MurdocX

Genau, die sind gemeint. Eintragen kannst du das über die GUI, die Registry oder die Gruppenrichtlinien. Du könntest den Registry-Key auch per Gruppenrichtlinien verteilen. Die Berechtigungen setzten sich aus den Beiden oben genannten zusammen. Der Ordner "pmueller" ist nicht freigegeben, deshalb ist das auch keine Freigabe. Deine Freigabe ist "Data" und damit auch verantwortlich für die insgesamten Berechtigungen der Unterordner in der Freigabe Data. Also auch für deine Benutzer-Ordner wie z.B. "pmueller". Ja, der heißt SYSTEM. Hier etwas zum Einlesen für Dich: How to: Best Practice Security - Windows file sharing https://community.spiceworks.com/how_to/27258-best-practice-security-windows-file-sharing

Ja, ist empfehlenswert.

Danke. Das sind Infos die ich/wir nun weiter zerpflücken können Hier kommen meine weiteren Fragen: Ist der Freigaben-Screenshot von der Freigabe Data? Könntest du zusätzlich noch die "Erweiterte Freigabe" posten? Ist dort der Benutzername des Benutzers oder eine Gruppe enthalten? Direkte Empfehlung: Der System-Benutzer gehört noch zu den NTFS-Berechtigungen des Users Ich persönlich verbinde die Benutzer-Ordner und Arbeits-Ordner mit den GPPs. (Gruppenrichtlinien)

Leider hast du meine Frage nicht vollständig beantwortet. Es wäre super, wenn du das noch tun würdest Folgende Fragen habe ich noch zusätzlich: Funktioniert das Programm, wenn es z.B. vom Desktop des Benutzers ausgeführt wird? Welche Programmversion wird eingesetzt?

Ich schieße jetzt einfach mal ins Blaue. Der Domänen-Admin hat wohl ein Recht, dass alle anderen User dort nicht haben. Der Unterschied wäre dementsprechend das Recht des "Schreibens". Vermutlich brauchen das die Benutzer auch auf der Freigabe. Welche NTFS- und Freigabe-Berechtigungen sind denn gesetzt?

Steht das Lease-Ablaufdatum denn immer noch auf unendlich? Dazu schreibst du nichts. Du kannst mit ipconfig /resease die Reservierung auf dem Client lösen. Das Eine bedingt natürlich das Andere.

Das würde ich ohne Einwilligung des Kunden tunlichst sein lassen. Kunde und IT-Firma wissen auch nicht was die Datei beinhaltet. Würde mich das ein Kunde fragen, dann würde ich ihm tunlichst davon abraten. Ich würde über einen Wartungsvertrag, Sicherheitskonzepte und die neue Einrichtung des ganzen sprechen. Edit: Der Kostenvorschlag von fast 10k€, ohne die Kalkulation gesehen zu haben, wäre auch meine Einschätzung.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme Die großen Kosten kommen erst danach...

Vielleicht wäre es gut, wenn die Erpresser-Links nicht in einer Nachricht vorhanden sind Für Kriminelle brauchen wir ja keine Werbung machen. Ohne die Umstände zu kennen, halte ich das vorgehen für äußerst kritisch. In der Masse lohnt sich das dann für die Erpresser und es wird immer so weitergehen.

Ihr müsst euch hier nicht angreifen. Man muss nicht jeder Antwort zu 100% zustimmen. Manchmal braucht es etwas „direktere“ Töne, solange diese nicht beleidigen. Wichtiger ist doch, das er verstanden hat, dass man Basics nicht durch ein zwei Fragen im Forum klären kann. Das Ziel sollte erreicht sein.

Hallo Snoopy16, die Sicherheit ist leider keine eine "Frage" oder eine Option die man auswählt, sondern basiert auf einem Konzept das stetig wieder angeschaut, kontrolliert und erweitert werden muss. Hierzu müssen alle Faktoren vor Ort, sowie Berechtigungskonzepte unter die Lupe genommen oder entwickelt werden. Meine Empfehlung ist, dass du dich allgemein mit IT-Security beschäftigst, bevor du in Themen tiefer einsteigst. Mit einem Domänen-Admin kannst du schon die Installation einfach durchklicken. Das ist keine Kunst. Wenn die "ka**e" mal am dampfen ist und die Mitarbeiter/Geschäftsführer keine Mail mehr bekommen, dann wirst du an diese Ratschläge zurückdenken. Der Externe kommt dann so oder so Ich wünsche Dir viel Erfolg.

Das kann er nicht Lass den Thread lieber ruhen.

Hast du denn einen Remotezugriff auf die Eventlogs? Da würde ich mal einen Blick rein werfen. Wenn ein Neustart weniger Arbeit macht, dann das.

