testperson

(Normale) User sollen mit administrativer Shell hantieren?

Hi, ich glaube das was du vor hast, habe ich mal mit VBScript erledigt und in der Batch dann per cscript / wscript ausgeführt. Generell wäre die Frage, warum Batch und nicht PowerShell? 'VBS Option Explicit 'Variabeln deklarieren Dim objWSH,objWMI,objWMIService,Proc,P,Weiter 'Erstellen der Objekte Set objWSH = CreateObject("WScript.Shell") objWSH.Run "<Pfad_zur_EXE>.exe", , true 'Hier geht es erst weiter wenn das Programm beendet wird Gruß Jan P.S.: Das habe ich irgendwann mal gefunden und benutzt.

Hast du dir die Ereignisse auch durchgelesen? Liefert eines deiner Ereignisse evtl. schon eine Lösung?

Hi, schau ins Eventlog "Anwendungs- und Dienstprotokolle" -> "DFS-Replikation" bzw. auch in "Directory Service". Gruß Jan

Es sind max. ein bis zwei Hände voll. Da ist es halt praktisch, dass viele unserer Kunden so oder so alle eine Smartcard von DATEV haben, mit der man das eben umsetzen kann. Ein Kunde testet das grade mit RCDevs und Softtoken.

Dem kann man ja mit einem zweiten Faktor (Smartcard / Yubikey / Token) entgegen wirken. Ebenfalls gibt es Möglichkeiten zu überwachen, von wo eine Anmeldung versucht wird / erfolgt. Sollten bei einer Behörde dann Anmeldeversuche / Anmeldungen aus China o.ä erfolgen, dann ist wohl was faul im Staate Dänemark Deutschland. ;)

Und dann kommt die "Duo Bypass App" um die Ecke: https://blog.workinghardinit.work/2019/11/13/the-darwin-award-with-mfa-push-notifications/ oder der User bestätigt eben jede Anfrage :-D

Hm.. RTFM? https://docs.microsoft.com/en-us/microsoftteams/teams-for-vdi https://docs.microsoft.com/en-us/microsoftteams/msi-deployment

Halt stopp. ;) Nils' hat es oben eigentlich schon angemerkt. Die MAC Adresse ändert sich nicht bei / nach der Livemigration sondern erst wenn die VM danach neu gestartet wird. "Abgestimmt" sind die nur mit SCVMM und MAC address pools. Ansonsten generiert der Host die: https://support.microsoft.com/en-us/help/2804678/windows-hyper-v-server-has-a-default-limit-of-256-dynamic-mac-addresse

Das ist jetzt auch kein wirklich sachdienlicher Hinweis, aber nutze jetzt die Chance und dokumentiere das, was du wie auch immer jetzt aufspürst. Generell: Dokumentation. ;) Ebenfalls für die (nahe* not foreseeable) Zukunft: Wenn du alle LDAP-anfragenden System gefunden hast, prüfe, welche der Systeme unverschlüsseltes / -signiertes LDAP sprechen und konfiguriere auf secure LDAP / LDAPs um: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023 * Der Artikel wurde scheinbar erneut angepasst und aus der 2ten Jahreshälfte 2020 wurde die nicht absehbare Zukunft.

Ja klar, allerdings sollte dann auch eine entsprechende Ansage ohne 2FA helfen. ;) Natürlich kann man Ansagen mit was Neuem einfacher verargumentieren wie etwas zu ändern, was doch schon immer so gehandhabt wurde.

Hi, für die Zukunft könnte man auch einen Loadbalancer für solche LDAP Anfragen implentieren. Dann hast du immer nur eine IP / einen Namen und tauscht dahinter einfach die Server-Objekte aus. (Laut Microsoft ist das allerdings unsupported: https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx) Gruß Jan

Meinst du, derjenige der seine Account-Daten weitergibt, wird dann nicht bei 2FA auch den Code weitergeben bzw. blind alles absegnen? Da müsste der 2te Faktor ja schon SmartCard / Yubikey o.ä. sein, was man aber auch weiterreichen kann. Sowas lässt sich vermutlich nur organisatorisch und mit Konsequenzen abschaffen.

Hi, schalte für die VM doch testweise einmal bei den Integrationsdiensten den "Datenaustausch" aus. ;) Generell würde ich beim Hersteller nicht lockerlassen und auf Lösung bzw. Unterstützung bestehen. Gruß Jan

Hi, unser DSB hat sich eine Notiz dazu gemacht und somit abgehakt. Bei Kunden gibt es DSBs die das ebenso handhaben, mit denen man sich über Sinn / Unsinn der regelmäßigen Kennwortänderung unterhalten kann oder welche die darauf beharren und auf die Unfähigkeit des ITlers hinweisen. Viele Kunden (und auch DSBs) verstehen im Gespräch, dass es Unsinn ist und verzichten drauf. Andere Kunden glauben dem DSB, der macht das ja beruflich. ;) Ebenfalls gibt es noch "Cyber-Versicherungen" die Kennwortänderungen in ihren Bedingungen haben. Die freuen sich in der Regel, dass Sie ihr Kennwort nicht mehr ändern müssen bzw. mussten das Kennwort eh nicht regelmäßig ändern. Theoretisch kann ja jeder der mag, sein Kennwort alle x-Tage trotzdem ändern. Langes Kennwort bzw. einen Kennwortsatz; Keine regelmäßige Änderung. Gruß Jan

Die RDS Rolle unter Windows Server 2019 braucht laut TO einen Domain Controller und der Windows Server 2016 wohl nicht. Damit wäre das Thema Domäne ad acta gelegt, sofern es nicht zwingend Windows Server 2019 sein muss.

