Jump to content

grizzly999

Expert Member
  • Gesamte Inhalte

    17.686
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von grizzly999

  1. wenn ich via Webanforderung für den User erweiterte Konfiguration bei der Zertifikatsanforderung nicht anwähle wird das Zertifikat mit 512 verschlüsselt .. bei erweitert kann ich 1024 auswählen .. so ist die CA auch eingestellt ..

    Da geht es aber um den Schlüssel der CA selber, mit welchem die Zertifikate signiert werden. Das hat nichts mit der Schlüssellänge der ausgegebenen Zertifikate zu tun.

     

    wenn ich ganz ehrlich sein soll .. ich blick nicht mehr durch ..

    Nimm's mirt nicht überl, aber dieses Gefühl beschleicht mich auch :wink2:

    Drum will ich hier gar nicht auf irgendwelche herausgepickten Details eingehen.

    Ich empfehle dir aufgrund der brisanten Thematik, hier geht's schließlich um Sicherheit, und zwar in hohem Maße, dafür sind Zertifikate ja da, dann arbeite dich zuerst in die Materie ein. Die ist nicht ohne, und ohne tiefgreifendes Verständnis von Anfang an, würde ich auf die Sache keinenHeller setzen.

     

    Ein gutes Buch ist u.a. das hier: http://www.edv-buchversand.de/product.php?cnt=product&id=ms-973&lng=0

     

    Bei Microsoft finden sich natürlich auch viele Papers, manhce auch sehr ausführlich, z.B.

    http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

    http://technet2.microsoft.com/WindowsServer/en/Library/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx

    ....

     

     

     

    grizzly999

  2. Ich habe eine Organisational Unit Namens Developer.

    Ok...

    Die sollen alle Lokale Admins sein

    Du meinst die ganzen Benutzerkonten in der OU, vermute ich mal?!

    Nun haben wir auch eine Global Group GG_ClientsLocalAdmin.

    Ok...

    Also die Globale Gruppe der lokalen Admins

    Du meinst, die sollen es mal werden, also diese Gruppe Mitglied in jeder lokalen Administratorengruppe auf einem Client?!

    In dieser sich die OU Developer befindet

    Da hst du dich wohl falsch ausgedrückt. Eine OU kann nicht Mitglied einer Gruppe sein. Du meinst wohl wieder die Benutzerkonten, welche in der OU sind, sollen Mitglied der Gruppe sein, oder sind bereits Mitglied?!

    Ich habe nun auf dem DC im Builtin die GG_ClientsLocalAdmin gefunden

    Aha....

    Gehört die den da hin?

    Keine Ahnung, irgendwer hat die Gruppe wohl dort erstellt oder hin verschoben. Von alleine ist da nicht hingekommen :D

    Somit wären ja alle Members der GG_ClientsLocalAdmin Domän Admins und das ist ungewollt

    Dem ist garantiert nicht so. Wie kommst du darauf?

    Sie könnten somit auf den DCs rumturnen und Unfug machen

    Wenn sie Domänen-Admins wären ja, aber .... siehe eine Antwort weiter oben.

    Wird das nicht über Restricted Groups gemacht und einer Policy?

    Wenn du damit meinst, dass die GG_ClientsLocalAdmin auf den Clients lokale Adminrechte erhalten soll. ja, da wäre das die einfachste und schnellste Lösung.

     

    Auch Grüße

     

    grizzly999

  3. Hallo und willkommen an Board :)

    EAP-TLS nud PEAP sind Methoden der Benutzerauthentifizierung, nicht der Computerauthentifizierung. Der Computer authentifiziert sich sich über sein Zertifikat, ebenso wie der IAS, ähnlich wie bei IPSec.

    Kennwortänderung für abgelaufene Kennwörter beim Einwählen ist seit Windows 2000 RAS eigentlich kein Problem mehr.

    PEAP steht nur bei CP und 2003 zur Verfügung, EAP-TLS seit 2000.

     

    grizzly999

  4. Das Weiterleiten einer Authentifizierung durch einen Domänencontroller an einen anderen DC in einer vertrauten Domäne für Securtity Principals, die zur vertrauten Domäne gehören.

    Bsp: Dom A vertraut Dom B. User aus Dom B meldet sich an Client aus Dom A an. Dann macht der DC von Dom A eine Pass-Through-Authentication, indem er die Anmeldeinformationen an einen DC von Dom B weiterleitet, weil nur der die Credentials bestätigen kann.

     

    HTH

     

     

    grizzly999

  5. Aber auch jeder, der sie danach geändert hat ...

    Eher nicht, der ändert automatisch den Zeitstempel der letzten Änderung. Besitzer st zunächst der Ersteller, also auch der, der die Datei dorthin kopiert hat. Aber mit der Berechtigung "Besitz übernehmen" bzw. Vollzugriff kann man den Besitzer ändern, das würde man dann nur herausfiniden, wenn das Auditing eingeschaltet ist.

     

    grizzly999

  6. Das ist nicht einfach zu finden, das stimmt. Ich habe schon die eine oder andere Doku geshen, aber die Suchfunktion spült die meist nicht nach oben. Am ehesten fiindet man die Links dazu im Forum von Tom Shinder (isaserver.org -> MessageBoards).

     

    Allerdings weisen davon einige auf die Microsoft Homepage, z.B. hier: http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.mspx

     

    Anm: Am einfachsten ist es immer noch, zwei ISA zu nehmen, oder zwei ThirdParty Router/Firewalls, da ist die Zusammenarbeit immer gegeben (und spart meist Geld ;) )

     

     

    grizzly999

  7. Parallel ist null Problem.

    Deine Überschrift ist irreführend, bzw. du lässt dich irreführen. SUS schnappt niemandem die Clients weg, das Ganze ist auf Seiten des Servers (SUS/WSUS) total passiv.

     

    Es ist der Client, der konfiguriert wird, dass sich an einen bestimmten Server wendet, da liegt dein Problem.

    Du redest vom Konfigurieren des Clients mit gpedit.msc. Das ist aber eine lokale Richtlinie. Ich vermute, dass es in deiner Domäne noch eine Gruppenrichtlinie mit dem alten SUS eingetragen gibt. Wenn diese gezogen wird, überschreibt sie natürlich die lokalen GPO-Einstellungen.

     

    Ist jetzt mal aufgrund ungenauer Aussagen eine Vermutung, aber dein Problem liegt definitiv in den Richtlinien, nicht am SUS oder WSUS

     

     

    grizzly999

  8. Wenn du mit diesen Richtlinien Softwarebeschränkungen durchsetzen willst, dann muss die Software für einen bestimmten Benutze/Gruppe in EINER Richtlinie eingestellt sein, nicht in mehreren. Soweit ích das verstanden habe, hast du einen Gruppenrichtlinienkonflikt erzeugt, und in dem Fall zieht die zuletzt abgearbeitete Richtlinineeinstellung.

    Die GPOs sind bei unsterschiedlichen Konfigurationen für verschiendene Einstellungen NICHT kumulativ

     

     

    grizzly999

  9. Zumindest beim ersten Aufruf des Runas-Befehls möchte er das Passwort haben, ab XP Prof könnte man spätere Eingaben mit dem Schalter /savecred verhindern.

     

    Eventuell könnte man mit spzeillen Tools für Batchprogrammierung die Passworteingabe automatisch erledigen.

     

    Es gibt aber auch Software, bei der das Passwort abgespeichert werden kann und zwar für den Benutzer nicht sichtbar, z.B. "Runas Professional" (-> Googlen)

     

     

    grizzly999

×
×
  • Neu erstellen...