daabm

Beides falsch Default GW gibt es "so" nicht, das muß gesetzt werden. Und Broadcast: "Broadcast address--An IP address with a host portion that is all ones." Hängt also von der Netmask ab.

Das ginge schon, aber SELF braucht dann auch Vollzugriff auf das untergeordnete neue Recovery-Objekt. Und nicht auf untergeordnete Computerobjekte.

Warum nicht? Dem ist das doch völlig egal, und dem IP-Stack und dem Routing ist es auch egal. Oder übersehe ich was? In einem /15 Netz kann er auch die .255 bekommen...

Ich nutze das seit 15 Jahren, und "Aktualisieren" hat immer gereicht. Haben sie die CSE in 2022 kaputt gemacht? GPP Registry Logging aktivieren und nachschauen https://gpsearch.azurewebsites.net/#4923

Lokale Benutzer haben keine ACLs - sie sind entweder Benutzer oder Admins. Ein Admin darf, ein Benutzer darf nicht. So einfach ist das

Wird der auch nicht schaffen - das Problem ist so alt wie AD, also gut 25 Jahre... Und immer das gleiche: krb5.conf ist nicht mit einer verteilten Multimaster-Kerberos-Infrastruktur wie AD kompatibel. Aber zurück zum Kaffee

Ja. Nein. Wenn der Account "irgendwo" verwendet wird, mußt Du erst mal Auditing machen und rausfinden, von wo Logons kommen. Der Rest ist dann einfach. LAPS hat damit nichts zu tun.

"Remote" war hier das Szenario "Net use" mit anderen Credentials. Aber ich bin da auch nicht mehr ganz auf dem aktuellen Stand, wann welche Hashes nun wo rumliegen...

Ja, kannst Du: Entwickle einen brauchbaren DCLocator für Unix/Linux

"Spannend" kann mir direkt gestohlen bleiben - heute war wieder shitty monday...

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Wir haben ne Master-GPO, die für 46 Security Privileges lokale Gruppen definiert. Die können dann komfortabel über GPP Local Users and Groups verwaltet werden. Und da wiederum kann man mit WMI-Filtern ebenso komfortabel SID-basiert Gruppen/User auslesen, falls erforderlich. In den eigentlichen Security Privileges stehen nur die zwangsweise erforderlichen Einträge (manchmal muß SERVICE drinstehen, manchmal Administrators) sowie diese jeweiligen lokalen Gruppen. Funktioniert prima

Kein Thema - wir haben so ein selbstgeschriebenes Remote Management Tool, das die Ausführung einzeiliger (!) ShellExecs erlaubt - und der Return muß in StdOut abgeliefert werden. Die Breite ist beschränkt auf ne Standard-Konsole (80 Zeichen, danach wird abgeschnitten). Das schränkte die Formatierungsmöglichkeiten ziemlich ein Und wir haben zwar AppLocker mit Ausnahmen, aber wir haben keine zusätzlichen Regeln, die diese Ausnahmen zulassen, daher kann ich nicht wirklich helfen. Vielleicht hilft https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/applocker/test-an-applocker-policy-by-using-test-applockerpolicy

Der frisch zweifach entkalkte Vollautomat bitte

Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern. Das Kleingeld für entsprechende Tool-Unterstützung geben aber die wenigsten aus, und manuell ist auf Dauer nicht durchsetzbar.

Da kriegt jm2c ne ganz neue Bedeutung

Wenn Du das $userobject erstellst, hast Du ein Objekt. Das fügst Du Deinem Array hinzu. Dann änderst Du Eigenschaften davon - im Array ist aber immer noch das eigentliche Objekt. Und wenn Du das erneut hinzufügst, ist es jetzt halt zweimal drin. Du mußt schon bei jedem neuen User eine neue Instanz erstellen... Insofern: @testperson hat's schon richtig beschrieben. Nachtrag: Das gleiche "Problem" hat man auch, wenn man Kopien von Objekten erstellen möchte. $MyObject = [PSCustomObject]@{ Name = "Test" } $MyCopy = $MyObject $MyCopy.Name = "Geändert" $MyObject.Name $MyCopy2 = $MyObject.PSObject.Copy() $MyCopy2.Name = "Geändert" $MyObject.Name Viele glauben, daß $MyObject.Name immer noch "Test" wäre. Ist es aber nicht, denn $MyObject ist identisch mit $MyCopy. In der Variablen steckt das gleiche Objekt. Du mußt ein neues Objekt erstellen, entweder wie in meinem Beispiel durch Kopieren oder wie bei Dir durch ::new()

MACVLAN comes to mind... Gib den Docker-Containern eine eigene IP.

