daabm

Aus dem Alltag eines Umsetzungsveranstalters... Einführung von Tier-Trennung und Eliminieren von NTLM-Auth: Du mußt jedem erst mal erklären, warum er jetzt ne Domain mit angeben muß. Du mußt danach jedem auch erklären, daß es überhaupt verschiedene Domains gibt und warum das wichtig ist. Danach erklärst Du dann den "Doppel-Tier-Leuten", warum sie jetzt 2 Accounts haben und mit denen jeweils andere Dinge können bzw. eben nicht können. Und warum das alles vom Arbeitsplatz aus gar nicht mehr geht. Damit hast Du die Basics der Tier-Trennung aus Sicht "Admin-Accounts" beinahe durch - wenn man ignoriert, daß "eigentlich" auch alle Peripheriesysteme (Identity Management, Systems Management, Inventory Scanner etc.) getrennt aufgebaut werden müssen. Das bezahlt aber quasi niemand, da wirst Du Kompromisse eingehen müssen. Das Thema PAW ist damit auch noch ungelöst - wir haben's mit CyberArk gemacht. MFA ebenso. Und gegen "verschlüsselt in der Ecke" hilft das auch nur bedingt. Im Kontext des Work-Accounts kann man halt immer alles verschlüsseln, auf das der Work-Account Schreibrechte hat. Wenn Du (wie wir) gleichzeitig versuchst, NTLM loszuwerden, mußt Du dann jedem erklären, warum sein Adminserver jetzt nicht nur seine Zielserver erreichen muß, sondern auch ziemlich viele DCs. Und warum DNS-Aliase nicht mehr funktionieren. Und warum er plötzlich nicht mehr auf \\10.0.1.15\c$ kommt... ("Ging doch bisher immer") Dann aktivierst Du LDAP Channel Binding und stellst fest, daß Deine Loadbalancer für LDAPS über Nacht unbrauchbar geworden sind, weil sie SSL terminieren. Und dann merkst Du, daß die meisten MFP (Scan to Folder) zwar Kerberos unterstützen, aber daran sterben, wenn der Serviceaccount nicht im Realm der Domain ist. Und daß auch ganz viele Drittanbieter Kerberos "unterstützen", aber nur wenn alles in einem Realm liegt. Daran stirbt übrigens sogar .NET - System.DirectoryServices.AccountManagement verträgt es nicht, wenn der ausführende Account aus einer trusted Domain kommt: https://github.com/dotnet/runtime/issues/95676. Und es stirbt auch, wenn GetAuthorizationGroups aufgerufen wird, der Zielaccount Mitglied von Gruppen ist, die ForeignSecurityPrincipals als weitere Mitglieder haben (warum das überhaupt geprüft wird, weiß nur MS) und der ausführende Account keine Leserechte auf die FSP-Objekte hat. Citrix PVS hat auch ganz lustige Probleme mit Trusts. Die checken nämlich an bestimmten Stellen nicht "reale" Gruppenmitgliedschaften von Serviceaccounts, sondern schauen ins AD. Konkret mußte ein Serviceaccount aus einer trusted Domain dort (!) in eine domain local (!) Group... 🙈 Wenn Du dann noch aufgrund "organisatorischer Anforderungen" (= Management-Wünsche) disjoint Namespaces hast, dann hast Du jetzt richtig Spaß an der Sache 😁 Und bist für mehrere Jahre unentbehrlich . Da fließt noch sehr viel Wasser ins Meer... PS: Wir haben ~8.000 MA im Konzern.

Möge uns der Pliot wohlbehalten ans Ziel bringen 😁

Niemand - bei Powershell gibt es zu viele Möglichkeiten für "stupid implementation". Und bei LDAP auch. Hab genug Kollegen, die immer noch - sinngemäß - so was machen: $Groups = Get-ADGroup -Filter * -Prop * | Foreach { Select Name } | Where Name -like "WasSucheIcheigentlich" Da kannst nix mit Effizienzvergleichen bezüglich der Sprache anfangen.

Ich fahre Auto oder Fahrrad. Wie fährt man 4K? SCNR... 😁

Ich weiß, daß es vor 2 Jahren noch verarbeitet wurde. Und ich weiß auch, daß das GP-Team bei Microsoft nicht mehr als Team bezeichnet werden kann, zu wenig Menschen. Da wird sich nichts geändert haben.

