NorbertFe

Und das hindert dich ggf. selbst mal unter https://docs.microsoft.com/en-us/powershell/module/exchange/set-calendarprocessing?view=exchange-ps nachzuschauen? ;)

Ist das so schwer, sich mal die Eigenschaften anzuschauen? Wie wärs mit get-calenderprocessing "deinRaum" | fl Da gibts dann so Dinge wie "DeleteComments" und man staune: The DeleteComments parameter specifies whether to remove or keep any text in the message body of incoming meeting requests. Valid values are:

So wie beim TO? ;)

Das ist ja dann auch keine automatische Weiterleitung. Wär ja schlimm, wenn das nicht ginge. ;)

Genau, gibts da nicht was von $Cloud?

Wer druckt denn schon auf Terminalserver. ;)

Meine auch. ;) Aber da muss ich zum Glück nicht hin.

Wie wärs mit dem Test auf einem betroffenen Server? Dann sieht man, obs damit zusammenhängt.

Würde mich mal interessieren, wie denn die Point and Print Policy in 4. reinspielt. Denn laut Artikel gilt ja "The RestrictDriverInstallationToAdministrators registry setting resides under the PointAndPrint registry location but is specific to protections for CVE-2021-34527 but is not related to point and print behavior." Was heißt denn "not related"? :) Also üblicherweise wurde bisher ja folgende Richtlinie gesetzt: https://www.faq-o-matic.net/2009/10/08/drucken-unter-windows-7-in-der-domne/ Damit war es dann "Nicht Admins" auf den PCs möglich Treiber zu erhalten, die auf dem Printserver (oder ggf. auch woanders?) bereitstanden. Eigentlich ja ein gewünschtes Verhalten. Wenn ich jetzt "RestrictDriverInstallationToAdministrators" wäre interessant, ob das Auswirkungen auf das bisherige Verhalten am PC hat. Ich vermute nein. Bei all den ganzen Artikeln (hier, Heise, MS, usw. usf.) sieht man leider immer nur die Hälfte hab ich den Eindruck, weil niemand genau weiß, warum und wieso das bisher so gelöst wurde bzw. warum es auf einmal anders sein muss. :) Hatte ich ja bereits oben verlinkt. Aber das ist im Zweifel ja nur die Holzhammermethode für "wenige" Printserver, bei denen man im Zweifel "manuell" für das Treiberupdate sorgen kann. Wenn man das jetzt bei 1000 PCs ausrollen würde (ginge ja problemlos per GPO), dann hätte man spätestens dann ein Problem, wenn ein neues Druckermodell mit neuem Treiber kommt und steht da. :) So zumindest mein aktuelles Verständnis.

Stimmt. aber ich hab letztes Jahr ein Kabel hintergelegt (Glück, wenn man nur ca. 30m bis dahin hat ;)).

Interessant. Also fassen wir zusammen: 1. Dienst überall deaktivieren, wo er nicht benötigt wird 2. remotezugriffe auf den Spoiler überall per gpo deaktivieren wo er nicht benötigt wird 3. Update Juli installieren 4. restrict admins für die treiberinstallation für alle. was bleibt danach noch offen, außer aufs nächste Update warten und wie hoch ist dann die Hürde, wenn man das obige alles umgesetzt hat. Bye norbert

Wurde ja mehr oder weniger abgeschafft. Die Dinger können maximal noch usb nic. ;) ich hab noch die erste Generation vom Fire-tv (ohne Stick), da gabs einfach nen Ethernet Anschluss. ansonsten sehe ich das ähnlich, aber leider haben die wenigsten ne strukturierte Verkabelung in der Wohnung. ;)

Spart halt Strom ;) Alternativ könnte man ja auch einfach sagen, erst Fire-TV anschalten und dann erst das ipad ;)

Keine Sorge, aber das führt zu weit und bringt außer Frust ja nix. Ich glaub, das ist gerade bei Senioren oftmals eher ein "Angst haben" vor der Technik gepaart mit "ich höre nicht zu, weil ich dann einfach dich frage" :/

Funktioniert die im Garten anders? :)

Die Vermutung ist falsch. Du hast oben in deinem Screenshot ja drin stehen, dass interne (authentifiziert) und externe (anonym) Absender an diesen Verteiler senden dürfen. Ich würde mal schauen, ob die Mails überhaupt bis zur Queue kommen (keine Ahnung, ob man das in O365 überhaupt sehen kann), und würde dort mal einen externen Kontakt reinpacken, von dessen Domain du Admin bist, denn dann würde man ggf. sehen ob es überhaupt Zustellversuche gibt, oder ob der Kram innerhalb von O365 hängen bleibt. Bye Norbert

Nette Sache :) Funktioniert auf jeden Fall und spart das Warten auf die GPMC. Habs jetzt zweimal getestet 1. Neues GPO ohne Verlinkung (check) 2. Bestehendes GPO mit Vorhandener Verlinkung (check)

Hatte der Kram auch noch was gutes. ;) du konntest powershell üben und ich hab seit Jahren mal wieder adm und admx gebastelt. ;) werd mich doch wieder als gpo MVP bewerben. Dann kann ich die ganzen Artikel bei ms ergänzen ;)

Korrekt!