Hi, da alle auf Windows VPN eindreschen will ich doch glatt mitmachen. Es sei denn es handelt sich um DirectAccess. :) Allerdings würde ich eher auf Always On VPN mit (/ oder komplett auf) 3rd Party setzen. Gruß Jan

Es gibt Lancom Devices die per Public Spot (Option) ein Gästenetzwerk mit Landing-Page / Anmeldung bereitstellen können. Ohne Lancom WLC wird man aber an VLANs oder physikalisch getrennten Netzen nicht vorbeikommen. Mit WLC könnte man verschiedene Netze per Layer-3 Tunnel über den Controller tunneln.

Ich hätte den gleichen Rat: https://www.mcseboard.de/topic/217839-server-in-neues-ip-netzwerk/?do=findComment&comment=1398828

Ja.

... und erstrahlt in neuem Gewand: https://gpsearch.azurewebsites.net/ Und vom Author gibt es noch eine kleine Geschichte dazu: https://st-s.info/2020/04/19/eine-kleine-geschichte-der-group-policy-search/ Gruß Jan

Nein.

"Gefühlt" wird das mit jedem Patchday in 2020 etwas besser.

Zum Einen willst du doch grade euer gewachsenes nicht getrenntes Netzwerk trennen. Warum dann gleich weiter pfuschen? Zum Anderen, was passiert denn, wenn ein "Gast" sich mal etwas umsieht und seinem Device einfach eine IP im Server-Netz gibt?

Hi, das was du da vorliegen hast bzw. was man so aus den Screenshots und deinen Infos ablesen / -leiten kann, sieht relativ wirr und falsch aus. Dir scheinen hier und da Grundlagen zu fehlen, was nicht so dramatisch ist. Für dich wäre es evtl. am besten, dir mit einem Buch bspw. "Microsoft Hyper-V Das Handbuch für Administratoren" die Grundlagen anzueignen. Bei Detailfragen kann man dann sicherlich hier weiterhelfen. Wenn du keinen "NAT Switch" angelegt hast oder Routing und RAS auf dem HyperV Host installiert hast, wird (theoretisch) nie eine VM mit dem Gateway .1 irgendwas außerhalb des lokalen Netzes erreichen. Sollte ein NAT Switch angelegt sein oder RRAS auf dem Host liegen -> Das macht man nicht! Ebenfalls werden deine VMs mit einem "Internen Switch" nur mit VMs an diesem Switch kommunizieren können -> Das kann man machen, dann sollte es aber eine Router VM geben die an einem externen Switch hängt und eben routet. Ein virtueller Switch hat keine IP Adresse. Das ist in deinem Fall die Management-IP des HyperV Host. Gibt es überhaupt VMs mit den IPs .102/.103 auf denen auch ein DNS läuft? Wie oben erwähnt: Fang am besten bei Null (und mit einem Buch) an: Installiere den Host mit fester IP (GW + DNS: FritzBox) Füge die HyperV Rolle hinzu und nutze einen virtuellen Switch vom Typ "Extern" Installiere die erste VM und verbinde diese mit dem Switch und lasse ihr eine IP vom FritzBox DHCP geben Konfiguriere der VM eine feste IP mit (GW + DNS: FritzBox) Installiere in der VM einen DNS Server und bringe diesen zum Laufen. (Oder möchtest du evtl. ein Active Directory installieren?) (Installiere eine weitere VM für den zweiten DNS, sofern du wirklich zwei DNS zum Testen brauchst (Oder DC?)) Nutze den / die DNS Server anstelle der FritzBox Installiere in einer weiteren VM / der VM einen DHCP Server und bringe diesen zum Laufen Deaktiviere den DHCPv4/v6 an der FritzBox und nutze deinen DHCP Server Setze die nächste VM für Rolle XYZ auf... Mache immer erst eine Sache fertig bevor du mit der nächsten anfängst Wenn du Snapshots nutzt kannst du immer wieder ohne großen Aufwand vorne anfangen bzw. eben auf einen Snapshot zurück, wenn unvorhergesehenes passiert / Sollten Domain Controller involviert sein, nutze nur einen(!) DC oder keine(!) Snapshots / Generell ist eine VM auch schnell neu installiert Gruß Jan