audax

Noch ein Nachtrag: Seit meinem letzten Posting haben die lokalen Administratoren wieder das Recht, herunterzufahren. Ich habe aber das Recht, meine Workstation vom Netzwerk aus herunterfahren zu lassen weiterhin auf diesen einen lokalen Benutzer beschränkt. Mein PC ist seitdem auch noch nicht heruntergefahren.

Ja, genau. Ich antworte lieber nicht darauf :-(). Aber genau so ist es leider. Ich versuche hier keine Schuldfrage zu stellen, aber als ich in dem Unternehmen angefangen hab, kannte jeder den Begriff Volumenlizenzierung bereits. Kurzer Hinweis auch wenn es keine Lösung ist. Seit gestern ist mein Rechner nicht mehr heruntergefahren. Ich habe per lok. GPO das Recht auf Herunterfahren auf einen spezifischen lokalen Benutzer beschränkt.

Nein, das tut er vermutlich nicht. Aber wir werden, da wir ein neues SAN bekommen ohnehin vor der Aufgabe stehen, eine Datenmigration zu betreiben. Demnach hielt ich es für nicht sinnvoll, Verseuchtes auch zu migrieren. Mein ungutes Gefühl bezieht sich darauf, dass es offensichtlich heutzutage KEIN verlässliches Mittel gibt zu verifizieren, ob man verseuchte Dateien hat, oder eben nicht.

Etwa 450 pc und 30 Server. Das habe ich auch schon überlegt, direkt auf W10 zu gehen. Ist das OS hoffentlich weniger Lückenhaft in Bezug auf Exploits. Kann das wer bestätigen? Hat jmd. Erfahrung mit Palo Alto Traps als Endpoint Schutz? Mir wird unwohl bei dem Gedanken, jedes File noch einmal umzudrehen. Wir werden in ca. 2 Monaten ein neues SAN bekommen. Also werde ich am besten nichts migrieren, bevor ich sicher sein kann. Und das wird wohl nicht einfach möglich sein.

Was genau hieße das? Selbst wenn ich scanne, und die gescannten Dateien auf einen neuen Server kopiere?

Der Internet Explorer der mit installiert wird (und natürlich durch die updates von Microsoft auf die neuesten Fixe gezogen) Kein Firefox, chrome etc Nun, es ist echt unglaublich, wie diese Drecksprogammierer es wirklich schaffen, eine Infektion in eine Standard DVD, die vom OEM kommt, einzuschleusen. Es kann natürlich sein, dass auch meine Eset und Malwarebytes- Installationsfiles auf dem fs verseucht sind. Ich weiß schon garnicht mehr, wo man was sauberes erhalten kann??!! Ich habe ansonsten ProofPoint und Palo Alto mit Sandbox-Analyse im Einsatz. Und im Endpoint halt Eset UND malwarebytes. Dachte eigtl. das ist schon ein adäquater Schutz - Scheibe mich zu irren. Nach Euren Vorschlägen werde ich nun folgendes machen: Neue Festplatte Neuer Datenträger Neu installieren Sp1 drauf Offline Updates als Datei von einem sauberen Rechner (aber wer genau ist sauber?) Eset Files von Eset Webseite Malwarebytes (wird von malwarebytes serverconsole aus ausgerollt) Adobe Reader vom ftp Server als msi Hab ich was vergessen?

'Sie werden heruntergefahren' steht da 'manchmal. Es erfolgt KEIN REBOOT. Das Teil bleibt aus

Win7 ist oem dvd des Rechners 2 Jahre alter pc. Keine Tools - os direkt nach Installation eset direkt danach malwarebytes dann erst netzwerkkartentreiber und Anbindung and LAN dann erst Windows updates direkt von von ms (nicht Wsus) Danach kamen 2 unerwünschte Neustarts vor (ohne Msgbox) trotzdem hab ich "gehofft", dass eset etwas findet. Negativ. Malwarebytes dito. dann kamen erstmal keine Neustarts. Etwa 4 Stunden lang. Also Office und visio und Projekt installiert. Und Adobe Reader vom Fileserver. Putty und WinSCP auf C kopiert (von fileserver, der Echtzeit und wöchentlich Voll gescannt wird) Sonst ist da nix installiert. Aufällig: ist die Station gesperrt, fährt er nicht runter. Arbeite ich am pc, da in unregelmäßigen Abständen. Und wenn ich per Browser online bin, viel häufiger. Diesen Post müsste ich per Handy tippen, weil ich 2 mal ausgeschaltet wurde und von vorne beginnen musste.

