daabm

Bei uns macht er das nicht. VBS per Doppelklick geht schon mal gleich nicht (Verknüpfung zu wscript.exe ist bei uns nicht vorhanden), und Skripts ausführen in Verzeichnissen, wo er Schreibrechte hat, darf er auch nicht.

Jetzt Du wieder

Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...).

Ja, eben. Also "eben nicht" - wenn ein SAN da ist, wird der CN ignoriert. Und wenn man den CN dann noch braucht, muß er in die SANs mit rein.

"Manche Services"? Da fällt mir spontan alles ein, was irgendwie mit Cluster zu tun hat - HyperV, SQL usw. Und "waren" stimmt da auch nicht ganz, wobei ich nicht weiß, wie der Stand mit Server 2022 aussieht.

vor 5 Stunden schrieb cj_berlin:

Computername: SERVER01.fremde-domain.de

DNS Alias: webapps.eigene-domain.de

SPN: HTTP/SERVER01.fremde-domain.de (falls Teile des Service intern zwingend den Hostname verwenden wollen) + HTTP/webapps.eigene-domain.de

Zertifikat: SAN=webapps.eigene-domain.de

Zertifikat: SAN=webapps.eigene-domain.de,SERVER01.fremde-domain.de

Außer das spielt keine Rolle - sobald ein SAN vorhanden ist, wird der CN ignoriert.

vor 19 Stunden schrieb Anubis2k:

dank den Kolleginnen und Kollegen kann so eine Struktur (leider) noch tiefer gehen und dementsprechend werden die Namen länger und viel spannender ist die Berechtigung wie sie vergeben werden.

---- Unterordner01 (Global_Standort_Einkauf_Ordner01_Unterordner01_RW bekommt "Ändern" Berechtigung)

Das ist das gleiche Grundproblem wie in dem anderen Thread, wo's um Auditing ging. Entweder Du hast sehr granulare ACLs, die dafür entsprechend klein sind. Dann ist der User in sehr vielen Gruppen. Oder Du machst es etwas "relaxter" mit weniger Gruppen, hast dafür aber sehr große ACLs. Gibt kein globales "mach mich glücklich"-Rezept dafür, das ich kenne.

vor 4 Stunden schrieb Weingeist:

Die GPO durch eine lokale Policy ersetzen. Deren Einstellung z.B. mit Tasks setzen/rücksetzen welcher der User anstossen kann. Dann je nach dem wieder automatisch setzen.

Könnte man noch weitertreiben mit einem WMI Eventsink auf ProcessCreationEvent/ProcessDeletionEvent mit einer passenden Liste von Anwendungen, bei deren Start der Screensaver dann ausbleiben soll Wie Du schon schrubst: Man kann es selten allen recht machen.

Kannst Darren ja mal direkt anschreiben - bestimmt ein Versehen

Gibt von SDM-Software auch einen Viewer für die AAS-Dateien, die bei den entsprechenden GPOs im Sysvol liegen: https://sdmsoftware.com/library/group-policy-software-installation-viewer-utility/

Ja, man muss sich registrieren - aber Darren (der CEO von SDM) - gehört zu den guten, war selbst jahrzehntelang MVP.

Wenn Du's per Domain Policy verteilst (und nach Möglichkeit noch die Verarbeitung der lokalen Policy deaktivierst), wäre das nicht passiert Aber ok.

Würde mich freuen, wenn Du ne Ursache findest und postest.

Das war mir schon fast klar, aber macht Ihr das echt per lokaler GPO? Greenbone sagt mir grad nichts.

Edit: "Lokale GPO" ist ein Widerspruch in sich - muß "lokale Policy" heißen Auch wenn man's per gpedit.msc bearbeitet.

Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft.

Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus.

Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon.

Zu wenig Info - was genau meinst Du mit "die lokale Gruppenrichtlinie" und mit "Zugriff per remote steuert"?

Wenn man was verbessern will, muss man was ändern. Weil wenn sich nichts ändert, dann ändert sich nichts. So gesehen ist es egal 😂

Einer der Gründe, warum wir versuchen NTLM los zu werden. Aber das ist eine gaaanz lange Reise... Und wir haben ja alle echt viel Zeit übrig, um uns mit solchen Sahnehäubchen zu beschäftigen. Klar wäre es "nice", aber wer soll es in welcher freien Zeit machen?

Dynamische RPC-Openings auf den Firewalls haben unsere Netzer mal versucht, ging schief. Da ich daran aber nicht beteiligt war, weiß ich leider nichts über die Hintergründe.

