vmorbit

WikiMatrix - Compare them all ...hier kannst du die gängigsten wikis vergleichen und auch nach open source filtern.

Hallo, es gibt natürlich in jedem Umfeld eigene Gründe warum dies nicht praktikabel ist. Hier gibt es aber mal eine Übersicht der gängigsten Gründe: Risks of Providing Local Admin Privileges to Users InfoSecMinds

Wow...das hab ich auch nicht gewusst! Danke sehr!! Feine Sache!

Muss es unbedingt csvde und ldifde sein? Schau dir mal das hier an: Yusufs Directory Blog - Die letzte Benutzeranmeldung herausfinden faq-o-matic.net Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? PS: Wenn du dir csvde langsam zu Gemüte führen willst, kann ich dir Carlos empfehlen: faq-o-matic.net Alle Downloads PPS: Die Suchfunktion hier am board wäre schneller gegangen und hätte wsl das gleiche Ergebnis gebracht.

Off-Topic: bitte den ganzen satz lesen...ich bin kein profi und ich hab nicht gesagt, dass dem so ist, sondern dass ich mir das vorstellen könnte... da teilen sich die meinungen und es war auch klar, dass das hier auf keine lächelnden gesichter trifft. bitte nicht böse nehmen...kann auch nur das wiedergeben was ich lese und von kollegen und sog. experten höre

Ich seh das Ganze auch so...lass das lieber den Profis über. Ein Script-Kiddie wird den ISA nicht so schnell knacken und was ein echter Profi drauf hat können Laien sowieso nur erahnen...also Profis ranlassen und dann kannst sicher sein. Off-Topic: Wobei ich mir gut vorstellen könnte, dass ein Profi davon abraten wird eine wirklich wichtige Enterprise-Firewall auf einem Windows-System zu installieren, denn jede Firewall ist nur so sicher wie das OS das darunter läuft...aber ich bin auch kein Profi, das ist ein anderes Thema und sprengt hier sicher den Rahmen :D Was du machen kannst: OS-Hardening (Windows Server 2003 Security Configuration Wizard => SCW): Damit du von innen und außen die Angriffsoberfläche verkleinerst. Patches: Natürlich alle relevanten und aktuellen Windows Updates einspielen. Nicht nur beim OS-Hardening sondern auch sonst auch ans interne Netz denken, denn Angriffe können auch von innen vorbereitet werden.

Ich kann dir nur das hier empfehlen: Active@ Partition Recovery. Recover Deleted Partition. Undelete NTFS & FAT partitions. Hat noch jedes mal geklappt bei Problemen solcher Art... PS: Ontrack Easy Recovery würd ich nicht unbedingt als professionell beschreiben... Die Dienstleistungen der Firma Ontrack sind sicherlich nicht übel, aber was files recovern und sowas angeht hab ich bis jetzt mit anderen Programmen immer gleich gute, wenn nicht bessere Resultate erzielt.

Ich weiß jetzt nicht wieviel von euch den Herbert Prohaska kennen... ist auch egal...das ist ein totaler Dauerbrenner bei uns: YouTube - Herbert Prohaskas Analyse

Man könnte auch per vbs abfragen ob es für diese extension schon eine verlinkung gibt und wenn nicht dann soll der mediaplayer zugewiesen werden.

SUPER!!! Danke! :D

Für Einsteiger im Nagios-Bereich sollte man auch das hier erwähnen: GroundWork Open Source IT Monitoring and Network Monitoring Software (=> Gibt es auch als ESX Appliance)

Off-Topic: Gegen Nvidia an sich hab ich nix...aber gegen die Control panels und sonstige Software-spielereien hab ich bei gewissen Versionen was...hehe

Hallo, wir haben hier 4 W2k-Terminalserver die wir in eine neue Domain umgezogen haben. Jetzt haben wir das Problem, dass selbst der "neue" Domain-Admin nicht bestimmen kann mit welchem Programm ein bestimmter Dateityp geöffnet wird. Wenn man mit "Öffnen mit" reingeht ist das Häkchen einfach grau. Ich finde allerdings nichts in den Policies dazu. Jetzt die Frage...welches Recht benötigt denn ein User um das ändern zu können? In der lokalen Admin-Gruppe sind die Domain-Admins und ich bin Domain Admin... selbst der User "%domain%\Administrator" kann das nicht. Wie gibt es denn das bloß!? Glaub es wird höchste Zeit auf w2k8 Terminal-server umzusteigen :D

Always wait for the network at computer startup and logon: aktiviert Jedoch bringt ihm das nichts...denn sein lokales Netzwerk ist ja eh vorhanden und OK. Aber auf diesem standort gibt es keine Domain Controller...von dem her hat das mit den Policies ja nichts zu tun, oder?! Die werden so oder so nicht beim Logon aktualisiert...ob er wartet oder nicht. @ DFÜ: Das geht auch nicht, da die Verbindung keine Einwählverbindung ist, sondern per Router ins Internet weitergeleitet wird.

