daabm

Das ist mir zu wirr. Ich weiß noch nicht mal, welcher Browser. Du lieferst keine konkreten Daten. Ich bin erst mal raus.

...und dann auch noch von einem Dinosaurier, der das AD erfunden hat... SCNR

# as an HRESULT: Severity: FAILURE (1), FACILITY_WIN32 (0x7), Code 0x522 # for hex 0x522 / decimal 1314 ERROR_PRIVILEGE_NOT_HELD winerror.h # A required privilege is not held by the client. @zahni bei mir ist das kein Attribut, sondern ein Childobjekt (links ist ein Clientaccount ausgewählt):

Und wie kommt dieses "ursprüngliche" PAC zu den Clients? Welche GPO überschreibt welche Einstellungen? Was steht im RSoP bezüglich Proxy, und was ist in der Registry zu finden?

Es war ein sonniger Tag mit knapp 18° - der Frühling kommt

Das funktioniert nur, wenn der Proxy nicht auch über Preferences - Control Panel - Internet Settings gesetzt wird. Da Du bisher aber nicht zeigst, was genau Du gemacht hast, endet die Unterstützug damit vorläufig

Was hindert Dich daran, die Parameter selbst zu erforschen?

Das hängt von irgendwas ab. Ich kannte das auch so, aber irgendwann/irgendwie wurden das untergeordnete Objekte.

Beides falsch Default GW gibt es "so" nicht, das muß gesetzt werden. Und Broadcast: "Broadcast address--An IP address with a host portion that is all ones." Hängt also von der Netmask ab.

Das ginge schon, aber SELF braucht dann auch Vollzugriff auf das untergeordnete neue Recovery-Objekt. Und nicht auf untergeordnete Computerobjekte.

Warum nicht? Dem ist das doch völlig egal, und dem IP-Stack und dem Routing ist es auch egal. Oder übersehe ich was? In einem /15 Netz kann er auch die .255 bekommen...

Ich nutze das seit 15 Jahren, und "Aktualisieren" hat immer gereicht. Haben sie die CSE in 2022 kaputt gemacht? GPP Registry Logging aktivieren und nachschauen https://gpsearch.azurewebsites.net/#4923

Lokale Benutzer haben keine ACLs - sie sind entweder Benutzer oder Admins. Ein Admin darf, ein Benutzer darf nicht. So einfach ist das

Wird der auch nicht schaffen - das Problem ist so alt wie AD, also gut 25 Jahre... Und immer das gleiche: krb5.conf ist nicht mit einer verteilten Multimaster-Kerberos-Infrastruktur wie AD kompatibel. Aber zurück zum Kaffee

Ja. Nein. Wenn der Account "irgendwo" verwendet wird, mußt Du erst mal Auditing machen und rausfinden, von wo Logons kommen. Der Rest ist dann einfach. LAPS hat damit nichts zu tun.

"Remote" war hier das Szenario "Net use" mit anderen Credentials. Aber ich bin da auch nicht mehr ganz auf dem aktuellen Stand, wann welche Hashes nun wo rumliegen...

Ja, kannst Du: Entwickle einen brauchbaren DCLocator für Unix/Linux

"Spannend" kann mir direkt gestohlen bleiben - heute war wieder shitty monday...

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Wir haben ne Master-GPO, die für 46 Security Privileges lokale Gruppen definiert. Die können dann komfortabel über GPP Local Users and Groups verwaltet werden. Und da wiederum kann man mit WMI-Filtern ebenso komfortabel SID-basiert Gruppen/User auslesen, falls erforderlich. In den eigentlichen Security Privileges stehen nur die zwangsweise erforderlichen Einträge (manchmal muß SERVICE drinstehen, manchmal Administrators) sowie diese jeweiligen lokalen Gruppen. Funktioniert prima

Kein Thema - wir haben so ein selbstgeschriebenes Remote Management Tool, das die Ausführung einzeiliger (!) ShellExecs erlaubt - und der Return muß in StdOut abgeliefert werden. Die Breite ist beschränkt auf ne Standard-Konsole (80 Zeichen, danach wird abgeschnitten). Das schränkte die Formatierungsmöglichkeiten ziemlich ein Und wir haben zwar AppLocker mit Ausnahmen, aber wir haben keine zusätzlichen Regeln, die diese Ausnahmen zulassen, daher kann ich nicht wirklich helfen. Vielleicht hilft https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/applocker/test-an-applocker-policy-by-using-test-applockerpolicy

Der frisch zweifach entkalkte Vollautomat bitte

Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern. Das Kleingeld für entsprechende Tool-Unterstützung geben aber die wenigsten aus, und manuell ist auf Dauer nicht durchsetzbar.

Da kriegt jm2c ne ganz neue Bedeutung

Wenn Du das $userobject erstellst, hast Du ein Objekt. Das fügst Du Deinem Array hinzu. Dann änderst Du Eigenschaften davon - im Array ist aber immer noch das eigentliche Objekt. Und wenn Du das erneut hinzufügst, ist es jetzt halt zweimal drin. Du mußt schon bei jedem neuen User eine neue Instanz erstellen... Insofern: @testperson hat's schon richtig beschrieben. Nachtrag: Das gleiche "Problem" hat man auch, wenn man Kopien von Objekten erstellen möchte. $MyObject = [PSCustomObject]@{ Name = "Test" } $MyCopy = $MyObject $MyCopy.Name = "Geändert" $MyObject.Name $MyCopy2 = $MyObject.PSObject.Copy() $MyCopy2.Name = "Geändert" $MyObject.Name Viele glauben, daß $MyObject.Name immer noch "Test" wäre. Ist es aber nicht, denn $MyObject ist identisch mit $MyCopy. In der Variablen steckt das gleiche Objekt. Du mußt ein neues Objekt erstellen, entweder wie in meinem Beispiel durch Kopieren oder wie bei Dir durch ::new()

MACVLAN comes to mind... Gib den Docker-Containern eine eigene IP.