daabm

Dann sag das nächstens doch gleich mit dazu. Hier geht's genau um Passwortrichtlinen, also genau um die Ausnahme...

Negativ. Kennwortrichtlinien, die an der Domäne verknüpft sind, verarbeitet ausschließlich der PDC-Emulator. Kein sonstiger DC, kein Member. "net accounts" ist auf nem Member die schnellste Möglichkeit, die aktive PW-Richtlinie zu prüfen.

Wenn ein Account in der Delegierung "Lesen" und "Anwenden" hat, taucht er automatisch im Sicherheitsfilter auf. Der ist nur eine Convenience-Anzeige für die effektiven ACLs, da taucht alles auf, was halt "Read/Apply" hat. Was ist jetzt nochmal das aktuelle genaue Problem?

Microsoft setzt auf AppLocker, vielleicht solltest Du das auch tun SRP hat quasi kein Logging. AppLocker hat immerhin eigene Eventlogs.

Da bin ich leider raus - ich kenne SMB-Relays nur vom Hörensagen Brauchen tun wir sowas gottseidank nicht. Wobei Dir das vermutlich nicht mal hilft, weil ja die Authentifizierung immer noch ein Problem ist - die SMB-Relays, die ich bisher wahrgenommen habe, waren wegen unterschiedlicher Versionen.

Hersteller wechseln. Klingt b***d, ist aber so. Oder ein SMB-Relay davorsetzen (Raspi z.B. ).

Musst Du aktivieren, per default wird da nichts protokolliert: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555

Nachdem nix ein war, schalte ich auch nix aus, der Kühlschrank läuft eh immer 🍺

Loopback aktiviert...

Punkte wären mir egal, ich will Kröten/Asche/Konto voll

Das muß auch so sein. Wenn beim 1. Change was schiefgeht, hast noch den Fallback auf n-1. Wenn Du das nicht merkst und weitermachst, ist Kerberos kaputt Und grundsätzlich mag ich solche Skripts, die erst mal 250 Zeilen Doku und Hilfe enthalten. Ohne Ironie, ich mag das wirklich! Dazu ist es auch noch technisch sehr gut umgesetzt. Er vermeidet z.B. Test-NetConnection oder Test-Connection, nimmt statt dessen [Net.Sockets.TcpClient]. Und auch da hat er noch das letzte rausgeholt mit BeginConnect() und AsyncWaitHandle.WaitOne() 👍 Schade, daß er die Abhängigkeit zu den Modulen ActiveDirectory und GroupPolicy hat, sonst wär's sogar self contained.

Deny apply reicht. Wie gesagt, mit "deny read" passieren gern mal komische Dinge

Ich weise mal behutsam darauf hin, daß Datatables (falls das als Return-Typ in der SQL-Query verwendet wird) von PS automatisch in Arrays konvertiert werden. Ansonsten sind mir hier zu viele unklare Leerzeichen im Spiel

Um das mal zu präzisieren: "Deny Read" sollte man tunlichst vermeiden. Sonst kommt die GPO Core Engine nämlich so aus dem Tritt, daß gar keine GPOs mehr angewendet werden... Ja, sollte so nicht sein, ist aber so.

Abgesehen davon - GPOs "laufen" nicht, sie werden "angewendet". CSEs dagegen laufen tatsächlich (aka "werden ausgeführt"), und die machen dann die eigentliche Arbeit. So gesehen - Logging aktivieren, nachschauen. Wenns einfach sein soll: http://sysprosoft.com/policyreporter.shtml

Der Tag geht, die Nacht kommt 🥃

Was ist das für eine Software, und was genau macht die, um diesen "Kiosk Mode" einzuschalten?

DNS ist (leider meistens) unverschlüsselt - in einem NW-Trace auf dem jeweiligen DC solltest Du genau sehen, was er bekommt und was er dann wohin schickt. Vielleicht kommst aber auch mit dem DNS Debug Logging weiter (in dnsmgmt.msc in den Servereigenschaften zu finden):

Ja, krbtgt war eines unserer Audit-Findings. Haben wir bisher auch vernachlässigt... Bzgl. -500 ist glaub alles gesagt

Die Tagschicht ist rum, die Nachtschicht beginnt

Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte

Auf geht es in den Abend - ich hab die Kaffeemaschine abgeschaltet und den Bierkühler hochgefahren :-D

Die Fritte kann WireGuard - ok, aktuell erst in der Laborversion 7.39, die es für die 7490 noch nicht gibt. https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesserungen/unterstuetzung-von-wireguard-fuer-den-einfachen-aufbau-von-vpn-verbindungen/ Aber die 7490 dürfte eh schon in die Jahre gekommen sein, ich würde da auch wegen Wifi 6 auf eines der neueren ax-Modelle updaten. Ansonsten wie @Nobbyaushb schreibt.

Test heute negativ 👍 Morgen hol ich mir mein Genesenenzertifikat. Danke für den Kaffee 😘

Welche Checkbox? Oder gibt es das nur für Mods?