daabm

Diese Anmerkung muss sein: Er hat diese Möglichkeit nicht "meist", sondern "immer". Punkt. TakeOwnership ist ein Privileg, das jeder (!) Administrator hat, und man kann es ihm nicht nehmen. Und Security ist ein Privileg, das jeder Eigentümer hat, damit kann der Admin dann (nach TakeOwnership) die ACLs so setzen,we er es gerne hätte. Danach setzt er den Eigentümer dann auf "xyz" - und wenn kein externes Auditing vorhanden ist, merkt das auch niemand. Und jetzt komme bitte keiner mit "Security Eventlog" - ich lege mir einen neuen "Tempadmin" an und lösche mit dem dann das Security Eventlog... Dieses Wissen scheint sich aber nicht durchzusetzen... Wenn ein User nicht vertrauenswürdig ist, mache ihn nicht zum Admin. Nochmal Punkt :cool: Funktioniert nicht - auch da komme ich mit meinem "TempAdmin" problemlos drum herum...

Was auch immer das mit der Frage nach dem Profil zu tun hat... ?!? Nein, gibt es nicht. Das war bei servergespeicherten Profilen schon IMMER so (also seit NT Zeiten), daß die erst nach lokal kopiert und dann auch lokal verwendet werden. Google hätte Dir das auch verraten...

Du hast irgendwas mit Mandatory Profiles _oder_ Berechtigungen vermurkst. Per Forum wird Dir da eher nicht geholfen... BTW: Wie lange hast Du gewartet? Mehr als 30 Minuten solltest Du da schon mal investieren... Und dann die Eventlogs kontrollieren.

Wir wissen doch schon, daß das immer noch eine große Herausforderung ist :D SNCR...

1e ist b***d... # for hex 0x1e / decimal 30 : KMODE_EXCEPTION_NOT_HANDLED bugcodes.h # Check to be sure you have adequate disk space. If a driver # is # identified in the Stop message, disable the driver or check # with the manufacturer for driver updates. Try changing # video # adapters. # Check with your hardware vendor for any BIOS updates. # Disable# BIOS memory options such as caching or shadowing. If you # need # to use Safe Mode to remove or disable components, restart # your # computer, press F8 to select Advanced Startup Options, and # then # select Safe Mode. windbg analyze !v wäre wohl das richtige. Aber wenn das nur einmal vorkam: Warum belästigst Du den Rest der Welt überhaupt damit? :confused: Niemand weiß, was sich seither an Treibern/DLLs etc. geändert hat... :cool: Wenn ich bei jedem Bluescreen, den ich auf einem meiner Rechner sehe, einen Thread hier aufmachen würde, dann würde ein Mod mich binnen 2 Wochen bannen...

Nein, ist es nicht. "Versteckt" heißt "unsichtbar", und das geht bei Shares nicht. Die heißen auf deutsch nicht umsonst "Freigabe" - Betonung auf "frei" :cool:

Du irrst Dich nicht. Tippfehler im Pfad? Oder falsche ACLs im Namespace?

Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine...

"Versteckt" sind die nicht - aber Windows Explorer und "net view" zeigen Freigaben, die mit "$" enden, nicht an.

...und ich würd das mit ner Commandline machen :cool: del "%appdata%\*.log" /f /s /q

Sicher, daß es nicht an Berechtigungen liegt? Wenn das ein Startskript ist (kein Anmeldeskript): Besorg Dir psexec. dann "psexec -s cmd" - kannst Du Dein Skript in dieser Befehlszeile ausführen?

Danke! 1100 Domänen und Trusts, 110.000 User und Computer, über 100 Standard-GPOs - das Konzept ist prinzipiell egal, nur muß es da sein und eingehalten werden, sonst würden wir untergehen :D Und alle anderen, die keins haben oder es nicht einhalten -> U96 :cool:

Die Komponenten passen ganz sicher zusammen, die haben alle standardisierte Steckverbinder... :D Ob es was taugt, ist ne ganz andere Frage und hier sicher falsch.

