MurdocX
-
Gesamte Inhalte
2.957 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von MurdocX
-
-
Ich glaube das Thema ist zu detailliert und intensiv für ein Forum, auch wenn meine Neugier geweckt wurde
Was würde denn eigentlich gegen die PRP bei Clients vor Ort sprechen? Wenn ich so meine Gedanken schweifen lasse und den Fall einer Kompromittierung oder Diebstahl des RODC durchgehe, dann wäre die logische Konsequenz das Rücksetzen der Computer und Benutzerpasswörter.
Ergo, könnte man die PRP für die Clients und Benutzer eingeschaltet lassen. Wäre sicher auch im Sinne des RODCs.
-
Das ADK besteht aus vielen Modulen die sich auch regelmäßig verändern. Das in ein Buch zu pressen wäre sportlich und dürfte auch schnell veraltet sein. Hier findet sich wirklich viel detailliert bei Microsoft in den Docs. Mir ist keine Literatur dazu bekannt.
-
vor 5 Stunden schrieb notimportant:
Fall A: Client + User stehen nicht in der PRP
- jegliche Authentifizierung läuft über den beschreibbaren DC
Würde ich jetzt, nachdem ich es nachgelesen habe, deine Aussage verneinen. Der RODC dient dann als eine Art Authentifizierungsproxy.
Quelle: Active Directory: Designing, Deploying, and Running Active Directory
Habt ihr in den Außenstandorten, bei denen das Problem auftritt, zufällig mehr als ein RODC?
-
Am 2.7.2020 um 20:02 schrieb speer:
Diese haben derzeit eine Uptime von 14 Jahren und funktionieren einfach.
Haben die Switche den aktuellen Patch(Firmware)-Stand?
Am 2.7.2020 um 20:02 schrieb speer:Das VLAN 209 soll nicht über IP erreichbar sein. also no ip address auf allen 3 Switche
Richtigerweise handelt es sich nicht um eine IP für ein VLAN, sondern für den Switch in dem VLAN.
Am 2.7.2020 um 20:02 schrieb speer:Mein Laptop und der Überwachungsrechner sind im gleichen Adressbereich (Server: 192.168.249.25/24 und mein Laptop: 192.168.249.200/24).
Ping von meinem Laptop zum Server: ca. 5-10 Zeitüberschreitungen dann kommen wieder 2-4 Pings durch und dann wieder Zeitüberschreitungen usf.
Das sollte ja nicht passieren. By the way brauchst du für dein Überwachungsserver ein neues Netz.
-
Am 23.4.2020 um 23:28 schrieb heja223:
Aus diesem Grund holte ich mein altes Acer-Notebook, prüfte es auf die Funktionalität um es anschließend zu verkaufen.
vor 7 Minuten schrieb mad-max79:Wäre es nicht einfacher, dass Notebook einfach neu zu installieren?
Bei der Fehlersuche ist ja schon bereits einiges an Zeit drauf gegangen...
Sehe ich auch so. Das Ding platt machen und verkaufen. Problem erledigt. Warum sich Probleme machen, wo keine sind
-
vor 51 Minuten schrieb Squire:
@MurdocX: Das Videolan 64bit MSI wollte bei mir nie installieren ... der hat immer ein Rollback ausgeführt
Ich hab's gerade mal ausgeführt und bei mir hats geklappt. Das war lokal und nicht über GPOs.
msiexec.exe /i "C:\Users\jan\Downloads\vlc-3.0.11-win64.msi" /quiet -
vor 10 Minuten schrieb chrismue:
Wobei man prüfen sollte in wie weit die Seite vetrauenswürdig ist.
Die Herstellerseite vom VLC ist www.videolan.orgDank Google, hier der Treffer
-
Guten MOrgen,
wie du ihn aktivierst, kannst du hier nachlesen:
Microsoft Docs | Verwalten von Windows Defender Credential Guard
Wie du an die Evaluation von Windows 10 Enterprise kommst, siehe hier:
Microsoft | Testen Sie Windows 10 Enterprise
https://www.microsoft.com/de-de/evalcenter/evaluate-windows-10-enterprise
vor 1 Stunde schrieb Peterzz:wie oder ob ich es testen kann
Das sollte Dir die Anzeige unter Gerätesicherheit sagen können. Testen.. Naja.. Dafür braucht es unlautere Tools. Kann man machen, oder man Vertraut auf die Aussage und belässt es dabei.
-
vor 5 Stunden schrieb Bloodspiret:
Wenn ich zum Beispiel in der CSV 2 Variablen zusammenkette, das würde im Moment nicht funktionieren. Kann man nicht einen Befehl davor schreiben der sagt bewerte den Inhalt als Variable und nicht als Text?
Variablen würde man z.B. so verketten:
# Erstellen des AD-Gruppennamens $adGroupName = '{0}{1}' -f $csvItem.Bauvorhaben, $csvItem.Namevor 5 Stunden schrieb Bloodspiret:Die Frage wäre nur ob man es noch etwas besser hinbekommt.
