch wieder ein Report. Keine Ahnung, was da geklemmt hat. Sogar Beide: Den von "Enterprise" und von Outlook.com Irgendwie haben die Spammer unsere Domain als Absender entdeckt...

Danke. Kann man sowas im O365 irgendwo "verstellen"? Wie geschrieben: Man bastelt hier mit einer Exchange-Hybrid-Konfig rum, weil man unbedingt unsere internen Kalender in Teams sehen will. Ich bin da raus. Ich forsche gerade an einem anderen Thema, wo es sehr anstrengend ist, wenn man auf Logs von DL keinen Zugriff hat und der DL wieder was macht, was er nicht sollte...

Hi, mir ist gerade aufgefallen, dass unser letzter DMARC-Report von Aggregate Report <dmarcreport@microsoft.com> vom 23.02. ist. Ist das bei Euch auch so oder hat irgendwer im Zuge Exchange Hybrid wegkonfiguriert? (Ich habe davon keine Ahnung, wenn dann unserer DL)

Die Anleitung funktioniert nicht? https://support.microsoft.com/de-de/windows/upgrade-von-windows-home-auf-windows-pro-ef34d520-e73f-3198-c525-d1a218cc2818#WindowsVersion=Windows_10 Da braucht man kein Tool für.

Die MA können telnet installieren und starten? Mal davon abgesehen, gibt es technische Header. Dort findet man die Absender-IP-Adresse.

Ah ja, stimmt. Als wir von unserem neuen DL eine neue feste IP bekommen haben, hatte T-Online die auch auf der schwarzen Liste. Die Sinnhaftigkeit von RBL's...

Man hat Dir geschrieben, dass Du von deinem DSL-Anschluss mit dynamischer IP-Adresse (also bei jeder Einwahl eine andere IP-Adresse), keine Mails direkt senden darfst. Maßnahme: Mindestens ein Business-DSL-Vertrag mit fester IP als buchbare Option.

Du musst auf Sicherheit - Erweitert gehen und dort den Besitz übernehmen. Verhindern kannst Du es, wenn User auf der Freigabe nur das Recht "ändern" bekommen und nicht Vollzugriff. Mit "Ändern" können keine NTFS-Rechte verändert werden.

Natürlich läuft da noch der normale cloudbasierte Spam-Filter. Meinte zumindest unser DL. Vernünftig konfigurierte Server mit SPF und DKIM sind schon etwas schwieriger einzurichten. Ob RBL der Weisheit letzter Schluß sind, besonders wenn die sich über ein bezahltes "Entlisten" finanzieren? Manche könnten das als Wegelagerei bezeichnen.