wznutzer

Da sind wir nicht einer Meinung. Nicht jeder auf irgendwelchen PC, sondern einer auf seinem PC. Es gibt Software wie Debugger, die läuft nicht auf zugenagelten Kisten. Auch solche PCs müssen gewartet und in ein Konzept eingebunden werden. Wir sind uns einig, das mit nicht besonders privilegierten Accounts zu machen. Wenn sich das Management dieser Accounts vereinfachen lässt, umso besser und warum nicht auf alle PCs einheitlich ausdehnen. Ich schätze deine Meinung, glaube aber auch, dass du mit „scheinbarer Sicherheit“ falsch liegst. Scheinbare Sicherheit wäre in diesem Fall, ich glaube nur dass ein AD-User ohne spezielle Rechte größeren Schaden anrichten kann. Das aber ist nicht der Fall und darauf arbeite ich hin. Es geht hier nicht um die Absicherung der Clients. Im Ernstfall wird ein Client neu aufgesetzt oder ein Image eingespielt.

Nein, das will ich nicht. Deswegen frage ich hier nach Erfahrungen. Ich habe das bestehende Rad noch nicht gefunden / kenne es nicht. Finde ich eines, drehe ich es nur . Ich finde es falsch, mit besonders privilegierten Accounts sich einfach überall anzumelden. Mir sind gegensätzliche Meinungen aber wohl bekannt. Mir ist dabei das Szenario von letztem Jahr im Kopf, als Ransomware sich z. B. über psexec verbreitete. Ohne ausreichend Rechte wäre das nicht gegangen. Ich werde noch etwas recherchieren, im Moment tendiere ich dazu ein Powershell Script oder C# Programm zu erstellen, dass die Computerkonten ausliest und passende Konten erstellt. Evtl. Ist es möglich das im AD gespeicherte PW von LAPS auszulesen und zu verwenden. Das idealerweise nur wenn ein Computerkonto generiert wird. Klappt das, wäre ich zufrieden.

Ja, du hast recht. Es ist missverständlich geschrieben. Muss heißen: Einen Wartungsaccount je Domänenmitglied. Es gibt keinen tiefergehenden Grund als bereits geschrieben. Ich betrachte die „normalen“ PCs als nicht vertrauenswürdig genug um mich als Domänenadmin oder mit einem sonstigen privilegierten Account anzumelden. Viele, nicht alle, User haben lokale Adminrechte und benötigen diese auch. Deswegen der Vertrauensentzug. Andererseits will ich ohne weitere Authentifizierung auf Ablagen die über das AD gesichert sind zugreifen, Nutzer GPOs prüfen usw..

Es muss nicht unbedingt kostenlos sein. Wenn LAPS aber gut funktioniert würde ich nicht extra Geld ausgeben wollen. Die Sache mit den nicht verschlüsselten Passwörtern ist nicht erste Sahne, aber ich kann es ja mit Zugriffsrechten schützen. Was wäre die kostenpflichtige Alternative. Es sind mehr als 25 Clients. Zu 2. Was will ich erreichen Ich will mich als Domänenuser an allen Mitglieder (PC) anmelden können und lokale Adminrechte haben. Dazu will ich aber weder den Domänenadmin nehmen noch einen einzigen User. Das ist sozusagen die ausgedachte Lösung. Ich will einen Wartungsaccount für alle Domänenmitglieder. Sollte dieser Wartungsaccount kompromittiert werden soll der Schaden in engen Grenzen gehalten werden. Der Wartungsaccount von PC1 soll nichts auf PC2 anrichten können. Manuell ist das alles möglich, automatisiert wäre mir lieber.

Ich hatte überhaupt nicht daran gedacht, dass hier irgendjemand etwas tun kann. Das war gar keine Absicht. Ich schreibe hier grundsätzlich um zu bitten, nicht um zu fordern. Was du mit PG oder dem Feedback Button meinst, ist mir gerade nicht klar. Eine Beschwerde bei MS, eher nicht. Das lohnt sich nicht.

