Jump to content

phatair

Members
  • Content Count

    374
  • Joined

  • Last visited

Community Reputation

16 Popular

1 Follower

About phatair

  • Rank
    Junior Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. In der Doku steht dazu nur das und ich bin mir nicht sicher ob ich es so richtig verstanden haben. Ich würde es so interpretieren, da "...When such expiration is detected, password is changed immediately and password expiration is set according to policy" steht. Aber es steht eben nicht explizit da, dass dies auch passiert wenn keine AD Anbindung vorhanden ist. Wie gesagt, einen Test machen wir noch, aber falls mir schon vorher jemand helfen kann habe ich nichts dagegen :) EDIT: Ich denke ich habe das falsch interpretiert. Es scheint eher darum zu gehen, wenn ein Admin Ac
  2. Ich werde es zwar noch mal bei uns testen, aber vielleicht könnt ihr mir trotzdem noch mal auf die Sprünge helfen. Ich verstehe das jetzt so: - ich definiere einen Zeitpunkt, wann das lokale Passwort von der CSE geändert werden soll -> z.B. alter 30 Tage - die CSE generiert ein neues lokale Admin Passwort, wenn dieses Alter erreicht ist und versucht dieses dann in der AD zu speichern - Ist die Speicherung erfolgreich, wird es auf dem Client geändert Das würde für mich bedeuten, wenn z.B. ein Notebook außer Haus ist und die AD nicht erreicht werden kann, wird
  3. Den Gedanken mit den Notebooks hatte ich auch. Ich hatte gehofft, dass die Geräte, die zu dem Zeitpunkt der geplanten Passwortänderung nicht das AD erreichen können, diese Änderung aufschieben bis sie wieder eine AD Verbindung haben und das neue Passwort übertragen können. Deiner Aussage entnehme ich - dem ist nicht so? :(
  4. Danke Danke! Deinen Post habe ich mir schon vor 2 Jahren angeschaut und Anregungen geholt :) Ich habe auch ein paar sehr gute Beiträge über die AD Absicherung bei Frankysweb.de gefunden. Hier geht es auch um das einrichten von Tiering, PAWs und LAPS. Wenn wir nächste Woche unser AD Audit abgeschlossen haben, werde ich mich mal noch tiefer mit diesen Themen beschäftigen und diese dann bei uns umsetzen. Ein paar Fragen habe ich jetzt schon, aber wenn die nach dem AD Audit noch offen sind werde ich einen neun Thread dazu eröffnen. Danke für eure Hilf
  5. Hi Nils, ok, dass klingt dann für mich schon schlüssiger :) Ich werde nach den beiden Schlagworten mal googlen. Die Trennung der Admin Accounts haben wir schon fast komplett durchgezogen. Was uns noch fehlt sind die PAWs. Demnächst haben wir erstmal ein AD Security Audit und da bin ich dann mal gespannt was noch so alles auf uns zukommt (ldap channel binding and ldap signing, usw). Aber das ist ein anderes Thema. Remoteunterstützung oder Telefon ist natürlich klar. Mir ging es vor allem um die grundsätzliche Idee und ob ich diese s
  6. Hallo zusammen, ich habe auf dem Born Blog einen interessanten Artikel gelesen, der mich etwas zum nachdenken gebracht hat. https://www.borncity.com/blog/2021/09/11/active-directory-vor-ransomware-attacken-schtzen/ Wir haben vor ein paar Jahren unsere Admin Accounts wie folgt aufgeteilt: - jeder Admin arbeitet an seinem Geräte mit einem normalen AD Account ohne erhöhte Rechte. - für Server Tätigkeiten hat jeder Admin einen eigenen Server Admin. Dieser wird per GPO auf die benötigten Server in die lokale Admin Gruppe eingetragen. So hat nicht jeder Admin a
