NilsK

Moin,

wer wäre mehr Physiker als ein Handwerker? 

Gruß, Nils

Moin,

da Security kein Zustand ist, wird man das kaum über so eine Kennzahl abbilden können, auch nicht über einen Satz von Kennzahlen. Zudem stellen alle deine Beispiele Werte dar, die das Unternehmen gar nicht beeinflussen kann, weil sie von außen kommen (die Zahl der Angriffe wird von den Angreifern festgelegt).

Es ist hier also völlig unklar, was da gemessen werden soll und vor allem, wie Evgenij schon sagt, zu welchem Zweck.

Gruß, Nils

PS. der Physiker sagt dazu: wer misst, misst Mist.

Moin,

dann haben wir mehrere Möglichkeiten:

1. bei dem betreffenden User ist der UPN doch nicht belegt
2. die Applikation ersetzt den Akzent ^ nur bei bestimmten Feldern/Abfragen
3. noch was anderes

Für 1. wäre jetzt eine Überprüfung sinnvoll, 2. könnte wohl nur der Hersteller beantworten. Für 3. spricht der Rest der Angaben: Wenn ^ von der Anwendung ersetzt wird - durch welchen Wert? Einen, der im sAMAccountName erkannt wird, eine gültige Mailadresse darstellt, aber im UPN nicht erkannt wird? Klingt sehr seltsam - und wirft uns wahrscheinlich auf 2. zurück, also den Herstellersupport.

Man könnte jetzt noch versuchen, per Wireshark oder so aufzuzeichnen, was denn die Applikation da für eine Anfrage ans AD schickt. Das kann aber in großen Aufwand ausarten.

Gruß, Nils

Moin,

wenn du deinerseits ab jetzt mitmachst ...

Also: ^ ist in LDAP nicht als Platzhalter definiert. Es ist denkbar, dass deine Applikation dies als Platzhalter verwendet für den User, der die Suche ausführt. Wäre sehr exotisch, aber Programmierer haben ja schon mal seltsame Ideen.

Da sowohl sAMAccountName als auch userPrincipalName im AD eindeutig sind, brauchst du bei deinen Filterstrings keine weiteren Attribute anzugeben. Das macht das Troubleshooting (und die Syntax) einfacher. Und ab hier könnte man jetzt systematisch vorgehen:

• (sAMAccountName=^) 
  was kommt zurück?
• (userPrincipalName=^)
  was kommt zurück?

Diese Versuche sind natürlich nur sinnvoll, wenn bei dem User, der gesucht wird, diese Felder auch gesetzt sind. Und: Nur dies ist der Suchstring, nichts weiter davor oder dahinter. Auf Basis der Ergebnisse können wir dann weitersehen.

Gruß, Nils

Moin,

mir fiele dazu auch nur ein Workaround ein - sowas wie: drucke aus der Applikation in PDF. Gib das PDF dann mit einem PS-Skript aus, das die erste Seite auf Drucker 1 und den Rest auf Drucker 2 druckt. Einen PDF-Viewer, der seinen Druck in dem Detailgrad per Kommandozeile oder Objektmodell steuerbar macht, müsste man noch suchen, aber gibt es sicher.

Gruß, Nils

Moin,

vor 52 Minuten schrieb FocusName:

Hat Jemand eine Idee?

auf der Basis deiner Informationen leider nicht. Du müsstest schon angeben, was eigentlich Sache ist.

Gruß, Nils

Moin,

vor 16 Minuten schrieb Bubblegum:

In der Doku ist kaum etwas dazu dokumentiert :)

dann ist ja gut, dass du das auch so hältst. Wenn dir noch ein Detail einfällt, kannst du das ja nennen. Vielleicht aber beim nächsten Mal gleich vollständige Fragen stellen, das macht es angenehmer und effizienter. Irgendwie.

Zitat

 

Leider wird immer noch unbalanced parenthesis zurückgeliefert.

Dann hast du entweder mein Beispiel nicht richtig eingegeben oder das mit den Akzenten stimmt doch nicht und in Wirklichkeit stolpert deine Applikation darüber.

Gruß, Nils

Moin,

naja, wenn deine Applikation da den Akzent als Platzhalter nutzt, dann eben der. Was deine Applikation mit dem Suchergebnis macht, weiß ich nicht. Du gibst ja leider hier nur Bruchstücke an, da kann man dann auch nicht mehr antworten.

Gruß, Nils

Moin,

also hast du irgendeine Applikation, die den Akzent durch eine vorhandene Zeichenkette ersetzt? Oder wie?

Dann willst du doch aber eher sowas:

(|(userPrincipalName=SUCHSTRING)(sAMAccountName=SUCHSTRING))

Damit erhältst du aber nur ein Suchergebnis, keine Anmeldung.

Gruß, Nils

Moin,

was soll dein Suchstring denn leisten?

Er soll nach User, Computern und Kontakten suchen, bei denen der UPN mit irgendwelchen Daten gefüllt ist und der SAM-Name ^ lautet?

Gruß, Nils

Moin,

ja, und?

Gruß, Nils

Moin,

dann wüsste ich nicht, was das Thema sein soll.

Zu deiner Frage: Nein, eine Gruppenmitgliedschaft lässt sich nach dem Login nicht mehr ändern.

Zitat

LAPs wäre eine Option, aber die wird weder dir noch den Usern gefallen. 

