jarazul
-
Gesamte Inhalte
635 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von jarazul
-
-
Im Network and Sharing Center. Dort siehst du die jeweilige Netzwerkverbindung. Das dazugehörige Profil kannst du ändern, in dem du auf die derzeitige Bezeichnung klickst und das neue Profil auswählst.
cheers, Daniel
-
Auch wenn du es nicht hören willst: Drucker per GPP falls erforderlich mit Item Level Targeting. Das ist die Zukunft. Logonscripts sind bis auf ganz fancy Ausnahmen (Druckerzweisung gehören eher nicht dazu) Vergangenheit.
-
-
Ich kann die Angaben aus der c't zumindest im Groben bestätigen.
Branche: IT-Beratung / Berater
-
DisableStrictNameChecking beachtet?
-
Wenn du einen MAK Schlüssel hast, diesen in die unattend.xml eintragen. Oder wenn du einen KMS Schlüssel hast, einen KMS Host auf einem Server konfigurieren und gar nichts an den Clients oder unattend.xml konfigurieren.
-
Ich habe äußerst gute Erfahrungen mit der Windows Remote Assistance gemacht.
Remote Assistance Windows 7 | Kostenlose Fernwartung
cheers, Daniel
-
Reimaging bedarf Volumenlizenzschlüsseln. Unter Umständen kannst du die OEM Lizenzen in Verbindung mit dem Volumenlizenzschlüsseln nutzen. Einen Volumenlizenzschlüssel benötigst du aber in jedem Fall.
-
Aber ein Wechsler aus Bereich Client zum Bereich Server würde ich ebenfalls unter einem Bereich Server Azubi einordnen :)
Ohne Berufserfahrung, Branche, Tätigkeitsbeschreibung etc kann man nur ins blaue tippen.
cheers, Daniel
-
Anstatt Excel 2003 (falls benutzt) Excel 2010 nutzen? Das kann doch mit > 2 Mio Zellen umgehen, oder?
-
Wenn du mich nach meiner Meinung zur IE Mainteanace fragst, dann kann ich dir nur sagen: Schrott. Ich habe sicher schon in mehr als zehn vers. Umgebungen min. genauso viele unerklärliche Fehler gesehen. Kommen die Group Policy Prerefences zum Einsatz, traten diese unerklärlichen Fehler nicht auf.
Nutze doch die GPP. Das funktioniert eigt immer.
-
Unter Win Vista / Server 2003 R2 x64 Enterprise lief das vor einigen Jahren problemlos. Ich habe es bisher aber nur mit CNAME gesehen, nicht mit zweitem A Eintrag.
Also Server1 (A) > 192.168.0.10
FS-HAM (CNAME) > Server1
Wenn der Server1 in die Grütz geht, austauschen, FS-HAM (CNAME) auf neuen A Eintrag umbiegen.
-
Die Benutzung von DNS Aliasen (CName) im Bereich Fileserver, WSUS, DB und anderen Infra-Diensten, habe ich in vielen Projekten eingeführt und / oder mit gearbeitet.
Wenn dann noch das Feature Netmask Ordering hinzugezogen wird, kann man grad mit WSUS oder Fileservices eine sehr coole dynamische Landschaft abbilden.
Topic: Mit 2003 auch möglich. Bleibe bei deiner Idee, teste es und berichte das Ergebnis!
cheers, Daniel
-
Richtig, und wie weiter oben beschrieben, ist es deshalb oft notwendig, die Mitglieder dieser Gruppe auf *ein* Dienstkonto zubeschränken. Die Zugangsdaten liegen im Safe. Dann gibt es keine Domain Admins. Nur im Notfall. Denn für welche täglichen Admin Tasks braucht es einen Domain Admin?
Sind wir uns einig, dass bei Verwendung eines durchdachten Rollenmodells *ohne* Domain Admins, die Aussage "Der Admin schafft es iwie" nicht valide ist? Mehr wollte ich nämlich nicht sagen :)
cheers, Daniel
-
Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.
Bye
Norbert
Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS.
Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.