Wenn ich das auf das Skript beziehe, dann sind quasi alle Coding-Regeln missachtet worden
Da wäre nun die Frage, ob dich das wirklich interessiert und du dort weiterkommen möchtest, oder einfach nur eine "Lösung" für dein kleines Projekt. Das eine ist weitsichtiger als das Andere. Spätestens wenn du dein eigenes Skript, oder jemand anderst dieses Debuggen muss, fängt das Grauen an 
-
1
-
-
Hallo und Willkommen an Board,
zum allgemeinen Teil:
- Nutze bitte den Code-Tag für Code den du postest. Das erleichtert vielen das Lesen und kopieren.
zum Skript:
- In dem Skript benutzt du das Prozenz-Zeichen %, welches wiederum für ein "Foreach-Object"-Befehl steht. Das kannst du nur in einer Pipeline und nicht nach dem = nutzen. Nach dem = gibt es keine Objekte zum Verarbeiten.
- Das $-Symbol ist ein spezielles Symbol in PS. Ersetze " durch die einfachen '. Dann möchte die Powershell nichts interpretieren.
-
Die Variable "Bauvorhaben" wurde nie definiert.
Sie muss leer sein, nach deinem Code. Oder da fehlt noch wasAh! Du ließt sie als String ein. Das kann so nicht funktionieren. Da muss ein Text rein, kein angebliches Powershell-Objekt. Ich vermute, da müssen wir an dem grundliegenden Verständnis arbeiten. -
$Name = $_.NameDen Teil kannst du Dir übrigens sparen, denn das kannst du unten auch einfach $_.ABC wieder angeben. Da brauchst du nicht extra noch eine neue Variable für Benutzen.
-
Es wird als CSV-Trenner ";" verwendet, was ich aber in deiner Datei nicht sehen kann.
Tipps:
- In der ersten Zeile deiner CSV fehlt der Name und SamAccountName deiner Gruppe
- Die Gruppennamen müssen eindeutig im AD sein. Das wird spätestens beim zweiten Bauvorhaben nicht mehr funktionieren
- AD-Gruppennamen sollten selbsterklärend sein und nicht durch den Kontext der OU erklärt werden. Das erleichtert später die Administration ungemein und hilft Fehler vorzubeugen.
Tipps 2: Internetseiten
-
1
-
vor 5 Stunden schrieb Squire:
@Dirk-HH-83 und? Gibts Neuigkeiten?
Vermutlich „Rebulid fertig“ = Problem erledigt
-
vor 12 Stunden schrieb tesso:
Ich lege zusätzlich immer noch eine "deny" Gruppe an.
Auch interessant. Ich versuche sowas beim Designen zu vermeiden. Die Strukturen die ich Firmen aufbauen darf, designe ich (meist) "alles" oder "nichts" auf der Basis eines Rollenkonzeptes. Ordner die dort rausfallen sind meist Grauzonen oder Projekte. Dafür gibt es dann Projektteams.
vor 22 Stunden schrieb Squire:außer du willst, dass die User den DFS Pfad nehmen und nicht die direkte Serverfreigabe. (gibt immer ein paar "Edel"-User, die meinen Letzteres sei besser)
User die es immer anderst machen kenne ich auch. Viele von denen sind recht redselig und ich versuche Sie auf die gute Seite der Macht zu bringen.
-
Am 22.6.2020 um 10:19 schrieb kaineanung:
Auf den Gruppen und Teamorndern gibt es lediglich eine AD-Sicherheitgruppe und die ist mit Änderungrechte ausgestattet. (Die Gruppenordner haben keine 'Read Only User).
In der Regel kommt es immer anderst als man denkt. Deshalb hab ich mir angewöhnt immer beides ("Kürzel-Ordner-RW" und "Kürzel-Ordner-RO") anzulegen und die Beschreibung zu pflegen. Die Arbeite wäre nur einmal und später spart man sich das erneute Berechtigen.
Am 22.6.2020 um 10:19 schrieb kaineanung:Darunter dann die einzelnen Projekte auf die 2 AD-Sicherheitsgruppen vergeben werden. Ein 'rw-acces' und ein 'ro-access'.
Hier ein Tipp. "Access" Gruppen sind ja beide. Hier könntest du treffendere Namen wie z.B. "Kürzel-Ordner-RW" und "Kürzel-Ordner-RO" angeben. Dann ist das auch nach Jahren noch schlüssig wo die Berechtigung hin kommt und auch wo nicht.
Am 22.6.2020 um 10:19 schrieb kaineanung:Da es ja nicht mehr 7 Ebenen gibt sondern 2 ist das vertretbar.
Am 22.6.2020 um 10:19 schrieb kaineanung:(root$ heisst es nicht wirklich, will es aber damit nur verdeutlichen. Heissen tut es Firmenname$)
Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.
-
vor einer Stunde schrieb daabm:
Da werden gerne auch mal alle GPOs erzwungen, und dann wundert man sich über die umgedrehte Vererbungsreihenfolge...