Und sie ist für dieses Szenario ja auch nicht gedacht.

Gruß, Nils

Moin,

der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen.

Gruß, Nils

Moin,

den maßgeblichen Artikel (der übrigens von @NorbertFe ist,  nicht von Mark) hast du ja schon. Nimm das Zeug aus der DDCP raus und richte die GPOs nach dem Artikel ein. Damit solltest du es richten können. 

Gruß, Nils

Moin,

prima, danke für die Rückmeldung. 

Der frühere Switch, von dem du sprichst, war vielleicht vom Typ "privat", daran ist der Host dann nicht beteiligt, also hat er dort auch keine Netzwerkverbindung.

Gruß, Nils

Moin,

Der Default-Switch ist ein spezieller Switch mit NAT-Funktion, der VMs möglichst einfach ins Internet bringen soll. Das setzt voraus, dass diese ihre Adresse per DHCP beziehen.

Wenn das Prinzip für dein Szenario nicht passt, musst du dir einen separaten virtuellen Switch anlegen.

Gruß, Nils

Moin,

Ist das tatsächlich ein "interner" Switch oder ist es der Default-Switch von Windows 10?

Gruß, Nils

Moin,

dieses Problem wirst du mit einem öffentlichen Arbeitsplatz nicht befriedigend lösen können. Daher ja die Anregung, darüber nachzudenken, ob man sowas heute überhaupt noch braucht. Wir haben schließlich 2021 ... 

Eine einigermaßen sichere Lösung müsste etwas umfassen, das mit dem Nutzer den Rechner verlässt, also etwa eine Smartcard. Da sprechen wir dann aber über ganz andere Aufwände. Und 100% hat man auch damit nicht.

Gruß, Nils

Moin,

Zahnis Hinweis ist völlig zuzustimmen.

Nur so viel: Das, was du jetzt beschreibst, braucht keine Windows-Anmeldung und auch kein AD, sondern man bekäme das auf anderem Wege recht einfach hin. Vielleicht ist das aber noch nicht alles, daher bitte, wie Zahni schon sagt, genau das aufschreiben, was wirklich gebraucht wird.

Gruß, Nils

PS. braucht man heute noch Internet-Rechner in einer Bibliothek? Gerade Studierende können sowas doch bequemer über ihr eigenes Handy machen. Dann fiele die Anforderung vielleicht ganz weg ...

Moin,

wie soll denn ein VPN-Client dabei helfen?

An solchen Stellen würde ich von Workarounds und Bastellösungen absehen.

Gruß, Nils

Moin,

Shibboleth ist im Wesentlichen SAML, da geht es um die Anmeldung an Web-Applikationen. Hilft hier nicht.

In eurem Fall bräuchtet ihr schon ein AD, wenn die Anmeldung an Windows-Clients einigermaßen sinnvoll vonstatten gehen soll. Bei dem Szenario würde vermutlich ein sehr simpler Import der Anmeldedaten der Studierenden ausreichen, z.B. monatlich, vielleicht auch semesterweise. Dazu würde man von dem Unix-System die Konten z.B. in eine CSV-Datei exportieren (nur die wichtigsten Attribute) und diese dann nutzen, um im AD die Konten anzulegen. Hier scheint es ja nicht um weitergehende Anforderungen zu gehen. 

Vorab wäre das juristisch zu klären - dürfen die Daten von der Uni an die Bibliothek weitergegeben werden? (Faktisch wäre das auch bei einem "Self-Service" zu klären, denn ihr dürftet nicht einfach so Benutzerdaten speichern, nur weil jemand auf einer Webseite ein Konto anlegt.)

Bliebe also das Einrichten eines AD und des Import-/Export-Vorgangs. Für jemanden, der sich auskennt, in ein, zwei Tagen ausreichend sicher machbar. Ohne Kenntnisse aber ein No-Go, sowohl technisch als auch aus Sicht der Sicherheit.

Gruß, Nils

Moin,

das lässt sich ohne einen näheren Blick nicht beantworten. Allenfalls könnte man spekulieren, aber wozu?

Dass es an der Metrik liegt, ist eher unwahrscheinlich, es sei denn, das VPN verwendet denselben IP-Adressbereich wie dein Heimnetzwerk. Die Metrik wird meist missverstanden.

Gruß, Nils

Moin,

vor 3 Minuten schrieb daabm:

I/O stoppt auch.

das heißt, dann antwortet auch nix mehr?

Das Übliche habt ihr schon gemacht, also mit einer anderen VM probieren und so?

Gruß, Nils

Moin,

ja, das ist (leider) so. Aber für Berechtigungen sollte man generell nicht mit der Gruppe Domänen-Benutzer arbeiten.

Gruß, Nils

Moin,

der saubere Weg: Definiere zwei Domänenlokale Gruppen "Organizer-Lesen" und "Organizer-Vollzugriff". Richte für diese Gruppen (und nur für diese) die Berechtigungen ein. Stecke den einen User in die Lesen-Gruppe und alle anderen in die Vollzugriff-Gruppe.

Für andere Ansätze müsste man wissen, wie die Applikation auf Leserechte testet. Vielleicht könnte man dann gezielter mit dem "Verweigern" arbeiten - wobei man das üblicherweise vermeiden will.

Gruß, Nils