MurdocX

Was mir einfällt, verliere ich in dem Fall eine XML-Struktur. Und sie brauche ich um auf Properties von Events (z.B. TargetUserName) zu zugreifen.

Ich würde die Daten in den Speicher laden und erst dann verarbeiten. Vielleicht bringt Dir das noch einen Geschwindigkeitsvorteil. Schon mal über diese Variante probiert?

$objWinEvent = Get-WinEvent -LogName System | Where-Object {$_.Id -eq 4625 -or $_.Id -eq 4768 -or $_.Id -eq 4771 -or $_.Id -eq 4776 }

Edit: Korrektur

Probiere es mal mit "Get-EventLog"

# Beispiel
Get-EventLog -LogName Application -ComputerName . -After '18.07.16'

EDIT:

https://technet.microsoft.com/de-de/library/hh849834.aspx

 

- Konsequentes Whitelisting mit  AppLocker etc.

- Nutzung von EMET

- Whitelisting für die Windows-Firewall

- Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc.

Applocker

Setzen wir bei uns mit den Default-Regeln ein. Bis auf eine Ausnahme gibt es keine Probleme. Kein einziges Ticket welches auf dem Applocker hinausgelaufen wäre. "VisualStudio...." funktioniert damit nicht, da die Anwendungen im TEMP-Verzeichnis erstellt werden. Eine Ausnahme für TEMP ist nicht drin. 

EMET

Keine Probleme bisher! Es geht leicht auf die Performance, jedoch bei dem Benefit vernachlässigbar. EMET wird bei mir im Image mit verteilt.

Windows Firewall

Bei uns wird die lokalen Einstellungen, sowie die Gruppenrichtlinien übernommen. Leider ist das bei einem Anwendungsjungel schwer einheitlich zu konfigurieren. 

Deinstallieren von nichtgebrauchten Packages

Halte ich für essentiell. Dank Powershell sind so Remote-Abfragen recht problemlos und einfach.

EDIT:

Überlegenswert wäre noch die Wechselmedien zu sperren und per Whitelist freizugeben. https://msdn.microsoft.com/en-us/library/bb530324.aspx

Eigentlich heißt es ja "Click-to-run" https://technet.microsoft.com/de-de/library/jj219427.aspx

Hat die (erweiterte) Reparaturinstallation geklappt?

Ja, in der Systemsteuerung. Das startete nicht, daher haben wir das im Outlook zusätzlich eingebunden.

Dann eine Reparaturinstallation vom Office durchführen, danach wird es wieder funktionieren. One-Klick-Installation?

Ja geht aber nur, wenn er kein Exchange hat. Und auch dann will sowas vernünftig geplant sein. ;)

Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert :)

Du könntest deine Domäne umbenennen: https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx

Hab ich schon einmal durchgeführt

Danke für die Info. Dann werde ich nächstes Jahr die Messe mal besuchen.

Andere reisen auch mit 750 oder mehr Kilometern an. ;)

750 is schon'n Ding. Bei mir sind's nur 600 :-) Also quasi ums Eck ;-) 

Hehe, ja quasi. Wahrscheinlich Stuttart´er Richtung?

Ich muß mein Hotel leider stornieren. Bin in der Woche im tiefsten Süden der Republik.

In Bayern ist es auch schön ;-)

Wäre es nicht ca 750km entfernt, würde ich da auch vorbei schauen. Aber viel Spaß euch :wink2:  

Ich würde das Office-Paket probieren zu reparieren. Hatte ähnliche Probleme schon mal mit der One-Klick-Installation. 

Also aus 12.06.2016 22:00:00 soll werden 13.06.2016 rauskommen.

Dieses möchte ich dann in die Varible $Date2 übergeben.

[DateTime]$Date = $(get-date)

$date.ToShortDateString() # Ausgabe 1

$date2 = $date.AddDays(1)

$date2.ToShortDateString() # Ausgabe 2

=> Ausgabeergebnis

([DateTime]::Parse('23.06.16')).AddDays(1).ToShortDateString()

Ja genau! Die frage war wie bringe ich die unterschiedlichen Domains unter? Funktioniert das mit - identity ´(domainA) Gruppe´ ?