Hallo, ich erarbeite mir gerade ein Konzept, dass die lokalen Passwörter nicht mehr organisatorisch verwaltet werden, sodern über das AD. Außerdem wäre es mir recht, wenn ich einen Domänenuser mit lokalen Adminrechten auf jedem Client hätte. Lokale Passwörter Eine Lösung die sich gut anhört ist "Local Administrator Password Solution (LAPS)". Hier: https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/ ist es beschrieben. Ist LAPS noch immer die Standardlösung, auch mit Windows 10 1709? Es hört sich jedenfalls gut an. Domänenuser mit lokalen Adminrechten Ich kann einfach einem Domänenuser über GPO lokale Adminrechte geben. Das funktioniert, wäre aber so eine Art Superuser. Lieber wäre mir so etwas wie LAPS, aber in der Domäne. Ich will mich mit normalen Nutzerrechten in der Domäne aber Adminrechte lokal anmelden, das aber nicht an jedem Rechner mit dem gleichen Passwort / User. Da ich mich im AD bewege, klappt ein User mit verschiedenen Passwörter nicht. Ich stelle mir einen automatisiert angelegten User mit dem Namen des Clients vor und einem eingenen Passwort. Evtl. denke ich aber hier etwas quer, wenn ja, schiebt mich in die richtige Richtung. Ich will verhindern, dass an Clients für "normale" Wartungsarbeiten eine Anmeldung nötig wird, mit der im Netzwerk nennenswerter Schaden angerichtet werden kann.

Das ist aber kein guter Grund, sondern Bequemlichkeit. Aktuelle Patches verteilen nicht signierte *.dll und *.exe. Wir müssen eben damit leben.

Dann bleibt mir nur noch ein Danke.

Von einem separaten Treiber für die M.2 SSD habe ich zwar gelesen, aber W10 1703 + 1709 kann auch ohne extra Treiber damit umgehen.

Ich glaube das verwirrt den TE. Du meinst die Sache mit OUI der MAC-Adresse? Man kann einen Switch so konfigurieren, dass die Ports automatisch in ein VLAN fallen wenn ein bestimmtes Gerät angeschlossen wird. Bei IP-Telefonie zum Beispiel.

Hi, evtl. ist das Security-Forum hier falsch. Aber weiß jemand warum Microsoft nicht konsequent alle Dateien die zum OS gehören digital signiert? Je nach dem welche Partner-Kompetenz man hat bzw. will, muss man eigene Software doch auch signieren. Es gibt auf einem frisch installierten Windows 10 unzählig viele *.exe und *.dll die von Microsoft sind und nicht signiert sind. Das sollte im Jahr 2018 Standard sein. Mit fällt kein guter Grund ein. Kennt ihr einen? Danke

Hi, wenn ich zwei DCs habe und das Passwort des Build-in Administrators der Domäne ändern will. Muss da etwas spezielles beachtet werden? Bei einem DC oder normalen Nutzern oder zusätzlich angelegten Nutzern mit Administrationsrechten, gibt es ja nichts zu beachten. Die Beste Methode ist soweit ich weiß: anmelden, STRG + ALT + ENTF, Passwort ändern, altes und neues Passwort eingeben fertig. Ist der Build-in etwas spezielles im Bezug auf Passwortänderung mit zwei DCs oder auch "nur" ein normaler Nutzer? Die Lockout-Regeln für Passwörter gelten z. B. bei dem Build-in ja nicht und die UAC ist standardmäßig aus. Mehr Spezialitäten sind mir nicht bekannt. Schönen Abend noch...

Hi, vielen Dank für die Antworten. Schnellstart war bereits deaktiviert, aber über die UI. Memtest muss ich noch machen, ein G:\Windows gibt es mit bcdedit /v nicht. Was mir allerdings gerade erst einfällt. Ich habe die Samsung Software der SSD M.2 960 gar nicht installiert. Das muss ich machen, evtl. gibt es ein Firmwareupdate.

