daabm

vor 8 Stunden schrieb xrated2:

Ich werde bestimmt nicht alle Inbound Regeln ändern wenn du das meinst

Wer redet von Inbound-Regeln? Ich rede nur von den Benachrichtigungs-Einstellungen.

vor 23 Stunden schrieb Sunny61:

Die IFMEMBER.EXE https://www.gruppenrichtlinien.de/artikel/anmelde-skript-benutzer-gruppenabfrage-zuweisung-drucker/ gibt es wohl nicht mehr, deshalb müsste man es mit NET USER /Domain %username& | find versuchen, ob es schnell genug ist. https://blog.friedlandreas.net/2011/09/gruppenmitgliedschaft-von-einem-benutzer-auslesen/

Noch eine Möglichkeit: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/

whoami /groups | find /i "Gruppenname" && Machirgendwas

Das AD deswegen zu fragen ist nicht nötig. net.exe schneidet zudem die Gruppennamen ab (glaub nach 20 Zeichen).

Wie oben schon geschrieben: Wenn Du volle Kontrolle willst, kauf Dir ein MDM. Wenn Du mit kostenlosen Funktionen eines Anbieters arbeiten willst, lebe mit den "Nebenwirkungen"

Tja, kostenfreie Dienste (Ortung) zahlst Du halt mit Deinen Daten...

Ja. Frei von Kostendruck und Organisationshemmnissen, einfach mal machen, was ginge. Ich find's gut, aber Du kriegst es nicht umgesetzt. Erstens zu teuer, zweitens zu viele organisatorische Hindernisse... Wir machen, was halt machbar ist.

Ich werf mal die Shadow Principals noch in den Raum, dann wird die Diskussion komplett wirr

Die PAW läuft in der VMWare-Umgebung? Und die ist komplett T0? Das ist eines der Probleme bei ESAE - Tier-Traversal... Die PAW ist T0, läuft virtuell auf VMWare, was eigentlich T1 ist. Und schon isses Grütze. Woher ich das weiß?

Wir haben festgestellt, daß es im ESAE-Konzept Dinge gibt, die in einer wirtschaftlich angespannten Lage schlicht nicht machbar sind. Fängt bei den dedizierten Admin-Zugängen mit separatem LAN an, geht weiter über dedizierte WSUS/SCCM/AV-Infrastruktur usw... Die meisten "durchschnittlichen" Admins tun sich mit dem Konzept der Tier-Trennung und der separaten Admin-Forests schon ausreichend schwer - "also mit welchem User muss ich mich jetzt anmelden?" Damit man es an den Start bringt, müssen die Key-Kunden ja mitgehen. Vergraulst Du die gleich zu Anfang, stirbst Du in Schönheit

Der Aufwand auf Unternehmensebene ist immens. Und das, obwohl wir eigentlich sicherheits-sensitiv sind (Bankenumfeld).

Im Grunde funktioniert es. Bis das Federation Ticket des MS-Accounts abgelaufen ist - wenn der sich nicht "ab und zu" mal anmeldet, verschwindet die Ortung.

In den Sicherheitseinstellungen bei der Advanced Firewall?

Da brauchst in der Tat entweder ein Script oder eine relativ aufwändige Policy mit Zielgruppenadressierung auf Win32_Pingstatus... Ich finde den DNS-Alias eleganter und einfacher.

Und am allereinfachsten ist ein A4-Handzettel für die Benutzer, wie sie zu einem Drucker kommen. Warum machen das so wenige? Daheim können die User ja ihren Drucker auch irgendwie finden...

Wasch mich, aber mach mich nicht nass Eine Kröte musst Du schlucken. Oder Du kaufst Drittsoftware fürs MDM.

Unbekannt ist mir das nicht, nur der Begriff war mir neu. "Gehe davon aus, daß alles nicht vertrauenswürdig ist, bis es etwas anderes bewiesen hat" sollte in einer sicheren IT ein Grundprinzip sein.

Ich kenne genug ADs, die Simple Bind und Anonymous Access erlauben, weil sie seit Windows 2000 immer nur aktualisiert wurde. Bäh...

Wir arbeiten uns grad an ESAE ab, das ist schon Herausforderung genug - aber das Grundprinzip ist da das selbe.

Das konfiguriert man komplett per GPO, der User bekommt diesen Dialog nie zu sehen...

Lohnt sich das noch herauszufinden? Office 2010 ist in einem Jahr Geschichte...

Und was genau ist jetzt die Frage? Nicht authentifizierte Zugriffe auf egal was gehen nicht.

Um das mal zu beantworten: Nein, das geht so nicht. Wenn der PC Mitglied einer Domäne ist, durchsucht diese WMI-Abfrage die Domäne und wird immer WAHR zurückliefern, wenn der User existiert. Warum nimmst Du den User nicht einfach unter dem Reiter "Delegierung" mit auf und dann über "Erweitert" verweigerst Du ihm das Übernehmen dieser GPO?

@Squire Made my day - das Leben kann so einfach sein ? Wenn man halt mal kreativ sucht

Abteilung ist Abteilung. Wenn da intern kein Vertrauen da ist, hast Du ein organisatorisches Problem, kein Rechteproblem.

Edit sagt: Zu oft wird versucht, organisatorische Mängel durch technische Maßnahmen zu lösen. Das funktioniert nie.

Du weißt nicht, was NAT ist, oder?

Was für eine Strategie genau? Ich hab den Begriff noch nie gehört...

vor 11 Stunden schrieb BOfH_666:

... nur mal als Denkanstoss: SYSTEM ist ein lokaler Account eines einzelnen Computers. Wenn ein anderer Computer mit diesem Account Zugriff erhalten soll, müsstest Du diesen explizit angeben also auf Computer1 müsstest Du dann Computer2\SYSTEM berechtigen, damit er entsprechenden Zugriff erhält. Deshalb ist es keine gute Idee, den Account SYSTEM für irgendwelche explizit berechtigte Resourcen zu benutzen.

Ne, Olaf. Richtig, SYSTEM ist immer nur LOKAL. Aber extern ist das entweder der Computeraccount (%computername%$), der z.B. in Domain Computers oder Authenticated Users enthalten ist, oder - wenn so konfiguriert (Allow Null Session Fallback) - eine Null Session, wenn Kerberos nicht funktioniert. Das dürfte das Problem des TO sein.

SYSTEM muß man nirgends berechtigen. Lokal darf der eh immer alles, und nach außen kommt er sowieso nicht

Du kannst für solche GP-Settings auch gerne auf https://gpsearch.azurewebsites.net/ verlinken mit der Textbeschreibung, was jeweils eingestellt ist. Das macht den Beitrag etwas übersichtlicher Ansonsten danke fürs Posten und hoffentlich hilft es dem einen oder anderen ?

Ich hab den C64 verkauft, als ich mit "Open(1,8,15)" nichts mehr anfangen konnte ??

Das ist wohl ein Samba-Share mit Anonymous Access - Pfui...

Meine Empfehlung dazu: ALLE Skripte "irgendwie" nach lokal kopieren und per GPO das lokale Skript aufrufen. Dann läuft das nämlich auch, wenn das Netz weg ist. Und "lokal" heißt bei Computerstartskripts "ein Verzeichnis, in dem der User KEINE Schreibrechte hat".