  7. Vielen Dank für eure Antworten. Der Hintergrund, warum wir nicht einfach immer beide Mail Adressen erstellen wollen, ist das unser Mail Gateway die AD Objekte einließt und dort die Attribute "mail und proxyAddresses" ausliest. Nur diese Adressen werden dann auch angenommen. Damit keine Mails von "ungenutzten" Mail Adressen angenommen werden, wollte ich das eben keine unnötigen Einträge in den proxyAddresses erstellt werden. Wird beim erstellen eines Accounts jeweils nachname@firma.de und m.nachname@firma.de erstellt, hätte ich 2 Adressen an die Mails gehen können und das Mail Gateway
  8. Die Lösung hatte ich auch schon. In einer Mail Adressrichtlinie %s@firma.de %1g.%s@firma.de Dann werden aber für jeden neuen User 2 SMTP Einträge gemacht. Eben nachname@firma.de und m.nachname@firma.de Das möchte ich aber nicht. m.nachname@firma.de soll nur erstellt werden, wenn es nachname@firma.de schon gibt. Daran bin ich dann gescheitert.
  9. Ok, dann lasse ich das mal lieber mit der Änderung :) Grundsätzlich auch kein Problem, das haben wir sogar im Moment so am laufen. Aber ich habe dann das Problem, wenn es die Mail Adresse schon mit dem Nachnamen gibt. Dann müsste er automatisch unsere 2. Lösung nehmen - erster Buchstabe vom Vornamen "." Nachname. Das habe ich über die Mail Adressrichtlinien noch nicht hinbekommen. Mit dem Alias hätte ich halt schon immer gleich die korrekte Standard Mail Adresse erhalten. Die Mail Adressrichtlinie müsste also erkennen - Nachname@firma.de gibt es schon , da
  10. Hallo zusammen, wir setzen einen Exchange 2016 Server ein und ich möchte unsere E-Mail Adressrichtlinie überarbeiten. Standardmäßig verwenden bei uns alle User als Mail Adresse den Nachnamen. Die Richtlinie dafür ist schnell geschrieben. Nun habe ich aber folgende Frage/Problem. Einige AD User verwenden aber noch ein altes Anmeldenamenschema und verwenden nicht den Nachnamen als Anmeldenamen. Dieser veraltete Anmeldename steht deshalb auch noch im Exchange Alias drin. Kann ich den Exchange Alias einfach in den Nachname ändern, ob macht das Probl
  11. Vielen Dank euch. Mir ist auch schon aufgefallen, dass die AD Maschinen SID sich zu der lokalen Maschinen SID unterscheidet. Ich war mir nur unsicher, ob es trotzdem irgendwelche Zusammenhänge gibt, die man berücksichtigen sollte. Lokale Accounts haben wir auf den AD Clients nicht (ausgenommen natürlich ein geänderter lokaler Admin Account).
  12. Vielen Dank. Also lag ich mit meinem Gedanken richtig, dass die Computer SID einmalig sein muss, diese aber problemlos mit einem restore auf ein anderes Gerät "übertragen" werden kann. Wichtig ist nur, dass sie nicht doppelt vorhanden ist.
  13. Hallo zusammen, irgendwie stehe ich gerade auf dem Schlauch und hoffe ihr könnt mir helfen. Wir machen von einigen Windows Clients per Veeam Agent wöchentliche Backups. Wenn dieses Backup auf eine andere Hardware zurückgespielt wird und die ursprüngliche Hardware nicht mehr online geht, muss dann die Computer SID per Syspres auf der neuen Hardware geändert werden? Oder ist das egal, da die Computer SID weiterhin einmalig ist und sich nur die Hardware geändert hat? Das Sysprep bei einem Master Image genutzt werden muss, aus dem dann mehrere Clients
  14. Die Probleme gehen weiter... https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/ Wir haben dazu folgende GPO gesetzt, wie im Artikel empfohlen https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.Printing::PackagePointAndPrintServerList_Win7&Language=de-de Falls man schon in der GPO "Point-and-Print-Einschränkungen" die Verbindung zu den entsprechenden Servern eingeschränkt hat, muss die oben genannte GPO trotzdem gesetzt werden!
  15. Die hatten wir vorher komplett vom Client gelöscht (Client Druckserver, Tab Treiber). Ebenso haben wir es auf einem neuen geimaged Gerät getestet.
×
×
  • Create New...