xrated2

wow!

das tolle bei 2019 essentials ist ja das man von der Lizenz scheinbar nicht mehr festlegen kann was normaler User ist und was nicht. Also bin ich da etwas beschränkt.

Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich.

Wenn ich in der Policy mehrere Einträge mache geht es jetzt scheinbar

Hallo

was der kann ist ja bekannt. Aber wo sieht man denn wieviele der 25 User in Benutzung sind bevor der silsvc Service die Kiste runterfährt? Bei den Vorgängerversionen konnte man das ja im Dashboard sehen und auch über eine Gruppe bzw. Powershell steuern welche User zählen aber bei 2019?

Werden die nur für Dienste oder Tasks verwendet oder kann man damit auch Applikationen wie PRTG benutzen die sich z.B. über Remote WMI anmelden?

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. 

Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden.

Hallo

was würdet ihr als minimale Passwortlänge bei Adminaccounts setzen?

Sind z.B. 8 Zeichen wirklich so schnell zu knacken? Habe was über Rainbowtables gelesen.

Könnte man die nicht einfach selbst signieren?

Na Super.

Also über Registry kann man die wenigstens noch vollständig verbieten?

vor 18 Minuten schrieb Horstenberg:

Verstehe ich das richtig und sollen die in dem Artikel verlinkten GPO-Templates auch für Office-Versionen gelten, die nicht über Volume Licensing erworben wurden? Das wäre in der Tat ein  Fortschritt.

Offiziell nicht, siehe Kommentar dort

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen.

btw. hier Seite 49

https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf

Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso?

Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

OT: hat jemand Macros bei Non VL deaktivieren können?

siehe https://www.windowspro.de/wolfgang-sommergut/makros-office-2016-2019-einschraenken-blockieren-gruppenrichtlinien

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt."

Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU.

Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

Hallo

mit PRTG ist mir aufgefallen das die Errorcounts stetig steigen bei den vhdx Dateien im Virtual Storage Device Sensor.

Ich habe herausgefunden das die WMI Abfrage wie folgt ist:

SELECT Name, ReadBytesPersec, Timestamp_Perftime, Frequency_PerfTime
    , WriteBytesPersec, ErrorCount
FROM
    Win32_PerfRawData_Counters_HyperVVirtualStorageDevice

Könnt ihr das bitte mal im WMI Tester bei euren Servern unter Angabe des Controllers machen?

Das Tool muss nicht installiert werden.

https://www.de.paessler.com/tools/wmitester

Es gibt sogar Fehler bei den ISO Dateien die angezeigt werden, scheint also nicht unbedingt Hyper-V spezifisch zu sein.

Bei Remoteverbindung muss man evtl. noch eine Firewallrule aktivieren:

Windows-Verwaltungsinstrumentation (WMI eingehend)

Hallo

ich hatte letzthin etwas sehr merkwürdiges. Der DC und weitere Server laufen auf 2016 Hyper-V Core. 

Es ist ein Supermicro mit Quad Intel i210 NIC.

Das Problem war das ein PC zeitweise den DC nicht erreichen konnte und damit meine ich das nicht mal der Ping funktionierte. Nach ein paar Minuten ging es dann wieder.

Eine andere VM auf dem selben Hypervisor funktionierte dagegen die ganze Zeit.

Dann ist mir eingefallen das das NIC Teaming besonders war. Ich hatte wie empfohlen Switch unabhängig und dynamisch eingestellt. Da ist mir aber irgendwann im Log der MAC Adress conflict aufgefallen.

Siehe: https://social.technet.microsoft.com/wiki/contents/articles/31357.hyper-v-troubleshooting-mac-address-conflict-event-16945.aspx

Unter Core kann man die MAC aber nicht so einfach ändern wie beschrieben, ich habe dann mit einem MAC Changer Tool die MAC geändert, allerdings nicht vom Team sondern vom Public Switch weil kein anderer Adapter angezeigt wurde. Könnte dies das Problem verursacht haben?

Edit: Also das Problem der Nichterreichbarkeit lag an einem VPN Client, auf sowas muss man mal kommen.

Hatte ich auch schon mal verwendet aber da ich noch andere Policy dieser Art benutze wo ich dem User lokale Adminrechte je nach PC Name erteile, wäre es nicht schlecht wenn man bei einer Methode bleibt denke ich.

vor 16 Minuten schrieb NorbertFe:

Und wenn das PCs sein sollten entferne die Domänenadmins.

gefährlich?

Hallo

es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern.

Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum.

Die Einstellung:

Gruppenname Administratoren (integriert) 
Beschreibung modified by nonadmin gpp 
Alle Mitgliederbenutzer löschen Aktiviert 
Alle Mitgliedergruppen löschen Deaktiviert 
Mitglieder hinzufügen

BUILTIN\Administrator  
DOMAIN\IT-Helpdesk 
DOMAIN\helpdesk 
DOMAIN\Domänen-Admins

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein 
Element entfernen, wenn es nicht mehr angewendet wird Nein 
Nur einmalig anwenden Nein 
 

Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf.
 

