daabm

Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen

Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts.

LOL... Get-ADUser "$(( get-addomain -Current LocalComputer ).DomainSID.Value )-500"

Sysinternals Process Explorer sollte Dir sagen können, wer da die Finger drauf hat. Oder auch Process Monitor. Mehr kann ich nicht dazu beitragen, wenig Ahnung von VSS...

Wieso, die haben doch 2 SFP+ Ports - um die zu verbinden, wird das Kabel schon lang genug sein...

Lass das mit "per GPP kopieren", das ist #grütze... Warum? Entweder kopiert man immer (obwohl sich nichts geändert hat - und nein, "Update" tut hier nicht, was man denken würde...) oder nie, wenn einmal erfolgreich kopiert wurde (auch wenn sich die Quelle geändert hat). "Nur wenn neuer" geht nicht. Zudem ist GPP synchron und blocking bei der GPO-Verarbeitung. Ist die Quelle ein nicht erreichbarer UNC-Pfad, geht das Gejammer los, dass die Startzeiten so lang wären...

Ich verwende noch nicht mal setspn - das ist nämlich grenzenlos unfähig, wenn es über Forestgrenzen hinweg geht. Du kannst den Inhalt von servicePrincipalName auch "einfach so" direkt schreiben, und das geht dann immer und gegen jedes System, gegen das Du Dich authentifizieren kannst: Set-ADxyz <AccountName> -add @{ servicePrincipalName = 'HTTP/Tresor.Raffgier.com' } -Server 'Bank.Raffgier.com' ADxyz kann dabei ADServiceAccount, ADComputer, ADUser, ADObject sein. Aber wir schweifen ab

Ich vergesse immer, daß es dieses "Glomp" ja auch noch gibt... Haben wir in einer domain wide GPO deaktiviert über GPP Registry.

SetSPN macht nur AD, nichts mit DNS oder gar Registry. Ist i.d.R. auch nicht erforderlich, das ist alles altes Kompatibilitätsgeraffel Um AlternateComputerNames in der Registry zu setzen, wirst Du wohl Adminrechte brauchen. Aber wie gesagt, ich wüsste nicht wozu. Aber wieder was gelernt und ein Grund mehr, einen Bogen um netdom.exe zu machen. Ich hasse so "kombinierte" Tools, die an 4 Stellen gleichzeitig rumschrauben...

Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht.

Hisense irgendwas... Egal bei 280,-. Wenn ich demnächst unzufrieden damit wäre, wird er im Bekanntenkreis als echter Fernseher weitergegeben.

Wieso "wie viele Bildschirme betreiben"? Das ist genau 1 (ein) Fernseher = 1 (ein) Bildschirm... Lüfter sind egal, das ist kein Denk-Arbeitsplatz, sondern eine Unterhaltungs- und Bastelecke, da ist immer Grundlärm @NilsK Welches Problem hat Windows denn Deiner Meinung nach? Hier hängt am Hauptfernseher (auch 4k) schon seit Jahren ein PC, der hat überhaupt kein Problem. Und die Surface-Reihe von MS hat ja auch "etwas mehr" als Full-HD

netdom verwendet AFAIK den WinNT-Provider (wußte bisher auch nicht, daß das SPNs setzen kann?!?), SetSPN verwendet ADSI. So gesehen stimmt "netdom ist die alte Variante". Sollte aber nur eine Rolle spielen, wenn irgendwas mit dem Builtin-Container in AD gemacht wurde. Frau kann auch einfach direkt das Attribut servicePrincipalName bearbeiten mit LDAP-Mitteln ihrer Wahl (System.DirectoryServices, Powershell Set-ADObject/Set-ADComputer, dsmod.exe, csvde.exe, ldifde.exe usw... )

Bring ich ständig durcheinander, bitte hilf mir über die Straße Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg... BTW: Applocker ist nicht zufällig auch noch beteiligt? Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum?

Lieber nicht - der konkrete Post ist über 10 Jahre alt "Opa erzählt vom Krieg"

VPN ist meistens DSL und damit asymetrisch Und den Uplink teilt sich Deine Office-Datei mit allen TCP-Flowcontrol Paketen, die da auch noch drüber müssen (SYN/ACK etc.).

Gestern hab ich einen neuen "Monitor" für meine Bastelecke bestellt... Und was für einen? 4k-Fernseher 43" - mit 280,- unschlagbar günstig im Vergleich zu "normalen" PC-Monitoren. Ich bin gespannt

Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht. https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet).

Nichts neues unter der Sonne https://evilgpo.blogspot.com/2013/01/group-policy-preferences.html (Wie kann ich mit Zielgruppenadressierung IP-Timeouts in den Griff bekommen...)

Dann schalt den Kiosk-Mode auf einer Testmaschine ab. Oder passiert das nur, wenn Edge im Kiosk-Mode läuft?

Da musst wohl weniger in Systeminfo schauen denn in die Browser-Daten. Bei Firefox: "about:memory" - bei anderen Browsern: Du wirst es finden

Euch ist klar, daß Office beim Öffnen einer Datei mit Backup-Files rumspielt? Das dauert also per se schon fast 3x so lang wie das reine Lesen: Originaldatei kopieren - über VPN, die geht also 2x über die Leitung - dann die Kopie öffnen, Nummer 3.

Die KI redet direkt Blödsinn Zum einen erstellt Get-Credential auch einen SecureString (also das, was die KI im nächsten Absatz als bessere Lösung empfiehlt), zum anderen steht hier nirgends ein Passwort im Klartext.

Junkers TR-200...

EZ 04/1979... Ok, ist "nur" das Spaßmobil für's Wochenende Fühlt sich an wie mein erstes Auto damals, hat nur ein paar Instrumente mehr und nen größeren Motor.