Wenn man überhaupt mitbekommt in welcher Reihenfolge das passiert. Ich möchte meinen, dass das gar nicht so viele wissen wie wir annehmen. :)
-
vor 2 Stunden schrieb magheinz:
Jeder User kann nur in sein Verzeichnis schreiben und so Dateien zur Verfügung stellen. Lesen kann jeder in allen Verzeichnissen.
Die Idee finde ich gut. Ich lasse das Tauschverzeichnis jeden Sonntag leeren. Und das ist auch wirklich nötig. Interessant was alles für große Dateien auf dem Ordner getauscht werden.
-
Mich würde mal ein IPCONFIG auf einem Client und DC interessieren. Könntest du das liefern?
-
Was passiert denn, wenn du:
- eine neue OU ohne Gruppenrichtlinien anlegst und dort den Benutzer rein legst?
- die Vererbung deaktivierst?
- den Benutzer an einem anderen PC verwendest?
-
Willkommen an Board,
das Ergebnis hatte ich in 10 Sekunden
https://stackoverflow.com/questions/36132416/html-iframe-maximum-height-height100-not-working
-
1
-
-
War denn schon was brauchbares für Dich dabei und konnte man Dir einige Missverständnisse aufzeigen? Wo brauchst du noch Unterstützung?
Ich hab nochmal über das Thema nachgedacht. Viele Netzlaufwerke von Firmen sind chaotisch aufgebaut, weil sie "gewachsen" sind. So wird das gerne genannt. Vielleicht auch als kleine Entschuldigung lange nichts unternommen zu haben. Auf den Standpunkte könnte man sich stellen. Auf den zweiten Blick aber zu undifferenziert. Nicht jede Firma hat die selben Anforderungen oder Bedürfnisse. Als Externer ist das immer schwierig zu bewerten. Auch starre Strukturen "leben" und sollten durch den Admin Stück für Stück weiterentwickelt werden.
Hier kann ich mich nur wieder selber Zitieren:
ZitatIch würde mich in die Sicht des Benutzers, der jeweiligen Abteilung, versetzen und ggf. mit den Benutzern reden. In der Regel benötigen sie einen "Workingspace" zum gemeinschaftlichen Arbeiten. Manchmal auch etwas abteilungsübergreifendes. So kann man ein gutes Gefühl bekommen, was denn wirklich benötigt wird und was daran vorbei geht. Wenn alle Informationen zusammengetragen sind, ist es leichter ein Konzept dafür zu erstellen.
Als kleinster gemeinsamer Nenner hat sich immer ein gemeinsamer Ordner für Abteilungen und ein Projektverzeichnis für Projekte als sinnvoll erwiesen. Letzteres hab ich bei uns z.B. automatisiert.
-
Ich möchte mal auf mein Kommentar im folgenden Thread von Dir aufmerksam machen: (the golden rules of permission administration)
Da ging es doch m.M.n. Inhaltlich um das selbe Thema.
EDIT:
vor 23 Stunden schrieb kaineanung:Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum).
Das würde ich so nicht sehen. Es spricht auch keiner von einem starren Organigramm.
Ich würde mich in die Sicht des Benutzers, der jeweiligen Abteilung, versetzen und ggf. mit den Benutzern reden. In der Regel benötigen sie einen "Workingspace" zum gemeinschaftlichen Arbeiten. Manchmal auch etwas abteilungsübergreifendes. So kann man ein gutes Gefühl bekommen, was denn wirklich benötigt wird und was daran vorbei geht. Wenn alle Informationen zusammengetragen sind, ist es leichter ein Konzept dafür zu erstellen.
-
Ich hab hier eine kleine Übersicht die zusätzlich bisschen Klarheit bringt.
-
1
-
-
vor 12 Stunden schrieb guybrush:
Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern.
Ich hake hier mal kurz ein. Wenn es Ransomware auf das Gerät schafft, dann hast du vermutlich größere Probleme, als nur die eine verschlüsselte Partition.
vor 12 Stunden schrieb guybrush:Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :)
Sicher, den nutze ich gerne auch. Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz
-
Wir können ja schmunzeln drüber. Vielleicht ließt das ja der Ein oder Andere und fühlt sich gleich ertappt
-
vor 23 Minuten schrieb Nobbyaushb:
Ich hatte mal ein Ding im Bekanntenkreis, da wurden auf dem Desktop Ordner angelegt und dann Dateien drin gespeichert - insgesamt etwas über 18GB
Storage-Spaces (in)direkt... Nur halt auf Clients
Das könnte man auch als Backupstrategie fahren. Jeden Tag mal wo anderst anmelden.
Gastanmeldung?
in Windows 10 Forum
Geschrieben
Hi,
folgende Fragen hätte ich dazu:
Das sind Anmeldeversuche des Computers, der wie ein Benutzer agiert. Im Endeffekt sind Computerkonten auch nur Benutzer.