daabm

Wenn es Powershell sein muß oder soll: Invoke-WebRequest. Den Auth-Header mußt dann halt zusammenbauen, und was die -F Parameter von curl bedeuten, weiß ich nicht Gibt viele Beispiele im Netz. Wenn Du nichts findest oder Hilfe brauchst, melde Dich noch mal.

Und bist auf dem Sicherheitsniveau von Windows NT/2000 gelandet. Das will man nicht, Du mußt weiter analysieren, was das "eigentliche" Problem ist.

Definiere mal genauer, was "fehlen ihm die Rechte" bedeutet. "whoami /groups" und "net localgroup Administrators" sagen Dir schon mal mehr zur Lage der Nation. Und ansonsten - wegen dem "wie geht das gut und günstig": https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Gut, Günstig, Schnell - "pick two"

Welche denn? Da fällt mir spontan SCCM ein. Dem ist es völlig egal, was sein Computeraccount auf dem SQL effektiv an Rechten hat - ist er nicht in den lokalen Administratoren "direkt" drin, scheitert's. Vor 3 Wochen erst live gesehen... Und ohne NTLM geht's natürlich auch nicht

Ich bin bei allen Vorrednern - DFS-N mit ABE kann alle Netzlaufwerke außer einem eliminieren, maximal einfach. Und mit GPOs kann man sich nicht nur "schöne Sachen" ausdenken, sondern auch richtig praktische Netzlaufwerke gehören aber in keinem Fall dazu.

Ausnahmsweise mal Sonntagsgrüße: 🕯🕯🕯

Servergespeichertes Profil (im AD-Konto eingetragen), das nicht geladen werden kann - aus "Gründen"... Die mußt Du jetzt finden.

AFAIK nein. HT ist nix, von dem Anwendungen wissen. Und dem virtuellen System ist es egal, es muß nur genug Cores haben -> Performance Monitor.

Ich weiß, daß Microsoft das Problem der "Standardanwendung" seit Windows 8 mehr und mehr verschlimmbessert. Und die agressive Vorgehensweise beim "nach vorne bringen" von Edge verbessert es nicht. Eine "komfortabel verwaltbare" Lösung ist seit langem überfällig, aber nicht in Sicht.

Bitte nicht ganz ernst nehmen... "A fool with a tool is still..."

Jepp, unser Problem - wir dachten (ok, wir waren jung und hoffnungsvoll), daß ein Deny "oben" reicht. Tut er aber nicht... Bei ABE funktioniert es wie erwartet, bei LOM nicht. Schade, Microsoft

List Object Mode (sorry, das ist bei uns sowas von gängig... ) - ABE in AD.

Deny brauchst mit LOM nicht, da arbeiten wir grad hart daran - daß das Identity Management nur noch dort rein kann, wo es rein muß. Und es zeigte sich leider auch, daß Deny bei LOM nicht funktioniert wie erwartet, weil LOM sich nur für Allow zu interessieren scheint - trotz Deny auf ne Top-OU können wir in Downlevel-OUs noch lesen... Wenn wir (natürlich) den DN kennen.

Nur mit großem Aufwand, wenn viele Syteme dahinter stecken -> nutze gMSA wo immer möglich. Und sorge von Anfang an dafür, daß nur die nötigen Computer den gMSA nutzen dürfen.

Gehe in die Diskussion mit dem "Vorgabenverantwortlichen", wie auch immer der heißt und welche Funktion auch immer er hat. 10 Stellen sind "waaay too short", das vorne ist veralteter Krempel. Länge zählt, sonst nahezu nichts. 10 ist nicht lang. 10 ist geradzu irrsinnig kurz, da hilft auch Komplexität nichts.

Hm - habt Ihr ein Problem mit Kerberos oder SMBv1? Das ist per Forum jetzt schwer zu lösen... Das BSI aktiviert jedenfalls das UNC Hardening für Sysvol und Netlogon, und natürlich aktivieren sie auch Signing/Sealing.

Was sagt denn "nltest /dsgetdc:" ? Edit: Die Fehlermeldung zu User-GPOs kannst vorläufig ignorieren, das ist ein Folgefehler der Fehlermeldung bei den Computer-GPOs. Kein Secure Channel...

Au weia - 05:45, da leg ich mich auf jeden Fall noch mal hin, falls ich wach werden würde Hier wie bei Nobby - alles seit Tagen feuchtkalt und nur "grau in grau", man wird matschig im Kopf so ganz ohne einen Sonnenstrahl...

Lieber "Der Suchende" als "Der Wirre"

Bis Montag: "Aus dem Weg, Kaffee - das ist ein Job für Alkohol"

Wäre jetzt meine Frage auch gewesen - was ist das "eigentliche" Ziel? "Ich würde gern" ist selten ein Grund Und wenn ich das lösen müßte: Array mit Usern, in denen alle Mitgliedschaften enthalten sind. Zweites Array mit allen jemals vorkommenden Gruppen. Dann übereinander legen.

...und freuen uns heute schon auf TGIF und den 2. Advent - und dann zünden wir 2 Kerzen an. ZWEI!

Hier auch... Mit dem WDVS reicht's aber tagsüber im Homeoffice noch ohne Heizung, komme abends bei etwa 20° raus, wenn die Heizung anspringt. Da freut sich der Geldbeutel...

Mit den einfachen Anführungszeichen verhinderst Du die Auflösung der Variablen. Da sich bei doppelten Powershell aber am ":" verschluckt, gibt es diese Schreibweise: "$($element):\Posteingang"