Guten Morgen, ich versuche das kurz zu schildern. Ein PC W10 1703 Enterprise installierte KB4088782/4088785 (Die März Updates). Beim Herunterfahren die übliche Meldung Bitte warten... Meldung. Beim Hochfahren auch wie üblich. PC funktioniert einwandfrei. Beim nächsten Herunterfahren wieder eine Bitte warten... Meldung. Beim nächsten Start erscheint dann "Automatische Reparatur", nach kurzer Zeit die Meldung, dass der PC nicht repariert werden konnte, näheres in der srttrail.txt. Den PC über die erweiterten Optionen heruntergefahren und neu gestartet. PC startet problemlos und funktioniert wieder einwandfrei, installiert nach dem Login die Tastatur- und Maustreiber neu. Lt. srttrail.txt ist die Datei ntfs.sys unter g:\Windows\system32\drivers\ntfs.sys beschädigt (corrupt), Fehlercode: 0x490. Klar, unter G:\ gibt es das auch nicht. PC läuft völlig problemlos, keine BlueScreens. Analyse: srttrail.txt verweist auf g:\Windows..., könnte aber auch mit der Reparaturumgebung zu tun haben. Lt. Eventlog ID20 unter System (Kernel-Boot) war einmal ein Herunterfahren FALSE. Ist mir aber nicht bekannt, bzw. habe ich nicht bemerkt. ntfs.sys ist da und die MS-Signatur stimmt. Checkdisk meldet keine Fehler. Sicherheitshalber mal ein Check mit Desinfect. Keine Funde. Auf dem PC wurde nichts installiert (außer Windows Updates), es wird nicht gesurft und Mails werden erst mal nur als Text gelesen. Malware also eher unwahrscheinlich. Ich habe nur das hier: https://superuser.com/questions/1258387/automatic-repair-couldn-t-repair-pc-looking-for-ntfs-sys-on-wrong-drive gefunden. Der User beschreibt exakt das gleiche Problem. Ich habe sogar auch eine Samsung 960 M.2 SSD installiert. Der User kommt zum Schluss: Schluckauf. Ich habe keine Erklärung für dieses Verhalten, hätte aber gerne eine um das zu verstehen. Kennt ihr das Problem bzw. habt ihr eine Idee was das sein könnte? Müssen in der srttrail.txt die korrekten Pfade stehen oder können diese schon mal umgebogen sein. Die srttrail.txt lag ja tatsächlich unter c:\Windows\system32\logfiles. Vielen Dank und Grüße PS Solltet ihr auch Desinfect nutzen. F-Secure scannt seit einiger Zeit gar nicht mehr. Es erscheint aber eine Erfolgsmeldung. Nur so zur Info.

Bis vor 2 Wochen hätte ich gesagt, dass ist mir in 19 Jahren noch nicht vorgekommen :) . Mit IBM / Lenovo habe ich ja nun auch nicht wirklich eine kleine Klitsche als Hersteller. Wahrscheinlich ist eine 10 GB Infrastruktur noch nicht so gängig. Nicht wirklich schlimm, läuft jetzt halt über 1 GB, aber immer verfügbar, auf jeden Fall, geht nicht gibt's nicht, ist halt auch nicht zu 100% richtig. Hängt vielleicht von der Wichtigkeit der Ersatzteile ab. Läuft nun über 1 GB statt über 10 GB ist halt weniger schlimm wie die Kiste steht. Ist ja tatsächlich auch so.

Hi, danke. Dieser Teil hat mir gefehlt. Ich werde das jetzt einfach mal installieren. Grüße

Es ist nicht nötig, dass du dich entschuldigst, in keinster Weise, es gibt keinen Grund. Ehrt dich aber trotzdem. Aber wie gesagt (geschrieben), wir streiten nicht, wir reden (schreiben) nur.

Guten Abend, Deine Aussage passt nicht zu dem Bild das ich mir im Kopf gemalt habe. Allerdings basiert mein Wissen bisher ausschließlich auf dem Lesen von Dokus, also potentiell falsch. Das Portal will ich nicht veröffentlichen, aber mit der Smartphone-App arbeiten. Dazu muss ich dann doch einen Port nach "innen" öffnen, weil die Webdienste für die Mobile-App bei mir installiert sind. Oder kann ich diese Webdienste auch zu Azure auslagern? Alternativ müsste ich mit der Authentifizierung per SMS arbeiten. Aber die App wäre halt eleganter. Um den Port für die Webdienste der Smartphone-App geht es mir. Dahinter ist dann ein IIS direkt in meinem Produktivnetz. Das will mir nicht gefallen. Habe ich da was falsch verstanden?

