MurdocX

Applocker Setzen wir bei uns mit den Default-Regeln ein. Bis auf eine Ausnahme gibt es keine Probleme. Kein einziges Ticket welches auf dem Applocker hinausgelaufen wäre. "VisualStudio...." funktioniert damit nicht, da die Anwendungen im TEMP-Verzeichnis erstellt werden. Eine Ausnahme für TEMP ist nicht drin. EMET Keine Probleme bisher! Es geht leicht auf die Performance, jedoch bei dem Benefit vernachlässigbar. EMET wird bei mir im Image mit verteilt. Windows Firewall Bei uns wird die lokalen Einstellungen, sowie die Gruppenrichtlinien übernommen. Leider ist das bei einem Anwendungsjungel schwer einheitlich zu konfigurieren. Deinstallieren von nichtgebrauchten Packages Halte ich für essentiell. Dank Powershell sind so Remote-Abfragen recht problemlos und einfach. EDIT: Überlegenswert wäre noch die Wechselmedien zu sperren und per Whitelist freizugeben. https://msdn.microsoft.com/en-us/library/bb530324.aspx

Eigentlich heißt es ja "Click-to-run" https://technet.microsoft.com/de-de/library/jj219427.aspx Hat die (erweiterte) Reparaturinstallation geklappt?

Dann eine Reparaturinstallation vom Office durchführen, danach wird es wieder funktionieren. One-Klick-Installation?

Das stimmt. War eine etwas ruckelige Aktion. Hat auch etwas gedauert bis alles wieder sauber lief. Der Exchange 2003er hat aber besonnen reagiert :)

Du könntest deine Domäne umbenennen: https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Hab ich schon einmal durchgeführt

Danke für die Info. Dann werde ich nächstes Jahr die Messe mal besuchen.

Naja, ich war noch nie dort und weiß nicht ob sich das auch lohnt.. ;) Hehe, ja quasi. Wahrscheinlich Stuttart´er Richtung?

In Bayern ist es auch schön ;-)

Wäre es nicht ca 750km entfernt, würde ich da auch vorbei schauen. Aber viel Spaß euch :wink2:

Ich würde das Office-Paket probieren zu reparieren. Hatte ähnliche Probleme schon mal mit der One-Klick-Installation.

[DateTime]$Date = $(get-date) $date.ToShortDateString() # Ausgabe 1 $date2 = $date.AddDays(1) $date2.ToShortDateString() # Ausgabe 2 => Ausgabeergebnis 23.06.2016 24.06.2016 Eine weitere Variante :wink2: Oder ein Einzeiler ([DateTime]::Parse('23.06.16')).AddDays(1).ToShortDateString()

Add-ADGroupMember -Server 'Domaincontroller.DomäneA.local' -Credential $(Get-Credential) Hier kannst du "Server" für den anderen DC nutzen und natürlich dann "Credential" für die Authentifizierung. Damit kannst du zu anderen Servern eine Verbindung aufbauen Falls du mehrere verschachtelte Abfragen machen möchtest, kannst du die Server in eine Variable schreiben und mit "ForEach" oder "ForEach-Object" abklappern.

Get-ADGroupMember -Identity '(DomainA) GRUPPE-X' | Add-ADGroupMember -Identity '(DomainB) GRUPPE-X' Suchst du ungefähr sowas? Falls ich das richtig verstanden habe, möchtest du die Mitglieder einer Gruppe auch in der anderen Domäne in eine Gruppe packen? Vielleicht liegt´s an mir, aber ich verstehe deine Beschreibung leider nicht...

Ändere das BIOS wieder auf Legacy bzw. deaktiviere UEFI.

Hier hätte ich auch ein Skript für Dich. Es erledigt genau das was du suchst. http://www.it-explorations.de/suchen-ersetzen-powershell/ Setze einfach "Get-childitem "Suchpfad" | select-string -pattern "Suchtext"" in ein IF If (Get-childitem "Suchpfad" | select-string -pattern "Suchtext") { send-message .... }

