NilsK

Moin, was ist denn das für eine ominöse Aufgabe bzw. was macht das Skript denn? Eine Aufgabe mit einem Adminkonto auf Clients zu verteilen, ist i.d.R. die Kategorie "Murks, den man auf jeden Fall vermeiden sollte". Vielleicht (bzw. wahrscheinlich) gibt es bessere Wege, das eigentliche Ziel zu erreichen. Gruß, Nils

Moin, je nach Perspektive gibt es in KMU nichts anderes als "Restore from nothing". Oder eher "Restore from klaubing anything zusammen that you can find". Der Normalfall in KMU ist, dass irgendwas gesichert wird, aber eben nicht mit einem Blick auf Wiederherstellbarkeit. In sehr kleinen Umgebungen ist es ja oft sogar denkbar, "von nichts" wieder anzufangen. Wir diskutieren hier ein Netzwerk von "10-15 Usern". Wie lange wird es da schon dauern, die Berechtigungen neu zu machen, wenn man die eigentlichen Datenbestände irgendwie wieder an den Start kriegt? Je größer die Umgebung, desto mehr sollte man über mehrere Alternativen für das Recovery nachdenken. Aber wenn man erst mal anfangen muss, einem Kunden zu erklären, dass er sich nicht um das Backup, sondern um das Recovery kümmern sollte und dass es nicht nur das Szenario "Worst Case" gibt, dann weiß man eigentlich schon, dass man auch aufhören kann zu reden. Gruß, Nils

Moin, gut, dann müssen die Zertifikate also im Store des Computers liegen. Alle simplen Verteilmechanismen scheiden damit aus - es muss im Systemkontext oder als Admin importiert werden. Der kostengünstigste Weg wäre, dem WSUS ein kommerzielles Zertifikat zu geben, dem alle Clients von selbst vertrauen. Soll es das nicht sein, dann führt kaum ein Weg daran vorbei, die beiden Zertifikate in den Kundendomains jeweils per GPO zu verteilen, weil es sich dort ja um separate Forests handelt. Man muss dazu nicht "alle Kunden-DCs" bearbeiten, sondern nur ein GPO pro Kunde. Gruß, Nils

Moin, dann habe ich so keine Idee dazu. Ich vermute, dass da andere Effekte im Spiel sind, das ergibt dann aber über ein Forum keinen Sinn. Gruß, Nils

Moin, spätestens an dieser Stelle sollte man konkret werden und genau beschreiben, was erreicht werden soll. Sonst werden ab hier alle aneinander vorbeireden. Fangen wir mal an: Wozu sollen denn die Zertifikate verwendet werden? Warum sollen die Root- und Sub-Zertifikate "ohne Import ... und ohne Verteilung per GPO" verteilt werden? Über die Frage, ob es sinnvoll ist, Kunden-Domänen per Trust anzubinden, sprechen wir hier jetzt mal nicht. Gruß, Nils

Moin, das heißt, der PC ist in beiden Fällen derselbe? Der ist mal langsam, mal schnell? Oder handelt es sich um unterschiedliche Mitarbeiter und Geräte? Gruß, Nils

Moin, findest du nicht, dass ein Thread zu dem Thema reicht? Gruß, Nils

Moin, gut, dann nimm das, was ich geschrieben habe, als Appell. Gruß, Nils

Moin, ich finde, wir sollten uns mit solchen Bewertungen zurückhalten. Wir wissen nur aus zweiter Hand, was der Herr angeblich gesagt hat. Ich vermute hier einfach Missverständnisse, weil das in solchen Situationen immer so ist. Stellt euch mal vor, ihr kommt neu in ein Unternehmen und euch eilt so ein Ruf voraus, weil jemand in einem Forum was über euch behauptet hat. Gruß, Nils

Moin, ich meine nicht die Berechtigungen im AD. Das ist in kleinen Umgebungen überhaupt kein Thema. Ich meine die "langweiligen" Berechtigungen in den Nutzdaten. Dateien, Datenbanken, Exchange ... du nennst es. Dass ihr sowas könnt, wie du beschreibst, bezweifle ich keine Sekunde. (Naja, keine Minute.) Ob das für KMU geeignet ist ... da habe ich dann schon sehr grundsätzliche Zweifel. Ich verweise in dem Zusammenhang auf den Eröffnungsbeitrag, Punkt 9. In einer KMU-Umgebung würde ich niemandem den Floh ins Ohr setzen, man könnte Backup und Recovery an den dafür vorgesehenen Funktionen vorbei aufbauen. Gruß, Nils

