daabm

Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent.

Hast Du in der Quelle Symlinks "/xj"...

Wenn Du mal ausfällst und das ein Dritter supporten muß: Viel Spaß damit

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...

Nein, Du denkst richtig. Ich versteh's grad auch nicht so ganz, eigentlich sieht das alles "in Ordnung" aus. Aktivier mal das gpsvc.log - da könnte was Aufschlußreiches drinstehen.

Mein Sperrmüll liegt in der Garage. Und auf dem Dachboden. Und im Keller.

Ich werf noch ne weitere Kaufoption in den Raum: Redemption. Bestes Skripting-AddOn für Outlook Geld kostet es so oder so.

Ich bin dafür Je weniger Zugangswege es gibt, um so einfacher sind sie zu überwachen und abzusichern. Und RDP direkt im Internet war noch nie eine gute Idee. Außer Du erzwingst auch da ein Clientzertifikat. Aber bei der letzten Lücke hätte m.W. nicht mal das geholfen.

Nicht unterstützte Cipher Suite? Win10 kann da ein paar mehr als Win7...

Mal ein paar Gedanken dazu: 1. Warum im Netlogon? Dafür macht man besser einen eigenen (DFS-) Share 2. Wenn es unter Win7 im Systemkontext geht, sollte das auch unter Win10 funktionieren 3. AppLocker ist für SYSTEM irrelevant 4. Unterstützt dieses Setup kein Logfile? 5. Setups rufe ich lieber per CMD auf. Da kann man mit >>logfile 2>&1 so einfach den Output protokollieren. Ist in Powershell nicht ganz so trivial, vor allem wenn eine Exception kommt... 6. Ruf dein Startskript doch mal per psexec -s auf - was passiert dann? Final: Logging ist alles. Ohne Logging ist alles nichts.

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen. Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt. NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

Ich glaub KRITIS haben wir auch - aber halt mal private und berufliche Kommunikation auseinander, wenn Du den Job 30 Jahre machst. Die Grenze ist SEHR fließend.

Ich bin bei Jan: Nein, ich esse meine Suppe nicht. Ich verstehe das Problem nicht, mir ist unklar was erreicht werden soll und warum...

"Beste Grüße ssd" ist gut Ich kann das alles nicht nachvollziehen. Ich arbeite hier gerade auf einem Pro3, der Akku reicht i.d.R. locker für 7 bis 9 Stunden. Ist halt alles immer relativ, wenn Ihr viele Hintergrunddienste habt. Vor allem selber geschriebene... xd

# Hallo Welt ausgeben Write-Host "Hallo Welt" SCNR BTT: Ist value[14] und loc[0} sicher? Ich finde es immer kritisch, in Arrays über die Indizes zu arbeiten.

@Squire heißt Du Rorbert? SCNR

Hab ich das nicht heute im Technet auch schon gesehen?!?

Sieht aus, als wenn es zu kompliziert wäre - vielleicht hilft es, wenn Du bei der ursprünglichen Anforderung anfängst und nicht erst da, wo etwas nicht mehr umsetzbar ist?

Dann ringe dich durch. Den Rest hast Du ja schon als ergebnisfrei ausprobiert....

...und ich verstehe schion die Frage nicht

Lösche einfach die zugehörigen Reg-Werte. Ohne DC-Verbindung werden GPOs nie angewendet.

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Mehr kann ich dazu nicht beitragen. Warum das nicht alle so machen, weiß ich nicht. Restricted Groups sind Grütze.

Ich korrigiere diesen grünen Frosch mal: Loopback gilt nicht "pro GPO oder für GPOs", sondern "für den Computer"... Mööp

Wie Norbert schrub .- wenn man schon auf die schräge Idee kommt, Laufwerke per GPP zu verbinden, braucht man für jedes Laufwerk 2 Einträge: Einen mit "Aktualisieren" und einen mit "Löschen". Das Item Level Targeting dann halt "invertiert". Und alles ist im Fisch - bzw. in Butter

Und warum klickst Du nicht einfach mal 3 Links weiter? https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-ban-bad-configure Mußt Du halt selber basteln - Du kannst ja die Liste von haveibenpwnd.org einbinden https://haveibeenpwned.com/Passwords Ach nee geht nicht, können nur 1000 Einträge sein...