daabm

LOL - NLA oder IPHelper versehentlich deaktiviert? SCNR "Dienste deaktivieren" ist übrigens seit W10 keine empfohlene Maßnahme mehr in der MS Security Baseline.

gpsvc debug logging aktivieren, im gpsvc.log nachschauen ob da noch "mehr" dazu drinsteht.

Ich find direkt noch mal zwei - bzw "ich weiß, daß sie da sind, weil ich sie geschrieben habe" https://evilgpo.blogspot.com/2012/02/loopback-demystified.html (hat Zahni oben schon verlinkt) https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und wenn man sich vor dem Einschalten nicht genau klar macht oder nicht versteht, was das bedeutet, sollte man es auslassen. Korrekt. Deshalbt ist es beim Verwenden von Loopback eine SEHR gute Idee, seine GPOs strikt zu trennen in "User" und "Computer" und sie explizit nur dort zu verlinken, wo sie benötigt werden. Seit GPP mit Item Level Targeting kann man übrigens auf Loopback auch recht gut verzichten, macht das Leben oft einfacher: https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

..oder man baut sich einen File Sytem Watcher, der auf "- Kopie" getrimmt ist und das dann automatisch umbenennt. Kann man machen, man fragt sich aber nach dem eigentlichen Zweick.

Wenigstens eins, was ich Dir voraus habe 😘 Fachlich bist Du mir eh weit überlegen.

Weil's woanders auch noch deaktiviert wird? "gpresult /h report.html && report.html" - da siehst Du, aus welcher GPO welche Settings kommen. Ah - vergiß den Quatsch, hab falsch gelesen Du sagst, deine GPO wird angewendet, obwohl "Deny Apply" für den User gesetzt ist? Dann kontrollier mal doppelt, ob das richtig umgesetzt ist. Ansonsten sind es zu wenig Infos - "genauso" ist aus dem Forum heraus nicht zu prüfen, was Du damit meinst.

Bei dem Uni-Trust bin ich sofort dabei - Will hat mal einen rausgehauen dazu: https://posts.specterops.io/not-a-security-boundary-breaking-forest-trusts-cd125829518d

Immerhin nimmt er es ernst - seit 6 Tagen kein Beitrag mehr von @Nobbyaushb

Loopback: https://evilgpo.blogspot.com/2012/02/loopback-demystified.html https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und MS16-072 - Computer brauchen Leserechte auf User-GPOs.

Versionskontrolle von ADMX hat MS komplett verkackt... Hab mir dafür extra ein Skript geschrieben, das ein "gültiges Set" zusammenbaut. Da wäre mehr drin gewesen bei MS, aber was will man machen...

Nein, das stimmt. Aber es kann nix mehr machen :-D

14° in der Nacht, davon träumen wir hier... Temperaturen um Mitternacht seit einer Woche bei über 20°... Und nachdem Dein Post von heute morgen ~9 Uhr ist: Da hatten wir hier auch schon wieder schnuckelige 20. Das "Minimum" dazwischen von 18° reicht nicht, um Gebäudemasse herunter zu kühlen

Ein Grund mehr, nicht mit der Pipeline zu arbeiten... $Data = Import-CSV irgendwas.csv foreach ( $value in $Data ) { # machirgendwas mit $value } $Data | Export-CSV irgendwasanderes -noTypeInformation

Das ist doch mal schön, wenn so was "einfach funktioniert" 👍

seShutdownPrivilege Und UAC auf "silently deny", dann ist Ruhe.

Ich sag mal so - man kann seine PKI mit ADCS aufsetzen, man kann OpenSSL dafür nehmen. Bei beidem kann man viel falsch machen - bei ADCS ist es nur "einfacher" für die Windows-Admins, weil sie denken "Assistent - prima! Weiter, weiter, fertig" OpenSSL läßt sich so nicht einrichten...

Letzte Woche auf nem Talk aufgeschnappt: "We can invent things. But we cannot un-invent them". Anders formuliert: Die AD-integrierte PKI ist da, sie verschwindet nicht einfach wieder

Hier ebenso - heute mittag zog Gott sei Dank mal wieder ne kleine Regenfront durch, die Erde braucht das Wasser.

Wir haben die Monitoring-Events dazu in Splunk aufgenommen und über 2 Monate keine gefunden. Also "egal, let it happen"

Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen

Vielleicht will der TO nicht wirklich eine AD-integrierte CA aufsetzen - da gibt's etliche böse Fallen https://blog.harmj0y.net/activedirectory/certified-pre-owned/

Ja, geht auch mit Profilen. Jedes Profil ist bis auf EXE/DLL eine volllständige Instanz des Browsers - wenn man das so nennen kann Und dann wäre es nur ein Shortcut, der halt Firefox niicht direkt mit dem Standardprofil startet, sondern die Profilauswahl. https://wiki.mozilla.org/Firefox/CommandLineOptions#-ProfileManager

Das würde ich dann als Programmierfehler bezeichnen - "normalerweise" finden Programme ihre DLLs in ihrem Verzeichnis

Und nur so aus der Glaskugel, aber wissensbefreit bei VMWare Ich würde mich mit dieser DLL näher beschäftigen. Falsche Version? Mehrfach vorhanden?

Niemand - es ist zu warm, und im Keller liegt genug Essen und Trinken für 1 Monat