Moin, Mag sein. Eine Nicht-Original-Quelle meinte, das sei so. Die Original-Quelle hat zu lange zum Laden gebraucht, da hatte ich keinen Nerv mehr. Gruß, Nils

Moin, miteinander reden hilft. Klingt mir doch arg nach Missverständnissen. Ich gehe mal davon aus, dass der Cluster ein Host-Cluster ist, also wohl Hyper-V oder ESXi? Dann braucht es (überblicksweise) 4 Lizenzen (bzw. Lizenz-Packs wegen der Core-Lizenzierung) Windows Server Standard - zwei pro Host eine Lizenz Exchange Sever 201x mit Software Assurance Exchange-CALs in ausreichender Zahl mit Software Assurance Windows-Server-CALs in ausreichender Zahl passende Lizenzen, um die Windows-10-Installation als VM in einem Cluster zu betreiben - hier würde ich aber auf eine Server-Installation wechseln, die ist dann in den Host-Lizenzen enthalten Gruß, Nils

Moin, das ist doch eigentlich der springende Punkt. Ich habe mir die Frage an den TO diesmal verkniffen, aber bevor wir hier Details auseinanderdröseln, wäre das doch mal relevant. Gruß, Nils

Moin, ich verstehe die Idee, aber das ist doch sehr optimistisch gedacht. Wenn nicht noch sehr viel Automatisierung dazukommt, fehlt mit dieser Grundmethode doch das eigentlich Wichtige, nämlich die gesamte Berechtigungsstruktur - ohne Restore gibt es nun mal keine zu den ACLs passenden SIDs. Die müsste man also auch in einer Skriptlösung berücksichtigen. Und dann stellt sich mir die Sinnfrage. Wenn wir bei den Details bleiben: Die Sample Scripts hatten/haben so ihre Tücken. Deshalb habe ich für Test- und Laborzwecke mal was gebaut. [Active-Directory-Double als Testumgebung | faq-o-matic.net] https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/ [Domänen-Double für Testzwecke | faq-o-matic.net] https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/ Gruß, Nils

Moin,. Ja, ich auch. Um ernsthaft Forensik zu betreiben, braucht man aber mehr. Gruß, Nils

Moin, im Prinzip schon - aber "anständige Forensik" und "Hausmittel" passen nicht zusammen. Da wäre mir wichtiger, dass keine akute Gefahr mehr von dem Gerät ausgeht. Gruß, Nils

Moin, und weil es sonst auch immer zu Recht betont wird: So eine Auswertung ist juristisch heikel und kann die Zustimmung von Betriebsrat, Mitarbeiter*in, ... erfordern. Lass dich im Zweifel beraten, wir dürfen es nicht. Gruß, Nils

Moin, sofort plattmachen und neu einrichten. Wieso fackelt man da noch lange rum? Gruß, Nils

Moin, okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist) auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises) "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise) insgesamt entsteht so trügerische Sicherheit das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner) und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust) Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt. Gruß, Nils

Moin, welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt? Gruß, Nils

Moin, was mir daran nicht schmeckt, ist das VM-basierte "Backup". Nennt mich konservativ, aber: Ich würde sowas höchstens als Zusatzoption machen, aber als Basis immer bei einem herkömmlichen Systemstate-Backup bleiben. Das hat eine ganze Reihe von Vorteilen - einer davon wäre für mich in dem Ransomware-Szenario der wichtigste: Es ist eben keine VM. Im Fall von Ransomware sollte man sich von dem Gedanken verabschieden, dass der Schaden in dem Moment eintritt, in dem der Angriff stattfindet. Eine 14 Tage alte VM, wie im Beispiel genannt, kann sehr gut bereits "gehackt" sein. Es gibt kein einfaches Backup und erst recht kein einfaches Recovery in einem produktiv genutzten Netzwerk. Gruß, Nils

Moin, an der Rückfrage erkennt man, dass du das noch keinen Senioren erklären musstest. Gruß, Nils

Moin, das Stichwort lautet "administrative Delegation". Das AD erlaubt eine sehr granulare Steuerung. Ja, so kann man es beschreiben. https://duckduckgo.com/?q=active+directory+delegation&ia=web Gruß, Nils

Moin, ja, das steht ja unten in meinem Artikel, wo es um die Verarbeitung des CSR geht. ;) Gruß, Nils

Moin, hilft dies? [Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net] https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/ Gruß, Nils