daabm

Dann sag das nächstens doch gleich mit dazu. Hier geht's genau um Passwortrichtlinen, also genau um die Ausnahme...

vor 3 Stunden schrieb NorbertFe:

Doch die auf Dom-Ebene. :)

Negativ. Kennwortrichtlinien, die an der Domäne verknüpft sind, verarbeitet ausschließlich der PDC-Emulator. Kein sonstiger DC, kein Member.

"net accounts" ist auf nem Member die schnellste Möglichkeit, die aktive PW-Richtlinie zu prüfen.

Wenn ein Account in der Delegierung "Lesen" und "Anwenden" hat, taucht er automatisch im Sicherheitsfilter auf. Der ist nur eine Convenience-Anzeige für die effektiven ACLs, da taucht alles auf, was halt "Read/Apply" hat.

Was ist jetzt nochmal das aktuelle genaue Problem?

Microsoft setzt auf AppLocker, vielleicht solltest Du das auch tun SRP hat quasi kein Logging. AppLocker hat immerhin eigene Eventlogs.

Am 12.10.2022 um 09:32 schrieb Weingeist:

SMB-Relay mit nem RASPI. Gibts so ein Relay +- transparent? Also ohne Speicher auf dem Raspi? Habe eine 'fertige' Lösung vor einiger Zeit gesucht, aber leider nicht gefunden. Selber auf die Beine stellen ist mir zu mühsam/Pflegeintensiv. Theoretisch wäre das mit Linux ja gut möglich, aber mir fehlt mir schlicht das KnowHow. Da gefällt mir dann eine Windows-Lösungen besser. Ist ja dann ähnlich w

Da bin ich leider raus - ich kenne SMB-Relays nur vom Hörensagen Brauchen tun wir sowas gottseidank nicht. Wobei Dir das vermutlich nicht mal hilft, weil ja die Authentifizierung immer noch ein Problem ist - die SMB-Relays, die ich bisher wahrgenommen habe, waren wegen unterschiedlicher Versionen.

vor 7 Stunden schrieb Weingeist:

Gibt auch Hersteller die Kerberos können aber halt nicht alle.

Hersteller wechseln. Klingt b***d, ist aber so. Oder ein SMB-Relay davorsetzen (Raspi z.B. ).

vor 23 Minuten schrieb Quirk18231:

kann mir noch jemand Tipps für das Logging geben?

Musst Du aktivieren, per default wird da nichts protokolliert: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/enabling-group-policy-preferences-debug-logging-using-the-rsat/ba-p/395555

Nachdem nix ein war, schalte ich auch nix aus, der Kühlschrank läuft eh immer 🍺

Loopback aktiviert...

Am 7.10.2022 um 19:34 schrieb NorbertFe:

mit Büchern gewinnt man heutzutage kaum noch Punkte (Problem der "Zitieren"-Funktion.... Kann der Zitierende ändern. Works as designed.)

Punkte wären mir egal, ich will Kröten/Asche/Konto voll

vor 6 Stunden schrieb Weingeist:

scheint sehr viele Umgebungsvarianten abzudecken und enthält auch viel Auswertung und Testfunktionen.

Das muß auch so sein. Wenn beim 1. Change was schiefgeht, hast noch den Fallback auf n-1. Wenn Du das nicht merkst und weitermachst, ist Kerberos kaputt

Und grundsätzlich mag ich solche Skripts, die erst mal 250 Zeilen Doku und Hilfe enthalten. Ohne Ironie, ich mag das wirklich!

Dazu ist es auch noch technisch sehr gut umgesetzt. Er vermeidet z.B. Test-NetConnection oder Test-Connection, nimmt statt dessen [Net.Sockets.TcpClient]. Und auch da hat er noch das letzte rausgeholt mit BeginConnect() und AsyncWaitHandle.WaitOne() 👍 Schade, daß er die Abhängigkeit zu den Modulen ActiveDirectory und GroupPolicy hat, sonst wär's sogar self contained.

Deny apply reicht. Wie gesagt, mit "deny read" passieren gern mal komische Dinge

Ich weise mal behutsam darauf hin, daß Datatables (falls das als Return-Typ in der SQL-Query verwendet wird) von PS automatisch in Arrays konvertiert werden. Ansonsten sind mir hier zu viele unklare Leerzeichen im Spiel

vor 4 Stunden schrieb tesso:

Das Lesen würde ich lassen. Das gibt sonst unnötige Fehler in den Logs. 

Um das mal zu präzisieren: "Deny Read" sollte man tunlichst vermeiden. Sonst kommt die GPO Core Engine nämlich so aus dem Tritt, daß gar keine GPOs mehr angewendet werden... Ja, sollte so nicht sein, ist aber so.

Abgesehen davon - GPOs "laufen" nicht, sie werden "angewendet". CSEs dagegen laufen tatsächlich (aka "werden ausgeführt"), und die machen dann die eigentliche Arbeit. So gesehen - Logging aktivieren, nachschauen. Wenns einfach sein soll: http://sysprosoft.com/policyreporter.shtml

Der Tag geht, die Nacht kommt

🥃

vor 2 Stunden schrieb BusterFriendly:

Mit der Software kommt auch der Kiosk-Mode.

Was ist das für eine Software, und was genau macht die, um diesen "Kiosk Mode" einzuschalten?

DNS ist (leider meistens) unverschlüsselt - in einem NW-Trace auf dem jeweiligen DC solltest Du genau sehen, was er bekommt und was er dann wohin schickt. Vielleicht kommst aber auch mit dem DNS Debug Logging weiter (in dnsmgmt.msc in den Servereigenschaften zu finden):

Ja, krbtgt war eines unserer Audit-Findings. Haben wir bisher auch vernachlässigt... Bzgl. -500 ist glaub alles gesagt

Die Tagschicht ist rum, die Nachtschicht beginnt

vor 29 Minuten schrieb mwiederkehr:

this is the only account that allows logon without a Global Catalog Server.

Ok, und wo ist das noch relevant? Ich hab noch nie einen Forest gesehen, in dem nicht jeder DC auch GC war - aber ich lasse mich gerne aufklären, warum man das noch machen sollte

Auf geht es in den Abend - ich hab die Kaffeemaschine abgeschaltet und den Bierkühler hochgefahren :-D

Die Fritte kann WireGuard - ok, aktuell erst in der Laborversion 7.39, die es für die 7490 noch nicht gibt.

https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesserungen/unterstuetzung-von-wireguard-fuer-den-einfachen-aufbau-von-vpn-verbindungen/

Aber die 7490 dürfte eh schon in die Jahre gekommen sein, ich würde da auch wegen Wifi 6 auf eines der neueren ax-Modelle updaten.

Ansonsten wie @Nobbyaushb schreibt.

Test heute negativ 👍 Morgen hol ich mir mein Genesenenzertifikat. Danke für den Kaffee 😘

vor 15 Minuten schrieb Damian:

die entsprechende Checkbox zu aktivieren.

Welche Checkbox? Oder gibt es das nur für Mods?