Bei allem Respekt, das ist jetzt Rechthaberei. Ich spiele aber mit, wenn ich falsch liege kann ich nur dazu lernen. Ich habe nicht gefragt, was das RIPE ist. Ich meine das geht klar aus der Frage hervor. Wenn du mir sagen willst, dass dieser Link technische Unterschiede für verschiedene Anschlussarten von Internetanschlüssen dokumentiert, finde ich darin die entsprechende Aussage nicht. Wenn du mir sagen willst, dass Anschlüsse als Ripe-Anschlüsse bezeichnet werden deren IPs bei der Ripe registriert sind, wäre das in der hiesigen Gegend aber der Normalfall und kein Kriterium um Internetanschlüsse in verschiedene Kategorien aufzuteilen. Um die Aussage stimmig zu machen, müssten diese Kategorien unterschiedliche Konfigurationen in den angeschlossenen Modems erfordern. Wir erinnern uns Ripe = kompliziert / Bridge = einfach. Jetzt könnte ich auch versuchen deine Gedanken weiterzudenken, evtl. willst du mir sagen, dass Ripe-Anschlüsse Anschlüsse sind deren IP direkt und nicht über den ISP bei der Ripe registriert sind. Dann hättest du aber auch einfach schreiben können: "Ripe-Anschlüsse sind Anschlüsse deren IP mit den Daten des Inhabers direkt bei ripe.net registriert sind." Dann wäre der Begriff erklärt und ich hätte ein Wissensdefizit weniger. Einen technischen Unterschied der unterschiedliche Konfigurationen bei mir erfordert erkenne ich aber trotzdem nicht. Und falls jetzt jemand meint, wir streiten, nein das tun wir nicht. Wir tauschen Argumente auf einer Ebene aus die weit über dem Niveau von streiten liegt :) .

Bei Support-Verträgen fehlt beim Verkauf immer der Hinweis, dass der ganze Support-Vertrag mit ultraschneller Reaktionszeit nichts nützt wenn ein Ersatzteil nicht vorhanden ist. Wir verstehen uns nicht falsch. Abschließen würde ich so einen Vertrag immer, die Kosten sind für einen einzelnen Server ja nicht sehr hoch. Einerseits warte ich seit über eine Woche auf eine 10 GB Netzwerkkarte. Andererseits wurden mir aber auch schon Mainboards mit dem Taxi vom Frankfurter Flughafen (4h Fahrzeit) gebracht. Wenn das Teil nicht verfügbar ist, ist es eben nicht verfügbar.

Hallo, um die Azure MFA mit einem lokalen AD zur Authentifizierung eines Remote-Desktop-Gateay zu verwenden muss die lokale Installation verwendet werden. Es gibt jede Menge Infos dazu im Netz, so dass ich keine Bedenken habe das zum Laufen zu bringen. Was mir aber gar nicht gefällt, ist dass ich für den lokal installierte MFA-Server einen Port zu meinem Netzwerk aufmachen muss. Die eine Tür sichere ich doppelt ab um gegenüber eine neue Tür zu öffnen. Hat das jemand von euch im Einsatz und wenn ja wie habt ihr das abgesichert? Variante 1 Port auf und fertig. Das Exchange-Team sagt ja inzwischen auch, dass ein Exchange mit einer einfachen Portweiterleitung sicher genug ist. Variante 2 Port auf und fertig, aber nur IP-Adressen erlauben die von Azure kommen? Habe keine Doku gefunden in der z. B. ein IP-Adressen Bereich genannt wird. Variante 3 Lokaler MFA-Server in ein sep. Netzsegment. Da müsste ich aber soviel zum Produktivnetz öffnen, dass mir das nicht sicherer erscheint als den MFA-Server direkt in der Domäne zu betreiben. Variante 4 Zugriffe über einen Reverse-Proxy absichern. Doku habe ich keine gefunden. Wenn ich dann aber so viele Regeln abschalten muss, dass es funktioniert ist das dann auch wieder nur Scheinsicherheit. Habt ihr mir dazu ein paar Tipps? Natürlich gibt es andere Anbieter, aber die Microsoft-Lizenzen, nennt man das Pläne bei Azure, sind sowieso schon vorhanden.

