daabm

Ich werfe noch "Offline-Join" (DJoin) in den Ring, da müssen dann halt ein paar Byte auf das Zielsystem übertragen werden.

"Erweitert" wäre hier die hilfreichere Ansicht.

Ich versteh jetzt auch die eigentliche Frage nicht... Hier sieht das exemplarisch so aus - mein DHCP verteilt nur IPv4: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : ****** Prim?res DNS-Suffix . . . . . . . : ***** Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : ***** Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: ***** Beschreibung. . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller Physische Adresse . . . . . . . . : F4-B5-20-3C-84-5D DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2a01:c22:d0c9:5000:cce:1ead:85a0:ff8(Bevorzugt) Tempor?re IPv6-Adresse. . . . . . : 2a01:c22:d0c9:5000:d560:d0ab:157d:821d(Bevorzugt) Verbindungslokale IPv6-Adresse . : fe80::19cb:982d:699f:1a55%2(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.100.31(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Donnerstag, 25. Mai 2023 17:08:31 Lease l?uft ab. . . . . . . . . . : Mittwoch, 23. August 2023 17:08:30 Standardgateway . . . . . . . . . : fe80::7642:7fff:fe04:9263%2 192.168.100.1 DHCP-Server . . . . . . . . . . . : 192.168.100.111 DHCPv6-IAID . . . . . . . . . . . : 116700448 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2B-C9-CD-BE-F4-B5-20-3C-84-5D DNS-Server . . . . . . . . . . . : 192.168.100.111 192.168.100.112 NetBIOS ?ber TCP/IP . . . . . . . : Aktiviert Die IPv6-Adressen werden im DNS registriert, alle Geräte im Netz kommen klar damit. Das IPv4-Standardgateway kommt vom DHCP, das IPv6-Gateway direkt von der Fritzbox. (Ja, DHCP läuft wie DNS auf den DCs mit. Ich weiß, soll man nicht machen . Und ja, die Lease Time ist lang. Aber das ist ein privates Heimnetz...)

Ich hatte das früher auf meinem Entwicklungsserver laufen, um die ganzen VirtualBox-Netze sauber zu verbinden. Hängt sich gern mal auf, es gibt kein gescheites Monitoring/Logging, und das UI ist etwas - hm - "spröde" 😂 Und die Windows-Firewall kann Regeln nicht an einzelne Adapter binden, die sind immer global.

Als "Bastellösung" ginge es auch mit Routing und RAS auf einem Windows-Server - aber das ist dann wirklich Gebastel...

Erzwing mal TCP, ob es dann weg ist. Dann hast Du Paketverluste/-fragmentierung bei UDP.

Gestern war ein guter Tag - Ventile neu eingestellt beim Solid Lifter Heute war auch gut, es wird echter Frühling, fast schon Sommer. Und morgen wird auch gut, da schau ich mal beim Autoaufbereiter vorbei.

Unterschreibe ich zu 100%... Wir entwickeln grad ne AD-Migration für Gruppen. Die können "eigentlich" nur über eingeschränkte Werkzeuge nach definierten Schemata angelegt/verwaltet werden. Und sogar da stolpern wir über Quirks

Ne, das kann ich gerne übernehmen... Hab vorgestern ein Auto angeschmissen bekommen. Fehlerursache: Lose Schraube am Massekontakt der Zündbox. b***d dabei: Schraube unter dem rechten Zylinderblock, von oben unsichtbar und etwa 20 cm nach innen zu greifen, bis man es fühlen konnte. Hab 2 Wochenenden damit verbracht (ok, hat auch viel geregnet - musste daher oft abbrechen). Zündbox ausgebaut und geprüft, Zündkerzen geprüft, Verteiler geprüft. Zündspule und Magnetkontakt ausgebaut und geprüft... Das dämlichste war, daß der Kontakt nicht komplett weg war, sondern "gelegentlich" noch funktioniert hat (je nach Wackeln des Blocks). Das gibt dann ein diagnostisch erratisches Fehlerbild.

