daabm

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC: 1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase 2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem. Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert...

Wo ist der Widerspruch? Wir haben keine Server in einer Cloud stehen, das Problem stellt sich für uns also gar nicht Und zwar aus genau diesem Grund... Es gibt keine Cloud-Anbieter, die unseren Datenschutzanforderungen gerecht werden.

Um Norbert zu ergänzen: GPOs haben mit dem DC nichts zu tun - null. Sie befinden sich "in der Domäne", und womit und von wo aus man sie bearbeitet, ist ihnen relativ egal. Mach das von einem XP-Client aus, und Du kannst konfigurieren, was XP konnte. Mach es von Win 10 1903 aus, und Du kannst konfigurieren, was Win 10 1903 kann.

Um Norbert zu ergänzen: Win-X, kannst Du die Admin-Powershell (oder Commandline) starten? Normale Commandline: whoami /groups

Wenns dich stört, schau mal hier: http://evilgpo.blogspot.com/2013/08/passwortablaufwarnung-in-windows-7-und.html

Ich hab gestern schon angefangen was zu schreiben, habs dann wieder gelöscht, aber ok: Wie paranoid bist Du, was läuft da drauf? Der nächste Market Place im Darknet? Es hilft nix, wenn Du die technische Basis aus der Hand gibst (was Du bei einem Hoster MUSST - der Hoster hat IMMER physischen Zugriff), helfen Dir nur Shielded VMs. Und die kriegst Du bei einem Hoster nicht.

Geprüft per gpresult? Und die Computer haben Leserechte auf die GPO? (MS16-072..) Und noch meine persönliche Meinung: Mit Druckerzuordnungen wird extrem viel Admin-Zeit verschwendet. Meistens wäre es effektiver, die Drucker im AD sauber zu pflegen (gescheite Beschreibung, Standort) - dann sind mit einer A4-Anleitung die meisten User in der Lage, diese selber zu verbinden. BTW: Warum "ersetzen"? Das hat zur Folge, daß bei jeder GPO-Verarbeitung der Drucker erst entfernt und dann wieder hinzugefügt wird... Technisch korrekt wäre "Aktualisieren", und dann machst Du halt noch ein 2. Element mit "Entfernen" und dem umgekehrten ILT. Aufwand? Ja, siehe vorherige Bemerkung

Ganz oben taucht im geplanten Umleitungspfad \Abteilung\ auf -laß den Quatsch, Abteilungen ändern sich. Alle einfach ins Root des Umleitungs-Stammverzeichnisses. Offline-Dateien hatten wir bis Win7 auch, hat "im großen und ganzen" leidlich funktioniert, aber zu viel Supportaufwand. Mit Win10 daher abgeschaltet...

@tesso Wir sollten uns hier glaub raushalten. Der TO will von den Lösungen, die wir empfehlen, nichts wissen, er bevorzugt die Bastelvariante. Wird dafür auch spätestens im Sommer eine Spamschleuder betreuen... Traurig.

Die LAPS-Doku ist in dem Sinne nicht von Microsoft, sondern von Microsoft Consulting Services. Kein großer Unterschied, könnte man meinen - aber die taugt halt echt.

Doch, aber Dinge, die nix taugen, die beschreibt man da besser auch nicht. BTT please...

Hm, mit repldom ersetzt Du nur die Trustees, nicht die Vererbung... Ich würde da mal direkt Helge anschreiben.

Guter Tip: Bevor Du Dich mit einem Unternehmen zusammensetzt, kontaktiere einen der User hier und setze Dich mit dem zusammen. Dann kannst Du hinterher dem Unternehmen nämlich die richtigen Fragen stellen und dessen Antworten qualifiziert bewerten

Und hier isser - taddaah Ob das buggy ist oder nicht, ist relativ egal, Grütze ist es in jedem Fall. Ob das mit dem Standarddrucker jemals funktioniert hat, weiß ich nicht. Ich hab den Kram nie ausprobiert, weil es einfach nix taugt. Möglicherweise hilft das GPP debug logging: https://blogs.technet.microsoft.com/askds/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat/ Aber ohne Gewähr... Da sollte dann zumindest drinstehen, ob die CSE versucht, den Standarddrucker zu setzen. Dann konter ich gelassen mit der schönsten Coke-Bottle der Welt https://1drv.ms/f/s!AmhU53m8z7nflCefLOlEioSB7hzT

Die hat ja auch der Programmierer selber geschrieben, und man sieht der Doku definitiv an, daß er stolz auf sein Ergebnis ist. Geht mir auch so - wenn ich was richtig gut hinkriege und das dann dokumentiere, dann wird auch die Doku super

Im Zweifel glaub mir - ich hab das Buch geschrieben, @zahni spricht nur aus eigener Erfahrung @James_Eric Besorg Dir die Microsoft Security Baselines und setze die um. Google ist Dein Freund, Du wirst sie finden...

Es wäre vielleicht klug, ein Problem nach dem anderen zu lösen und nicht zu viel in einen Thread zusammen zu werfen. Ich blicke hier schon nicht mehr durch, was eigentlich das ursprüngliche Problem ist, was genau noch aktuell ist und welche Fehlersituation konkret besteht...

Winfried, im LAPS-Download ist doch jede Menge Doku enthalten?!?

Ja, so b***d das klingt: Du brauchst "irgendeine" Liste, in der Deine Windows-Installationen mit der zugehörigen Lizenz stehen. Und die sollte halt mit dem, was man in der Realität nachprüfen kann, 1:1 übereinstimmen... Du selbst kannst natürlich die KMS-Daten als Basis für diese Liste nehmen. Aber für den Audit ist das belanglos.

Der Faden ist richtig spaßig, da ist von allem was dabei Bin gespannt, ob wir ein faktisch greifbares Ergebnis erfahren.

Du hast ja recht - sorry dafür, das war ein Frust-Abend... Wir handhaben das so, daß Bitlocker über das Software-Deployment aktiv getriggert wird (aus zu Beginn, an am Ende). Da gab es bisher wenig Probleme, allerdings gehört dazu einiges an eigens geschriebener Software. Und wie bei den meisten Firmen dürfen wir das nicht rausgeben - unsere Firma arbeitet noch am "open source Prinzip"

Mir ging es mehr um das zweite Argument - lesbarer Code. Nix gegen Pipelining, wenn man das mal kurz auf der Commandline eintippt. Aber der TO sprach von einem Skript, und da finde ich halt Foreach besser als die Pipe. Das ist besser lesbar und damit auch einfacher wartbar. Und auch einfacher zu debuggen :-)

Ja, ich könnte. Sollte ich echt mal machen

Ja, elend. Wir sind mit der Win7-Ablösung soweit fertig, unsere Kunden steuern die Umstellung selbständig, manche haben da noch ne Bugwelle vor sich, die meisten sind fertig. Das Leben kann auch schön sein