daabm

In der Tat - warum sollte ich ein Kennwort ändern, das nicht kompromittiert ist?

Ah - Du wohnst im Doppelboden

Naja, ich migriere Drucker nicht, ich lege neu an. WMI hilft dabei... Und Drucker sind Layer 6 oder 7

Siehste, ich weiß nichtmal, womit wir die verwalten... Firewall ist Algosec, aber Switche - kein Plan. Soweit weg bin ich von Layer 1 :-(

Ja scheint so, macht aber auch Spaß Rolf, wir haben NUR Cages in zutrittsgesicherten RZs. Und da war ich schon seit über 15 Jahren nicht mehr drin...

Andere haben mehr Switche als Ihr Ports

Ich würde für so was ja auf lokale Accounts zurückgreifen - schließlich hängt das Testequipment ja wohl auch lokal an einem PC. Das Übertragen zur Domäne kann dann ein Task oder sonst was übernehmen, der mit dem Computeraccount läuft (der halt berechtigt sein muß).

Was wohl immer gehen sollte: 2 NW-Karten im Server, NPS in einer VM. Die Fritzbox hängt an einer Karte, die exklusiv der VM gehört, die andere ist bridged. Dann muß man halt viel routen

Das mit der IP hätte ich riskiert. Kollateralschaden, aber danach spricht der Geschädigte jedenfalls DNS und nicht mehr IP

Printmig? Kannte ich noch gar nicht, bei mir heißt das noch printbrm

Die Schemaversion lebt nur im AD und hat weder mit dem OS der DCs noch mit Domain/Forestlevel irgendwas zu tun. Wir fahren 2008R2 Domänen mit 2016-Schema Ganz kleine Korrektur: Ohne passendes Schema gibt es bestimmte Objekte nicht, dann kann das eine oder andere nicht möglich sein. Z.B. bei Drahtlosnetzwerk-Policies (sind AD-Objekte, Vista-Policies gehen erst mit dem 2008-Schema) oder Bitlocker Recovery Keys oder noch so ein paar Schmankerl (Certificate Roaming fällt mir noch ein, gibt aber bestimmt noch mehr). Für LAPS brauchts ja auch ne Schemaerweiterung, und "rein technisch" ist ein Schema-Update auch nur ne Schemaerweiterung. Und nein, ich will jetzt keine große Diskussion darüber anzetteln

Hm, was sagt denn ein "ping <IP>" und ein (Powershell) "test-netconnection <ip> -port 445"?

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC: 1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase 2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem. Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert...

Wo ist der Widerspruch? Wir haben keine Server in einer Cloud stehen, das Problem stellt sich für uns also gar nicht Und zwar aus genau diesem Grund... Es gibt keine Cloud-Anbieter, die unseren Datenschutzanforderungen gerecht werden.

Um Norbert zu ergänzen: GPOs haben mit dem DC nichts zu tun - null. Sie befinden sich "in der Domäne", und womit und von wo aus man sie bearbeitet, ist ihnen relativ egal. Mach das von einem XP-Client aus, und Du kannst konfigurieren, was XP konnte. Mach es von Win 10 1903 aus, und Du kannst konfigurieren, was Win 10 1903 kann.

Um Norbert zu ergänzen: Win-X, kannst Du die Admin-Powershell (oder Commandline) starten? Normale Commandline: whoami /groups

Wenns dich stört, schau mal hier: http://evilgpo.blogspot.com/2013/08/passwortablaufwarnung-in-windows-7-und.html

Ich hab gestern schon angefangen was zu schreiben, habs dann wieder gelöscht, aber ok: Wie paranoid bist Du, was läuft da drauf? Der nächste Market Place im Darknet? Es hilft nix, wenn Du die technische Basis aus der Hand gibst (was Du bei einem Hoster MUSST - der Hoster hat IMMER physischen Zugriff), helfen Dir nur Shielded VMs. Und die kriegst Du bei einem Hoster nicht.

Geprüft per gpresult? Und die Computer haben Leserechte auf die GPO? (MS16-072..) Und noch meine persönliche Meinung: Mit Druckerzuordnungen wird extrem viel Admin-Zeit verschwendet. Meistens wäre es effektiver, die Drucker im AD sauber zu pflegen (gescheite Beschreibung, Standort) - dann sind mit einer A4-Anleitung die meisten User in der Lage, diese selber zu verbinden. BTW: Warum "ersetzen"? Das hat zur Folge, daß bei jeder GPO-Verarbeitung der Drucker erst entfernt und dann wieder hinzugefügt wird... Technisch korrekt wäre "Aktualisieren", und dann machst Du halt noch ein 2. Element mit "Entfernen" und dem umgekehrten ILT. Aufwand? Ja, siehe vorherige Bemerkung

Ganz oben taucht im geplanten Umleitungspfad \Abteilung\ auf -laß den Quatsch, Abteilungen ändern sich. Alle einfach ins Root des Umleitungs-Stammverzeichnisses. Offline-Dateien hatten wir bis Win7 auch, hat "im großen und ganzen" leidlich funktioniert, aber zu viel Supportaufwand. Mit Win10 daher abgeschaltet...

@tesso Wir sollten uns hier glaub raushalten. Der TO will von den Lösungen, die wir empfehlen, nichts wissen, er bevorzugt die Bastelvariante. Wird dafür auch spätestens im Sommer eine Spamschleuder betreuen... Traurig.

Die LAPS-Doku ist in dem Sinne nicht von Microsoft, sondern von Microsoft Consulting Services. Kein großer Unterschied, könnte man meinen - aber die taugt halt echt.

Doch, aber Dinge, die nix taugen, die beschreibt man da besser auch nicht. BTT please...

Hm, mit repldom ersetzt Du nur die Trustees, nicht die Vererbung... Ich würde da mal direkt Helge anschreiben.