Der Befehl ist tatsächlich Workflow fähig. schau mal hier: https://devblogs.microsoft.com/scripting/use-powershell-workflow-to-ping-computers-in-parallel/

Nutze die Jobs :) https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/start-job?view=powershell-6

Frohes Weihnachten und eine schönen besinnlichen Abend allen?

Es bietet sich an, diese später einfach über eine Softwareverteilung auf die Clients zu bringen. Alternativ: Bei den Herstellern sind sicher MSI-Installer im Einsatz die über Batch gefüttert installiert oder einfach via GPO nachinstalliert werden können.

Ich kann jetzt nicht herauslesen, ob das ironisch gemeint war. Solange das System vom Netzwerk isoliert läuft, spricht auch erstmal nichts dagegen. Im Netzwerk möchte ich das nicht verantworten müssen. Hier muss jeder seinen Weg finden. Hier kannst du nachlesen, dass u.a. Emotet sich der SMB1-Lücke bedient: Heise https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html?seite=2 BSI https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Emotet/emotet.html

Gerade in den Zeiten von EternalBlue auf SMB1 und Emotet halte ich das für sehr mutig. Die IT ist ja stetig im Wandel, dort stehen zu bleiben mag für den Moment sinnvoll klingen, wird aber später sicher zum Boomerang werden.

Der Glaube ist groß Das kann durchaus bei Festplatten der selben Produktionsstätte passieren. Die Fertigungsprozesse sind dort die Selben.

Warum so kompliziert? Eine einfache Batch mit Robocopy.exe /mir tut es doch sicher auch. Keep it short an simple (:

Als zentraler Speicher würde wohl ein NAS in Frage kommen. Das alleine ist nicht Rätsels Lösung. Jemand an der Hand der einen Berät, ist viel mehr Wert als nur seine Fragen beantwortet zu bekommen. (-:

Nein, denn sie sehen ja eh nur das wofür sie berechtigt wurden. Siehe (- das hier für jeden Ordner einzeln und nach unten vererbt -). Du unterbringst am Anfang der Struktur (einmal), um die oben genannten Berechtigungen zu setzten. Diese vererben sich bis zur letzten Datei + die Gruppen, die im laufe der Struktur dazu kommen. Warum dürfen Domänen-Benutzer nur lesen? Ich habe oben (- das hier einmal für die Freigabe -) genau aufgezeigt was berechtigt werden sollte. Die Hilfe im Forum ist begrenzt. Ich kann Dir den Weg weisen, gehen musst du ihn aber selbst. Allgemein: Je tiefer du in die Struktur gehst, desto mehr Berechtigungen hast du. Entweder jemand hat für den Ordner und seine Unterordner die Berechtigung oder nicht. Was gar nicht geht ist der Fall: Aber im 5 Unterordner darf XYZ das und das nicht sehen. Falls das doch eintritt, dann Ordnerstruktur umbauen! Ich habe Dir die Basics oben geschrieben und erläutert. Das Thema "Berechtigungen" ist auch nichts was man einfach mal so aus dem Ärmel schüttelt, sondern etwas was geplant werden sollte. Hier braucht es einfach Erfahrung und Zeit für das richtige Konzept. Löse dich von deinem Konzept im Kopf und hinterfrage was wir hier alle schreiben. So kannst du lernen warum wir hier etwas so oder so tun. UND noch besser.. warum genau nicht

Wie wäre es denn mit ein bisschen Recherche? https://www.microsoft.com/en-us/download/100591

Bitte nicht verwechseln. Freigabe: - das hier einmal für die Freigabe - Authenticated Users - Change Local Administators - Full Control File Strucutre Administrators - Full Control NTFS: - das hier für jeden Ordner einzeln und nach unten vererbt - Directory group (Ordnername) - Read Only Directory group (Ordnername) - Read and Write - das hier vererbt von dem Root-Ordner auf alle unteren - Local Administators - Full Control File Strucutre Administrators - Full Control SYSTEM - Full Control Ich würde maximal 3 Unterebenen empfehlen. Sonst wirds einfach zu komplex. RootOrdner ( Freigabe ) -> OrdnerEbene1 -> OrdnerEbene2 -> OrdnerEbene3 Unterbrechen der Vererbung nur in den Fällen in denen es nötig ist, denn das erhöht auch die Komplexibilität der Struktur. Später baust du Dir Rollen. Beispielsweise -> Sekretariat (GlobalGroup). Dort packst du die Berechtigungsgruppen (Directory group - Read Only ODER Directory group - Read and Write) rein. Später dann die Benutzer in die Rolle und fertig. AGDLP, wie es schon erwähnt wurde. Das soll Dir die Basis vermitteln und passt sicher nicht auf alle Eventualitäten, durchaus aber auf fast alles. Mach dich mit dem Konzept vertraut und lege los