Add-ADGroupMember -Server 'Domaincontroller.DomäneA.local' -Credential $(Get-Credential)

Hier kannst du "Server" für den anderen DC nutzen und natürlich dann "Credential" für die Authentifizierung. Damit kannst du zu anderen Servern eine Verbindung aufbauen

Falls du mehrere verschachtelte Abfragen machen möchtest, kannst du die Server in eine Variable schreiben und mit "ForEach" oder "ForEach-Object" abklappern.

Get-ADGroupMember -Identity '(DomainA) GRUPPE-X' | Add-ADGroupMember -Identity '(DomainB) GRUPPE-X'

Suchst du ungefähr sowas? Falls ich das richtig verstanden habe, möchtest du die Mitglieder einer Gruppe auch in der anderen Domäne in eine Gruppe packen?

Vielleicht liegt´s an mir, aber ich verstehe deine Beschreibung leider nicht...

Was kann ich ändern?

Ändere das BIOS wieder auf Legacy bzw. deaktiviere UEFI.

Hallo,

kann mir jemand sagen, wie ich es mit Powershell hinbekomme, innerhalb eines Ordners alle Textdateien nach einem bestimmten String zu durchsuchen.

Hier hätte ich auch ein Skript für Dich. Es erledigt genau das was du suchst. 

http://www.it-explorations.de/suchen-ersetzen-powershell/

Das mit dem Suchen innerhalb der Textdateien hat funktioniert.

Nun will ich dieses Script stündlich laufen lassen und es soll mir eine E-Mail versenden, wenn die Suche erfolgreich war. Das habe ich mit folgenden Befehl versucht, aber so scheint das nicht zu funktionieren.

$PSEmailServer = "E-Mailserver"
Get-childitem "Suchpfad" | select-string -pattern "Suchtext" | Send-MailMessage -to Empfaenger@domain.de -from Absender@domain.de  -subject "Betreff" -body "Mailtext"

Ich erhalte nämlich die Fehlermeldung "Send-MailMessage : Das angegebene Pfadformat wird nicht unterstützt."

 

Kann mir jemand sagen, wie ich bei erfolgreichem Finden eine E-Mail versenden kann?

Wäre es sogar denkbar, dass nur eine E-Mail versendet wird, obwohl die Suche öfters erfolgreich war? 

 

Viele Dank für jede Hilfe.

 

Ich habe es mit einem "ForEach " gelöst.

Setze einfach "Get-childitem "Suchpfad" | select-string -pattern "Suchtext"" in ein IF

If (Get-childitem "Suchpfad" | select-string -pattern "Suchtext")
{
 send-message ....
}

Hallo Molle,

mit deinem "recht armen" Ansatz kommst du nicht weit. Ich hab Dir das benötigte Skript geschrieben und getestet. Es sucht in dem angegebenen Pfad nach den Ordnern und Unterordnern. Ließt die Berechtigungen aus und schreibt die mit 'ReadandExecute" zu 'Modify' um. Die Vererbung ist aktiviert. 

Die 3 Variablen sind auszufüllen:

$strPfad = 'LW:\ORDNER'
$strGruppenbezeichnung = 'MB-DL'
$strDomäne = 'DOMÄNE' # Domäne ohne Endung wie z.B. '.local' -> NETBIOS-NAME

Viel Erfolg ;-)

#
#  Author: Jan Weis
#  www.it-explorations.de
#

# --- BENUTZER VARIABLEN ---#


$strPfad = 'LW:\ORDNER'
$strGruppenbezeichnung = 'MB-DL'
$strDomäne = 'DOMÄNE' # Domäne ohne Endung wie z.B. '.local' -> NETBIOS-NAME


# --- SYSTEM VARIABLEN --- #


# FileSystemRights Flags
$objFileSystemRightModify = [System.Security.AccessControl.FileSystemRights]'Modify'
$objFileSystemRightReadExecute = [System.Security.AccessControl.FileSystemRights]'ReadAndExecute'
      
# InheritanceFlags Flags
$objInheritanceFlagDirectory = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit 
$objInheritanceFlagFile = [System.Security.AccessControl.InheritanceFlags]::None

