MurdocX

In der Regel kommt es immer anderst als man denkt. Deshalb hab ich mir angewöhnt immer beides ("Kürzel-Ordner-RW" und "Kürzel-Ordner-RO") anzulegen und die Beschreibung zu pflegen. Die Arbeite wäre nur einmal und später spart man sich das erneute Berechtigen. Hier ein Tipp. "Access" Gruppen sind ja beide. Hier könntest du treffendere Namen wie z.B. "Kürzel-Ordner-RW" und "Kürzel-Ordner-RO" angeben. Dann ist das auch nach Jahren noch schlüssig wo die Berechtigung hin kommt und auch wo nicht. Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.

Wenn man überhaupt mitbekommt in welcher Reihenfolge das passiert. Ich möchte meinen, dass das gar nicht so viele wissen wie wir annehmen. :)

Die Idee finde ich gut. Ich lasse das Tauschverzeichnis jeden Sonntag leeren. Und das ist auch wirklich nötig. Interessant was alles für große Dateien auf dem Ordner getauscht werden.

Mich würde mal ein IPCONFIG auf einem Client und DC interessieren. Könntest du das liefern?

Was passiert denn, wenn du: - eine neue OU ohne Gruppenrichtlinien anlegst und dort den Benutzer rein legst? - die Vererbung deaktivierst? - den Benutzer an einem anderen PC verwendest?

Willkommen an Board, das Ergebnis hatte ich in 10 Sekunden https://stackoverflow.com/questions/36132416/html-iframe-maximum-height-height100-not-working

@kaineanung War denn schon was brauchbares für Dich dabei und konnte man Dir einige Missverständnisse aufzeigen? Wo brauchst du noch Unterstützung? Ich hab nochmal über das Thema nachgedacht. Viele Netzlaufwerke von Firmen sind chaotisch aufgebaut, weil sie "gewachsen" sind. So wird das gerne genannt. Vielleicht auch als kleine Entschuldigung lange nichts unternommen zu haben. Auf den Standpunkte könnte man sich stellen. Auf den zweiten Blick aber zu undifferenziert. Nicht jede Firma hat die selben Anforderungen oder Bedürfnisse. Als Externer ist das immer schwierig zu bewerten. Auch starre Strukturen "leben" und sollten durch den Admin Stück für Stück weiterentwickelt werden. Hier kann ich mich nur wieder selber Zitieren: Als kleinster gemeinsamer Nenner hat sich immer ein gemeinsamer Ordner für Abteilungen und ein Projektverzeichnis für Projekte als sinnvoll erwiesen. Letzteres hab ich bei uns z.B. automatisiert.

Ich möchte mal auf mein Kommentar im folgenden Thread von Dir aufmerksam machen: (the golden rules of permission administration) Da ging es doch m.M.n. Inhaltlich um das selbe Thema. EDIT: Das würde ich so nicht sehen. Es spricht auch keiner von einem starren Organigramm. Ich würde mich in die Sicht des Benutzers, der jeweiligen Abteilung, versetzen und ggf. mit den Benutzern reden. In der Regel benötigen sie einen "Workingspace" zum gemeinschaftlichen Arbeiten. Manchmal auch etwas abteilungsübergreifendes. So kann man ein gutes Gefühl bekommen, was denn wirklich benötigt wird und was daran vorbei geht. Wenn alle Informationen zusammengetragen sind, ist es leichter ein Konzept dafür zu erstellen.

Ich hab hier eine kleine Übersicht die zusätzlich bisschen Klarheit bringt.

Ich hake hier mal kurz ein. Wenn es Ransomware auf das Gerät schafft, dann hast du vermutlich größere Probleme, als nur die eine verschlüsselte Partition. Sicher, den nutze ich gerne auch. Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz

Wir können ja schmunzeln drüber. Vielleicht ließt das ja der Ein oder Andere und fühlt sich gleich ertappt

Storage-Spaces (in)direkt... Nur halt auf Clients Das könnte man auch als Backupstrategie fahren. Jeden Tag mal wo anderst anmelden.

Je älter das Backup, desto mehr Clients können aus der Domain fliegen. Benutzer haben ihr Passwort geändert usw.. Spricht denn was gegen eine regelmäßige Sicherung? Es gibt nicht „die“ Empfehlung. Ich sichere zwar täglich, vermutlich könnte man wöchentlich auch vertreten. Wenn du es ganz streng machst, dann stelle der GF das Backup-Konzept vor und lass es Dir absegnen.

