NilsK

Moin, Wenn das oben in den Logs der Name eurer Firma ist, solltest du das noch mal anonymisieren. Sonst setzt du hier mit deiner Sorglosigkeit vielleicht doch etwas viel aufs Spiel. Gruß, Nils

Moin, ich rate dringend, diesen Thread jetzt zu beenden (und sinnvollerweise auch zu schließen) und vorher die heikelsten Äußerungen unkenntlich zu machen. Hier steht gerade ein Arbeitsplatz auf dem Spiel. Inhaltlich-fachlich geht es hier sowieso schon länger nicht weiter. Gruß, Nils

Moin, Du wirst auch eine ganze Reihe weiterer Inventar-Tools finden. Mit dem AD hat das nichts zu tun. Gruß, Nils

Moin, für Automatisierung innerhalb des SQL Servers ist der SQL Server Agent da. Für einfache Aufgaben ist der einigermaßen selbsterklärend. Falls der nicht nutzbar ist, kann man SQL-Skripte mit sqlcmd.exe auch über den Windows-Taskplaner ausführen. Gruß, Nils

Moin, das erinnert mich an den üblichen Workflow in einer früheren Firma: Vor großen Seriendrucken immer alle Papierschubladen öffnen bis auf die eine, wo das gewünschte Papier drinlag. Dann schnell zurück zum PC und den Druck auslösen. Nur so ließ sich verhindern, dass der Drucker mit irgendeinem Papier weiterdruckte. Gruß, Nils PS: ja, das war auch Lexmark. Ist aber auch über zehn Jahre her.

Moin, man kann das technisch so machen, aber bei Portforwarding ist dann deine Linux-VM für die Sicherheit allein zuständig. Das kann schon mal heikel werden. Und aus der Perspektive ist das Szenario "jemand übernimmt die VM so, dass er auf den Host übergreifen kann" für mich dann nicht mehr exotisch genug, um das einfach mal so einzurichten. (Andere Angriffe, die noch simpler sind, natürlich schon gar nicht.) Gruß, Nils PS. ja, das Ansinnen "ich muss Dateien austauschen" ist eigentlich gängig, aber Angriffe auf halbgare Lösungen eben auch ...

Moin, diese mögliche Unstimmigkeit kannst du direkt im AD prüfen, indem du dir die Eigenschaften des betreffenden Computerkontos ansiehst. Das Cmdlet fragt diese ab und fragt nicht das Zielgerät, du musst also nicht auf deinen Kollegen warten. Was deine erste Reaktion anbelangt - ich verstehe, was du meinst, aber ich bin mir sicher, dass dich hier niemand in die Pfanne hauen wollte. Ich denke, das ist ein Missverständnis. Gruß, Nils

Moin, was mir die ganze Zeit nicht einleuchtet: Aus deinen Antworten geht hervor, dass ihr da irgendwas an der IT-Abteilung vorbei machen wollt. Das kann doch nicht richtig sein. Gruß, Nils

Moin, um es kurz zu sagen: Es gibt keine Möglichkeit, das so zu machen, dass es zu verantworten ist. Hier habe ich das mal durchgespielt: https://youtu.be/qk9GW4E94R8 Gruß, Nils

Moin, das ist dann kein Verwaltungstool, sondern ein Berechtigungsmanagement. Daher stellte ich ja oben die Frage. Gruß, Nils

Moin, ja, ist ein langer Artikel. Es hilft aber, wenn man den Teil liest, der einen auch betrifft. Gruß, Nils

Moin, "Tools für das AD in Richtung Verwaltung, Berechtigung und Audit" ist jetzt nicht besonders aussagekräftig. Was willst du denn erreichen? Bei der Frage würde ich sonst antworten "frag mal eine Suchmaschine" ... Gruß, Nils

Moin, klar, ein Mittelklassewagen kann viel mehr als ein Kettenkarussell. Wenn die kleine Tochter aber Kettenkarussell fahren will, wird das Argument sie nicht überzeugen. Offenbar gibt es doch Bedarf an einer leichtgewichtigen Lösung wie piHole, sonst wäre die ja nicht so verbreitet. Und dazu hat der TO eine Frage gestellt. Nur meine 0,02 EUR, Nils

Moin, wer wäre mehr Physiker als ein Handwerker? Gruß, Nils

Moin, da Security kein Zustand ist, wird man das kaum über so eine Kennzahl abbilden können, auch nicht über einen Satz von Kennzahlen. Zudem stellen alle deine Beispiele Werte dar, die das Unternehmen gar nicht beeinflussen kann, weil sie von außen kommen (die Zahl der Angriffe wird von den Angreifern festgelegt). Es ist hier also völlig unklar, was da gemessen werden soll und vor allem, wie Evgenij schon sagt, zu welchem Zweck. Gruß, Nils PS. der Physiker sagt dazu: wer misst, misst Mist.