Hallo Molle, mit deinem "recht armen" Ansatz kommst du nicht weit. Ich hab Dir das benötigte Skript geschrieben und getestet. Es sucht in dem angegebenen Pfad nach den Ordnern und Unterordnern. Ließt die Berechtigungen aus und schreibt die mit 'ReadandExecute" zu 'Modify' um. Die Vererbung ist aktiviert. Die 3 Variablen sind auszufüllen: $strPfad = 'LW:\ORDNER' $strGruppenbezeichnung = 'MB-DL' $strDomäne = 'DOMÄNE' # Domäne ohne Endung wie z.B. '.local' -> NETBIOS-NAME Viel Erfolg ;-) # # Author: Jan Weis # www.it-explorations.de # # --- BENUTZER VARIABLEN ---# $strPfad = 'LW:\ORDNER' $strGruppenbezeichnung = 'MB-DL' $strDomäne = 'DOMÄNE' # Domäne ohne Endung wie z.B. '.local' -> NETBIOS-NAME # --- SYSTEM VARIABLEN --- # # FileSystemRights Flags $objFileSystemRightModify = [System.Security.AccessControl.FileSystemRights]'Modify' $objFileSystemRightReadExecute = [System.Security.AccessControl.FileSystemRights]'ReadAndExecute' # InheritanceFlags Flags $objInheritanceFlagDirectory = [System.Security.AccessControl.InheritanceFlags]::ContainerInherit -bor [System.Security.AccessControl.InheritanceFlags]::ObjectInherit $objInheritanceFlagFile = [System.Security.AccessControl.InheritanceFlags]::None # Common Flags $objAccessControlTypeAllow = [System.Security.AccessControl.AccessControlType]::Allow $objPropagationFlagsNone = [System.Security.AccessControl.PropagationFlags]::None # --- SKRIPT ---# Foreach ($objOrdnerItem in (Get-ChildItem -Path $strPfad)) { # Berechtigungen abrufen $objOrdnerItemACL = Get-Acl -Path $objOrdnerItem.FullName # Prüfe jedes Berechtigungsobjekt ob es den gewünschten Namen beinhaltet UND die Berechtigung 'ReadAndExecute' beinhaltet [String[]]$strACLGruppenListe = ($objOrdnerItemACL.Access | Where-Object {$_.IdentityReference -match $strGruppenbezeichnung -and $_.FileSystemRights -like 'ReadAndExecute*'}).IdentityReference.Value # Passen die Berchtigung für jede gefundene Gruppe an foreach ($strACLGruppenItem in $strACLGruppenListe) { # Für jede gefundene Gruppe wird die Berechtigung auf 'Modify' angepasst # Domäne entfernen $strACLGruppenItem = $strACLGruppenItem.replace("$strDomäne\",'') # NTAccount-Object anlegen $objADSecGruppe = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList ($strACLGruppenItem) # FILESYSTEMACCESSRULE-OBJECT ANLEGEN $objDirectoryAceRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList ($objADSecGruppe, $objFileSystemRightModify, $objInheritanceFlagDirectory, $objPropagationFlagsNone, $objAccessControlTypeAllow) # NEUE ACL HINZUFÜGEN $objOrdnerItemACL.AddAccessRule($objDirectoryAceRule) # NEUE ACL AUF DAS OBJEKT SCHREIBEN $objOrdnerItemACL | Set-Acl -Path $objOrdnerItem.FullName } } Um eine Ausgabe zu bekommen, kannst du noch unter dem letzten Command "Neue ACL auf das Objekt schreiben" folgenden Befehl darunter setzen: Write-Host ":: [Berechtigung angepasst] Gruppe: '$strACLGruppenItem'; Pfad: '$($objOrdnerItem.FullName)'" -ForegroundColor Yellow

Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :) Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an.

Fühlt sich da jemand auf den Schlips getreten? :rolleyes: Man darf doch wohl mal darauf hinweisen oder? ;)

Dann ist der Anschluss kein TCP/IP.... Erstelle einen neuen (TCP/IP) Anschluss, entferne den Haken.

Druckereigenschaften > Anschlüsse > Konfigurieren > den Haken bei "SNMP-Status aktiviert" entfernen. Bei uns hat es das Problem gelöst.

Bist du so früh schon wach? Dann könntest du ja eins posten ;)

Wie "gefühlt" kalt es da wohl sein wird.... Ich könnte mir vorstellen, dass der Sonnenaufgang atemberaubend ist :)

1. Zur Administration des Hosts, sowie auch der VM´s 2. Es greifen nur die Clients der Admins darauf zu

Theoretisch dürfte darauf keiner Antworten -> Regel Nr. 8: Rechtliches -> Keine Rechtsberatung, keine Fragen zum Thema Recht, Datenschutz oder Mitarbeiterüberwachung. ;) :p

Der Aspekt gelesen werden zu können... Jep.. ... Das bringt mich auf eine Idee :) .Net bringt die Möglichkeit Daten zu verschlüsseln (System.Security.Cryptography), so müsste keine andere Software eingesetzt werden. Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? ;)