daabm

"Nichts machen" glaub ich Dir nicht - aber wenn Du's tatsächlich durchziehst: Viel Spaß dabei! 🍺

Mit NTLM ja, mit Kerberos nein.

Der Suchbegriff für das periodische Skript wäre "Shadow Groups" - kommt öfter mal vor, daß man alle xyz in einer OU auch in einer passenden Gruppe haben will.

Quid pro quo - war schon immer ein gutes Prinzip. Aber oft sind es halt Menschen, die Dir im Gegenzug nichts geben können, was für Dich wichtig ist, und dann läßt man es halt irgendwann (Und "Geld" oder "Geschenke" sind nicht wichtig - wie Du ja auch schon schreibst.)

Hast Du MMC-Snapins per Policy deaktiviert? Dann fehlen in GPEdit auch die entsprechenden Nodes... Und da Du schreibst "beide sind Admin" - was soll dann "zuviel Rechte" noch bedeuten?

@stefan4711 Korrekt. Deshalb kennt schtasks (bzw. fast alle Remote Verwaltungs APIs) ja auch entsprechende Parameter, um eben KEINE Session auf dem Zielsystem zu starten (deren Credentials dann gecached sind), sondern das mit entsprechenden Rechten direkt remote zu erledigen. Bei schtasks wären das /s /p /u

Wer weiß das schon, daß die dämliche Win32_Product Klasse da für jedes MSI-Paket ne Reparaturinstallation anschmeißt? (Außer Dir und mir...)

"Lost" ist halt lost... Lernen durch Erfahrung. Oder durch Schmerzen, je nach Blickwinkel

Da kommt der Norbert nach mir noch vorbei und macht einfach das Licht aus - und ich fall dann beim Aufstehen über meine Hausschuhe? Spaß beiseite - Gute Nacht Board.

Wenn es moralisch hilft: Ich bin jeden Tag einmal mindestens hier. Nur schreibe ich nicht immer was. Ich freue mich aber immer, wenn jemand anderes was geschrieben hat. Wenn's nicht hilft, kann ich gerne jeden Abend (oder jede Nacht?) meinen Feierabend-Sermon in den Ring werfen. Nur weiß ich nicht, ob das dem Thread gut tut ...und weil es schon wieder weit nach 10 ist: Licht dimmen für die, die noch nachtaktiv sind...

@Sunny61 Seit MS14-025 geht das nicht mehr mit Credentials, nur noch als SYSTEM. @stefan4711 Vielleicht hilft es, wenn Du darüber redest, was Du _eigentlich_ erreichen willst, statt darüber, woran Du bei Deiner Methode, das zu tun, scheiterst?

Definitiv - vor allem, weil es ja seit heute morgen schon wieder weitergeht... https://heise.de/-6140346 (haben sicher schon alle gelesen ) Drucken ist einfach #grütze in einer MS-Infrastruktur mit den Treiberinstallationsmechanismen.

Genau das war ja der Ansatz von "Restore from _nothing_"... Alles, was Du in dem Fall wiederherstellen willst, muß entweder aus irgendeinem Code entstehen, den Du kontrollierst. Oder von USB-Datenträgern, die in einem Safe lagen. Und wie weit zurück, das weiß der Herr alleine Idealerweise stellst Du dabei auch keine Images (oder sonstwie "komplette Systeme") wieder her, sondern nur Nutzdaten. Damit schließt Du nahezu sicher aus, eine Infektion wieder einzuschleppen.

Das haben sie inzwischen aus den Sec-Guides leider rausgenommen, weil "Dienste sind ja kein Angriffsvektor". Ich kann mich an den Post dazu im SCM-Blog noch erinnern.

Ok, der Punkt geht an Dich. Wir sind kein KMU, und ich muß mich nur ums AD kümmern. Mein Vorteil Und mein zweiter Vorteil: Um die Anwendungsberechtigungen "from nothing" müssen sich andere kümmern. In einem KMU ist das definitiv eine größere Herausforderung, wenn der Admin nicht nur AD, sondern auch noch XCH und SQL machen muß. Aber wie macht das KMU dann denn einen "Restore from nothing"? MIt irgendwas muß man ja anfangen können.

