daabm

Ich würde da auch mal mit gpresult und regedit anfangen - die Bitlocker-Registry Werte findet ja man über getadmx.com oder gpsearch.azurewebsites.net recht einfach.

Recherchieren, viel recherchieren und lesen whoami /groups Commandline ohne Admin-Rechte: VORDEFINIERT\Administratoren Alias S-1-5-32-544 Gruppen, die nur zum Ablehnen verwendet wird Commandline mit Admin-Rechten: VORDEFINIERT\Administratoren Alias S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer Der entscheidende Unterschied ist die Gruppenbeschreibung. Grundlagen dazu: https://de.wikipedia.org/wiki/Benutzerkontensteuerung

Nein - der domäneneigene DC macht da gar nichts außer dir für die Kerberos-Authentifizierung der vertrauten Domäne einen Referral zu schicken. Alles andere passiert direkt mit den DCs der vertrauten Domäne. Beste Übersicht dazu, die ich kenne: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

Nein, es geht um EnableLUA. Sobald UAC an ist, hast Du 2 Tokens, eines quasi ohne Adminrechte (außer zum Verweigern), eines mit Adminrechten. Und der Explorer läuft dank der "Elevated unelevated factory" immer ohne Adminrechte.

Windows schleppt seit XP eine Kompatibilitätsdatenbank mit... Da wird ein entsprechender Eintrag drin sein. Kann man vermutlich mit einem Application Shim umgehen, nur wozu? (Suche nach "Application Compatibility Toolkit ACT")

Das wäre die Gelegenheit, über den Nutzen von Kaspersky in dem Zusammenhang nachzudenken. SCNR

Lokal zippen und dann kopieren geht schneller - so machen's die Jungs bei uns.

Beschäftige Dich mal mit User Account Control und dem Restricted Token. Und leg Deine Skripts nicht auf dem Desktop des Admins ab, wenn sie auch von anderen ausgeführt werden sollen - dafür gibt es %public%.

Ordnerumleitung geht, aber Firefox wird dadurch grottig langsam... Die anderen beiden vermutlich auch.

Ich liebe Lasagne 👍 Spaß beiseite, alles gesagte ist richtig. Muß man halt rausfinden, was genau man an Sicherheit und Komfort in Kombination haben will. Wenn ich entscheiden müßte für ein KMU: Builtin Admin kriegt ein 127stelliges Kennwort, das im Safe liegt. Damit ist mir dann der PIN-freie Boot egal, das Kennwort hackt derzeit keiner in seiner Lebenszeit. Und Cached Credentials stehen auf 0, damit lassen sich auch gehackte Domain Accounts nicht für eine Offline-Attacke verwenden. jm2c 😎

Ignorier es einfach - DCOM-Fehler sind Tradition im Eventlog. Oder beiß dich richtig rein und finde selbst eine Lösung. Spoiler: Wir haben Server im oberen fünfstelligen Bereich, bei uns interessiert sich niemand aus keinem einzigen Fachbereich für diesen Krempel.

An dem Haus, in dem Du wohnst - und in 15 Meter Höhe? War für mich ne echte Scheiß-Situation... 🤬 Im EG oder 1. OG kein Problem, hätte ich sofort repariert. Aber da oben wird das Gerüst relativ "übersichtlich"...

Siehe viel weiter oben - "Interimserver", kann auch eine VM auf nem Client sein. Und keine Panik - solange Du physischen Zugriff auf die Systempartition der DCs hast, geht immer was. Wenn die per Bitlocker mit Wegwerfschlüssel abgesichert sind, wird's interessanter 😂 Vielleicht solltest Du unverzüglich einen mittleren dreistelligen Betrag für professionelle Unterstützung investieren. Dauert nur wenige Stunden, danach ist die Lage klar und der Action Plan ausgearbeitet. Sonst geht vielleicht noch mehr kaputt. Edit: Für eine funktionsfähige Domäne reicht ein einziger funktionsfähiger DC, und der muß nicht mal eine FSMO-Rolle haben...

Der Rechner würde genau die GPO-Settings behalten, die er beim letzten erfolgreichen GPUpdate bekommen hat. Auch wenn das 60 Tage her ist... Und wenn da drinsteht, von welchem WSUS er wann wie Updates installieren soll, würde er das unverändert tun. So gesehen: "Ja". Nur (steht ja oben schon mehrfach) warum?

Auch allerseits einen guten Dienstag. Ich schlag mich grad mit sowas hier rum - eigentlich sollte es nur eine Renovierung werden, daraus wurde inzwischen eine Sanierung. Der Übergang ist fließend, aber krass... Und Pharaoameisen sind echt scheiße, wenn sie leicht feuchtes Holz in der Fassade finden.

Ich schmeiß mich weg... Schlangenöl?

Wir brauchen mehr Honig, die Welt muß süsser werden

Heut so zufällig drüber gerutscht... Vielleicht von HP verabschieden? Wer im kleinen versemmelt, macht das meistens auch im großen. Ist aber nur eine persönliche Meinung, no puns intended!

secpol.msc aufrufen - was steht da für dieses Recht?

Sollte der User seinen Rechner ernsthaft nicht neu starten dürfen? Hab ich bei Clients noch nie gesehen, daß einer das restriktiert...

Ich hol mir dann im automatischen Nachtlicht noch ein Bier.

Nö. Google reicht.

"Keine Ahnung" ist ein schlechtes Omen... Hier wissen viele, was jetzt zu tun wäre, werden Dir das aber aufgrund der Boardregeln nicht sagen. Du mußt Dich anderweitig informieren.

Gut daß wir mal darüber geredet haben

Oder auch https://www.drwindows.de/news/download-drwindows-update-packs-september-2021-fuer-windows-7-8-1-und-windows-10 (kommt jeden Monat neu raus)