Jump to content

daabm

Expert Member
  • Posts

    4,659
  • Joined

  • Last visited

Everything posted by daabm

  1. Au weia - 05:45, da leg ich mich auf jeden Fall noch mal hin, falls ich wach werden würde Hier wie bei Nobby - alles seit Tagen feuchtkalt und nur "grau in grau", man wird matschig im Kopf so ganz ohne einen Sonnenstrahl...
  2. Lieber "Der Suchende" als "Der Wirre"
  3. Bis Montag: "Aus dem Weg, Kaffee - das ist ein Job für Alkohol"
  4. Wäre jetzt meine Frage auch gewesen - was ist das "eigentliche" Ziel? "Ich würde gern" ist selten ein Grund Und wenn ich das lösen müßte: Array mit Usern, in denen alle Mitgliedschaften enthalten sind. Zweites Array mit allen jemals vorkommenden Gruppen. Dann übereinander legen.
  5. ...und freuen uns heute schon auf TGIF und den 2. Advent - und dann zünden wir 2 Kerzen an. ZWEI!
  6. Hier auch... Mit dem WDVS reicht's aber tagsüber im Homeoffice noch ohne Heizung, komme abends bei etwa 20° raus, wenn die Heizung anspringt. Da freut sich der Geldbeutel...
  7. Mit den einfachen Anführungszeichen verhinderst Du die Auflösung der Variablen. Da sich bei doppelten Powershell aber am ":" verschluckt, gibt es diese Schreibweise: "$($element):\Posteingang"
  8. Wir zünden eine Kerze an. EINE!
  9. TGIF! Ich hab den Kaffee entsorgt und das Bier kaltgestellt
  10. Brrr - igitt... Und dann womöglich noch feucht
  11. Nimm Dich mal nen Glühwein, der Winter kommt Ich bleib noch beim Bier, hier hats grad kuschelige 5 Grad bei Nieselregen 🍻
  12. Ja, Kaffee holen reicht nicht, Du mußt ihn schon auch benutzen
  13. Bin jeden Abend hier, aber wenns nix zu sagen gibt, halte ich gern mal die Tastatur still
  14. Wir haben ne Domain Policy mit Kerberos ETypes (AES only). Das Problem ist nur, daß der Client wohl RC4 mitschicken muß, damit der Server das im richtigen Codezweig verarbeitet - oder irgendwas in die Richtung. Das INet ist diesbezüglich noch ziemlich wirr... @cj_berlin hat natürlich Recht - wenn bei uns jetzt plötzlich RC4-Tickets ausgestellt würden, hätte sich unser SOC schon längst gemeldet Und mit System.DirectoryServices werden wir das auch in unserer Produktion machen. Aber nicht mit dem DirectorySearcher, sondern mit Protocols.SearchRequest. Hat den Vorteil, daß wir in den paged Searches über jeweils 1000 Ergebnisse iterieren können und nicht alle Objekte auf einmal in einer Schleife landen. Hab mein Sample von oben mal in einer Testumgebung mit 300k Objekten laufen lassen -> 3 GB RAM. Prod hat bei uns "etwas" mehr Objekte JETZT hab sogar ich es kapiert. Ich war bei "Get-ADUser -Properties DistinguishedName", aber Du meintest beim Select ACK!
  15. Drei Kreuze, wenn morgen vorbei ist... Scheiß Patchday mal wieder 😫 Da hilft nur 🍺🍺🍺 - macht's zwar nicht besser, aber dann ist es einem egal 😂
  16. Wenn Du ganz viel lesen willst: https://www.google.com/search?client=firefox-b-d&q=evilgpo.blogspot.com+loopback Die ganz harte Tour: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html Der zweite Link hat ne Lösung dafür, die komplett universell und variabel ist. Der Anfangsaufwand ist allerdings nicht zu unterschätzen, wenn man damit noch nicht viel gemacht hat
  17. Spielt in dem Fall ausnahmsweise keine Rolle, weil Du nicht weiter "runter" kannst als das, was die AD-Cmdlets ohnehin einsammeln. Ansonsten ACK
  18. Oh ja, NTLM-Blocking ist ein echtes Abenteuer. HyperV-Cluster nicht mehr verwaltbar, Authentifizierung an Services nicht mehr möglich, das Identity Management (das mit Service Account und Keytab arbeitet) geht auf die Bretter. Ein Heidenspaß... Unsere Kunden haben btw. nichts davon mitbekommen - die laufen alle noch mit NTLM-Fallback.
  19. Problem: https://www.borncity.com/blog/2022/11/14/microsoft-besttigt-kerberos-authentifizierungsprobleme-nach-nov-2022-updates/ Schnelle kleine Lösung - nur für kleinere Umfelder geeignet, da wenig performant. Aber funktionsfähig $Results = [Collections.Arraylist]::new() $Filter = "(samaccountname=*)" $Results.AddRange( @( Get-ADComputer -LDAPFilter $Filter | Select-Object -Property * ) ) $Results.AddRange( @( Get-ADUser -LDAPFilter $Filter | Select-Object -Property * ) ) $Results.AddRange( @( Get-ADServiceAccount -LDAPFilter $Filter | Select-Object -Property * ) ) Foreach ( $Object in $Results ){ Set-ADObject $Object.DistinguishedName -Replace @{'msds-supportedencryptiontypes'=28} -Verbose } Wer sich über das Select-Object -Property * wundert - Stackoverflow mal durchsuchen, da gibt's ein Issue mit den AD-Cmdlets
  20. Mahlzeit. Wen hat's da denn sonst noch so erwischt? Bei uns hat's unternehmensweit Kerberos zerlegt, bis wir die SupportedEncryptionTypes für alle Computer/User/Service-Accounts auf 28 gesetzt haben (RC4/AES128/AES256)... Und alle Dokus im Netz (dirteam.com und MS KB) passen nicht zu unserem Fehlerbild. Und wir üben grad, wie man das Attribut aktualisiert für etwa 4 Millionen Accounts... (In mehreren Domains, aber trotzdem - #grütze Microsoft).
  21. Bin heute auch spät dran - schönen Feierabend, TGIF! 🍺
  22. Bergfest war gut, jetzt bereiten wir uns aufs Wochenende vor. Feierabend, viel Spaß noch!
  23. Um mal auf den realen Boden der Tatsachen zurückzukommen: Wenn ein User kompromittiert ist, gewinnt Ihr damit gar nichts. Der User braucht Zugriff auf "seine" Dateien, und damit können diese Dateien in seinem Kontext verschlüsselt werden. Wurde ja oben schon genannt: Ihr verliert Kerberos und habt zwangsweise NTLM-Fallback mit allen Nachteilen. Wenn ein Domain Admin (DA) kompromittiert ist, könnte man darauf kommen, das als valide Maßnahme anzusehen. Ist aber denkbar schlecht... Ein DA sollte auf einem Fileserver nichts zu tun haben, idealerweise kann er sich weder lokal anmelden noch remote zugreifen. Ein DA macht nichts anderes als die Domäne zu verwalten. Er verwaltet keine Fileserver und auch keine Shares oder ACLs auf Fileservern. Er kann sich nur auf DCs anmelden.
×
×
  • Create New...