Wir auch - eignet sich aber nicht für das Szenario "Schulung", da brauchst Du "neue Profile". Das lokale Profil muß also irgendwie weg. Ordnerumleitung hilft für die Persistenz während der Schulung - läßt man hinterher (oder jede Nacht oder am Wochenende) ein Skript drüberlaufen, das alles bereinigt. Bleibt das lokale Profil, das halt noch weg muß. Und nicht jeder hat die PC Wächter Karten im Inventar

Du wirfst grad Ordnerumleitung und servergespeicherte Profile durcheinander - das hat _nichts_ miteinander zu tun... Hast Du meine Links gelesen? Da steht nirgends was von "schreibgeschütze Profile". Falls Du's nicht gelesen hast, scroll mal nach oben

Wir (also das AD-Team) haben dafür keine Gründe. Die hatten andere (das IPAM-Team). Wenns Dich wirklich interessiert, gerne per PN.

@NilsK Klar fehlt die Berechtigungsstruktur. Aber hey, wir reden von "Disaster Recovery from nothing" - sogar wir nehmen hier Datenverlust und Datenschutzverletzungen in Kauf... Und ok, ich hab's nicht erwähnt, aber wir sichern auch alle nicht vererbten OU-Berechtigungen. Und zwar nicht mit SIDs, sondern auch mit Gruppennamen und mit der jeweiligen Objektvererbung (Du darfst gerne annehmen, daß wir uns mit SIDs und ACLs gut auskennen ) - einer Wiederherstellung steht damit nichts im Weg. Ob "das eigentlich wichtige" tatsächlich die Rechtestruktur im AD ist (IMHO nein) oder doch eher die User-Accounts, die sich mit Computeraccounts verbinden, darüber kann man trefflich und lange diskutieren @MurdocX MS liefert nichts.

ACK. IMHO Konzeptfehler bei MS - sie haben das nie geschafft, die User von verwurstelten Desktops wegzubringen, weil Win-E, die Links und Libraries alle gescheitert sind. Wenn sogar ich damit nicht wirklich zufrieden bin oder gut zurechtkomme, was soll ich den "Standardanwender" dafür kritisieren, daß er seinen Desktop zupflastert? Er kann ja fast nicht anders - was hat er denn für Drop-Targets, die immer verfügbar sind? Aber jetzt wirds echt OT...

Okeee - hilft, wenn man sich einig ist worüber man redet

Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt". Anmelden, irgendwas machen, abmelden. Das taucht niemals im AD (bzw. genauer im Security Eventlog eines Domain Controllers) auf. Nur wenn während der Session wieder eine AD-Verbindung verfügbar wird... Aber ich bin ja nicht b***d, ich habe alle (W)LAN-Verbindungen vorher deaktiviert bzw. die VPN-Einwahl verhindert. Kein AD - kein Event. Hehe - schöne Träume

Für uns gesprochen:Restore from _nothing_ ist grad ein Thema. Also "kein Backup verfügbar", weder Veeam noch SystemState. Aus AD-Sicht: 1. Skript-Framework, das ein Grund-AD bereitstellt. Haben wir schon ewig. Erstellt Gruppen, OUs und Basis-Delegationen. 2. GPMC-Skripts - CreateXMLFromEnvironment und CreateEnvironmentFromXML Damit ist man schon fast wieder operativ "from Scratch". Für kleine Umgebungen reicht Punkt 2 sogar aus - nur hat MS das nie irgendwie gut kommuniziert. Und die Sample Scripts muß man inzwischen mit der Lupe suchen - der MS-Download ist tot.

Spielverderber 3 NICs in einem DC machen den Tag doch erst so richtig spannend. Vor allem wenn eine davon ein Management-Netz ist und man aufgrund von variablen "Zufällen" in der Virtualisierung nie weiß, welche NIC jetzt in welchem VLAN steckt... Ah - DHCP haben wir natürlich auch noch gemacht. Ja, auch für DCs. Mit AD-integriertem DNS. Geht alles, wenn man weiß was man tut. SCNR

Senf dazu: Der Benutzer meldet sich nicht "am AD an", er authentifiziert sich nur dort. Und danach meldet er sich auch nicht am AD an, sondern da, wo er sich grad eben anmeldet. Wobei das technisch auch wieder falsch ist - er meldet sich nicht an (das gibt's in der Form nicht), sondern er startet eine Anmeldesitzung, weil er aufgrund der AD-Authentifizierung das Recht dazu hat. Und wenn dann noch Cached Credentials im Spiel sind, kriegt das AD noch nicht mal die Authentifizierung mit. AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer. (OT: Warum ich das schreibe? Weil diese Schnapsidee der AD-Events für Benutzeranmeldungen auch bei uns wieder durch's Unternehmen zieht und die "Profis" nicht verstehen, wie das eigentlich funktioniert)