Weiß jemand wieso?

Das ist die Idee 

Gibt es eigentlich wirklich keine Möglichkeit WSUS beizubringen das die Updates nur an einem bestimmten Standort runtergeladen werden?

Ich denke nicht

Bei mir werden überhaupt keine Vorlagen angezeigt.

Wenns nicht geht dann entferne ich die Webrolle eben wieder.

//abgetrennt von: https://www.mcseboard.de/topic/203800-zertifikatvorlagen-am-certsrv-werden-nicht-angezeigt/

Habe dazu folgendes gefunden:

Did you specify "LoadDefaultTemplates = 1" in your CAPolicy.inf file before installing and setting up the CA role? If not, you'll need to manually define your published templates using the Certificate Templates snap-in tool.

CAPolicy.inf habe ich nicht.

In der Zertifikatvorlagenkonsole (verwalten wählen bei Zertifizierungsstelle/Vorlagen) habe ich eine Vorlage dupliziert aber da taucht immer noch nichts im Webserver auf. Weiß jemand wie das geht?

An den Userrechten sollte es nicht liegen, da als Administrator angemeldet.

Hallo

leider gibt es keinen Exchange sondern nur einen ältere Kerio Mailserver der nur eine einzelne einheitliche Signatur unterstützt, es werden aber mehrere (ca. 10) benötigt, da in der Signatur auch ein Anschreiben als Vorlage untergebracht werden soll da die Vorlagen von Outlook in einem Drittprogramm nicht funktionieren.

Mir fallen da gleich mehrere Varianten ein um dies umzusetzen:

1. Per Policy die Signaturdateien bei der Anmeldung auf den Client kopieren

2. Bei C:\Users\%username%\AppData\Roaming\Microsoft\Signatures einen Link auf den Server erstellen (link auf UNC geht aber glaube nicht?)

3. Tools wie OutlookSignature, ist aber recht aufwendig und könnte problematisch sein (Plugins allgemein)

4. Ordnerumleitung über Policy (aber das gäbe ja wieder nur individuelle Speicherorte)

5. Offlinedateien

Ideen?

Ich kann bei meinem PC mit Enterprise den Appstore nach wie vor öffnen. Ist aber eh egal da die PCs um die es geht nur Pro haben.

Abgeändertes Script was ich gefunden habe:

# Functions
Function WriteLog {
    [CmdletBinding()]
    param (
       [Parameter(Mandatory=$TRUE)][ValidateNotNullOrEmpty()][string]$LogFile,
       [parameter(Mandatory=$TRUE)][ValidateNotNullOrEmpty()][string]$LineOfText
     )
	try {
		Add-Content -Value "$(Get-Date) - $LineOfText" -LiteralPath $LogFile -ErrorAction Stop
	}Catch [System.Exception] {
		Write-Warning -Message "Unable to append log entry to $LogFile file"
	}
}

$LogFile = $env:windir+"\Logs\RemovedApps.log"

# Get a list of all apps
WriteLog -LogFile $LogFile -LineOfText "Starting built-in AppxPackage and AppxProvisioningPackage removal process"
$AppArrayList = Get-AppxPackage -PackageTypeFilter Main | Select-Object -Property Name, PackageFullName | Sort-Object -Property Name