Kleiner Tipp: Wichtig ist hier das abgrenzen der Projekte. Was gehört dazu und explicit was nicht. Machts nicht von Anfang an komplex, denn das kommt von selbst.

Ich hatte mit Zertifikaten damals auch kein einfaches Thema. Mit Passion an der Technik wird das schon. Das sind Techniken die du eh später brauchen kannst. Viel Erfolg und vor allem und viel Spaß! Dir wird ja schon kompetent geholfen :)

Es steht Dir immer noch frei das vorher in Frage zu stellen. Immerhin, wenn Fehler auftauchen, wirst erstmal du gelöchert und musst dich erklären.

Ich bin da geteilter Meinung. Einerseits, wenn das alles sauber konfiguriert ist, mag das schon funktionieren. Andererseits sehe ich jetzt nicht den Vorteil der zweiten NIC. Meiner Erfahrung nach fehlen vielen Softwareunternehmen die Basics. Wenn man nach dem warum fragt, wird’s schnell dünn.

Die direkten Steps hab ich auch nicht. Hier wäre eine Konfigurationsanleitung, für die eigene Umsetzung. Das was du suchst nennt sich "Split Tunneling" ASA/AnyConnect: Dynamic Split Tunneling Configuration Example https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215383-asa-anyconnect-dynamic-split-tunneling.html

Das klingt ein bisschen wirr, bzw. nur aus deiner direkter Sicht. Da fehlt es am drumherum. Über NAT beschreibst du den Weg-> rein und über DNS-Auflösung eigentlich den Weg raus. Du könntest auch den RDCM und RDSH über den externen DNS-Namen von intern mit der internen IP ansprechen. Ohne das du mehr Infos schreibst, schließe ich mich @testperson an.