Du suchst Delegation. Dazu gibts ca. 1000 How Tos. :) Bevor man aber alles an eine Gruppe delegiert, sollte man überlegen, ob es nicht sinnvoller ist, die Aufgaben einzeln zu delegieren. Also jeden deiner Stichpunkte einzeln anstatt alles an eine Gruppe. https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/ http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/ Domänenadmins haben auf Clients und "Nicht-DCs" nichts zu suchen. Das kannst du dann gleich mit beheben und ihnen die Anmeldung verweigern. Edit sagt: Dokumentation jeder einzelnen Berechtigungsvergabe nicht vergessen.

Ach soweit runter hab ich gar nicht gescrollt :p :)

Anbei noch die admx/adml (bitte .txt entfernen, da die Uploads hier keine zips zulassen) :) PrintNightmare.admx.txt PrintNightmare.adml.txt

Alternativ gibt man das Template einfach im Request mit: certreq -attrib "CertificateTemplate:Webserver-ExtendedValidation" -submit bspw. ;)

Danke für die Schubs in die richtige Richtung. Ist natürlich hilfreich, wenn man am 6.7. was veröffentlicht und dann die Veröffentlichung zurückdatiert. :/

Wenn ich dieses Gepfriemel mit dem Registry Kram sehe, frag ich mich, ob bei MS das Wissen von GPP/GPO usw. inzwischen verloren gegangen ist. "Früher"™ hätten sie entweder gleich ein adm/admx mitgeliefert oder zumindest bereitgestellt. :/ ; ADM Template Creation/Modifying Date: 07.07.2021 09:42:56 ; ADM Template Author: NorbertFe ; ADM Template created by gpaddit ; MCSEBoard.de Class Machine CATEGORY "Drucker" POLICY "CVE-2021-34527 'PrintNightmare'" #IF VERSION >= 4 SUPPORTED !!CVE-2021-34527 #ENDIF EXPLAIN !!Descr_CVE-2021-34527 KEYNAME "Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" PART "Restrict Driver Installation to Administrators" Checkbox VALUENAME "RestrictDriverInstallationToAdministrators" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END PART END POLICY ;CVE-2021-34527 'PrintNightmare' END CATEGORY ;Drucker [STRINGS] CVE-2021-34527="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527" Descr_CVE-2021-34527="https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7\n\nSecurity updates released on and after July 6, 2021 contain protections for a remote code execution exploit in the Windows Print Spooler service known as 'PrintNightmare', documented in CVE-2021-34527. After installing these and later Windows updates, non-administrators are only allowed to install signed print drivers to a print server. By default, administrators can install both signed and unsigned printer drivers to a print server. Signed drivers are trusted by the installed root certificates in the system's Trusted Root Certification Authorities.\n\nWe recommend that you urgently install the July 2021 Out-of-band updates on all supported Windows client and server operating systems, starting with devices that currently host the print spooler service. In addition, optionally configure the RestrictDriverInstallationToAdministrators registry value to prevent non-administrators from installing printer drivers on a print server.\n\nNote: After installing the July 2021 Out-of-band update, all users are either administrators or non-administrators, delegates will no longer be honored.\n\nPrior to installing the July 6, 2021, and newer Windows Updates containing protections for CVE-2021-34527, the printer operators' security group could install both signed and unsigned printer drivers on a printer server. After installing such updates, delegated admin groups like printer operators can only install signed printer drivers. Administrator credentials will be required to install unsigned printer drivers on a printer server going forward.\n\n\nWhy clients are allowed to install printer drivers from CVE-2021-34527 patched printer servers\nIn a scenario where a client is connecting to a Print server to download print drivers (Shared network Printer scenario), the changes we made as part of our fix do not come into play on the client.\n\nFor an unsigned driver, the user will see a warning and a request to elevate if the user is not admin.\n\nFor a signed driver, the driver will install successfully irrespective of admin or not.\n\nThis means a signed driver will be successfully installed on the client machine without honoring RestrictDriverInstallationToAdministrators registry key.\n\nExplanation\n\nThis behavior is by design. The attack vector and protections in CVE-2021-34527 reside in the code path that installs a printer driver to a Server. The workflow used to install a printer driver from a trusted print server on a client computer uses a different path. In summary, protections in CVE-2021-34527 including the RestrictDriverInstallationToAdministrators registry key do not impact this scenario." Ich stell mich grad an: Wo genau is der Download für dieses OOB Update zu finden? Per WSUS kommts noch nicht und importieren kann man es auch noch nicht. Auf der obigen Seite gibts auch keinen Downloadlink und bei weiterführenden Seiten sind nur die alten Downloads verlinkt. :/ Hílfe :)