Ojeh... BMC Atrium Device Discovery Manager Ich schmeiß die Wolke wieder weg, die schmeckt so fad... 🍺

Mimimi... Ein Leerzeichen ist genauso ein vollwertiges Zeichen wie \ oder /, Die meisten "Strings" in AD sind Unicode. Daß es fast 25 Jahre später immer noch Drittanbieter-Software (und natürlich custom Admin Skripts/Workflows) gibt, die damit nicht klarkommt, ist viel nerviger

Ja, das ist auch falsch dokumentiert - zumindest war das mal so. Die Doku behauptet, wenn der Pfad ein Verzeichnis wäre, gilt die Regel für alles in diesem Verzeichnis. Tut sie aber nicht.

Und damit wir da jetzt weiterkommen: powershell "$Results=[Collections.Arraylist]::new();$ApplockerPolicies=Get-AppLockerPolicy -Effective;Foreach($ApplockerPolicy in $AppLockerPolicies){Foreach($RuleCollection in $ApplockerPolicy.RuleCollections){Foreach($Rule in $RuleCollection){Try{$UserOrGroup=$Rule.UserOrGroupSid.Translate([System.Security.Principal.NTAccount]).Value}Catch{$UserOrGroup=$Rule.UserOrGroupSid.Value};Switch($Rule.GetType().Name){'FileHashRule'{$RuleValue=$Rule.HashConditions;break};'FilePublisherRule'{$RuleValue=$Rule.PublisherConditions;break};'FilePathRule'{$RuleValue=$Rule.PathConditions;break};Default{$RuleValue='*** Unknown rule type ***'}};$Result = [PSCustomObject]@{Name=$Rule.Name;Description=$Rule.Description;RuleType=$RuleCollection.RuleCollectionType;Account=$UserOrGroup;Type=$Rule.GetType().Name;Action=$Rule.Action;Value=$RuleValue -join ','};[Void]$Results.Add($Result)}}};$Results" Sammelt alle aktiven Applocker-Regeln (allerdings ohne evtl. vorhandene Ausnahmen - dann wäre der Output etwas unübersichtlich geworden). Nur wenn Du Auditing auf "Process Creation" aktivierst. Viel Spaß beim Auswerten

Wo ich mir diesen OP grad noch mal durchlese - das scheitert ja schon daran, daß es keine Authentifizierung für Remotezugriffe in einem Netzwerk-Range gibt. Entweder das System ist in der Domäne und ich hab einen entsprechend berechtigten User, es ist in einer Workgroup und ich hantiere mit dezentralen ("verteilten") Credentials oder ich habe einen Agent darauf laufen... Alles diffus, ich pflück mir jetzt mal eine ☁️

Deine Beschreibung hakt schon bei "OU auswählen" - dsa.msc, ADAC, sonstige Oberfläche? Den Screenshot deiner Fehlermeldung kann ich nicht zuordnen.

Hat @cj_berlin doch oben schon alles geschrieben... In der gleichen OU muß der CN eindeutig sein. Und die Fehlermeldung war schon klar. Unklar ist, was genau Du machst, um den Benutzer anzulegen.

Hab die Woche schon zweimal den Vollautomat entkalkt... Beide Male nicht rechtzeitig dazu gekommen, Step 2 einzuleiten (Wasserbehälter spülen und mit Wasser füllen) -> Abbruch -> "Dringend entkalken". Heute endlich geschafft mit einer Fake-Entkalkung nur mit Wasser. Zum Glück können die Dinger noch nicht feststellen, ob wirklich Entkalker im Wasser ist