Korrektur... AFAIK: Man kann keine PW mehr eintragen im UI. Wenn sie aber drin sind, werden sie weiterhin verarbeitet. Und wenn dann keiner "call to action" ruft, ändert sich halt nix. MS hat damals leider versäumt, nicht nur das UI zu patchen, sondern auch die CSE.

Das wäre dann "auf ganzer Linie selbstverschuldet"... Wir haben den Krempel durch Skriptsuche eliminiert in allen GPOs (auch von Kunden), als MS14-025 rauskam. Auch schon wieder 9 Jahre her

Beim "Save as" gibt es leider keine Korrekturhilfen...

[OT] Bildungswüste Deutschland... 🤔[/OT]

Hier auch, immer strahlender Sonnenschein. Man muß nur als Beobachter an der richtigen Stelle sein, alles ein Relativitätsproblem. Der Stuttgarter geht dazu auf den Fernsehturm, da kannst nicht nur fernsehen, sondern auch fern sehen

Ne. Das wird leider nur "eisiger Wein"...

Doch doch, Du darfst natürlich meckern Ich hab heut frische Muscheln gekauft (Angebot bei Edeka, 2,99 pro Kilo). Der Wein dazu friert grad auf dem Fensterbrett durch 😂

"Legacy non-production test tenant account" mit "permissions to access corporate email accounts" - wo ist das Emoji mit den hochgerollten Fußnägeln?

Konvertierungstools gibt es zuhauf. ImageMagic, IrfanView, you name it. Und es geht sogar nativ per Powershell. Von der Anforderung her dürfte da jede noch so einfache Kamera-App reichen, die auf Knofpdruck ein Bild macht und das speichert. Dann einen geplanten Task losschicken, der die Konvertierung macht. Der kann zyklisch laufen (alle 10 Sekunden oder so), oder Du kannst nen Filesystem Watcher nehmen. Das ist aufwändiger. Aber vielleicht können die Konvertierungstools das sogar auch noch, so tief steck ich da nicht drin

Auf geht's in den Abend, ich hab Bier kaltgestellt 🍺 Hier aktuell auch -1 Grad, gefühlt -6... Brrr

Ja, Vater-Kind-Beziehungen lassen sich nicht durch Kündigung beenden

Daß Kennwörter weg sind, ist normal - DPAPI merkt schon, daß das nicht der "originale" Account ist... Der Nerd empfiehlt daher einen externen PW-Manager.

Man könnte auch einen WMI Event Trigger auf Registry Key changed machen und dann ein Skript starten, das das wieder wie gewünscht setzt. WMI Event Trigger sind die unbekannteste Möglichkeit, Dinge automatisch zu starten - das findet nie einer

Repariere die Internet-Verbindung, das vergrößert automatisch auch das relevante Eventlog.

Ketzerisch formuliert: Solange derjenige, der die salär-relevanten KPIs definiert, derjenige, der ihre Erreichnungsquote festlegt und derjenige, dessen Salär daran hängt, identisch sind, wird sich nichts ändern.

Bin raus, ich hab zu viel Grundsatzdiskussion geführt

Zweimal nachdenken... GPOs und Central Store haben nichts miteinander zu tun - gar nichts. Ist nur zufällig der gleiche Share. Und GPOs liegen nicht "auf dem Domain Controller", sondern in Sysvol. Ansonsten bin ich bei @Sunny61 - NIEMAND will einen Central Store. Größter Müll, den sich MS bei GPOs je hat einfallen lassen. GPResult dauert ewig, GPO bearbeiten dauert ewig, konfliktierende ADMX führen zu Nichtverwaltbarkeit, alle angeschlossenen OS müssen alles unterstützen, was grad da drin liegt. Und das Teil zu aktualisieren wird auch so oft vergessen, daß int32 schon lange übergelaufen ist.

Mit der Meldung im Backlog würde ich mich jetzt mit den verantwortlichen Netzern zusammensetzen. Da stimmt irgendwas nicht (wir haben auch 802.1x am Start, und das läuft problemlos). Windows-seitig kannst Du höchstens noch schauen, ob in anderen Eventlogs zeitlich korrelierende Einträge vorhanden sind. Ich weiß, das ist ein diffuser Ansatz, aber das ist es ja meistens in solchen Fällen. Traces könnten auch hilfreich sein, ob man irgendwas mit Retransmits sieht. Aber hier verlasse ich diesen Thread, das ist nichts für eine Diskussion in einem Forum.

Weil es grad so gut paßt

Zu viel Kaffee hier - ich stell mal was in die Kühle... 🍺🍺🍺