-
Gesamte Inhalte
5.213 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von daabm
-
zentrale Administration / Pass-the-Hash
daabm antwortete auf ein Thema von al3x in: Windows Server Forum
Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist. -
Domainadmin hat lokal keine Adminrechte
daabm antwortete auf ein Thema von Zebbi in: Windows Server Forum
Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC: 1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase 2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem. Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert... -
Sicherheit auf Dedicated Server bei Hoster
daabm antwortete auf ein Thema von Ja_Nosch in: Windows Forum — Security
Wo ist der Widerspruch? Wir haben keine Server in einer Cloud stehen, das Problem stellt sich für uns also gar nicht Und zwar aus genau diesem Grund... Es gibt keine Cloud-Anbieter, die unseren Datenschutzanforderungen gerecht werden. -
Fragen zu Server 2016 und Dienste per Stand Windows 10 1809
daabm antwortete auf ein Thema von James_Eric in: Windows Server Forum
Um Norbert zu ergänzen: GPOs haben mit dem DC nichts zu tun - null. Sie befinden sich "in der Domäne", und womit und von wo aus man sie bearbeitet, ist ihnen relativ egal. Mach das von einem XP-Client aus, und Du kannst konfigurieren, was XP konnte. Mach es von Win 10 1903 aus, und Du kannst konfigurieren, was Win 10 1903 kann. -
Domainadmin hat lokal keine Adminrechte
daabm antwortete auf ein Thema von Zebbi in: Windows Server Forum
Um Norbert zu ergänzen: Win-X, kannst Du die Admin-Powershell (oder Commandline) starten? Normale Commandline: whoami /groups -
Maximales Kennwortalter - Userwarnung
daabm antwortete auf ein Thema von lisaluft in: Active Directory Forum
Wenns dich stört, schau mal hier: http://evilgpo.blogspot.com/2013/08/passwortablaufwarnung-in-windows-7-und.html -
Sicherheit auf Dedicated Server bei Hoster
daabm antwortete auf ein Thema von Ja_Nosch in: Windows Forum — Security
Ich hab gestern schon angefangen was zu schreiben, habs dann wieder gelöscht, aber ok: Wie paranoid bist Du, was läuft da drauf? Der nächste Market Place im Darknet? Es hilft nix, wenn Du die technische Basis aus der Hand gibst (was Du bei einem Hoster MUSST - der Hoster hat IMMER physischen Zugriff), helfen Dir nur Shielded VMs. Und die kriegst Du bei einem Hoster nicht. -
Problem beim Standarddrucker setzen per GPO
daabm antwortete auf ein Thema von Mister_M in: Active Directory Forum
Geprüft per gpresult? Und die Computer haben Leserechte auf die GPO? (MS16-072..) Und noch meine persönliche Meinung: Mit Druckerzuordnungen wird extrem viel Admin-Zeit verschwendet. Meistens wäre es effektiver, die Drucker im AD sauber zu pflegen (gescheite Beschreibung, Standort) - dann sind mit einer A4-Anleitung die meisten User in der Lage, diese selber zu verbinden. BTW: Warum "ersetzen"? Das hat zur Folge, daß bei jeder GPO-Verarbeitung der Drucker erst entfernt und dann wieder hinzugefügt wird... Technisch korrekt wäre "Aktualisieren", und dann machst Du halt noch ein 2. Element mit "Entfernen" und dem umgekehrten ILT. Aufwand? Ja, siehe vorherige Bemerkung -
Best Practice DFS und Benutzer-Ordnerumleitungen
daabm antwortete auf ein Thema von Falconbase in: Windows Server Forum
Ganz oben taucht im geplanten Umleitungspfad \Abteilung\ auf -laß den Quatsch, Abteilungen ändern sich. Alle einfach ins Root des Umleitungs-Stammverzeichnisses. Offline-Dateien hatten wir bis Win7 auch, hat "im großen und ganzen" leidlich funktioniert, aber zu viel Supportaufwand. Mit Win10 daher abgeschaltet... -
VPN-Server - Routing und RAS mit 1 NIC
daabm antwortete auf ein Thema von decehakan in: Windows Server Forum
@tesso Wir sollten uns hier glaub raushalten. Der TO will von den Lösungen, die wir empfehlen, nichts wissen, er bevorzugt die Bastelvariante. Wird dafür auch spätestens im Sommer eine Spamschleuder betreuen... Traurig. -
Domänen Benutzer und lokaler Admin
daabm antwortete auf ein Thema von SaschaVolk in: Windows Server Forum
Die LAPS-Doku ist in dem Sinne nicht von Microsoft, sondern von Microsoft Consulting Services. Kein großer Unterschied, könnte man meinen - aber die taugt halt echt. -
Problem beim Standarddrucker setzen per GPO
daabm antwortete auf ein Thema von Mister_M in: Active Directory Forum
Doch, aber Dinge, die nix taugen, die beschreibt man da besser auch nicht. BTT please... -
