daabm

Das ist der falsche (Legacy) Weg - der geht auf Netbios/NTLM. Korrekt wäre "Zuweisen von Benutzerrechten" per GPO. Und wenn bei RDP noch NLA aktiv ist, dann funktioniert Dein Weg eh nicht mehr.

Ich werf meine 2 Cent auch noch dazu Ja.

Von dem Event fehlt aber ziemlich viel, um da was dazu zu sagen... Von welchem Account stammt das?

Was hindert Dich daran, das zu ändern?

fe80::1 bist Du selber https://www.ipv6-handbuch.de/IPv6-Facts/Was-ist-eine-fe80-Adresse-fuer-IPv6

Lustig - die Gameserver laufen besser unter Windows, aber der Webserver muß dann Linux sein? XAMPP fällt mir spontan ein. Ich würde aber auch IIS nehmen.

Das mit dem Key kannst dir IMHO sparen. Ohne den wird DPAPI verwendet: ' This effectively means that only the same user account on the same computer will be able to use this encrypted string.' Meine bevorzugte Methode - nur der eine Account auf dem einen Rechner kann das dann verwenden, so soll es sein.

Ist auf dem KMS der Office-Key installiert? (...manchmal schreib ich ohne nachzudenken... )

Zahni, das stimmt so nicht. Es kann nur einer aktiv angemeldet sein, ja. Aber Du kannst "remote" die lokale Session trennen lassen.

LOL - Du bist mir sehr sympathisch

Ich nicht.

In der Tat - warum sollte ich ein Kennwort ändern, das nicht kompromittiert ist?

Ah - Du wohnst im Doppelboden

Naja, ich migriere Drucker nicht, ich lege neu an. WMI hilft dabei... Und Drucker sind Layer 6 oder 7

Siehste, ich weiß nichtmal, womit wir die verwalten... Firewall ist Algosec, aber Switche - kein Plan. Soweit weg bin ich von Layer 1 :-(

Ja scheint so, macht aber auch Spaß Rolf, wir haben NUR Cages in zutrittsgesicherten RZs. Und da war ich schon seit über 15 Jahren nicht mehr drin...

Andere haben mehr Switche als Ihr Ports

Ich würde für so was ja auf lokale Accounts zurückgreifen - schließlich hängt das Testequipment ja wohl auch lokal an einem PC. Das Übertragen zur Domäne kann dann ein Task oder sonst was übernehmen, der mit dem Computeraccount läuft (der halt berechtigt sein muß).

Was wohl immer gehen sollte: 2 NW-Karten im Server, NPS in einer VM. Die Fritzbox hängt an einer Karte, die exklusiv der VM gehört, die andere ist bridged. Dann muß man halt viel routen

Das mit der IP hätte ich riskiert. Kollateralschaden, aber danach spricht der Geschädigte jedenfalls DNS und nicht mehr IP

Printmig? Kannte ich noch gar nicht, bei mir heißt das noch printbrm

Die Schemaversion lebt nur im AD und hat weder mit dem OS der DCs noch mit Domain/Forestlevel irgendwas zu tun. Wir fahren 2008R2 Domänen mit 2016-Schema Ganz kleine Korrektur: Ohne passendes Schema gibt es bestimmte Objekte nicht, dann kann das eine oder andere nicht möglich sein. Z.B. bei Drahtlosnetzwerk-Policies (sind AD-Objekte, Vista-Policies gehen erst mit dem 2008-Schema) oder Bitlocker Recovery Keys oder noch so ein paar Schmankerl (Certificate Roaming fällt mir noch ein, gibt aber bestimmt noch mehr). Für LAPS brauchts ja auch ne Schemaerweiterung, und "rein technisch" ist ein Schema-Update auch nur ne Schemaerweiterung. Und nein, ich will jetzt keine große Diskussion darüber anzetteln

Hm, was sagt denn ein "ping <IP>" und ein (Powershell) "test-netconnection <ip> -port 445"?

Such mal nach ESAE bei Microsoft, und pick Dir da das raus, was sich finanziell und organisatorisch bei Euch umsetzen läßt. IMHO am wichtigsten ist die Tier-Trennung, ein DomAdmin meldet sich NIE an einem Client oder Member Server an. Bzw. Member Server geht, wenn der auch zu Tier 0 gehört und entsprechend abgesichert ist.

Ich hab den Rest des Threads noch nicht gelesen, aber 2 Tipps zu UAC: 1. Apps funktionieren nicht, wenn UAC aus ist. Da fällt die ganze zugrunde liegende Architektur auf die Nase 2. Nicht mit dem Builtin Admin arbeiten. Leg Dir einen dafür an und arbeite mit dem. Ja, das tut es. Per Default werden 10 Anmeldungen zwischengespeichert, d.h. der Kennworthash dieser Anmeldungen kann aus der Registry extrahiert werden, wenn man SYSTEM oder Admin auf dem Client ist. Und gerade im SoHo-Bereich ist da fast immer ein DomAdmin dabei, weil der die Clients von Hand "fertig schleift" Wir hatten gerade erst wieder einen Vorfall im Kundenbereich - die Einschläge kommen näher, und sie werden heftiger (=teurer). Haben viele noch nicht realisiert...