-
Das Recht besitzt der Inhaber des Prozesses, der steuert, dass im Notfall zwei Personen notwendig sind um den Account aus dem Safe zu holen. Der Inhaber ist meist jmd dem sehr großes Vertrauen entgegengebracht wird. Prokurist o.ä
Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen.
-
@jarazul:
Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?
Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.
Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen.
Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen.
-
Es gibt durchaus Modelle, in denen gibt es eben keinen Domain Admin. Es ist ein Dienstkonto vorhanden, das ist Domain Admin. Und ein Orga Admin, Schema Admin, Enterprise Admin usw. Diese liegen in einem Safe. Da kommt keiner ran ohne einen Prozess zu durchleben. Eben weil diese Konten von Haus aus mächtig sind. Das habe ich nicht nur einmal gesehen.
Und genau von Theorie sprechen wir. Wer die Anforderung hat Dokumente vor Admins zu schützen (und allen anderen die diese nicht sehen sollen), der hat entweder schon ein ähnliches Rollenmodell, oder dessen Ansatz ist falsch.
Wie oben beschrieben ist das immer eine ganzheitliche Sache, deren Stärke durch das schwächste Glied bestimmt wird. Dokumentenverschlüsselung mit ner offenen Domain Admin Gruppe wo der gesamte 2nd Level Support drin ist, wäre dann eben so eine.
PS. Nette Diskussion :)
cheers, Daniel
-
Nein, kannst du nicht. Wenn du nämlich gar kein Domain Admin bist, weil das in einer Umgebung mit Rollenmodell nämlich nicht sein muss :) Oder AD RMS wird in einem Ressourcenforest implementiert wo die gewöhnlichen Domain Admins gar nichts dürfen.
Da gibt es gaanz viele vers. Ansätze in denen der Admin nicht alles darf. Auch wenn ihm das gegen sein Ego geht :)
-
Und was steht da weiter?
As with other groups used to limit access to resources, you should define alerts and perform security checks to help prevent someone from joining the super user group without authorization.Wie wird denn in so einer High Tech Security Umgebung die Orga Admin oder Enterprise Admin Gruppe überwacht? Gar nicht? Weil jeder Domain Admin ist? Wofür wird der im täglichen Arbeiten gebraucht?
Sicherheit muss immer ganzheitlich betrachtet werden. Richtig implementiert kann mit AD RMS ein Dokumentenschutz gewährleistet werden der beim Vorhandensein von den üblichen Rahmenparametern (Rollenmodell, Auditing auf Orga, Schema, Enterprise Groups etc) dem gewöhnlichen Domänen Admin den Zugriff untersagt.
-
Ich kann nur auf das FAQ von MS verweisen. Dort wird auf einige Fragen eingangen. U.a die Domain Admin Frage.
http://technet.microsoft.com/en-us/library/cc747757(WS.10).aspxcheers und schönen Abend
Daniel
-
Um das Service Konto zu ändern muss der USer Mitglied in den Gruppen:
AD RMS Organisationsadmins und der lokalen Admin Gruppe auf dem Server sein.
Changing the AD RMS Service Account
Auditing auf solch elementaren Gruppen sollte mit internen oder externen Tools angestrebt werden.
cheers, Daniel
-
Kennst du das Thema AD RMS?
-
Computer Configuration > Administrative Templates > System > Logon > Always wait for the network at computer startup and logon. Ist aktiviert?
SCCM 2007 Programm mit Administrator rechten starten
in Windows Server Forum
Geschrieben
Da SCCM unter "Run with administrative rights" den Kontext "System" versteht und nicht UAC technisch "Run as Administrator" kann es sein, dass deine Applikation ein Problem damit hat. Es könnte sein, dass P:\ für diesen System Kontext nicht erreichbar ist.
Was kannst du tun um es zu testen?
Erstelle ein Program cmd.exe (Run with Administrative Rights, whether a user is logon or not, allow users to interact with this program, erstelle ein Advertisement zu einer Collection mit einem Testclient. Auf diesem Testclient erhältst du eine cmd Shell mit Systemrechten. Dort kannst du dann dein Programm testen, mit Parameter und ohne, ob der Aufruf von P:\ klappt usw.
cheers, Daniel