daabm

Clients Standalone, keine Domäne - vergiß alles, was Du da als Lösung möchtest. Wird nur Gefrickel... ym2c. Citrix-Farmen stellen keine Laufwerke bereit, sondern Anwendungen. Hol Dir jemand ins Haus, der die richtigen Fragen stellt und der dann darauf antworten kann. Per Forum wird das ein endloses Diskutieren von Experten, Semi-Experten und Ahnungslosen

Sunny verweis nicht immer auf die GPP, die sind immer noch Grütze. Für Drucker und Laufwerke immer Skript, wenn man "irgendeine" Skriptsprache halbwegs spricht oder in der Lage ist, Google zu bedienen...

Und das hat auch einen Grund... Alle großen Verteilverfahren kopieren ZUERST nach lokal und führen dann von LOKAL aus. Warum wohl?

Bissele OT: Alle Server-Editionen seit 2008 unterstützen AppLocker. Bei Terminal Servern also gar kein Streß. Bei den Client SKUs sind es leider nur die Enterprise Varianten, für alle anderen muß SRP genommen werden. SRP hat Vorteile (flexiblere Regeln), aber auch gravierende Nachteile - nämlich kein Eventlogging, und die effektiven Regeln sind schwieriger zu verstehen.

Schwupp sind wir woanders - Deine Vorgehensweise ist mir zu sprunghaft und zu wenig lösungsorientiert, ich bin raus...

Echt, man kann nicht festlegen, ob ein User Domain Admin ist oder nicht? Kann ich mir fast nicht vorstellen...

Admin-Commandline, "gpresult /h report.html", dann anschauen und interpretieren.

Ich bin voll bei den beiden Norberts Makros gehören deaktiviert (nur signierte zulassen), und Applocker sollte dringend aktiviert sein. Notfalls SRP - die c't stellt da was halbwegs brauchbares bereit...

@Samoth Wenn Du das nicht selber ausprobierst, sondern nur Durchlauferhitzer für einen Dritten vor Ort bist, bin ich raus - das wird zu langwierig...

@mba Der ist gut

Da fehlen immer noch Infos, aber soll recht sein, wenn der TO der Meinung ist

Ja kannst Du.

@zahni Die Nachfrage ist zwar generell gerechtfertigt, hat aber mit dem Problem hier definitiv nichts zu tun. @Sunny61 Er hat wohl am Anfang mit einer Kopie gearbeitet, später dann die "Original-GPO" noch mal verlinkt. So steht es auch im GPResult, das ist zweimal die gleiche GPO. Bei unterbrochener Vererbung sollte die allerdings nur einmal auftauchen - und aus der angewendeten Verlinkung sollten die Settings angewendet werden. Ich glaube, daß a) der gpresult Unfug erzählt b) wir irgendwas noch nicht wissen, was aber entscheidend wäre

Schau mal bei uns vorbei, da siehst Du das

SQL kann es.

Google hilft: "Metadata Cleanup"... Muß vorher gemacht werden, weil sonst manche "alten" Objekte übrig bleiben.

LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden... Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm (Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.) Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht.

Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent.

Hast Du in der Quelle Symlinks "/xj"...

Wenn Du mal ausfällst und das ein Dritter supporten muß: Viel Spaß damit

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...

Nein, Du denkst richtig. Ich versteh's grad auch nicht so ganz, eigentlich sieht das alles "in Ordnung" aus. Aktivier mal das gpsvc.log - da könnte was Aufschlußreiches drinstehen.

Mein Sperrmüll liegt in der Garage. Und auf dem Dachboden. Und im Keller.

Ich werf noch ne weitere Kaufoption in den Raum: Redemption. Bestes Skripting-AddOn für Outlook Geld kostet es so oder so.

Ich bin dafür Je weniger Zugangswege es gibt, um so einfacher sind sie zu überwachen und abzusichern. Und RDP direkt im Internet war noch nie eine gute Idee. Außer Du erzwingst auch da ein Clientzertifikat. Aber bei der letzten Lücke hätte m.W. nicht mal das geholfen.