daabm

Du erwartest hier hoffentlich nicht wirklich engagierte Hinweise zum Weiterbetrieb von XP (Anders formuliert: Tot ist tot...)

Nein, das ist noch nicht wirklich verständlich. Was willst Du denn als Ergebnis haben? Ein Printscreen vom Suchergebnis "Seeungeheuer" Seite 1 und 2 - da reicht die URL, das hat Nils schon geschildert. Das HTML-Ergebnis kriegt man auch irgendwie weiterverarbeitet. Die Frage ist, was will man mit nem Screenshot von Seeungeheuer-Suchergebnissen? Also was willst Du WIRKLICH erreichen?

Mir war klar, daß Du das sagst - das ergab sich schon aus dem Eingangs-Post, und ich kann es sogar verstehen. Du kannst ja mal mit Heise/Mitsubishi/Stadtverwaltung abc/Krankenhaus xyz Kontakt aufnehmen, die aber alle "nur" nen Krypto-Trojaner hatten. Golden Ticket ist eine andere Hausnummer, da weiß der Angreifer so ungefähr alles, was er wissen wollte. Wenn er ganz cool war, hat er Euch (bzw. dem Kunden) nen PWFilter auf den DCs untergeschoben und damit ungefähr alle Kennwörter im Klartext abgegriffen. Das standardisierte Vorgehen von MS ist m.W. genau dieses: Rebuild from scratch. Mir ist völlig klar, daß ich das bei uns auch nicht machen wollte. Das wäre ein Super-GAU. Aber mental bin ich darauf vorbereitet, daß es passieren kann.

Vielleicht wäre jetzt der richtige Zeitpunkt, mal die Aufgabe exakt zu beschreiben. Ich glaube, Dein schon vorhandener Lösungsansatz ist nicht der "beste"...

Ja, gibt es: Löschen und from scratch... Wenn der Angreifer gut ist, kann er sich so verstecken, daß Du ihn nie findest. Gibt genügend Stellen, die auch erfahrene Admins nicht auf dem Schirm haben - alleine schon die ganzen Autoruns, die Dir Sysinternals anzeigt. Dann noch WMI Event Sinks usw... As said: From scratch.

Alles richtig gemacht eigentlich. Jetzt noch Loopback Merge einschalten, und die Laufwerke werden verbunden Was ICH aber machen würde: Zielgruppenadressierung nicht auf "User ist Mitglied von Gruppe", sondern "Computer ist Mitglied von Gruppe". Und pro Raum machst Du eine Gruppe, in der die Computer drin sind.

...oder wenn Du das schon per GPP verteilst: Beschäftige Dich doch mal mit der Zielgruppenadressierung

Da gibt's ganz viele Möglichkeiten... Als Einstieg: https://stackoverflow.com/questions/22496847/installing-a-driver-inf-file-from-command-line

Das wenn ich noch genau wüßte... Heruntergefahren, wieder hochgefahren, das war's eigentlich. Aber das App-Zeug hat ja eh ein Eigenleben :-D Ja. Nur Account einrichten, und es reicht zum Lesen und Antworten. Und auf dem 2. Gerät nicht mal einrichten, einfach per Sync alles da. Ist schon praktisch. Outlook gibt's auch, aber bis das immer offen ist

Jan... ver | find "18363" > nul && goto :EOF

Du bist nah dran - aber irgendwie auch Lichtjahre weg Zugriff auf persönliche Daten macht man nicht über servergespeicherte Profile, sondern über sogenannte Homesets und Ordnerumleitung Das Mapping klappt nur, wenn der User auf den Share auch mindestens Leserechte hat Die Mappings per GPO unterstützen Zielgruppenadressierung - die macht man also alle in die gleiche GPO für "Authentifizierte Benutzer" im Sicherheitsfilter. Die einzelnen Mappings bekommen dann eine Zielgruppenadressierung auf die entsprechende Gruppe Laufwerkmappings verschwinden i.d.R. nicht von selber, die mußt Du über entsprechende gegenläufige Einstellungen explizit entfernen (Eine Zuordnung mit Aktion "aktualisieren", wenn in Gruppe - eine andere "Löschen", wenn nicht in Gruppe) GPOs wirken nicht auf Gruppen, sondern auf User und Computer. Wo die Gruppen sind, ist egal. Wenn es Computersettings sind, muß die GPO auf die OU des Computers wirken, bei Usersettings auf die OU des Users Google hilft Dir bestimmt, entsprechende Tutorials zu finden. Und wenn Du dann konkrete (!) Fragen hast, dann helfe ich gerne weiter.

