daabm

[OT] Was mich jetzt interessiert: Wenn @Damian oder jemand anderes tatsächlich seinen Post bearbeitet hat, sollte da nicht auch ein "bearbeitet" drunter stehen? [/OT] (Nein, ich weiß es wirklich nicht, und ja, es interessiert mich wirklich)

Tür ist neu, von denen hier:

Schön, wenn man - nach fast einem Jahr.... - auch mal was fertig bekommt Das Vordach hab ich Anfang Oktober 2021 bestellt, als die Fassadenbauer grad mit dem Wärmeschutz angefangen haben. Heute habe ich endlich die Glasplatten endmontiert. (Sorry für die Verzerrung, das macht das Handy.) War ein Heidensch... - die Hauswand ist wellig, die Glasplatten brauchen aber "topfeben" und absolut rechtwinklig. Weiß nicht, wie oft ich auf die Leiter geklettert bin, um links, rechts, in der Mitte nachzujustieren. Da lobe ich mir Computer - 0 oder 1, alles klar 😂 Und damit ist es Zeit für einige Feierabend-🍻 😎 Licht programmiere ich mal auf 22 Uhr "aus". Kaffeemaschine für morgen ist schon programmiert, muss also niemand früher aufstehen 😉

Ne, Lisa kriegt - wie jeder andere auch - eine 7stellige Kennung, die mit ihrem Namen nichts zu tun hat.

Dann hab ich wohl Glück - keine sensorischen oder mentalen Ausfälle, nur "Spielen" klappt mangels Konzentration nicht so dolle

Kann man dann aber auch irgendwie nachvollziehen - für das Geld erneuern andere die komplette IT-Infrastruktur Und als Produktionsbetrieb muß man auf die Gestehungskosten achten. Das ist ein Betrag, der schon "reinhaut"...

Ganz altes Thema Wir archivieren Security Principals, wir löschen sie nicht. Damit bleiben die SIDs erhalten und nachvollziehbar. UPN/sAMAccountName/CN etc. bekommen einen Timestamp, User/Computer werden deaktiviert, Sicherheitsgruppen in Verteilergruppen umgewandelt, geleert und Mailadresse ggf. entfernt.

Normalerweise mit doppelten Anführungszeichen innerhalb der umschließenden: "Copy ""dateiname""" & " " & """Ziel_name"""

Scheiß Coro@@... Aber geht, gut geimpft, quasi normale Erkältung.

Bin bei @Dukel - mit Bordmitteln wird das schwierig. Du müsstest nämlich die Outbound-Firewall auf "Block" setzen und dann Regeln bauen, die alles erforderliche zulassen. Da ist man eine Weile beschäftigt... Zur Erklärung: Die Firewall kennt leider keine Regel "alle außer". Du kannst also nicht einfach 80/443 blocken und dann nur den Proxy zulassen, sondern Du mußt 80/443 blocken für alles _außer_ dem Proxy. Oder Du blockst alles und läßt dann halt - s.o. - alles Erforderliche wieder zu.

Klingt für mich auch schwer nach Trust und "normales AGDLP".

"Teambuilding" mit 40 Leuten... Wers kennt, weiß was ich denke 🍺

Ich bin schon wieder reif für TGIF... Bier für alle! 🍻

Ich dimm mal runter und stell das Bier für TGIF kalt.

LOL - NLA oder IPHelper versehentlich deaktiviert? SCNR "Dienste deaktivieren" ist übrigens seit W10 keine empfohlene Maßnahme mehr in der MS Security Baseline.

gpsvc debug logging aktivieren, im gpsvc.log nachschauen ob da noch "mehr" dazu drinsteht.

Ich find direkt noch mal zwei - bzw "ich weiß, daß sie da sind, weil ich sie geschrieben habe" https://evilgpo.blogspot.com/2012/02/loopback-demystified.html (hat Zahni oben schon verlinkt) https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und wenn man sich vor dem Einschalten nicht genau klar macht oder nicht versteht, was das bedeutet, sollte man es auslassen. Korrekt. Deshalbt ist es beim Verwenden von Loopback eine SEHR gute Idee, seine GPOs strikt zu trennen in "User" und "Computer" und sie explizit nur dort zu verlinken, wo sie benötigt werden. Seit GPP mit Item Level Targeting kann man übrigens auf Loopback auch recht gut verzichten, macht das Leben oft einfacher: https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html

..oder man baut sich einen File Sytem Watcher, der auf "- Kopie" getrimmt ist und das dann automatisch umbenennt. Kann man machen, man fragt sich aber nach dem eigentlichen Zweick.

Wenigstens eins, was ich Dir voraus habe 😘 Fachlich bist Du mir eh weit überlegen.

Weil's woanders auch noch deaktiviert wird? "gpresult /h report.html && report.html" - da siehst Du, aus welcher GPO welche Settings kommen. Ah - vergiß den Quatsch, hab falsch gelesen Du sagst, deine GPO wird angewendet, obwohl "Deny Apply" für den User gesetzt ist? Dann kontrollier mal doppelt, ob das richtig umgesetzt ist. Ansonsten sind es zu wenig Infos - "genauso" ist aus dem Forum heraus nicht zu prüfen, was Du damit meinst.

Bei dem Uni-Trust bin ich sofort dabei - Will hat mal einen rausgehauen dazu: https://posts.specterops.io/not-a-security-boundary-breaking-forest-trusts-cd125829518d

Immerhin nimmt er es ernst - seit 6 Tagen kein Beitrag mehr von @Nobbyaushb

Loopback: https://evilgpo.blogspot.com/2012/02/loopback-demystified.html https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und MS16-072 - Computer brauchen Leserechte auf User-GPOs.

Versionskontrolle von ADMX hat MS komplett verkackt... Hab mir dafür extra ein Skript geschrieben, das ein "gültiges Set" zusammenbaut. Da wäre mehr drin gewesen bei MS, aber was will man machen...

Nein, das stimmt. Aber es kann nix mehr machen :-D