Moin, dann haben wir mehrere Möglichkeiten: bei dem betreffenden User ist der UPN doch nicht belegt die Applikation ersetzt den Akzent ^ nur bei bestimmten Feldern/Abfragen noch was anderes Für 1. wäre jetzt eine Überprüfung sinnvoll, 2. könnte wohl nur der Hersteller beantworten. Für 3. spricht der Rest der Angaben: Wenn ^ von der Anwendung ersetzt wird - durch welchen Wert? Einen, der im sAMAccountName erkannt wird, eine gültige Mailadresse darstellt, aber im UPN nicht erkannt wird? Klingt sehr seltsam - und wirft uns wahrscheinlich auf 2. zurück, also den Herstellersupport. Man könnte jetzt noch versuchen, per Wireshark oder so aufzuzeichnen, was denn die Applikation da für eine Anfrage ans AD schickt. Das kann aber in großen Aufwand ausarten. Gruß, Nils

Moin, wenn du deinerseits ab jetzt mitmachst ... Also: ^ ist in LDAP nicht als Platzhalter definiert. Es ist denkbar, dass deine Applikation dies als Platzhalter verwendet für den User, der die Suche ausführt. Wäre sehr exotisch, aber Programmierer haben ja schon mal seltsame Ideen. Da sowohl sAMAccountName als auch userPrincipalName im AD eindeutig sind, brauchst du bei deinen Filterstrings keine weiteren Attribute anzugeben. Das macht das Troubleshooting (und die Syntax) einfacher. Und ab hier könnte man jetzt systematisch vorgehen: (sAMAccountName=^) was kommt zurück? (userPrincipalName=^) was kommt zurück? Diese Versuche sind natürlich nur sinnvoll, wenn bei dem User, der gesucht wird, diese Felder auch gesetzt sind. Und: Nur dies ist der Suchstring, nichts weiter davor oder dahinter. Auf Basis der Ergebnisse können wir dann weitersehen. Gruß, Nils

Moin, mir fiele dazu auch nur ein Workaround ein - sowas wie: drucke aus der Applikation in PDF. Gib das PDF dann mit einem PS-Skript aus, das die erste Seite auf Drucker 1 und den Rest auf Drucker 2 druckt. Einen PDF-Viewer, der seinen Druck in dem Detailgrad per Kommandozeile oder Objektmodell steuerbar macht, müsste man noch suchen, aber gibt es sicher. Gruß, Nils

Moin, auf der Basis deiner Informationen leider nicht. Du müsstest schon angeben, was eigentlich Sache ist. Gruß, Nils

Moin, dann ist ja gut, dass du das auch so hältst. Wenn dir noch ein Detail einfällt, kannst du das ja nennen. Vielleicht aber beim nächsten Mal gleich vollständige Fragen stellen, das macht es angenehmer und effizienter. Irgendwie. Dann hast du entweder mein Beispiel nicht richtig eingegeben oder das mit den Akzenten stimmt doch nicht und in Wirklichkeit stolpert deine Applikation darüber. Gruß, Nils

Moin, naja, wenn deine Applikation da den Akzent als Platzhalter nutzt, dann eben der. Was deine Applikation mit dem Suchergebnis macht, weiß ich nicht. Du gibst ja leider hier nur Bruchstücke an, da kann man dann auch nicht mehr antworten. Gruß, Nils

Moin, also hast du irgendeine Applikation, die den Akzent durch eine vorhandene Zeichenkette ersetzt? Oder wie? Dann willst du doch aber eher sowas: (|(userPrincipalName=SUCHSTRING)(sAMAccountName=SUCHSTRING)) Damit erhältst du aber nur ein Suchergebnis, keine Anmeldung. Gruß, Nils

Moin, was soll dein Suchstring denn leisten? Er soll nach User, Computern und Kontakten suchen, bei denen der UPN mit irgendwelchen Daten gefüllt ist und der SAM-Name ^ lautet? Gruß, Nils

Moin, ja, und? Gruß, Nils

Moin, dann wüsste ich nicht, was das Thema sein soll. Zu deiner Frage: Nein, eine Gruppenmitgliedschaft lässt sich nach dem Login nicht mehr ändern. Und sie ist für dieses Szenario ja auch nicht gedacht. Gruß, Nils