Oh nein, Microsoft klaut Admins die Arbeit

Bin der gleichen Meinung. Ich hab mich eine Zeit lang mit dem Thema intensiv beschäftigt und poste jetzt meine geschriebene gekürzte produktiv Interna. Mit Absicht hab ich die unteren ACL-Set´s drin gelassen, damit du (und andere) die als Vorlage verwendet werden kannst/können. Der Fehler kommt, wenn: Der DC das Objekt nicht findet Die Replikation zum anderen DC noch aussteht und er deshalb dort das Objekt nicht findet Er es nicht abrufen darf Alles Weitere hilft Dir nicht direkt, zeigt aber Möglichkeiten für die Berechtigung und dem Umgang mit NT-Account und auflösen der SID für Tests. (Das Skript wurde aus dem Kontext gerissen und oben angepasst, sollte aber soweit passen) Das Skript macht folgendes: Generiert einen NT-Account Ruft die SID ab ( versucht das mehrmals, denn die Replikation ist meist noch nicht durch ) Baut die ACL Fügt diese zum RuleSet hinzu Set die ACL Wichtig: Es ist zu unterscheiden, ob eine Berechtigung auf eine Datei oder einen Ordner gesetzt wird. $beispielDomain = "zielDomain.local" $beispielName = "meineDomain\IchBinUser" $objAdNtAccount_RWGroup = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList ( $beispielDomain, $beispielName ) # INIT-Do $Ende = $false $Trys = 1 do { # Versuche den Abruf so lange, bis es klappt try { # Get Group SID Write-Verbose -Message "Versuch $Trys von 10, um die SID vom DC abzurufen..." $strAdRwGroupSID = $objAdNtAccount_RWGroup.Translate([Security.Principal.SecurityIdentifier]) # Schleifen abbruch $Ende = $true } catch { # Error is happened, try again! $Ende = $false $Trys++ Start-Sleep -Seconds 6 if ($Trys -gt 10) { # Abbruchbedingung OK, kein Auflösen möglich Write-Verbose -Message "[New-PoProjekt] Fehler: $_" Write-Warning -Message '[New-PoProjekt] Abbruch, da die SID vom DC nicht abgerufen werden konnte!' Break } } } while ($Ende -eq $false) # # Create ACL-Rule # # Null setzen $objDirectoryAceRuleRW = $null $objDirectoryAceRuleR = $null # ACL - Ordner - Berechtigung 'ReadAndExecute' auf oberster Ebene [System.Security.AccessControl.FileSystemAccessRule]$objDirectoryAceRuleRW = [System.Security.AccessControl.FileSystemAccessRule]::new(` $strAdRwGroupSID,` [System.Security.AccessControl.FileSystemRights]::ReadAndExecute -bor [System.Security.AccessControl.FileSystemRights]::Write,` [System.Security.AccessControl.InheritanceFlags]::None,` [System.Security.AccessControl.PropagationFlags]::NoPropagateInherit,` [System.Security.AccessControl.AccessControlType]::Allow ` ) # ACL - Ordner - Berechtigung 'Modify' NUR auf Unterordner und Dateien [System.Security.AccessControl.FileSystemAccessRule]$objDirectoryAceRuleRW2 = [System.Security.AccessControl.FileSystemAccessRule]::new(` $strAdRwGroupSID,` [System.Security.AccessControl.FileSystemRights]::Modify,` [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit,` [System.Security.AccessControl.PropagationFlags]::InheritOnly,` [System.Security.AccessControl.AccessControlType]::Allow ` ) # ACL - Ordner - Berechtigung 'ReadAndExecute' NUR auf Unterordner und Dateien [System.Security.AccessControl.FileSystemAccessRule]$objDirectoryAceRuleR = [System.Security.AccessControl.FileSystemAccessRule]::new(` $strAdRGroupSID,` [System.Security.AccessControl.FileSystemRights]::ReadAndExecute,` [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit,` [System.Security.AccessControl.PropagationFlags]::None,` [System.Security.AccessControl.AccessControlType]::Allow ` ) # ACL - Dateien - Berechtigung 'Modify' aber ohne 'Delete' [System.Security.AccessControl.FileSystemAccessRule]$objDirectoryAceRuleMgr = [System.Security.AccessControl.FileSystemAccessRule]::new(` $strAdMgrGroupSID,` [System.Security.AccessControl.FileSystemRights]::ReadAndExecute -bor [System.Security.AccessControl.FileSystemRights]::WriteData -bor ` [System.Security.AccessControl.FileSystemRights]::AppendData -bor [System.Security.AccessControl.FileSystemRights]::WriteAttributes -bor ` [System.Security.AccessControl.FileSystemRights]::WriteExtendedAttributes, ` [System.Security.AccessControl.InheritanceFlags]::None ,` [System.Security.AccessControl.PropagationFlags]::None,` [System.Security.AccessControl.AccessControlType]::Allow ` ) # ACL - Dateien - Berechtigung 'ReadAndExecute' [System.Security.AccessControl.FileSystemAccessRule]$objDirectoryAceRuleMgr2 = [System.Security.AccessControl.FileSystemAccessRule]::new(` $strAdMgrGroupSID,` [System.Security.AccessControl.FileSystemRights]::ReadAndExecute,` [System.Security.AccessControl.InheritanceFlags]::None,` [System.Security.AccessControl.PropagationFlags]::None,` [System.Security.AccessControl.AccessControlType]::Allow ` ) ## Setzen der Berechtigung auf den ProjektOrdner # GET ACL Rule from File $objDirectoryAceNow = Get-Acl -Path $ProjektPfad -ErrorAction Stop # ADD New ACL Rule $objDirectoryAceNow.AddAccessRule($objDirectoryAceRuleRW) # SET New ACL Rule to File $objDirectoryAceNow | Set-Acl -Path $ProjektPfad -ErrorAction Stop

Für alle die es nicht mitbekommen haben, möchte ich hiermit informieren. Jetzt live und kostenlos. psconf.eu Virtual Mini Conference http://powershell.one/psconfeu/psconf.eu-2020/about

Das ist auch eine Kostenfrage. Für RDS sind Lizenzen notwendig. Wir haben RemoteApps im Einsatz und sind sehr zufrieden damit.

Es steht Dir auch frei, wie du das machen möchtest. Ein Eindruck von Anderen, kann zur Unterstützung der eigenen Einschätzung beitragen.

Auch ich kann für unsere Windows Server Palette nur bestätigen, dass wir schon länger keine Probleme mehr mit Updates hatten. Ich hab den WSUS bei uns automatisiert. Damit läuft das Thema nur noch nebenbei.