daabm

Ich versateh jetzt grad das Problem hier nicht mehr - oder gibt es evtl. gar keines?

Jan, 2012R2 :) Da gibt's ja kein Startmenü in dem Sinne mehr.

Stephan: Du suchst vmtl. so was wie http://gpsearch.azurewebsites.net/#10695 - aber das gibt es erst mit Win10/Srv2016... Für 2012R2 ist mir spontan kein praktikabler Weg bekannt, das benutzerspezifisch zu steuern.

Ist es nur dieser User, oder ist es dieser User nur auf einem Rechner? (User schon mal an einem anderen Rechner angemeldet und ausprobiert?)

Wenn "nur dieser Rechner": Offline-Cache zurücksetzen - Stichwort "FormatDatabase" :)

Hm - könnte auch mit einer Firewall-Regel outbound gehen. Alle Programme, Dienst wuauserv, und dann bei Schnittstellentypen alles markieren außer LAN und Drahtlos. Weiß aber net, wie Windows hier ein Mobilfunkmodem anzeigt :)

Oh mein Gott! Und das gibts nicht als GPO-Einstellung zum deaktivieren? Da hat sich wieder einer in Redmond ein Denkmal gesetzt.

Nö - GPOs haben "eigentlich" Einstellungen im Fokus, die irgendwie relevant für Sicherheit sind (dazu zählt auch Betriebsssicherheit und Support :)

Und so ne Seitenleiste - naja...

Adobe Reader? Der hatte schon immer Probleme mit der Ordnerumleitung - %AppData% umleiten, dann startet er erst gar nicht mehr :)

    [Parameter(Mandatory=$true,Position=5)]

    [bool]$split=$False #oder was Du gerne als Standard hättest.


            $linecount = 0 #immer auf Null setzen - wir wollen ja in der oberen Schleife weiter schreiben...

            if($reader.EndOfStream -ne $true -and $Split ) { #Also nur wenn $Split=$True das aktuelle File schließen und ein neues aufmachen

                "Closing file"

                $writer.Dispose();



                "Creating file number $filecount"

                $writer= [system.io.directory]::CreateDirectory("$path\$DateNow") 

                $writer = [io.file]::CreateText("{0}{1}_{2}" -f ($rootName,$filecount.ToString("0000"),$DateNow,$ext))

                $filecount++

            }

mit "Where" würde ich bei sowas nicht arbeiten. Ein direkter Filter mittels INCLUDE sollte schneller sein:

ACK - filtern immer so weit am Beginn der Pipeline (also links) wie möglich

Ja da wird er wohl verschoben haben - und wenn es sich aus Sicht von Windows dann um das gleiche Laufwerk handelt, dann werden die Berechtigungen beibehalten

ich würde in einem unserer Server-Skripts gerne hinzufügen, dass bei neuen AD-Server der lokale Administrator umbenannt wird (aus Sicheritsgründen).

Aus Sicherheitsgründen - nein, das ist keine Sicherheit. Den Builtin Admin findet man leicht über seine SID, die auf -500 endet. Besser: Builtin Admin deaktivieren (der wird nämlich nicht gesperrt bei Kennwortfalscheingabe und ist damit ein ideales Ziel für Brute Force Attacken...), neuen Account anlegen und zum lokalen Admin machen. Zufälliges Kennwort über LAPS verwalten - https://technet.microsoft.com/library/3062591

Wenn jetzt jedoch eine Datei aus dem Ordner "Allgemein" in den Ordner "Notebook" kopiert wird, behält diese die Verweigerung für den User "notebook-user" bei und ist für diesen nicht sichtbar.

Bist Du sicher, daß da kopiert wird und nicht verschoben? Beim Kopieren behalten Dateien niemals ihre ACLs, sie erhalten immer diejenigen ACLs, die eine neu erstellte Datei am Ziel bekommen würde.

Und der Vollständigkeit halber: Kannst Du "icacls" von den zwei Ordnern zeigen?

Ich würd ja mal den Spooler wiederbeleben :)

https://support.microsoft.com/en-us/mats/printing_problems

"Im Browser mit Adobe Reader" - meinst Du jetzt tatsächlich das Browser-Plugin oder meinst Du ein PDF, das Du anklickst und dann startet der Reader? Die Meldung im Wortlaut wäre ggf. hilfreich - und Deine SRP-Regeln im Detail ebenfalls.

https://mauriceausum.com/tag/remove-email-bar-on-right-side-of-outlook-2013/

(oder ein anderer Suchtreffer aus den 2,7 Mio Ergebnissen :) :) :) )

Doch - kenn hier ne ITIM-Instanz, die das so haben wollte... Warum auch immer :)

...und AD so gestalten, daß es die Administration unterstützt (und nicht die Hierarchie der Personalabteilung) :)

ft macht Text daraus, ja :)

...und ich werfe noch 2 Cent in den Raum: Wenn Du wählen kannst, dann nimm einen Namen, der nichts mit dem Unternehmen zu tun hat _und_ dessen Internet-Domain Dir gehört. Spart bei Fusionen/Mergern/Splits viel Ärger... :)

Jaaa zündet sie alle an!!! :)

@Philip: http://blogs.technet.com/b/reference_point/archive/2012/12/10/usn-rollback-virtualized-dcs-and-improvements-on-windows-server-2012.aspx

Ab Win8 ist "herunterfahren" nicht "ausschalten"; sondern per default "hibernate": User wird abgemeldet, Rechner speichert Zustand (hiberfil.sys). Ausschalten wäre was anderes :)

Wenn ich hier manche Threads lese, frage ich mich, ob mein AD unzeitgemäß designed ist.

Klingt jetzt hart, aber: Ja, ist es. Der Nachbau von Unternehmensstrukturen im AD ist eine Unsitte, die seit 16 Jahren nicht tot zu kriegen ist... Wie ja Norbert schon sagte :)

Was Dir trotzdem helfen könnte: Erstelle für die OUs Shadow Groups (alle Objekte in der OU kommen in eine Gruppe) und setze "Anwenden verweigern" auf Deine Problem-GPO. Ist aber auch nur eine schmutzige Lösung - Deny ist bei GPOs immer sensibel, weil man es nicht "direkt" sieht.

SRP hätte vermutlich auch nichts genutzt, oder doch?

Und wie das geholfen hätte - zumindest bei Whitelisting:

The ransomware is being shipped as a DLL dropped by Bedep in folders like those observed below in four separate infections:

• C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll

• C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll

• C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll

• C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()

Ist kein Problem - machen wir z.B. für alle Terminalserver-Domänen so, und auch bei den reinen Ressourcen-Forests. Und benutzerbezogen filtern geht auch gut mit Security Filterung, natürlich nicht mehr per "Verknüpfen oder nicht" :)

Ich habe es noch nicht gemacht, aber ich würde über eine GPO -> "System Services -> Edit Security -> Advanced -> Audting"  ein explicites Auditing für diese drei Services aktivieren.

Ich lass mich gerne korrigieren, aber damit auditierst Du ja nicht, was diese Dienste machen, sondern wer etwas mit diesen Diensten macht.

Wird wohl eine Datei sein, die in allen 3 Updates drinsteckt - oder eine, die durch alle 3 Updates vom GDR- in den LDR-Branch versetzt wird :)