Nachdem Norbert im Urlaub ist (warum müssen Rentner eigentlich "Urlaub" haben - da ist doch die Zeit immer frei einteilbar ): Kaffee muß sich jeder selber ziehen, Licht geht automatisch und das Feíerabendbier steht wie immer im Kühlschrank - diesmal unten links: 🍻🍺

RPC verträgt sich schlecht mit Infrastruktur-Firewalls. Ich hatte "aus Gründen" kürzlich das Vergnügen, mich mit Subnetzen zu beschäftigen. Dabei ging's um ein Autosite-Skript für ein übergreifendes AD. Ergebnis: Wir haben Subnetze im sechsstelligen Bereich. Im Testlab mit einem Teil davon angelegt (50.000 Subnets, 13.000 Sites, 950 Site Links) waren dann KCC, ISTG, ISMServ und Netlogon "mehr als beschäftigt".

Das ergänze ich jetzt noch mit 3 verschiedenen RPC-Ranges, die wir historisch bedingt haben.

Wie soll ich da Regeln bauen, daß jeder AD-Client seine DCs (also die für seine Site zuständigen) auf den dafür erforderlichen Ports erreichen kann, alle anderen aber nicht? Und alle anderen RPC-Services ebenso? Und vorher weiß ich nicht, welcher RPC-Service sich welchen Port schnappt. Die Liste der erforderlichen IP-Netze dürfte die Kapazität der Reg-Werte sprengen, die fassen AFAIK nur 64k.

🏳️🏳️🏳️ (Kapitulation...)

PS: Ja, ich weiß ein wenig wovon ich rede. Deshalb ist in dem Skript hier auch der RPC-Check von Ryan Ries enthalten - https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Wir konnten es nie exakt eingrenzen, aber es gab Hinweise auf Timeouts im Storage. Wenn ein Member Computer sein PW ändert, macht er das erst im AD, und wenn das geklappt hat, lokal. Ein DC macht es AFAIK andersrum, und wenn das AD-Update dann schiefgeht, war's das.

Das ist dann aber kein Multihomed DC mehr - das ist nur noch ein Windows-Server mit mehreren NW-Karten. Machen wir seit Jahren - Du mußt nur auf dem Management-Netz darauf achten, daß die IP nicht im DNS registriert wird

(der Haken darf NICHT gesetzt sein.), dann klappt das problemlos. Und um albernen NW-Verkehr zu vermeiden noch den Client für MS-Netzwerke und die Datei- und Druckerfreigabe aus den Bindungen rausnehmen.

Mein Bergfest war gestern, ich hab Freitag frei. Deshalb heißt der ja auch "Frei"-Tag

Man KANN multihomed DCs machen. Aber nicht alles, was man machen kann, ist auch hilfreich oder gut Man KANN auch von einer Brücke springen, das ist kompletter Blödsinn. Vielleicht hilft dieser Vergleichsansatz Deinem Kunden.

Wenn man es macht (aus "Gründen"), dann sollte man viel Energie in DNS investieren, damit die AD-relevanten DNS-Einträge für alle Clients aus allen Netzen immer korrekte Antworten liefern. Und auch für die DCs selbst natürlich. Viel Spaß dabei, wenn das Windows-DNS ist - SCNR

vor 3 Stunden schrieb Weingeist:

wie kommt das tatsächlich zustande?

Wir haben ein paar mehr Domains als gemeinhin üblich - bei uns einige Male pro Jahr.

Dann räume ich am WE den Kühlschrank aus und ziehe den Stecker der Kaffeemaschine Hier war es deutlich wärmer, knapp 15°.

Als Tip für die Zukunft: Get-Content brauchst Du nur einmal am Anfang, und Set-Content nur einmal am Ende Der -replace Operator ist Regex, der kann also in der Suchfolge einen Capture machen, den Du im Replace-Teil wiederverwenden kannst. Deine 4 Zeilen könntest Du damit reduzieren auf

Get-Content C:\VMware_vCenter_Uebersicht.html | ForEach-Object {$_ -replace '^(https://(vcenter_\d).+/ui/)$', '<a href="$1">$2</a>'} | Set-Content C:\VMware_vCenter_Uebersicht.html

Die Klammern sind Capture Groups und werden anhand der öffnenden Klammer durchnumeriert. Der erste Match enthält die komplette URL, der zweite Match nur noch vcenter_ und eine Zahl.

Edit: -replace interpretiert das nur dann als Regex, wenn Du einfache Hochkommas verwendest. Und statt '^(https://(vcenter_\d).+/ui/)$' könntest Du auch '^(https://([^/]+)/.+/ui/)$' verwenden, damit würde in $2 alles landen bis zum ersten Slash ('/').

Mein erster Gedanke: Ooops - nur 3 Nutzer? Müssen Chefs sein.

Mein zweiter Gedanke: Ok, sind Chefs - was willste machen...