daabm

Jepp, unser Problem - wir dachten (ok, wir waren jung und hoffnungsvoll), daß ein Deny "oben" reicht. Tut er aber nicht... Bei ABE funktioniert es wie erwartet, bei LOM nicht. Schade, Microsoft

List Object Mode (sorry, das ist bei uns sowas von gängig... ) - ABE in AD.

Deny brauchst mit LOM nicht, da arbeiten wir grad hart daran - daß das Identity Management nur noch dort rein kann, wo es rein muß. Und es zeigte sich leider auch, daß Deny bei LOM nicht funktioniert wie erwartet, weil LOM sich nur für Allow zu interessieren scheint - trotz Deny auf ne Top-OU können wir in Downlevel-OUs noch lesen... Wenn wir (natürlich) den DN kennen.

Nur mit großem Aufwand, wenn viele Syteme dahinter stecken -> nutze gMSA wo immer möglich. Und sorge von Anfang an dafür, daß nur die nötigen Computer den gMSA nutzen dürfen.

Gehe in die Diskussion mit dem "Vorgabenverantwortlichen", wie auch immer der heißt und welche Funktion auch immer er hat. 10 Stellen sind "waaay too short", das vorne ist veralteter Krempel. Länge zählt, sonst nahezu nichts. 10 ist nicht lang. 10 ist geradzu irrsinnig kurz, da hilft auch Komplexität nichts.

Hm - habt Ihr ein Problem mit Kerberos oder SMBv1? Das ist per Forum jetzt schwer zu lösen... Das BSI aktiviert jedenfalls das UNC Hardening für Sysvol und Netlogon, und natürlich aktivieren sie auch Signing/Sealing.

Was sagt denn "nltest /dsgetdc:" ? Edit: Die Fehlermeldung zu User-GPOs kannst vorläufig ignorieren, das ist ein Folgefehler der Fehlermeldung bei den Computer-GPOs. Kein Secure Channel...

Au weia - 05:45, da leg ich mich auf jeden Fall noch mal hin, falls ich wach werden würde Hier wie bei Nobby - alles seit Tagen feuchtkalt und nur "grau in grau", man wird matschig im Kopf so ganz ohne einen Sonnenstrahl...

Lieber "Der Suchende" als "Der Wirre"

Bis Montag: "Aus dem Weg, Kaffee - das ist ein Job für Alkohol"

Wäre jetzt meine Frage auch gewesen - was ist das "eigentliche" Ziel? "Ich würde gern" ist selten ein Grund Und wenn ich das lösen müßte: Array mit Usern, in denen alle Mitgliedschaften enthalten sind. Zweites Array mit allen jemals vorkommenden Gruppen. Dann übereinander legen.

...und freuen uns heute schon auf TGIF und den 2. Advent - und dann zünden wir 2 Kerzen an. ZWEI!

Hier auch... Mit dem WDVS reicht's aber tagsüber im Homeoffice noch ohne Heizung, komme abends bei etwa 20° raus, wenn die Heizung anspringt. Da freut sich der Geldbeutel...

Mit den einfachen Anführungszeichen verhinderst Du die Auflösung der Variablen. Da sich bei doppelten Powershell aber am ":" verschluckt, gibt es diese Schreibweise: "$($element):\Posteingang"

Wir zünden eine Kerze an. EINE!

TGIF! Ich hab den Kaffee entsorgt und das Bier kaltgestellt

Ich auch. Wegen 10 Clients benenne ich keine Domäne um...

Brrr - igitt... Und dann womöglich noch feucht

Nimm Dich mal nen Glühwein, der Winter kommt Ich bleib noch beim Bier, hier hats grad kuschelige 5 Grad bei Nieselregen 🍻

Ja, Kaffee holen reicht nicht, Du mußt ihn schon auch benutzen

Robocopy hat für solche Fälle den Schalter /b

Bin jeden Abend hier, aber wenns nix zu sagen gibt, halte ich gern mal die Tastatur still

Wir haben ne Domain Policy mit Kerberos ETypes (AES only). Das Problem ist nur, daß der Client wohl RC4 mitschicken muß, damit der Server das im richtigen Codezweig verarbeitet - oder irgendwas in die Richtung. Das INet ist diesbezüglich noch ziemlich wirr... @cj_berlin hat natürlich Recht - wenn bei uns jetzt plötzlich RC4-Tickets ausgestellt würden, hätte sich unser SOC schon längst gemeldet Und mit System.DirectoryServices werden wir das auch in unserer Produktion machen. Aber nicht mit dem DirectorySearcher, sondern mit Protocols.SearchRequest. Hat den Vorteil, daß wir in den paged Searches über jeweils 1000 Ergebnisse iterieren können und nicht alle Objekte auf einmal in einer Schleife landen. Hab mein Sample von oben mal in einer Testumgebung mit 300k Objekten laufen lassen -> 3 GB RAM. Prod hat bei uns "etwas" mehr Objekte JETZT hab sogar ich es kapiert. Ich war bei "Get-ADUser -Properties DistinguishedName", aber Du meintest beim Select ACK!

Drei Kreuze, wenn morgen vorbei ist... Scheiß Patchday mal wieder 😫 Da hilft nur 🍺🍺🍺 - macht's zwar nicht besser, aber dann ist es einem egal 😂

Wenn Du ganz viel lesen willst: https://www.google.com/search?client=firefox-b-d&q=evilgpo.blogspot.com+loopback Die ganz harte Tour: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html Der zweite Link hat ne Lösung dafür, die komplett universell und variabel ist. Der Anfangsaufwand ist allerdings nicht zu unterschätzen, wenn man damit noch nicht viel gemacht hat