testperson

Hi, nach dem ersten Überfliegen sieht das eher nach einer Software für eine "private Cloud" aus. Deren "Cloud Lösung" sieht auch sehr stark nach Terminalserver / Citrix Virtual Apps & Desktops / Parallels RAS / ... aus. Eine Strato VM bzw. ein Windows VPS sieht mir nach dem falschen Ansatz aus. Gruß Jan

Hi, in der Theorie findest du hier (Active Directory: Controlling Object Visibility – List Object Mode | Microsoft Learn) bzw. auch hier (https://www.mcseboard.de/topic/217849-eine-domäne-für-mehrere-mandanten/) ein paar Infos in die Richtung. Wenn du die Berechtigungen der "Authenticated Users" entfernst, könntest du durchaus Probleme bekommen, sofern du die Computerkonten nicht ebenfalls passend berechtigt werden. Das Ziel kommt von der eigentlichen Anforderung eines "mandantenfähigen Active Directory" oder vor dem Hintergrund "Security"? Gruß Jan

Hi, ich hätte jetzt auch Hornet Security in den Ring geworfen, da deren Portfolio schon richtig stark ist. Allerdings ist das auch dort möglich... Gruß Jan

Dann setz doch einen Proxy dazwischen, der damit zurecht kommt. Alternativ einen neuen, leeren WSUS aufsetzen, der per DENY-ALL gefiltert wird, und dann durchs Firewall Log hangeln. (Den leeren WSUS ggfs. per Snapshot vorhalten, um immer von Anfang an starten zu können.)

Moin, die Frage ist im Forum des Herstellers Dream Multimedia oder in einer der unzähligen Dreambox Communities / Foren sicherlich besser aufgehoben. Gruß Jan

Hi, bspw. hier: Configure the Firewall Between the WSUS Server and the Internet | Microsoft Learn HTH Jan

Moin, ich würde hier ansetzen und überlegen auf bspw. einen Exchange online Plan / einen M365 Plan, der Exchange online inkludiert, zu wechseln. Wenn M365 ein No-Go ist, dann eben nach einer "Hosted Exchange" Lösung eines anderen Anbieters suchen. Gruß Jan

Da ich recht viel im Outlook Web App "arbeite", kann ich mich theoretisch ganz gut mit dem neuen Outlook anfreunden. ;) Blenden wir mal aus, dass Microsoft total begeistert davon ist, hatten die Hersteller durchaus Zeit, Lösungen zu finden und Outlook new zu unterstützen. Wenn ich mir an der Stelle (bspw. DATEV) Add-Ins ansehe, gibt es da kaum welche, wo User und/oder auch Entwickler schreien "Wir brauchen mehr Add-Ins, die laufen alle perfekt und machen keinerlei Probleme". In meinen Augen sind auch MAPI Zugriffe aus anderen Anwendungen seltenst das gelbe vom Ei. Da hätten sich Probleme lösen lassen können. Ja, ich weiß: Wäre, wäre, Fahrradkette.

In der Theorie soll es über den Office Config Service auch bei den Apps for Business funktionieren. Wenn du es testest, gib doch einmal eine Rückmeldung. (Die Apps for Business wenden halt - wenn überhaupt - nur einen ganz kleinen Teil an GPO Einstellungen / Office Config Service Einstellungen an.)

Moin, dann bist du beim Domain Controller vermutlich auch nach dem Motto "Ganz oder gar nicht" vorgegangen und hast "The safest setting" aus dem Ping Castle Report umgesetzt und "Ungeschützte Authentifizierungsanfragen ablehnen / Fail unarmored authentication requests" konfiguriert? Theoretisch solltest du noch von einem Client mit der Gruppenrichtlinienverwaltung die Policy für die DCs bearbeiten und "GPS: Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz" auf "Unterstützt" bzw. 1 konfigurieren können. Alternativ die GPO unlinken / deaktivieren. Dann musst du aber am Domain Controller noch die Registry bearbeiten und unter "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters" "CbacAndArmorLevel" auf 1 setzen. Möglicherweise klappt das per PowerShell von einem Client mit angemeldetem Domain Admin: Enter-PSSession SERVER $dcc = (Get-ADDomain).DomainControllersContainer # Notfalls mit "Get-GPO -All" die GPO suchen Remove-GPLink -Name "<Hier der Name der erstellten GPO>" -Target $dcc Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters -Name CbacAndArmorLevel -Value 1 HTH Jan

Was hast du denn in der neuen GPO (und möglicherweise auch ansonsten noch) konfiguriert? Ist es möglicherweise einfacher / schneller, das letzte Backup wiederherzustellen?

@CoNtAcT2000 was passiert denn überhaupt, wenn du den Server ganz normal bootest und du dich an der Konsole vorm Server anmelden willst?

Hi, versuchst du die Anmeldung nur per RDP und der IP Adresse? Nimm einmal den FQDN, falls du dich per RDP anmeldest. Ansonsten kannst du dich lokal direkt am Server oder halt per RMM (iLO, iDRAC, etc.) anmelden? Gruß Jan

(Ich würde mal vorsichtig hinterfragen, wozu (noch?) den WSUS wenn baramundi da ist?)

