daabm

Die PAW läuft in der VMWare-Umgebung? Und die ist komplett T0? Das ist eines der Probleme bei ESAE - Tier-Traversal... Die PAW ist T0, läuft virtuell auf VMWare, was eigentlich T1 ist. Und schon isses Grütze. Woher ich das weiß?

Wir haben festgestellt, daß es im ESAE-Konzept Dinge gibt, die in einer wirtschaftlich angespannten Lage schlicht nicht machbar sind. Fängt bei den dedizierten Admin-Zugängen mit separatem LAN an, geht weiter über dedizierte WSUS/SCCM/AV-Infrastruktur usw... Die meisten "durchschnittlichen" Admins tun sich mit dem Konzept der Tier-Trennung und der separaten Admin-Forests schon ausreichend schwer - "also mit welchem User muss ich mich jetzt anmelden?" Damit man es an den Start bringt, müssen die Key-Kunden ja mitgehen. Vergraulst Du die gleich zu Anfang, stirbst Du in Schönheit Der Aufwand auf Unternehmensebene ist immens. Und das, obwohl wir eigentlich sicherheits-sensitiv sind (Bankenumfeld).

Im Grunde funktioniert es. Bis das Federation Ticket des MS-Accounts abgelaufen ist - wenn der sich nicht "ab und zu" mal anmeldet, verschwindet die Ortung.

In den Sicherheitseinstellungen bei der Advanced Firewall?

Da brauchst in der Tat entweder ein Script oder eine relativ aufwändige Policy mit Zielgruppenadressierung auf Win32_Pingstatus... Ich finde den DNS-Alias eleganter und einfacher. Und am allereinfachsten ist ein A4-Handzettel für die Benutzer, wie sie zu einem Drucker kommen. Warum machen das so wenige? Daheim können die User ja ihren Drucker auch irgendwie finden...

Wasch mich, aber mach mich nicht nass Eine Kröte musst Du schlucken. Oder Du kaufst Drittsoftware fürs MDM.

Unbekannt ist mir das nicht, nur der Begriff war mir neu. "Gehe davon aus, daß alles nicht vertrauenswürdig ist, bis es etwas anderes bewiesen hat" sollte in einer sicheren IT ein Grundprinzip sein. Ich kenne genug ADs, die Simple Bind und Anonymous Access erlauben, weil sie seit Windows 2000 immer nur aktualisiert wurde. Bäh... Wir arbeiten uns grad an ESAE ab, das ist schon Herausforderung genug - aber das Grundprinzip ist da das selbe.

Das konfiguriert man komplett per GPO, der User bekommt diesen Dialog nie zu sehen...

Lohnt sich das noch herauszufinden? Office 2010 ist in einem Jahr Geschichte...

Und was genau ist jetzt die Frage? Nicht authentifizierte Zugriffe auf egal was gehen nicht.

Um das mal zu beantworten: Nein, das geht so nicht. Wenn der PC Mitglied einer Domäne ist, durchsucht diese WMI-Abfrage die Domäne und wird immer WAHR zurückliefern, wenn der User existiert. Warum nimmst Du den User nicht einfach unter dem Reiter "Delegierung" mit auf und dann über "Erweitert" verweigerst Du ihm das Übernehmen dieser GPO?

@Squire Made my day - das Leben kann so einfach sein ? Wenn man halt mal kreativ sucht

Abteilung ist Abteilung. Wenn da intern kein Vertrauen da ist, hast Du ein organisatorisches Problem, kein Rechteproblem. Edit sagt: Zu oft wird versucht, organisatorische Mängel durch technische Maßnahmen zu lösen. Das funktioniert nie.

Du weißt nicht, was NAT ist, oder?

Was für eine Strategie genau? Ich hab den Begriff noch nie gehört...

Ne, Olaf. Richtig, SYSTEM ist immer nur LOKAL. Aber extern ist das entweder der Computeraccount (%computername%$), der z.B. in Domain Computers oder Authenticated Users enthalten ist, oder - wenn so konfiguriert (Allow Null Session Fallback) - eine Null Session, wenn Kerberos nicht funktioniert. Das dürfte das Problem des TO sein. SYSTEM muß man nirgends berechtigen. Lokal darf der eh immer alles, und nach außen kommt er sowieso nicht

Du kannst für solche GP-Settings auch gerne auf https://gpsearch.azurewebsites.net/ verlinken mit der Textbeschreibung, was jeweils eingestellt ist. Das macht den Beitrag etwas übersichtlicher Ansonsten danke fürs Posten und hoffentlich hilft es dem einen oder anderen ?

Ich hab den C64 verkauft, als ich mit "Open(1,8,15)" nichts mehr anfangen konnte ??

Das ist wohl ein Samba-Share mit Anonymous Access - Pfui... Meine Empfehlung dazu: ALLE Skripte "irgendwie" nach lokal kopieren und per GPO das lokale Skript aufrufen. Dann läuft das nämlich auch, wenn das Netz weg ist. Und "lokal" heißt bei Computerstartskripts "ein Verzeichnis, in dem der User KEINE Schreibrechte hat".

Kann man so machen, wird vermutlich auch funktionieren, aber mit Verlaub: Das sind Methoden aus dem letzten Jahrtausend... Sogar bei Batch ging das mit "for /l" schon eleganter, von Powershell wollen wir jetzt nur mal träumen.

Interessant wäre noch Peers (alle verfügbaren Quellen) und Source (die tatsächlich verwendete Quelle). 0x80070005 heißt schlicht "Zugriff verweigert".

Ja, das nennt man betriebsblind - woher ich das weiß? Da fehlt dann halt ein Kollege, der auch mal mit draufschaut. Credits wären noch nett... ?

Hm, Du bist doch eigentlich kein ganz Unerfahrener... https://lmgtfy.com/?q=gpmc+debug+logging&s=g Und Deine Problembeschreibung ist immer noch wirr. Oben steht "GPOs nicht mehr verändern kann". Dann kommt "Bei existierenden GPOs läuft alles rund". Ja was denn nun? Hat jemand den Default Security Descriptor von groupPolicyContainer geändert? Oder hat jemand mit den ACLs von Sysvol oder im AD (System/Policies) gespielt?

Naja, Haken dran. Falsche Subnet-Zuordnung in den Sites...

Das Debug Logging interessiert Dich nicht? Das würde ich als erstes einschalten.