# Common Flags
$objAccessControlTypeAllow = [System.Security.AccessControl.AccessControlType]::Allow 
$objPropagationFlagsNone = [System.Security.AccessControl.PropagationFlags]::None 


# --- SKRIPT ---#


Foreach ($objOrdnerItem in (Get-ChildItem -Path $strPfad))
{
  
  # Berechtigungen abrufen
  $objOrdnerItemACL = Get-Acl -Path $objOrdnerItem.FullName

  # Prüfe jedes Berechtigungsobjekt ob es den gewünschten Namen beinhaltet UND die Berechtigung 'ReadAndExecute' beinhaltet
  [String[]]$strACLGruppenListe = ($objOrdnerItemACL.Access | Where-Object {$_.IdentityReference -match $strGruppenbezeichnung -and $_.FileSystemRights -like 'ReadAndExecute*'}).IdentityReference.Value

  # Passen die Berchtigung für jede gefundene Gruppe an 
  foreach ($strACLGruppenItem in $strACLGruppenListe)
  {
  
    # Für jede gefundene Gruppe wird die Berechtigung auf 'Modify' angepasst
    
    # Domäne entfernen
    $strACLGruppenItem = $strACLGruppenItem.replace("$strDomäne\",'')

    # NTAccount-Object anlegen
    $objADSecGruppe = New-Object  -TypeName System.Security.Principal.NTAccount -ArgumentList ($strACLGruppenItem) 
      
    # FILESYSTEMACCESSRULE-OBJECT ANLEGEN
    $objDirectoryAceRule = New-Object  -TypeName System.Security.AccessControl.FileSystemAccessRule  -ArgumentList ($objADSecGruppe, $objFileSystemRightModify, $objInheritanceFlagDirectory, $objPropagationFlagsNone, $objAccessControlTypeAllow) 
      
    # NEUE ACL HINZUFÜGEN
    $objOrdnerItemACL.AddAccessRule($objDirectoryAceRule)
      
    # NEUE ACL AUF DAS OBJEKT SCHREIBEN
    $objOrdnerItemACL | Set-Acl -Path $objOrdnerItem.FullName
  }

}

Um eine Ausgabe zu bekommen, kannst du noch unter dem letzten Command "Neue ACL auf das Objekt schreiben" folgenden Befehl darunter setzen: 

Write-Host ":: [Berechtigung angepasst] Gruppe: '$strACLGruppenItem'; Pfad: '$($objOrdnerItem.FullName)'" -ForegroundColor Yellow

nur zu.

Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :)  Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an.

Zitat magheinz - 01 Apr 2016 - 18:24:

BTW: mir sind Leute lieber die sich bei Gefahr VOR mich stellen. Hinter mir verstecken ist keine Stärke. Ein Verweis aud Regeln und Gesetze ist hoffentlich keine Rechtsberatung. Ich darf doch auch einem Kumpel erklären warum er nicht bei rot über eine Ampel fahren darf. Oder muss ich dafür Anwalt sein?

Fühlt sich da jemand auf den Schlips getreten? :rolleyes:  Man darf doch wohl mal darauf hinweisen oder? ;)

@ MurdocX

Ich habe den Haken schon gar nicht, habe ich soeben geprüft.

Dann ist der Anschluss kein TCP/IP.... Erstelle einen neuen (TCP/IP) Anschluss, entferne den Haken. 

Druckereigenschaften > Anschlüsse > Konfigurieren > den Haken bei "SNMP-Status aktiviert" entfernen. Bei uns hat es das Problem gelöst.

Bist du so früh schon wach? Dann könntest du ja eins posten  ;)

Das Schiff befindet sich derzeit vor der Küste Ostspitzbergen.

Wie "gefühlt" kalt es da wohl sein wird.... Ich könnte mir vorstellen, dass der Sonnenaufgang atemberaubend ist  :)

Ja, Clients greifen auf den vCenter Server zu, z.B. per vSphere Client, per Web Client (HTTPS) oder per API.

1. Zum welchen Zweck erfolgen diese Zugriffe ?

2. Greifen immer alle Clients zu, oder nur ein bestimmte Gruppe (zB. Admins) ?

1. Zur Administration des Hosts, sowie auch der VM´s

2. Es greifen nur die Clients der Admins darauf zu