Jump to content

al3x

Members
  • Content Count

    186
  • Joined

  • Last visited

Community Reputation

10 Neutral

About al3x

  • Rank
    Junior Member
  1. Hallo zusammen, kann mir jemand erklären wo der Unterschied liegt, ob man sich "lokal" (per RDP auf Server) eine PowerShell öffnet oder ob man remote eine PS-Session öffnet? ->Gehe ich zB per RDP auf Server1, öffne eine PS (DomAdmin) klappt der Aufruf ->Öffne ich entweder vom WAC aus eine PS auf Server1 oder verbinde mich remote (Enter-PSSession server1) zu einer PowerShell auf Server1 - ebenfalls als DomAdmin!! - dann kommt ein Vorgangsfehler
  2. interessanter Artikel! Danke für euren Input! :)
  3. Hallo in die Runde. Mich würde mal interessieren wie euer Konzept für die Administration der Systeme aussieht, wie ihr sicherheitstechnisch eure Remote-Sessions realisiert!? Gerade in Bezug auf das Thema Pass-the-Hash bzw. Eingabe von Admin-PWs an einem x-beliebigen Client. Wir haben momentan folgendende Konstellation (fast) umgesetzt: Client-PCs (in Subnet A): Es existiert an jedem PC ein lokales Admin-Konto mit individuellem PW, umgesetzt mittels LAPS Admin-PCs (in Subnet A): =mit Software aufgebohrte StandardClients, die per RDP auf die Client-PCs (lok. Admin) können und auf den Admin-Server Admin-Server (in Subnet B): =Member-Server mit Windows Admin Center und den RSAT Jeder Admin meldet sich mit seinem Dom.User dort an und kann dann alle Server per WinAdminCenter oder nRemote (RDP) administrieren. LAPS ist natürlich nervig, wenn man unterwegs ist und sich mal eben lokal als Admin an einer Maschine anmelden will/muss. Bisher griffen die Admins jeweils von ihrem Arbeitsplatz-PC direkt per RDP auf die einzelnen Server zu. Was haltet ihr davon? Verbesserungsvorschläge?
  4. so, es funktioniert nun...nach einigen Neustarts und gpupdate´s.. Habe die "Kopier-Policy" nochmals neugemacht und von <Aktualisieren> auf <Ersetzen> gesetzt.
  5. Hallo Leute, habe aktuell ein Problem mit einer Zielgruppenadressierung mit folgender Sachlage: Gruppe1 = ClientsA Gruppe2 = ClientsB Über eine GPO (an Test-OU gebunden) werden in der Computerkonfig einige Dateien kopiert. Eine Datei existiert in 2 Versionen und soll in Abhängigkeit des Clients zu seiner Gruppenzugehörigkeit kopiert werden. Also ->Datei aktualisieren Quelle/Ziel mit Zielgruppenadressierung auf Elementebene - Computer ist Mitglied der Gruppe1 ->Datei aktualisieren Quelle/Ziel mit Zielgruppenadressierung auf Elementebene - Computer ist Mitglied der Gruppe2 Die Clients sind auch in der Test-OU enthalten. Das Kopieren/Aktualisieren der Dateien per GPP funktioniert, nur die Variante mit der Zielgruppenadressierung leider nicht. Meines Wissens sind die AD-Computer ja Teil der "authentifizierten Benutzer", von daher muss die Gruppe1/Gruppe2 ja nicht explizit bei der Delegierung mit Rechten eingetragen werden. Sieht man die GPP-Einstellungen eigentlich auch im RSoP? - ich kann sie jedenfalls nicht finden, nur die "normalen" Richtlinien, die übernommen werden. ....für Inspirationen wie immer dankbar!
  6. Servus, nö wie gesagt da sind nur Drucker oder Switche bzw. Server drin. Problematisch wäre es dann wohl eher, wenn dort auch AD-Clients drin wären, die somit nicht wüssten zu welchem Standort sie gehören..welcher DC der präferiert werden soll..?!
  7. Hallo Leute, folgende Situation, 2 "Standorte" sind per Glasfaser fest verbunden. An jedem Standort steht ein DC und es existiert für die Clients jeweils ein eigenes Subnet, welches auch im AD-Standorte/Dienste hinterlegt ist. Nun existieren aber auch 2 Subnetze übergreifend an beiden Standorten ( Subnet A = Drucker, Subnet B = Management). Bisher habe ich zwar keine Nachteile feststellen können, aber wie bildet man diesen Fall am Besten im AD ab? Es ist doch nur möglich ein Subnet einem der Standorte zuzuordnen oder?
  8. Noch ein Nachtrag: Kann mir jemand folgendes Verhalten erklären? Per GPO (s.Bild) wird eine eingehende Regel für die Domäne aktiviert, "lokale FW-Regeln anwenden" steht auf "Nein". Die Regel kommt beim Client auch an, allerdings ist der Bereich Domäne nicht aktiviert!? Funktionieren tut die Regel aber! Gleiche Einstellungen sind zB auch bei Remotedesktop gemacht, aber dort ist "Domäne" beim Client aktiv!
  9. FYI Ich muss die Aussage revidieren, über W7 erstellte GPOs funktionieren nur teilweise unter W10. Im Fall RDP musste ich wie von Norbert vorgeschlagen eine zweite unter W10 erstellte GPO anlegen und per WMI filtern, damit RDP funktioniert. Die unter W7 erstellte Policy, obwohl die FW-Ausnahmen auf dem W10-Client ersichtlich sind (also passiert ja was), funktionieren nicht.
  10. Norbert, ist es sinnvoll die globalen settings bei jeder einzelnen FW-GPO zu setzen oder reicht es aus, dies nur in der letzten (sprich bei Verknüpfungsreihenfolge = n, bei 1..n GPOs) zu tun?
  11. Hallo. Habe es mit W7 jetzt neugebaut und scheint bisher gut zu funktionieren. Was empfiehlt ihr bei den globalen Einstellungen unter [Domänenprofil]-[Status] ? Ich würde für logisch halten: Firewallstatus = Ein eingehende Verbindungen = Blockieren (es sollten ja dann die Ausnahmen greifen, die man definiert hat) ausgehende Verbindungen = nicht konfiguriert oder Zulassen
  12. Sowas hatte ich schon befürchtet, dachte nur nicht, dass es bei sowas "einfachem" wie den FW-Regeln so unterschiede gibt. Stimmt ist lästig, da ich dann ja alle GPOs, die FWRules enthalten doppelt machen muss.
  13. Hallo Norbert, hm soweit ich es bis jetzt beurteilen kann, scheint es tatsächlich nur die Win7er zu betreffen. Ein Win10 LTSB tut auf den ersten Blick schonmal was er soll..
  14. erzeugt unter Win10, wirken soll es auf Win7 und Win10 Clients
×
×
  • Create New...