Ich kapier's auch nicht. "Herunterfahren" ist ein Recht, das man vergeben kann - haben "Benutzer" normalerweise. "Neustarten" ist kein Recht, weil das nur eine Kombination von "Herunterfahren" (= vergebbares Recht) und "Hochfahren" (= kann immer jeder) ist. Wenn es damit zu tun hätte, dürfte /s auch schon die UAC triggern... Hast Du einen Supportvertrag? Dann würde ich mal MS fragen... Oder vorher nochmal ausprobieren: Commandline, "shutdown /r" - kommt da wirklich UAC? Und prüf mal genau die Eigenschaften der Shortcuts - was exakt steht da so an Parametern drin?

Die Rückmeldungen und Tipps waren ja eher überschaubar - aber egal: Ich hab NICHTS gemacht, jetzt geht's wieder... Elendes APP-Subsystem... ?

Die Tipps hab ich durch, und ich hab ja kein Problem mit der Store App, sondern mit der Mail App Die Mail App hat unter Packages nicht mal ein Verzeichnis - zumindest gibt es da nichts, in dem der String "Mail" enthalten wäre (case insensitive)... :-(

Der Kunde hat hoffentlich nen Proxy - da wirst dann mit 445 nicht durchkommen, und das ist auch gut so. Wie @Zahni schrub - WebDav über SSL.

Der Ordner kann doch heißen wie er will - den Anzeigenamen in Explorer kann man notfalls per desktop.ini verbiegen

Der Schaden kommt heute nicht mehr von außen (Firewall), sondern von innen (Mailanhang). Und zum Thema AV: https://heise.de/-4646386 Ich bevorzuge Application Whitelisting (Applocker oder vergleichbares - ein Standardbenutzer darf nichts ausführen von Speicherorten, an denen er Schreibrechte hat) und das Blocken aller unsignierten Makros (oder gleich ganz alle, wenn das im Arbeits-Workflow machbar ist).

Das Update auf 19551 hat leider nichts geändert außer der Farbe der Meldung, die ist jetzt beige statt blaugrün... Kennt sich niemand mit diesem dämlichen App-Subsystem aus und hat eine Ahnung, woran das liegen könnte? Mit einem anderen User geht's wie immer problemlos. Ich will aber mein Profil noch nicht löschen

Huch, wenn ich gewußt hätte, daß C-A-D heutztuage so ne Diskussion auslöst, hätte ich gleich Strg-Alt-Entf geschrieben

Dann geht's jetzt wohl ans eingemachte... ICH würde jetzt einen Test-DC aufsetzen (VM, isoliert) mit dem gleichen Namen und der gleichen Domäne. Und dann würde ich schauen, wo der sich überall verewigt im AD (ich hab da auch nicht alle Stellen im Kopf, vor allem die in der Config-Partition). Und das würde ich vergleichen mit dem produktiven. http://www.joeware.net/freetools/tools/adfind/ kann dabei hilfreich sein

Hallo zusammen. Auf dem Insider-Laptop kriege ich seit dem letzten Update beim Start der Mail-App nur noch folgende Meldung: Kennt die jemand und auch die Ursache dafür? (Daß der Screenshot 2 x auftaucht, ist ein Bug der Forensoftware ) Windows-Build: Microsoft Windows [Version 10.0.19546.1000] - https://blogs.windows.com/windowsexperience/2020/01/16/announcing-windows-10-insider-preview-build-19546/ ...und jetzt kommt erst mal das Update auf 19551, dann schauen wir noch mal....

Der Link gilt nicht "für Vista", sondern "ab Vista". Sollte bei Win10 auch noch so sein. Wenn Du angemeldet bist und mal C-A-D drückst - taucht da "Benutzer wechseln" auf?

Ist der jetzt laufende DC auch der FSMO-Holder aller Rollen? (PDC vor allem...) Wenn nein: ntdsutil seize....

Ja dann beantworte Dir doch die Frage (Peek Preview: "Ja")

https://gpsearch.azurewebsites.net/#1843 deaktivieren, dann sollte das klappen.