NorbertFe

Vielleicht falsche Denkweise. Der User hat Zugriff auf den Schlüssel. Ist schließlich seiner. ;) Und bei lokalen Admins hat man immer verloren.

Die patches dürften jetzt auch egal sein, weil die meisten Server schon betroffen sein dürften. :/

Naja außer Windows interessiert dieses flag sowieso kein os. ;) und selbst da gibts Mittel und Wege.

Und warum kann der User ein zertifikat manuell bekommen?

Das ist aber nur in deiner Vorstellung so. ;) ich sehe in deinem Anwendungsbereich eigentlich nur Nachteile, aufgrund der bedienbarkeit.

Was ist denn in der Vorlage dazu definiert?

vor 46 Minuten schrieb Squire:

Sollte man eigentlich das BackendCookieMitigation.ps1 laufen und installieren lassen, wenn der Patch darauf ist und er Exchange auch nicht kompromittiert wurde? Hat das irgendwelche negativen Auswirkungen

Wenn ich die Artikel richtig lese, dann ist das nicht notwendig, wenn die patches installiert sind.

negative Effekte dürfte das nicht haben. 

Wenn du ohne gui klarkommst, kann man sich auch den kostenlosen antun. Empfehlen kann man das wahrscheinlich nicht. 

Naja ist ja nicht so, als hätten wir uns hier nicht schon zu Wort gemeldet. :) Das sind so "Problemchen", die man im Forum selten sinnvoll gelöst bekommt.

Ja das siehst du falsch. 

Sehe das wie Jan.

Das funktioniert aber auch nur bei korrekter Konfiguration sonst sortiert dir wahrscheinlich fast jeder spamfilter sowas aus.

vor einer Stunde schrieb Weingeist:

Da bin ich nicht mehr 100% sicher. Ich meine bei Client OS war das schon immer oder sicher schon länger so.

Also zumindest seit XP Pro auf jeden Fall.

Sehe ich genauso.

Gerade eben schrieb bigthe:

Habt ihr dafür auch eine Lösung?

Ja passe den Reverse Eintrag an oder den smtp Banner. ;)

dafür gibts im send connector extra ein Feld. Alternativ darf man natürlich auch mal eine Suchmaschine befragen und lässt sich nicht jeden pup von anderen antragen.

Mir ist immer wieder unklar, wie man als Kunde zu solchen Hostern wechseln kann. :/ 

Stell dir vor, jeder Port kann einzeln eingeschränkt werden. ;)

Der azureadconnect läuft afaik nur mit dem lokalen active Directory. Also wäre erstmal zu klären, wie die Nutzer vom LDAP ins azuread kommen.

Das ist das Problem bei diversen Hostern. Dass die statt mit a-records mit subdomains rumhampeln und dann totales Unverständnis bei Leuten entsteht, die da keine Unterschiede machen. Mittwald fällt mir da spontan ein ;)

Also mit den Infos wird es schwer. Office Benutzer meint dann o365?

ich würde dann evtl. Einen nicht Ortsnahen Dienstleister hinzuziehen, der sich das Problem mal anschaut. Wahrscheinlich zielführender als alles andere.

vor 2 Stunden schrieb Abacus08:

Keine Ahnung, warum die "Erneuerung" die Änderung für das Rootzertifikat nicht "annimmt".

Naja mit den paar Infos hab ich auch keine Ahnung. ;)

vor 18 Minuten schrieb Abacus08:

könntest Du mir einen Tipp geben, wie ich die ganze CA-Kette auf SHA-256 umstellen kann?

 

Indem du deine CA entsprechend konfigurierst. Das Rootzert muss also auch SHA2 haben. Bspw:

https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/

Du kannst nur Aliase vergeben, für die du die Domain auch im Tenant hinterlegt hast. Wär ja auch sehr schräg, wenn das anders wäre.

vor 1 Stunde schrieb Weingeist:

Weil W10 Enterprise ein Upgrade-Produkt und kein Einzelprodukt mehr.

War das bei VL schon jemals anders?

vor 22 Minuten schrieb Garant:

Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen.

 

Das geht aber nur, wenn deine AD Struktur das hergibt, denn du willst die Berechtigungen ja sicher nicht für jeden der betroffenen PCs explizit für den Nutzer erlauben. Bringt also nur etwas, wenn die entsprechenden Computer alle in einer OU stecken und zwar nur diese.