daabm

Sunny, können wir uns auf "die GPO" einigen? Ich hatte die Diskussion schon beim Buchschreiben, und ja "das GPO" ist richtig, aber im täglichen Sprachgebrauch - sogar ich hab mich damals widerwillig breitschlagen lassen, auf "die" zu wechseln... @xrated2 "gpresult /h report.html" oder "gpresult /r" in einer Admin-Commandline...

Was genau hast Du heruntergeladen, was genau hast Du wo genau gespeichert? Was genau rufst Du wo auf und was siehst Du dann nicht?

Wenn ich das richtig weiß, gelten die Default-Assocs für alle, die sich "neu" anmelden. Änderungen, die ein User macht, gelten nur für ihn, nicht für die anderen. Also sollte es funktionieren. Da ich beruflich aber mit Clients nur noch wenig zu tun habe und mir dieses ganze Assoc-Gefrickel (genau wie Laufwerke und Drucker und Desktop-Design und Startmenü) inzwischen eher unverständlich ist, bin ich da prinzipiell raus. Erklär doch lieber dem User, wie es geht, statt es ihm administrativ vorzugeben

Schau Dir mal das genauer an: http://www.drivesnapshot.de/de/ Ich glaube, das kann was Du suchst.

Hm - ich versuch mal zu sagen, was ich verstanden habe: Ihr wollt auf den Notebooks LAN/WLAN abschalten (im Kontext eines Users X). Gleichzeitig soll ein User Y am Gerät arbeiten, der lokaler Administrator ist. Soweit korrekt? Da würde ich spontan sagen "geht nicht". Steht ja oben schon, Admin ist Admin. Als Krücke könnte ich mir ein Skript in einem geplanten Task vorstellen. Für das Herstellen/Trennen einer Netzwerkverbindung gibt es Events, und auf Events kann man Tasks triggern. Hilft halt nicht gegen den Admin, der natürlich Tasks deaktivieren/löschen kann. Statt Task könnte es auch ein Dienst sein, aber auch da kann der Admin natürlich...

@MurdocX Fast - eins tiefer im MMC-Navigationsbaum Ich war kurz am Schwitzen, ob ich jetzt völligen Quatsch erzählt hab... Stell hier die nicht identifizierten Netze auf "Public" und "cannot change", das ist IMHO das, was den Dialog unterdrückt. Und ja, ich weiß, daß .local Domains Müll sind Aber ich hab keine Domain registriert, also isses wurscht.

Nils, whoami läuft zwangsweise auf dem Zielrechner. Bzw halt in der Session, in der man es aufruft... SCNR

Wer redet von Inbound-Regeln? Ich rede nur von den Benachrichtigungs-Einstellungen.

whoami /groups | find /i "Gruppenname" && Machirgendwas Das AD deswegen zu fragen ist nicht nötig. net.exe schneidet zudem die Gruppennamen ab (glaub nach 20 Zeichen).

Wie oben schon geschrieben: Wenn Du volle Kontrolle willst, kauf Dir ein MDM. Wenn Du mit kostenlosen Funktionen eines Anbieters arbeiten willst, lebe mit den "Nebenwirkungen"

Tja, kostenfreie Dienste (Ortung) zahlst Du halt mit Deinen Daten...

Ja. Frei von Kostendruck und Organisationshemmnissen, einfach mal machen, was ginge. Ich find's gut, aber Du kriegst es nicht umgesetzt. Erstens zu teuer, zweitens zu viele organisatorische Hindernisse... Wir machen, was halt machbar ist.

Ich werf mal die Shadow Principals noch in den Raum, dann wird die Diskussion komplett wirr

Die PAW läuft in der VMWare-Umgebung? Und die ist komplett T0? Das ist eines der Probleme bei ESAE - Tier-Traversal... Die PAW ist T0, läuft virtuell auf VMWare, was eigentlich T1 ist. Und schon isses Grütze. Woher ich das weiß?

Wir haben festgestellt, daß es im ESAE-Konzept Dinge gibt, die in einer wirtschaftlich angespannten Lage schlicht nicht machbar sind. Fängt bei den dedizierten Admin-Zugängen mit separatem LAN an, geht weiter über dedizierte WSUS/SCCM/AV-Infrastruktur usw... Die meisten "durchschnittlichen" Admins tun sich mit dem Konzept der Tier-Trennung und der separaten Admin-Forests schon ausreichend schwer - "also mit welchem User muss ich mich jetzt anmelden?" Damit man es an den Start bringt, müssen die Key-Kunden ja mitgehen. Vergraulst Du die gleich zu Anfang, stirbst Du in Schönheit Der Aufwand auf Unternehmensebene ist immens. Und das, obwohl wir eigentlich sicherheits-sensitiv sind (Bankenumfeld).

Im Grunde funktioniert es. Bis das Federation Ticket des MS-Accounts abgelaufen ist - wenn der sich nicht "ab und zu" mal anmeldet, verschwindet die Ortung.

In den Sicherheitseinstellungen bei der Advanced Firewall?

Da brauchst in der Tat entweder ein Script oder eine relativ aufwändige Policy mit Zielgruppenadressierung auf Win32_Pingstatus... Ich finde den DNS-Alias eleganter und einfacher. Und am allereinfachsten ist ein A4-Handzettel für die Benutzer, wie sie zu einem Drucker kommen. Warum machen das so wenige? Daheim können die User ja ihren Drucker auch irgendwie finden...

Wasch mich, aber mach mich nicht nass Eine Kröte musst Du schlucken. Oder Du kaufst Drittsoftware fürs MDM.

Unbekannt ist mir das nicht, nur der Begriff war mir neu. "Gehe davon aus, daß alles nicht vertrauenswürdig ist, bis es etwas anderes bewiesen hat" sollte in einer sicheren IT ein Grundprinzip sein. Ich kenne genug ADs, die Simple Bind und Anonymous Access erlauben, weil sie seit Windows 2000 immer nur aktualisiert wurde. Bäh... Wir arbeiten uns grad an ESAE ab, das ist schon Herausforderung genug - aber das Grundprinzip ist da das selbe.

Das konfiguriert man komplett per GPO, der User bekommt diesen Dialog nie zu sehen...

Lohnt sich das noch herauszufinden? Office 2010 ist in einem Jahr Geschichte...

Und was genau ist jetzt die Frage? Nicht authentifizierte Zugriffe auf egal was gehen nicht.

Um das mal zu beantworten: Nein, das geht so nicht. Wenn der PC Mitglied einer Domäne ist, durchsucht diese WMI-Abfrage die Domäne und wird immer WAHR zurückliefern, wenn der User existiert. Warum nimmst Du den User nicht einfach unter dem Reiter "Delegierung" mit auf und dann über "Erweitert" verweigerst Du ihm das Übernehmen dieser GPO?

@Squire Made my day - das Leben kann so einfach sein ? Wenn man halt mal kreativ sucht