Ja ist er. Brauchst dich nicht entschuldigen! :D

Ich mach das so: RegDel VALUE "HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\NvMediaCenter" >NUL 2>NUL RegDel VALUE "HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\NvCplDaemon" >NUL 2>NUL RegDel VALUE "HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\nwiz" >NUL 2>NUL Weg mit dem ganzen Nvidia müll! :D @ Gabriel70: CurrentVersion, nicht CurrentControl...aber das war wsl eh nur ein Tippfehler...

hey sorry jungs aber jetzt mal ne frage, die nicht böse gemeint ist: drück ich mich so schlecht aus oder lesen manche nicht den ganzen thread und posten drauf los? wenns ersteres ist muss ich nämlich was ändern...wenns zweiteres ist, ists mir eigentlich egal...also bitte um info ;) @ lefg: ja weil der client die vpn connection von sich aus herstellt...da gibts kein site2site oder sowas...

sind beides echte links also .lnk? oder ist der word2003 link vielleicht so ein registry-gestützter pseudo link? was kommt denn unter rechtsklick => eigenschaften => ziel? ändert sich das verhalten wenn du die shift-taste gedrückt hältst?

OK...danke! D.h. ich muss entweder die VPN Verbindung VOR der windows anmeldung herstellen oder ich kann das nicht umsetzen... Finde ich schon ein wenig schwach, dass es dazu keine Möglichkeit gibt oder hat das einen logischen Grund? Ich mein so schwer wär das doch nicht die Mitgliedschaften zu überprüfen und die SIDs neu zuzuteilen oder?! Naja...trotzdem vielen vielen Dank an alle Beteiligten!

D.h. wenn ich z.b. drucke oder auf einen Fileshare zugreifen müssten sich die Memberships aktualisieren und beim nächsten Login sollte es wirksam sein? Vielen Dank das werd ich dann gleich mal testen...

Da beim login aber keine Verbindung zum DC hergestellt ist, wird das NIE aktualisiert? ich kanns nicht mal anstoßen und beim nächsten login soll es dann greifen?

Hehehe...dachte ich mirs ja, dass das ganze nicht so easy ist...aber das es am erklären schon hakt...sorry! ;) also ich hab ne gpo...jep darin sind restricted groups definiert...jep und zwar wird in die lokale gruppe "administratoren" die globale gruppe "local_admins" eingefügt...werd also im AD in der gruppe "local_admins" ist, ist also verschachtelterweise in der lokalen admin gruppe. wenn ich einen user jetzt aus der "local_admins" rausnehme...ändert sich ja an der policy selbst nichts...in der steht ja nach wie vor drin "local_admins"...da werden ja nicht die members aufgeführt, sondern nur die gruppen-sid nehm ich mal an. also ändert sich nix dran wenn ich den user aus der gruppe rausnehme an dem gpo. ich will dem client aber erklären, dass der user in unserem AD nicht mehr in der gruppe "local_admins" ist...damit ihm der client keine admin-rechte mehr zur verfügung stellt... hoffe jetzt hab ichs verständlich erklärt... danke nochmal! vmorbit edit: habs jetzt getestet und es schaut so aus als hätte das nicht geklappt. der user ist nicht mehr in der globalen gruppe => gpupdate /force => reboot => noch immer admin-rechte.. ich brauch ein whoami /groups /update !!! :D

ja aber da geht es ja im grunde um die mitgliedschaft in einer gruppe und nicht um eine direkte änderung in einer GPO...das ist ja das problem. aber wenn gpupdate die gruppen-mitgliedschafts-SIDs auch aktualisiert ist das ja klasse... ps: steht denn das schwarz auf weiß auch wo? egal wo ich nachlese überall wird nur beschrieben, dass gpupdate die policies neu zieht (bzw. nach änderungen sucht) aber von den gruppenmitgliedschaften steht da nix...außer ich bin blind...kann auch leicht sein :D dankeee!

aaaahhh...macht gpupdate das eh! die info hab ich gebraucht! ich komm ja auf die geräte eh drauf per remote admin, jedoch hab ich das nicht gewusst. dickes danke! werd ich gleich mal testen!!!

Hallo, wir haben XP SP2 clients die sich per VPN in die Zentrale verbinden. Per Group policy (restricted groups) wurde auf allen clients eine gruppe namens "local_admins" in die Administratoren-gruppe hinzugefügt. Wer also im AD in dieser Gruppe ist hat lokale admin rechte. So...jetzt hat einer meiner User versehentlich noch admin rechte obwohl er nicht mehr im Haus ist...gibt es eine Möglichkeit diese Gruppenmitgliedschaft im AD zu aktualisieren wenn sich der User nur per VPN anmeldet? Dies passiert ja eigentlich beim Loginprozess aber zu diesem Zeitpunkt steht die VPN-Verbindung noch nicht. Gibt es dazu einen nachträglichen Prozess? Auch wenn das Ganze erst beim nächsten oder von mir aus nach 10 Logins aktualisiert wird aber gibt es eine Möglichkeit dafür? So eine Art gpupdate für Gruppenmitgliedschaften... Vielen Dank im Voraus, vmorbit