testperson

Hi, da lässt sich bestimmt was mit der Graph-Api (Microsoft Graph Outlook API for mail, calendars, and contacts | Microsoft Learn) oder auch Power Automate (Copy Contacts from a SharePoint List to the Office 365 Contact List | Microsoft Power Automate) machen. Bestimmt gibt es auch schon 3rd Party Tools, die das zum Kauf / zur Miete anbieten. Gruß Jan

Hi, was ist denn der Sinn dahinter? Wäre evtl. Plus Addressing (Plus Addressing in Exchange Online | Microsoft Learn) eine bessere(?) Option? Vielleicht ist aber - mal wieder - Exchange und/oder Outlook das falsche Mittel zur Wahl. Gruß Jan

Hi, hat der User "nur" Zugriff auf alle Kalender oder kann der User auch alle anderen Ordner / das gesamte Postfach öffnen? Es könnten noch Berechtigungen auf der Exchange DB, den AD Usern und/oder Impersonation sein. Gruß Jan

Hi, und zusätzlich zur GPO kann Get-VM | Get-VMIntegrationService | Where-Object { $_.Id.EndsWith("2497F4DE-E9FA-4204-80E4-4B75C46419C0") } | Disable-VMIntegrationService auch nicht schaden. Gruß Jan

Hi, um welche UTM geht es? Evtl. bietet diese eine API zum scripten. Dann kannste dir das Zertifiakt an der UTM holen und am Exchange nutzen oder der Exchange übernimmt das und per API schiebste das Zertifikat auf die UTM. Alternativ eben @NorbertFes Vorschlag, ein paar Euro im Jahr in die Hand nehmen und ein Zertifikat kaufen. Das Security aber auch immer alles teurer und/oder komplexer macht und/oder die Usability drunter leidet. Gruß Jan

Hi, eine ACME-fähige Zertifizierungsstelle à la Let's Encrypt, Zero SLL oder so mit passendem ACME Client zum ausrollen / erneuern der Zertifikate? Ggfs. lässt sich die Windows PKI auch ACME-fähig machen: GitHub - grindsa/acme2certifier: library implementing ACME server functionality Gruß Jan

.. und schaffe Mail-enabled Public Folder ab?

Hi, nimm anstatt %Username% doch %UserProfile% oder %HomeDrive% und %HomePath%. Bzw. kommt es drauf an was du vor hast. Bei Scripten bist du ja recht flexibel. Alternativ muss der User halt nochmal neu personalisieren. Ansonsten schau dir ggfs. entsprechende Profillösungen an und verwerfe die lokalen Profile nach der Abmeldung bzw. beim Herunterfahren. Gruß Jan

Hi, hol dir alle E-Mail-aktivierten Public Folder und gehe diese in einer Schleife durch und prüfe, wo die Berechtigungen gesetzt sind (und/oder setze die Berechtigungen direkt). Gruß Jan

Ich gehe davon aus, dass du fürs Bridging noch Anpassungen am vSwitch machen musst bzw. eben Anpassungen im Rahmen der Virtualisierung. Bei der Hardware Sophos findet das Bridging "in Hardware" statt und nicht mit virtuellen Adaptern an virtuellen Swtiches. Es ist halt schon ein "kleiner feiner" Unterschied, ob du eine Hardware Firewall hast oder diese eben als virtuelle Appliance betreibst. Da kommt halt der komplette "virtuelle (Netzwerk) Layer" dazu.

Hi, warum willst du das jetzt so testen, wenn es später gar nicht benötigt wird. Du brauchst später keine Bridge, sofern ich das richtig verstehe. Des Weiteren ist die Netzwerkkonfiguration / die Konfiguration der virtuellen Switche äußerst unüblich und vermutlich nur deinem jetzigen Konstrukt geschuldet. Meiner Meinung nach wäre es sinnvoll, dass jetzt so aufzubauen und zu testen, wie es später benötigt wird. Hyper-V Switch 1: Für die internen Netze, also PortA und PortC und dann eine Trennung per VLAN NIC PortA an vSwitch1 mit entsprechendem VLAN NIC PortC an vSwitch1 mit entsprechendem VLAN Hyper-V Switch2: Für das WAN Interface NIC PortB an vSwitch2 (Theoretisch kannst du das auch alles per VLAN trennen und kommst dann mit nur einem vSwitch aus; Das hängt aber von den konkreten Anforderungen ab) (Generell kannst du das auch mit einem vSwitch und einer NIC in der VM machen in dem die Sophos dann selber das Tagging übernimmt) Gruß Jan

Wieso? Ändere die Einstellung im GPO und warte den nächsten Refresh ab. Dann sollte sich das erledigen.

