-
Gesamte Inhalte
5.213 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von daabm
-
DC gecrasht - AD bereinigen
daabm antwortete auf ein Thema von HeizungAuf5 in: Active Directory Forum
Google hilft: "Metadata Cleanup"... Muß vorher gemacht werden, weil sonst manche "alten" Objekte übrig bleiben. -
Minimale Passwortlänge bei Admins
daabm antwortete auf ein Thema von xrated2 in: Active Directory Forum
LOL - die Diskussion hatte ich gerade im Büro. Ein 8 stelliges Passwort mit Groß/Klein/Zahl/Sonderzeichen knackt man per Brute Force in 5 Sekunden... Das hilft für eine erste Einschätzung: https://www.grc.com/haystack.htm (Wobei ich vermute, daß die gängigen Rainbow Tables sowieso alle Passwörter bis 12 Stellen enthalten, wenn der Hash verloren geht, ist eh Schicht im Schacht.) Admin-Kennwörter: Mindestens 20 Stellen, dafür nur einmal im Jahr ändern (oder noch besser 24 Stellen und gar nicht ändern...). Ändern bringt eh nichts: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Welche Anwendung mit (g)MSAs klar kommt, mußt individuell ermitteln. Die meisten können es leider noch nicht. -
Remote Desktop Gateway nur über Port 3391 und VPN
daabm antwortete auf ein Thema von Horstenberg in: Windows Server Forum
Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent. -
Hast Du in der Quelle Symlinks "/xj"...
-
Gruppenrichtlinien per VPN-Verbindung verbieten
daabm antwortete auf ein Thema von WileC in: Windows Server Forum
Wenn Du mal ausfällst und das ein Dritter supporten muß: Viel Spaß damit -
Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...
-
Bits GPO greift nicht unter Windows 10
daabm antwortete auf ein Thema von goat82 in: Windows Forum — Allgemein
Nein, Du denkst richtig. Ich versteh's grad auch nicht so ganz, eigentlich sieht das alles "in Ordnung" aus. Aktivier mal das gpsvc.log - da könnte was Aufschlußreiches drinstehen. -
Mein Sperrmüll liegt in der Garage. Und auf dem Dachboden. Und im Keller.
-
Anhänge automatisch speichern aus öffentlichen Ordnern
daabm antwortete auf ein Thema von paddy89 in: Windows Forum — Scripting
Ich werf noch ne weitere Kaufoption in den Raum: Redemption. Bestes Skripting-AddOn für Outlook Geld kostet es so oder so. -
Remote Desktop Gateway nur über Port 3391 und VPN
daabm antwortete auf ein Thema von Horstenberg in: Windows Server Forum
Ich bin dafür Je weniger Zugangswege es gibt, um so einfacher sind sie zu überwachen und abzusichern. Und RDP direkt im Internet war noch nie eine gute Idee. Außer Du erzwingst auch da ein Clientzertifikat. Aber bei der letzten Lücke hätte m.W. nicht mal das geholfen. -
Problme mit Windows Server 2019 NPS (Radius) für WLAN
daabm antwortete auf ein Thema von mulch in: Windows Server Forum
Nicht unterstützte Cipher Suite? Win10 kann da ein paar mehr als Win7... -
Installation/Update SAPGUI via GPO funktioniert unter W7, scheitert unter W10
daabm antwortete auf ein Thema von Samoth in: Windows Server Forum
Mal ein paar Gedanken dazu: 1. Warum im Netlogon? Dafür macht man besser einen eigenen (DFS-) Share 2. Wenn es unter Win7 im Systemkontext geht, sollte das auch unter Win10 funktionieren 3. AppLocker ist für SYSTEM irrelevant 4. Unterstützt dieses Setup kein Logfile? 5. Setups rufe ich lieber per CMD auf. Da kann man mit >>logfile 2>&1 so einfach den Output protokollieren. Ist in Powershell nicht ganz so trivial, vor allem wenn eine Exception kommt... 6. Ruf dein Startskript doch mal per psexec -s auf - was passiert dann? Final: Logging ist alles. Ohne Logging ist alles nichts. -
Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen. Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt. NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.
-
Handhabung E-Mail Weiterleitungen
daabm antwortete auf ein Thema von Mr.C64 in: Windows Forum — Security
Ich glaub KRITIS haben wir auch - aber halt mal private und berufliche Kommunikation auseinander, wenn Du den Job 30 Jahre machst. Die Grenze ist SEHR fließend. -
Gruppenrichtlinien per VPN-Verbindung verbieten
daabm antwortete auf ein Thema von WileC in: Windows Server Forum
Ich bin bei Jan: Nein, ich esse meine Suppe nicht. Ich verstehe das Problem nicht, mir ist unklar was erreicht werden soll und warum... -
"Beste Grüße ssd" ist gut Ich kann das alles nicht nachvollziehen. Ich arbeite hier gerade auf einem Pro3, der Akku reicht i.d.R. locker für 7 bis 9 Stunden. Ist halt alles immer relativ, wenn Ihr viele Hintergrunddienste habt. Vor allem selber geschriebene... xd
-
Aktualisierung vorhandener *.config-Datei
daabm antwortete auf ein Thema von DuDo in: Windows Forum — Scripting
# Hallo Welt ausgeben Write-Host "Hallo Welt" SCNR BTT: Ist value[14] und loc[0} sicher? Ich finde es immer kritisch, in Arrays über die Indizes zu arbeiten. -
Anzeigename & Distiguished Name Benutzer im AD
daabm antwortete auf ein Thema von DerOlele in: Active Directory Forum
@Squire heißt Du Rorbert? SCNR -
Aktualisierung vorhandener *.config-Datei
daabm antwortete auf ein Thema von DuDo in: Windows Forum — Scripting
Hab ich das nicht heute im Technet auch schon gesehen?!? -
Sieht aus, als wenn es zu kompliziert wäre - vielleicht hilft es, wenn Du bei der ursprünglichen Anforderung anfängst und nicht erst da, wo etwas nicht mehr umsetzbar ist?
-
NIC Treiber Link-Status bei aktiviertem STP am Switch
daabm antwortete auf ein Thema von mroth in: Windows Forum — LAN & WAN
Dann ringe dich durch. Den Rest hast Du ja schon als ergebnisfrei ausprobiert.... -
Anzeigename & Distiguished Name Benutzer im AD
daabm antwortete auf ein Thema von DerOlele in: Active Directory Forum
...und ich verstehe schion die Frage nicht -
bestimmte GPO vom Client löschen - ohne Gpupdate?
daabm antwortete auf ein Thema von -rk- in: Active Directory Forum
Lösche einfach die zugehörigen Reg-Werte. Ohne DC-Verbindung werden GPOs nie angewendet. -
https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Mehr kann ich dazu nicht beitragen. Warum das nicht alle so machen, weiß ich nicht. Restricted Groups sind Grütze.
-
Ich korrigiere diesen grünen Frosch mal: Loopback gilt nicht "pro GPO oder für GPOs", sondern "für den Computer"... Mööp