NilsK
-
Gesamte Inhalte
17.685 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NilsK
-
-
Moin,
auch wenn aus irgendeinem für mich nicht nachvollziehbaren Grund alle LAPS ganz toll finden: Es ist kein Allheilmittel für solche Fragen. An dem Grundproblem, dass es ermöglicht, zusätzliche Admin-Accounts anzulegen oder sonst "alles" zu machen, ändert LAPS nichts. Daher ist es für solche Szenarien wie hier diskutiert nicht geeignet (und im Übrigen auch nicht dafür gedacht).
Gruß, Nils
-
Moin,
das hängt von der Anzahl der Drucker ab und davon, ob es da noch besondere Konfigs gibt. Meist reicht es aus, die Drucker auf dem neuen Printserver einfach neu einzurichten.
Wichtiger ist i.d.R., dass die Clients die alten Verbindungen entfernen und neue einrichten müssen. Ich hab das zum Glück seit XP nicht mehr machen müssen. Damals ging das gut per Skript, aber die zugehörige Schnittstelle gibt es seit Vista nicht mehr (jedenfalls die, die ich damals verwendet habe).
Gruß, Nils
-
Moin,
rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.)
Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist.
Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen.
Gruß, Nils
-
1
-
-
Moin,
vor 1 Stunde schrieb prinzenrolle:die Benutzer benötigen nur admin Rechte lokal auf dem PC und das eben nur zeitweise.
dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren.
Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam.
Gruß, Nils
-
Moin,
beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen.
Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL.
Gruß, Nils
-
Moin,
... und zwar so:
[Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/[Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink]
https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/
Gruß, Nils -
Moin,
vor 13 Stunden schrieb Busfan:Dachte ich auch, aber es tritt bei verschiedensten Geräten auf (PCs und NBs max 4 Jahre alt).
Das die alle das gleiche Problem haben?hm, das hatte ich übersehen. Vielleicht trotzdem eine gemeinsame Komponente im Spiel, die da reinfunken kann? Wir hatten mal mit USB-Dockingstations diverse Probleme, deren Grafiktreiber sind manchmal richtig schlimm.
Gruß, Nils
-
Moin,
Klingt nach einem Problem mit dem Grafik-Treiber.
Gruß, Nils
-
Moin,
Kommt drauf an, wie du das meinst. Je nach Lesart ist das genau das, wofür DFS da ist.
Du hast Share1, Share2 und Share3. Bindest du die in einen DFS-Knoten ein, dann hast du \\dfs\root\Share1, \\dfs\root\Share2 und \\dfs\root\Share3.
Gruß, Nils
-
Moin,
man beachte dabei: AADDS ist nicht Azure AD, sondern ein separater Dienst. Und AADDS ist nicht AD, weswegen in dem Zitat schon richtig steht, dass es passen muss. Und das ist eben oft (bzw. meiner aktuellen Erfahrung nach: meist) nicht der Fall. Daher meine Aussage: "Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen."
Gruß, Nils
-
2
-
1
-
-
Moin,
die SQL-Logins werden in der master-Datenbank gespeichert. Ist die auch wiederhergestellt worden?
Alternativ die Logins per T-SQL-Skript neu erzeugen und dann mappen. Bei dieser Sorte Account hängt ja nicht viel dahinter, da ist das meist ein gangbarer Weg. (In dem Link von Zahni scheint mir im Prinzip dasselbe zu geschehen.)
Gruß, Nils
-
Moin,
ich hätte mal einen Vorschlag: Wir lassen das hier bleiben und drehen uns nicht weiter im Kreis.
Gruß, Nils
-
2
-
-
Moin,
das wird nichts, wenn du nicht die Anforderungen klärst. Warum meinst du einen Cluster zu benötigen?
Storage Spaces Direct wäre hier jedenfalls ein Irrweg.
Gruß, Nils
-
1
-
-
Moin,
vermutlich wäre dann ein Umstieg auf OneDrive/Sharepoint/Teams am sinnvollsten. Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen.
Gruß, Nils
-
Moin,
oder noch einen Schritt früher: Was sind denn die Anforderungen?