SETACL Migrating permissions between Domains
daabm antwortete auf ein Thema von Schorsch_01 in: Windows Forum — Scripting
Hm, mit repldom ersetzt Du nur die Trustees, nicht die Vererbung... Ich würde da mal direkt Helge anschreiben. -
NAS Server kaufen und optimal einrichten
daabm antwortete auf ein Thema von vanMiehsol in: Windows Forum — LAN & WAN
Guter Tip: Bevor Du Dich mit einem Unternehmen zusammensetzt, kontaktiere einen der User hier und setze Dich mit dem zusammen. Dann kannst Du hinterher dem Unternehmen nämlich die richtigen Fragen stellen und dessen Antworten qualifiziert bewerten -
Problem beim Standarddrucker setzen per GPO
daabm antwortete auf ein Thema von Mister_M in: Active Directory Forum
Und hier isser - taddaah Ob das buggy ist oder nicht, ist relativ egal, Grütze ist es in jedem Fall. Ob das mit dem Standarddrucker jemals funktioniert hat, weiß ich nicht. Ich hab den Kram nie ausprobiert, weil es einfach nix taugt. Möglicherweise hilft das GPP debug logging: https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/ Aber ohne Gewähr... Da sollte dann zumindest drinstehen, ob die CSE versucht, den Standarddrucker zu setzen. Dann konter ich gelassen mit der schönsten Coke-Bottle der Welt https://1drv.ms/f/s!AmhU53m8z7nflCefLOlEioSB7hzT -
Domänen Benutzer und lokaler Admin
daabm antwortete auf ein Thema von SaschaVolk in: Windows Server Forum
Die hat ja auch der Programmierer selber geschrieben, und man sieht der Doku definitiv an, daß er stolz auf sein Ergebnis ist. Geht mir auch so - wenn ich was richtig gut hinkriege und das dann dokumentiere, dann wird auch die Doku super -
Fragen zu Server 2016 und Dienste per Stand Windows 10 1809
daabm antwortete auf ein Thema von James_Eric in: Windows Server Forum
Im Zweifel glaub mir - ich hab das Buch geschrieben, @zahni spricht nur aus eigener Erfahrung @James_Eric Besorg Dir die Microsoft Security Baselines und setze die um. Google ist Dein Freund, Du wirst sie finden... -
Hyper V - Eine Warnung und einen Fehler in der Ereignisanzeige
daabm antwortete auf ein Thema von Crashbreaker in: Windows Server Forum
Es wäre vielleicht klug, ein Problem nach dem anderen zu lösen und nicht zu viel in einen Thread zusammen zu werfen. Ich blicke hier schon nicht mehr durch, was eigentlich das ursprüngliche Problem ist, was genau noch aktuell ist und welche Fehlersituation konkret besteht... -
Domänen Benutzer und lokaler Admin
daabm antwortete auf ein Thema von SaschaVolk in: Windows Server Forum
Winfried, im LAPS-Download ist doch jede Menge Doku enthalten?!? -
Ja, so b***d das klingt: Du brauchst "irgendeine" Liste, in der Deine Windows-Installationen mit der zugehörigen Lizenz stehen. Und die sollte halt mit dem, was man in der Realität nachprüfen kann, 1:1 übereinstimmen... Du selbst kannst natürlich die KMS-Daten als Basis für diese Liste nehmen. Aber für den Audit ist das belanglos.
-
Windows 10 als Server betreiben
daabm antwortete auf ein Thema von decehakan in: Windows Server Forum
Der Faden ist richtig spaßig, da ist von allem was dabei Bin gespannt, ob wir ein faktisch greifbares Ergebnis erfahren. -
Bitlocker Verschlüsselung sicher stellen
daabm antwortete auf ein Thema von StefanWe in: Windows 10 Forum
Du hast ja recht - sorry dafür, das war ein Frust-Abend... Wir handhaben das so, daß Bitlocker über das Software-Deployment aktiv getriggert wird (aus zu Beginn, an am Ende). Da gab es bisher wenig Probleme, allerdings gehört dazu einiges an eigens geschriebener Software. Und wie bei den meisten Firmen dürfen wir das nicht rausgeben - unsere Firma arbeitet noch am "open source Prinzip" -
Alle Mitglieder einer bestimmten Group aus AD auslesen
daabm antwortete auf ein Thema von quen_to in: Windows Forum — Scripting
Mir ging es mehr um das zweite Argument - lesbarer Code. Nix gegen Pipelining, wenn man das mal kurz auf der Commandline eintippt. Aber der TO sprach von einem Skript, und da finde ich halt Foreach besser als die Pipe. Das ist besser lesbar und damit auch einfacher wartbar. Und auch einfacher zu debuggen :-) -
Fragen zu Server 2016 und Dienste per Stand Windows 10 1809
daabm antwortete auf ein Thema von James_Eric in: Windows Server Forum
Ja, ich könnte. Sollte ich echt mal machen -
Ja, elend. Wir sind mit der Win7-Ablösung soweit fertig, unsere Kunden steuern die Umstellung selbständig, manche haben da noch ne Bugwelle vor sich, die meisten sind fertig. Das Leben kann auch schön sein