daabm

Änderungen im UI macht MS bei Fixen extrem ungern, weil das alles in allen Sprachen getestet werden muß. Deaktivieren ist tatsächlich einfacher als ausbauen. Und die Kennwörter in Preferences liest Dir PowerSploit im Handumdrehen aus, das mußte also tatsächlich unterbunden werden. Edit: Funktionieren tun die Kennwörter in den Preferences übrigens nach wie vor, die Client-Seite wurde diesbezüglich nicht beschnitten. Man bräuchte also nur einen Rechner ohne MS15-025 - oder man trägt das Zeug manuell in das XML ein. Ist ausreichend dokumentiert, wie das gehen würde. Oder man schaut sich PowerSploit mal genauer an und macht da dann das gleiche, nur andersrum

MaxPWLen per DDP ist durch das dämliche UI von secedit limitiert... Das ist ne Implementierung aus W2K Zeiten, die nie aktualisiert wurde. Schon alleine der Kram mit sceregvl.inf und den zugehörigen Registry-Werten kann einem schlaflose Nächte bescheren. Wie kamen die damals auf dieses hirnrissige Konstrukt?

Für so Zeug ist nahezu immer Drittanbietersoftware verantwortlich.

Der Hersteller soll den Quatsch bleiben lassen. MSI-Pakete lassen sich mit der jeweils neuesten (OS-integrierten) Installer-Version problemlos installieren, nahezu egal wie alt sie sind.

Dürfte ein Bluescreen sein. Schalte mal den automatischen Neustart aus, konfigurere auf Full oder Kernel Dump und dann ab nach windbg Eventlogs hast Du sicher schon geprüft - oder nicht?

Ja, das ist so ungefähr wie "wenn ich von P auf D schalte, fährt das Auto. Egal ob ich einen Führerschein habe oder nicht" SCNR...

...und außerdem ist das keine INI-Datei im MS-Format, sondern "irgendwas" (Nur damit ich auch was dazu gesagt habe...) Wie @BOfH_666 schon schrub: Es gibt genügend "gute" Formate für so was, warum muß es ein derart krudes Konstrukt sein? Zudem Ihr das wohl selbst programmiert.

Das kommt erst in der nächsten Evolutionsstufe (aka "Klasse") dran Tier-Trennung ist für die meisten Admins noch relativ neu.

Abgesehen von dem, was hier schon viel diskutiert wurde (und wovon ich zugegeben wenig Ahnung habe): Ich halte ein Umfeld von 40 Rechnern/Usern ohne User-/Rechteverwaltung für grob fahrlässig, da gehört dringend ein Verzeichnisdienst dahinter. Ob der dann AD heißt oder Azure AD oder wie auch immer, egal - wie Nils schon sagte. Ich würde auch erst mal nicht konkrete Tools betrachten, sondern die organisatorische Gesamtlage...

"Das haben wir immer schon so gemacht"??? #grützebleibtgrütze Und NEIN, es geht nicht mit GPP. MS15-025 ist in Server 2016 fest eingebaut.

Wie @speer schreibt - da werden bei "Aktualisieren" nur die Dateiattribute geändert. Der INHALT ist den GPP völlig egal, und das ist auch das K.O.-Kriterium dafür - um geänderte Dateien zu kopieren, mußt Du "Ersetzen" auswählen, und dann wird halt IMMER ALLES kopiert. Völliger Unfug

Hm - IMHO ist das kein "schwarzer Bereich", sondern einfach eine dreizeilige Taskleiste. Und sich nach über 5 Wochen mal wieder zu melden - so dringend kann es dann ja nicht sein

Kennst Du den Unterschied zwischen NTLM und Kerberos? Ich vermute "noch" nicht... IP = NTLM, Name = Kerberos... Lohnt sich zu lesen: http://technet.microsoft.com/library/cc772815.aspx

Saurer Apfel...

Ja und? Das ist immer noch besser als ein domain-wide user mit local Admin überall... Im Zweifel nimm LOCALSERVICE, dann kommt er nicht raus. Und Domain Admins haben eh "Deny interactive logon" auf allem, was kein DC ist. (Ne, haben sie natürlich meistens nicht - sollten sie aber haben.)

Die meisten Agents laufen unter SYSTEM...

Wo kommt die Meldung - 2003 oder der andere? Was steht beim 2003 so in den Eventlogs? Und ja, irgendwas klingelt da bei mir, aber noch hab ich zu wenig Infos Wenn die Meldung auf den anderen kommt, installier mal englische Sprachpakete. Google hilft bei englischen Fehlermeldungen meist deutlich mehr als bei deutschen.

Gab mal ne recht pfiffige Lösung dafür: Per Logonskript einen DNS A-Record für den Usernamen erstellen/aktualisieren... Aber das löst natürlich das konzeptionelle Grundproblem nicht

Greif auf den Share per NTLM (=IP-Adresse) zu, dann gibt's ne Anmeldung Ich würde das Problem an der Wurzel lösen - was ist das für eine komische Firewall-Software? Checkpoint hat dafür nen Agent im Benutzerkontext... Und was macht diese FW-Software, wenn der User gleichzeitig an 2 PCs angemeldet ist? Wird sie dann schizophren?

Warum hast Du dann ein Problem? Du hast Vorlagen im Computerkontext, die legst Du in ein für den Computer schreibbares Verzeichnis (z.B: %programdata%) und füllst sie per Startupskript. Und Du hast Vorlagen im Benutzerkontext, die legst Du in ein für den Benutzer schreibbares Verzeichnis (z.B. %localappdata%) und füllst sie per Logonskript. Und wenn Du unbedingt ein gemeinsames Vorlagenverzeichnis für alle im Benutzerkontext verwenden willst: %public%...

Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

lol - stimmt, DFSR macht ja inzwischen Hashes...

Falls Dir sowas mal wieder passiert und Bitlocker nicht aktiv ist (oder Du den Recovery Key hast) -> utilman.exe austauschen

Das läuft dann glaub unter gelitten.com

Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.