Gruß, Nils
-
Moin,
du könntest dir die Berechtigungen des Ordners mal mit SetACL Studio ansehen. Das hat einen Modus, in dem es die Berechtigungen auch dann anzeigen kann, wenn der ausführende Benutzer eigentlich keine Berechtigung hat (was hier der Fall zu sein scheint). Dazu muss der ausführende Benutzer lokaler Administrator sein (bzw. das Benutzerrecht "SeBackupPrivilege" besitzen).
ZitatBypassing security
Given administrative permissions, SetACL Studio displays everything regardless of current permissions. Never again take ownership just to view which permissions are set. And of course you can peek into the remotest corners of the system.Gruß, Nils
-
Moin,
wenn ich nach "delete bedata backup exec permission" suche, bekomme ich eine Reihe vielversprechender Artikel. Hast du die schon durch?
Gruß, Nils
-
Moin,
vor 44 Minuten schrieb DocData:Also doch Insolvenz anmelden.
gibt es eigentlich einen Grund, dass du hier so rumstänkerst?
Gruß, Nils
-
Moin,
in solchen Fällen kann es tatsächlich ein Ausweg zu sein, die Authentifizierung über ein separates System zu steuern. Obacht aber, dann darf natürlich auch die SAML-Komponente nicht auf einem Windows-Server laufen ...
Und: Eine der eingangs genannten Anforderungen war Einfachheit. In dem jetzt diskutierten Konstrukt hätte man aber mindestens zwei Authentisierungsquellen. Einfach wird das dann nicht mehr sein. Und da kommt dann eine Kostenbetrachtung ins Spiel, zumindest rate ich entschieden dazu.
Gruß, Nils
-
Moin DocData,
vor einer Stunde schrieb DocData:Oh, da habe ich aber jemanden getroffen. Lies meinen Beitrag noch mal, insbesondere den letzten Teil. Dein Beitrag zeigt somit relativ deutlich, dass du da offenbar etwas kompensieren musst.
äh - merkste selber, ne?
Gruß, Nils
-
Moin,
Office 365 oder OneDrive sind keine Alternative? Damit könntest du einfach immer auf die aktuelle Fassung zugreifen, unabhängig vom Gerät. Gerade für MS-Office-Dateien ist das eine komfortable Lösung, wenn einsetzbar.
Gruß, Nils
-
Moin,
Äpfel und Birnen. Für die genannten Zwecke ist eine RAM-Disk schon sinnvoll.
Gruß, Nils
-
Moin,
das ganze Konstrukt ist unsinnig. Auch eine technische Lösung, wie sie dir vorschwebt, wird nicht mehr Verlässlichkeit bringen, denn wie du schon richtig sagst: Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt.
Wenn ihr also bei dem "Notfall-Admin"-Verfahren bleibt, werdet ihr mit einer Unschärfe leben müssen. Das Problem liegt nicht in der Umsetzung, sondern in dem Verfahren selbst.
Gruß, Nils
-
Moin,
ich empfehle noch mal nachdrücklich, jemanden hinzuzuholen, der sich damit auskennt. Das Vorhaben ist umfangreicher, als du denkst. Und man kann durchaus so viel falsch machen, dass man sehr viel Arbeit hat, die Anwender am Arbeiten hindert oder Datenverluste und Sicherheitsprobleme erzeugt.
Gruß, Nils
AD Anmeldung über VPN verbieten
in Active Directory Forum
Geschrieben
Moin,
du solltest immer das eigentliche Ziel im Auge behalten. Wenn du nicht willst, dass das VPN für andere Zwecke als Remote-Administration genutzt wird, dann setze etwas um, das dies auch erreicht. Die Domänen-Anmeldung einzuschränken, hilft dann nicht. Mit Cached Credentials könnte man von einem "Leih-Notebook" trotzdem Ressourcen aus der Zentrale verwenden, die das WAN weit mehr auslasten als ein paar GPOs. Denk etwa an Gigabyte-Dateien von einem Fileshare.
Für die Anforderung scheint mir Norberts Vorschlag besser zu passen. Ergänzen könnte man das noch um eine Begrenzung der zugelassenen IP-Adressen.
Gruß, Nils