# White list of appx packages to keep installed
$WhiteListedApps = @(
    "1527c705-839a-4832-9118-54d4Bd6a0c89",
    "c5e2524a-ea46-4f67-841f-6a9465d9d515",
    "E2A4F912-2574-4A75-9BB0-0D023378592B",
    "F46D4000-FD22-4DB4-AC8E-4E1DDDE828FE",
    "InputApp",
    "Microsoft.AAD.BrokerPlugin",
    "Microsoft.AccountsControl",
    "Microsoft.AsyncTextService",
    #"Microsoft.BingNews",
    #"Microsoft.BingWeather"
    "Microsoft.BioEnrollment",                   
    "Microsoft.CredDialogHost",
    "Microsoft.DesktopAppInstaller",
    "Microsoft.ECApp",
    "Microsoft.GetHelp",
    "Microsoft.Getstarted",
    "Microsoft.HEIFImageExtension",
    "Microsoft.LanguageExperiencePackde-de",
    "Microsoft.LockApp",                           
    "Microsoft.MicrosoftEdge",                     
    "Microsoft.MicrosoftEdgeDevToolsClient",
    #"Microsoft.MicrosoftOfficeHub",
    #"Microsoft.MicrosoftSolitaireCollection",
    #"Microsoft.MixedReality.Portal",
    "Microsoft.Messaging",
    #"Microsoft.Microsoft3DViewer",
    "Microsoft.MicrosoftStickyNotes",
    "Microsoft.MSPaint",
    "Microsoft.Office.OneNote",                 
    "Microsoft.PPIProjection",
    #"Microsoft.ScreenSketch",
    "Microsoft.SkypeApp",
	"Microsoft.StorePurchaseApp",
    "Microsoft.VP9VideoExtensions",
    "Microsoft.WebMediaExtensions",
    "Microsoft.WebpImageExtension",
    "Microsoft.Win32WebViewHost",
    "Microsoft.Windows.Apprep.ChxApp",
    "Microsoft.Windows.AssignedAccessLockApp",
    #"Microsoft.Windows.CallingShellApp",
    "Microsoft.Windows.CapturePicker",             
    "Microsoft.Windows.CloudExperienceHost",       
    "Microsoft.Windows.ContentDeliveryManager",    
    #"Microsoft.Windows.Cortana",                  
    "Microsoft.Windows.HolographicFirstRun",     
    #"Microsoft.Windows.NarratorQuickStart",
    "Microsoft.Windows.OOBENetworkCaptivePortal",  
    "Microsoft.Windows.OOBENetworkConnectionFlow", 
    "Microsoft.Windows.ParentalControls",          
    "Microsoft.Windows.PeopleExperienceHost",   
    "Microsoft.Windows.Photos",   
    "Microsoft.Windows.PinningConfirmationDialog", 
    "Microsoft.Windows.SecHealthUI",               
    "Microsoft.Windows.SecureAssessmentBrowser",   
    "Microsoft.Windows.ShellExperienceHost",
    "Microsoft.Windows.StartMenuExperienceHost",
    "Microsoft.Windows.XGpuEjectDialog",
    "Microsoft.WindowsAlarms",
    "Microsoft.WindowsCalculator",
    "Microsoft.WindowsCamera",
    "microsoft.windowscommunicationsapps",
    "Microsoft.WindowsMaps",
    "Microsoft.WindowsSoundRecorder",
	"Microsoft.WindowsStore",
    "Microsoft.XboxIdentityProvider",
    "Microsoft.XboxGameCallableUI",
    #"Microsoft.Xbox.TCUI",
    #"Microsoft.XboxApp",
    "Microsoft.XboxGameCallableUI",
    #"Microsoft.XboxGameOverlay",   
    #"Microsoft.XboxGamingOverlay",               
    "Microsoft.XboxIdentityProvider",             
    #"Microsoft.XboxSpeechToTextOverlay",
    #"Microsoft.YourPhone",
    "SonicWALL.MobileConnect",
    "Windows.CBSPreview",
    "windows.immersivecontrolpanel",
    "Windows.PrintDialog"
    
)

# Loop through the list of appx packages
foreach ($App in $AppArrayList) {
    # If application name not in appx package white list, remove AppxPackage and AppxProvisioningPackage
    if (($App.Name -in $WhiteListedApps)) {
        #WriteLog -LogFile $LogFile -LineOfText "Skipping excluded application package: $($App.Name)"
    }
    else {
        # Gather package names
        $AppPackageFullName = Get-AppxPackage -Name $App.Name | Select-Object -ExpandProperty PackageFullName
        $AppProvisioningPackageName = Get-AppxProvisionedPackage -Online | Where-Object { $_.DisplayName -like $App.Name } | Select-Object -ExpandProperty PackageName

        # Attempt to remove AppxPackage
        if ($AppPackageFullName -ne $null) {
            try {
                WriteLog -LogFile $LogFile -LineOfText  "Removing application package: $($App.Name)"
                Remove-AppxPackage -Package $AppPackageFullName -ErrorAction Stop | Out-Null
            }
            catch [System.Exception] {
                WriteLog -LogFile $LogFile -LineOfText  "Removing AppxPackage failed: $($_.Exception.Message)"
            }
        }
        else {
			WriteLog -LogFile $LogFile -LineOfText  "Unable to locate AppxPackage for app: $($App.Name)"
        }

        # Attempt to remove AppxProvisioningPackage
        if ($AppProvisioningPackageName -ne $null) {
            try {
                WriteLog -LogFile $LogFile -LineOfText  "Removing application provisioning package: $($AppProvisioningPackageName)"
                Remove-AppxProvisionedPackage -PackageName $AppProvisioningPackageName -Online -ErrorAction Stop | Out-Null
            }
            catch [System.Exception] {
                WriteLog -LogFile $LogFile -LineOfText  "Removing AppxProvisioningPackage failed: $($_.Exception.Message)"
            }
        }
        else {
            WriteLog -LogFile $LogFile -LineOfText "Unable to locate AppxProvisioningPackage for app: $($App.Name)"
        }
    }
}
WriteLog -LogFile $LogFile -LineOfText "Removal process completed"