Ja, Daniel - Du hast grundsätzlich Recht. Java und Flash gibt's bei mir nicht mehr, User haben keine Schreibrechte, aber gegen Buffer Overflows kann ich natürlich auch nichts machen. Ich halte die Kombi AppLocker/EMET trotzdem für weit wirkungsvoller als Avast/Symantec - und zwar auch auf lange Sicht. Drive-by funktioniert ja auch nur, wenn ich das zulasse (bzw. nicht verbiete)- also blocken wir irgendwann noch Downloads und Javascript im Browser. Um uns dann überrascht mit HTML5-Lücken herumzuschlagen :rolleyes:

Bei Pro bleibt Dir nur "Software Restriction Policies" - für AppLocker brauchst Du Enterprise/Ultimate. Gehen tut beides, AppLocker ist "etwas" komfortabler, da er einen "Planning Mode" hat und für Normaluser einfacher zu konfigurieren ist.

Ja, weil die Bank selber - nicht weiß, daß das nicht hilft - nicht weiß, daß es SRP/AppLocker gibt und daß Whitelisting der einzige wirksame Schutz ist Hier seit Jahren aktiv und ohne Probleme - und ich schlafe seither ruhiger, wenn die Familie mir ab und zu Mails mit "Details im Anhang" zeigt :D

Humor stirbt zuletzt :thumb1:

Schick den Supporter mal bei evilgpo.blogspot.com vorbei... Oder direkt bei mir :jau: Klar ist AGGU überzogen, aber es ist "nachvollziehbar". Du kannst prinzipiell auch auf AGDLP verzichten, aber was machst Du, wenn dann von der Seite mal ein Trust zu einem fremden Forest daherkommt? Unsauber :nene: Das wichtige daran ist nicht AGDLP, sondern "wenigstens überhaupt ein dokumentiertes und konsequent umgesetzes Konzept".

Gottseidank ist bei Umgebungsvariablen Groß/Klein egal =o) Du meinst "Ich habe es in eine Gruppenrichtlinie eingetragen und diese verknüpft"? Wo verknüpft? Wie genau eingetragen? Was sagt "gpresult /h report.html & report.html" über den Erfolg dieser Aktionen? Was steht ggf. im Eventlog "Group Policy" zu Deiner GPO und zur Ausführung von Anmeldeskripts drin?

...ym2c: "Logonskript im AD beim User" - schau Dir lieber mal GPOs an - da geht das komfortabler. Und IMHO gehören Skripte immer in das lokale Dateisystem des jeweiligen Computers, damit sie nicht übers Netz ausgeführt werden, aber da wollen wir jetzt nicht drüber philosophieren.

...und für NTFS-Berechtigungen geht "icacls" eigentlich ganz gut :cool: Wenn man sich nicht mit der Syntax von setacl beschäftigen will...

Hm - da kann ich nur "Viel Glück" wünschen... Problem ist wirklich, daß es bei "Multi Komponenten Changes" schwer ist, Verantwortliche oder auch nur Zuständige oder wenigstens Hilfsfähige zu finden...

Warum? Stimmt doch :jau: SCNR... Ja ich weiß schon, mein Chef hasst mich auch manchmal dafür...

Welches OS hat denn der "bestimmte Computer"? Wenn das nicht Windows 8 ist, sollte Dir das AppMgmtDebugLog helfen... http://technet.microsoft.com/en-us/library/cc775423%28v=ws.10%29.aspx (In Windows 8 und neuer ist das leider kaputt und protokolliert nichts mehr...)

Du fragst manchmal einfach komische Fragen :cool: Ja, natürlich - weil es die einzige anständige Lösung ist, wenn es um saubere Delegation mit einem Rollenmodell geht. Und weil es Forest-übergreifend funktioniert. Und falls es für Dich relevant ist: Es gibt auch noch AGGUDLP...