Nirgendswo. Die Aussage kam von der techn. Hotline nach dem Bestellprozess, ich hätte das falsche bestellt. Ich habe hier gefragt, weil ich dachte ich hätte ein Wissensdefizit. Es hat sich, wie oben geschrieben, aber auch schon geklärt. Ripe-Anschluss wird man anders als viele andere Begriffe (IP-Adresse, MAC-Adresse usw.) nicht in einem IT-Lexikon finden.

Hi, entschuldigt die verspätete Nachricht. Natürlich habe ich die Anschlussbedingungen gelesen. Da steht nichts von RIPE/Bridge Anschluss. Da ich aber die Bedingungen gelesen habe :D , wollte ich das mit Dual Stack Lite nicht und habe eine feste IP mitbestellt. Es ging mir aber um die Behauptung RIPE/Bridge wäre etwas komplett anderes und RIPE total kompliziert und ich soll einen Bridge-Anschluss bestellen. Wir kürzen das ab, ich hatte nochmals Kontakt mit der Hotline. Ich hatte wohl einen Neuen der noch nicht so richtig Bescheid wusste an der Strippe. Ein RIPE-Anschluss ist, wenn überhaupt, ein interne Bezeichnung von Unitymedia. Ein "stehender Begriff" ist das nicht. Schönes Wochenende wünsche ich euch.

Hallo, Unitymedia verkauft Anschlüsse die sie Ripe-Anschlüsse nennen. Entweder suche ich mit falschen Begriffen, aber ich finde keine Definition was denn ein Ripe-Anschluss sein soll. Die Hotline ist leider keine große Hilfe bzw. kann mir nicht erklären was der Unterschied ist, besteht aber darauf, dass das eine grundsätzlich andere Technik ist. Ripe-Anschlüsse wären kompliziert man sollte Bridge-Anschlüse buchen. Technisch sieht das so aus. Bridge-Anschluss Hitron Modem mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP des Modems ist mein Gateway. Im Modem ist Bridge aktiviert und alle Regeln stehen auf Durchzug bzw. im Bridge-Modus sind gar keine Regeln möglich. Ripe-Anschluss FritzBox 6490 mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP der FritzBox ist mein Gateway. Meine Firewall ist als Exposed Host eingetragen. Somit steht auch da alles auf Durchzug. Lt. Hotline müssten Regeln für ausgehende Verbindungen angelegt werden, sonst würde das nicht gehen. Ist natürlich dummes Geschwätz, geht nämlich trotzdem. Für mich sieht das so aus, als ob es keinen Unterschied gibt, bis auf das die FritzBox etwas anders konfiguriert wird wie das Hitron. Was klar ist, ist ja ein anderes Gerät. Es funktioniert alles wie es soll, mich würde nur interessieren ob es diese Technik Ripe-Anschluss wirklich gibt. Danke und Grüße

Axialis Icon-Workshop Server deaktiviert, Clients gestartet. Aber wie geschrieben. Wenn ich an einem der DCs den Computerbrowser aktiviere läuft alles einwandfrei. Bisher lief es aber ohne. Deswegen die Frage wie das ohne Computerbrowser am DC bisher funktionierte. Da es browstat nicht mehr gibt, ist das herausfinden des Masterbrowser evtl. nicht zuverlässig. Jedenfalls nicht so wie ich das versuche. for /f "delims=\= " %C in ('net view ^| find "\\"') do @echo -Checking %C && @nbtstat -a %C | find "MSBROWSE" Genau, ich erlebe diese Diskussionen ständig :cry: . Das Wort Clientel lässt sich beliebigen Gruppen zuordnen. Erfahrene Admins / IT-Experten gehören da auch dazu. Eine Funktion einer Software wurde benutzt die vom Entwickler so nicht vorgesehen war. Du erklärst dem Admin lang und breit das es bisher Zufall war und er es künftig anders machen soll. Die Schuld liegt immer bei dem der die Arbeit oder den Ärger haben soll :rolleyes: . Ohne irgendeine Änderung funktioniert es wieder. Wenn der Fehler das nächste Mal auftritt aktiviere ich den Computerbrowser auf den DCs.