Hi, So wirklich weit weg von unsupported wäre das meiner Aufassung nach nicht: Manage recipients in Exchange Server 2019 Hybrid environments | Microsoft Learn Bei solchen Problemen würde ich den User einfach einmal aus dem Sync Scope nehmen und warten, bis er online gelöscht wird. Dann wieder in den Scope und syncen lassen. Mach ansonsten ein Ticket bei MS auf. Gruß Jan P.S.: Diese Änderung hat es auch nur in den ersten Splashscreen geschafft. An allen anderen Stellen heißt es weiterhin "AzureAD Connect". (Zumindest bei der ersten Version, die "umbenannt" wurde.) :)

Dann sind wir aber "fast" an dem Punkt, dass auch der regelmäßige Kennwortwechsel nicht hilft, sofern im "nicht Idealfall" SMB signing nicht erzwungen wird und mDNS / LLMNR, etc. zutrifft. (Was in der Praxis leider immer wieder zu sehen ist. :/ Manchmal bin ich doch froh, Umgebungen zu finden, wo es mehr als die DDP + DDCP gibt. :)) Aber: Verstanden. Danke!

Evtl. etwas zu vereinfacht: Bei PtH gibt es einen Man in the Middle und die Kommunikation ist unverschlüsselt und/oder unsigniert oder der Angreifer ist bereits auf einem Device authentifiziert und sammelten die lokal liegenden Hashes, die es im Idealfall nicht gibt. Oder bin ich hier zu blauäugig / unwissend / realitätsfern?

Moin, vielleicht auch einfach darüber nachdenken, die Kennwort nicht mehr regelmäßig ablaufen bzw. ändern zu lassen. Der Artikel ist jetzt auch fast schon fünf Jahre alt: Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online Wenn es um Sicherheit geht, wäre eine MFA wohl zu bevorzugen. Möglicherweise zusätzlich auch eine "Überwachung" der Kennwörter mit Tools wie bspw. "Microsoft Entra Password Protection" oder auch "Specops Password Policy" . Gruß Jan

Hi, kann man die Posteingänge evtl. freigeben mit "Lesen" / "Löschen" -> "Keine" und "Schreiben" -> Elemente erstellen? Dann könnte man die Mails ggfs. in die Posteingänge verschieben. Das dürfte früher (oder später) aber auch an seine Grenzen stoßen. Ggfs. auf ein Ticket System wechseln und den Mitarbeitern dann einfach die Mail als Ticket bereitstellen oder eine Mailablage in einem Archiv / DMS, wo es dann beim Bearbeiter landet? Bzw. das nicht mit Outlook / Exchange abbilden. ;) Gibt es Regelmäßigkeiten, um sowas ggfs. im Hintergrund per Script o.ä. automatisiert zu erledigen? Gruß Jan

Hi, der Zugriff über die IP dürfte ab DFL/FFL 2012 R2 gar nicht mehr funktionieren (außer evtl. vom Host selber auf die eigene IP), da du in den Protected Users kein NTLM mehr machen darfst. Kannst du auf "\\domain.local\netlogon" direkt zugreifen? Gruß Jan

Moin, ist das ein ganz normaler User oder ist der ggfs. Mitglied der "Protected Users"? Gruß Jan

Hi, das verstehe ich noch nicht ganz. Ich würde es "ganz nett" finden, den Workspace zu nutzen und mich dort eben per Entra Id User bzw. eben "Conditional Access" anzumelden und dann auf die lokalen Ressourcen zu kommen. Das lässt sich bspw. ähnlich (besser?) mit "Entra Private Access" oder auch nur dem Azure Application Proxy umsetzen. Wenn es nur um einen neuen Client geht, kannst du zumindest mittlerweile wieder den (roten) RD Client (per Workaround: GitHub - Devolutions/MsRdpEx: Microsoft RDP Client Extensions) nutzen. (Alternativ und je nach Lizenzierung der Server 2025 kannst du halt im Rahmen des Azure Hybrid Vorteils kostenlos Azure Local (Azure Stack HCI) nutzen und müsstest nur die AVD VMs zahlen.) Wie gesagt, so ganz erschließt sich mir dein Plan noch nicht. HTH Jan

OT: Das hätte ja fast schon was von was schlägt man?

Ich nutze das nur als Computer Richtlinie. Für User habe ich es noch nicht getestet / genutzt. Der einzige Unterschied wäre jetzt noch, dass ich ein, zwei Leerzeichen nutze, wie es in den Beispielen steht. Laut Filter format for Microsoft Edge URL policies | Microsoft Learn ist das so und funktioniert bei mir auch so. Ein Test wäre ggfs. noch eine zweite Domain "*.domain.de" anzugeben, obwohl es eigentlich nicht notwendig sein sollte.

Das war in/aus Richtung "wir ziehen einfach die Domain von IONOS zu Anbieter XYZ, den wir dann auch als SmartHost nutzen". Wenn man halt keinen "dedizierten Smarthost Anbieter" nutzt oder eben nicht selber sendet.