Hi, sind PortA und PortC im gleichen logischen Netzwerk oder sind das unterschiedliche Netzwerke? Im ersten Fall kannst du - meiner Meinung nach - auf PortC verzichten. Im zweiten Fall brauchst du keine Bridge sondern einfach nur je Interface eine eigene DHCP Range bzw. wäre hier die Frage, wo der DHCP Server läuft. Gruß Jan

Hi, ohne den Haken werden die Laufwerk per Default im SYSTEM Kontext verbunden. Mit dem Haken werden Laufwerke - wie der Haken auch sagt - im "Kontext des Benutzers" verbunden. Also genau das, was du auch eigentlich willst. Gruß Jan

Script? Du gibst den UPN oder einen Teil davon ein, das Script sucht den User und macht die Arbeit. ADUC? dsa.msc daneben auf Export der User? Excel Tabelle mit Export der User offen und STRG+F Aber bequemer ist es in der Tat mit den richtigen Namen (bis Hochzeit / Scheidung / Zeugenschutzprogramm kommt). Wobei auch da Schmidt.Peter, Schmidt.Peter2, Schmitt.Peter, ... Letztlich ist es wie so häufig: Einen Tod muss man halt sterben.

Hi, ich habe vor ein paar Jahren an allem "WAN-seitigen" alles kleiner TLS 1.2 deaktiviert und keine Probleme gehabt. Bzw. die Kunden hatten daraus auch keine Probleme. Alternativ solltest du in den SMTP Logs auch auswerten können, was / wieviel bei euch kleiner TLS 1.2 ankommt und was/wen du damit aussperren würdest. Gruß Jan

Dafür galt ja: Aber wir sollten hier - wie @NilsK anmerkt - zurück zum Thema bzw. beim Thema bleiben.

Ich sehe da jetzt tatsächlich kein Problem. SAMAccountName -> Entsprechende Nummer UPN -> E-Mail-Adresse Bei der Anmeldung am PC bleibt der letzte User ja vorausgewählt und danach könnte/sollte es per SSOn weiter gehen. Und notfalls kann man es auch vom gemeinen User erwarten, dass er min. einmal am Tag seine E-Mail-Adresse unfallfrei schreibt.

Oder einfach nur ne schnöde Mitarbeiternummer oder eine hochzählende Nummer ab 100/1000/10000. Dann ist auch eine Heirat und/oder Scheidung nicht mehr so dramatisch (für den Admin). Dann "nerve" ich mal weiter: Wie oft passiert das bzw. was sind das für Dateien? Das klingt aber eher nach Aufgaben für ein Script, Softwareverteilung und/oder Gruppenrichtlinien.

Hi, die Frage wäre, warum hättest du es denn gerne so? Was stört dich? Wo hindert dich etwas? Gruß Jan

Hi, einzige Option wäre, das Konto als eigenes Exchange Konto im Outlook hinzuzufügen und nicht als weiteres Postfach im eigentlichen Konto bzw. nicht per Automapping. Gruß Jan

Es kommt nicht "bei der Nutzung" sondern bei Anmeldevorgängen. Generell wären da folgende Optionen: Security Defaults aktiviert lassen und nutzen Auf einen Azure AD Premium Plan wechseln und bspw. Conditional Access nutzen (Security Defaults deaktivieren)

Hi, du kannst weitere, unlizenzierte Benutzer hinzufügen und denen die passenden (administrativen) Rollen zuweisen. Der zweite Faktor wird regelmäßig kommen solange Security Defaults aktiv ist. Gruß Jan

+1 Ein alter Arbeitskollege hat da, wenn es zur Regel wurde, knallhart die Tickets auch nur im Betreff beantwortet. :-D

Wenn es dadurch "deutlich langsamer" werden sollte, hast du vermutlich "deutlich schwerwiegendere" Probleme.