Hat der Netapp-Kollege versucht. Hat aber nicht geklappt - und ab hier mal wieder "ich war nicht beteiligt, ich weiß nicht woran es gescheitert ist". Ja, "eigentlich" findet man das easy im SMB-Handshake.

Nop. Code ausführen kann er nur von Speicherorten, wo er keine Schreibrechte hat. Office-Makros das gleiche. Skript/Exe/xyz scheidet also aus. Und Geräte kann er nur benutzen, wenn sie per Device Control freigegeben sind (Produktname ist in dem Fall egal) - ein "beliebiges" USB-Gerät wird schlicht und einfach blockiert. Das einzige, was tatsächlich geht, ist eine Mechanik, die die vorhandene Maus bedient bzw. das Touchpad streichelt. Jetzt Du #2 😂

Bei uns macht er das nicht. VBS per Doppelklick geht schon mal gleich nicht (Verknüpfung zu wscript.exe ist bei uns nicht vorhanden), und Skripts ausführen in Verzeichnissen, wo er Schreibrechte hat, darf er auch nicht. Jetzt Du wieder

Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...).

Ja, eben. Also "eben nicht" - wenn ein SAN da ist, wird der CN ignoriert. Und wenn man den CN dann noch braucht, muß er in die SANs mit rein.

"Manche Services"? Da fällt mir spontan alles ein, was irgendwie mit Cluster zu tun hat - HyperV, SQL usw. Und "waren" stimmt da auch nicht ganz, wobei ich nicht weiß, wie der Stand mit Server 2022 aussieht.

Zertifikat: SAN=webapps.eigene-domain.de,SERVER01.fremde-domain.de Außer das spielt keine Rolle - sobald ein SAN vorhanden ist, wird der CN ignoriert.

Das ist das gleiche Grundproblem wie in dem anderen Thread, wo's um Auditing ging. Entweder Du hast sehr granulare ACLs, die dafür entsprechend klein sind. Dann ist der User in sehr vielen Gruppen. Oder Du machst es etwas "relaxter" mit weniger Gruppen, hast dafür aber sehr große ACLs. Gibt kein globales "mach mich glücklich"-Rezept dafür, das ich kenne.

Könnte man noch weitertreiben mit einem WMI Eventsink auf ProcessCreationEvent/ProcessDeletionEvent mit einer passenden Liste von Anwendungen, bei deren Start der Screensaver dann ausbleiben soll Wie Du schon schrubst: Man kann es selten allen recht machen.

Kannst Darren ja mal direkt anschreiben - bestimmt ein Versehen

Gibt von SDM-Software auch einen Viewer für die AAS-Dateien, die bei den entsprechenden GPOs im Sysvol liegen: https://sdmsoftware.com/library/group-policy-software-installation-viewer-utility/ Ja, man muss sich registrieren - aber Darren (der CEO von SDM) - gehört zu den guten, war selbst jahrzehntelang MVP.

Wenn Du's per Domain Policy verteilst (und nach Möglichkeit noch die Verarbeitung der lokalen Policy deaktivierst), wäre das nicht passiert Aber ok. Würde mich freuen, wenn Du ne Ursache findest und postest.

Das war mir schon fast klar, aber macht Ihr das echt per lokaler GPO? Greenbone sagt mir grad nichts. Edit: "Lokale GPO" ist ein Widerspruch in sich - muß "lokale Policy" heißen Auch wenn man's per gpedit.msc bearbeitet.

Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft. Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus. Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon.

Zu wenig Info - was genau meinst Du mit "die lokale Gruppenrichtlinie" und mit "Zugriff per remote steuert"?

Wenn man was verbessern will, muss man was ändern. Weil wenn sich nichts ändert, dann ändert sich nichts. So gesehen ist es egal 😂