Unmittelbar nach Installation der meisten updates hat er Rechner wieder damit angefangen War aber vorher auch so - deshalb hab ichvihn neu installiert. Vorher formatiert!!!! Soldbuch denn immer noch ausgehen, dass da iwie ein Trojaner drauf ist? Weder eset noch mslwarebytes erkennen etwas / auch nicht eset Boot-USB

Hallo Freunde, Mein w7 hab ich sogar deswegen komplett neu installiert. 1. os installiert 2. Eset Antivirus 3. malwarebytes 4. ALLE Windows updates 5. vollscan (nix gefunden) System fuhr 2 mal herunter - einfach so. Nach Office 2016, Visio 2016 und Project 2013 fährt er häufiger runter. Manchmal steht da eine msgbox "trojan. .... Decrypt...." (kann es nicht lesen, weil er zu schnell runterfährt. Frage: Wie kann ich anhand des Protokolls feststellen, welcher Prozess meine Maschine ausschaltet? Da steht aktuell nichts, was darüber Aufschluss gibt Danke im Voraus

Das ist das Problem: Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine. Die effektiven Berechtigungen stimmen ja auch immer. Trotzdem können einige Benutzer gelegentlich keine Änderungen vornehmen - trotz vorhandener Rechte. Ich habe mal versucht zu prüfen, ob der FileServer ausgelastet ist bzw. einen Memoryleak hat. Bin aber mangels Erfahrung, wie man da ran geht, nicht weiter gekommen. Dann habe ich als "Nothalm" die globalen Gruppen im Verdacht gehabt

Ich habe ca. 500 Benutzer, etwa 100 Gruppen (noch alle Globale DOmaingruppen) und nur eine einzige Domain.

Mist! :-) Ich habe gehofft, meine sporadisch auftretenden Zugriffsprobleme mancher Benutzer auf Dateien eines Verzeichnisses damit erklären zu können. Pustekuchen. Danke für die endgültige Klarheit

So, ich verzweifle jetzt so leicht. Ich habe mal (vor 15 Jahren) das Prinzip A G DL P gelernt. Dabei sollten globale Gruppen im AD nicht in NTFS - Berechtigungen direkt eingetragen werden. Ich habe damals nie gefragt, warum... Jetzt in meinem neuen Job sehe ich ausschließlich globale Gruppen. Vermutlich, weil mein Vorgänger davon ausging verschachteln zu müssen und mit lokalen Domaingruppen das nicht gehen soll. Im Internet gibt es wie so oft - zwei Meinungen, die mich nicht wirklich weiterhelfen: Die einen sagen - AGDLP gilt. Die anderen sagen pfeif drauf ist eh alles wurscht weil alles geht. Hier an einem Beispiel möchte ich von Euch gerne erläutert bekommen, wie der saubere Weg zu Berechtigungen im AD (2008er mit einigen 2012er Servern) geht. Beispiel 1: Zehn Benutzer. Ein Verzeichnis auf dem Server in der lokalen Domain. 5 Benutzer sollen nur lesen. 5 Benutzer auch ändern. (ich würde jetzt eine lokale Domaingruppe erzeugen für Lesen und eine für Ändern). Beispiel 2: Die FiBu (5 Benutzer) und die Perso (5 Benutzer) sollen auf einem Verzeichnis zugreifen. Beide sollen nur Lesen. Aber ein Benutzer aus der FiBu soll auch ändern. Ich würde jetzt 2 globale Domaingruppen erzeugen (Perso und FiBu) und die entsprechenden Benutzer in diese eintragen. Jetzt würde ich 2 lokale Domaingruppen erzeugen (lesen und ändern). Die beiden globalen Domaingruppen packe ich in die lokale Domaingruppe lesen. Den einzelnen Benutzer aus der FiBu packe ich zusätzlich noch in die lokale Domaingruppe ändern. Würdet Ihr das auch so machen? Was passiert, wenn ich globale Domaingruppen direkt in NTFS Berechtigungen eintrage? WIN7 64Bit Win2012R2 64 Win2008R2 64 (hier liegt die Freigabe) Danke und Gruß

Also danke an Alle! Ich habe mich mangels im Internet befindlicher Lösungsvorschläge dazu entschließen müssen, tatsächlich das Löschrecht nicht aus dem Standard-Ändern-Recht zu nehmen. Fürs Protokoll: Es gefällt mir überhaupt nicht Danke und Gruß

Hallo Zahni, dies hat Microsoft in 22010 und 2013 mit einem Fix (beinahe) behoben. Man kann auch den Key in der Registry ändern (nur Win7 und aufwärts), dass das auch ohne LR geht. Aber da steht eben nur für 2010 und 2013. Offensichtlich kann ich Office Dokumente nur sinnvoll NTFS - technisch freigeben, wenn ich das Standard-Recht "Ändern" verwende und keine Spezialberechtigung (also "Ändern" ohne "Löschen") nehme. das wäre echt schade

OK Dukel, vielen Dank für Deinen Hinweis - evtl. ziehe ich diese Variante etwas später in Betracht. Die Anderen können aber gerne auch andere Ideen Preisgeben. Zumal es unter 2010 und 2013 ja möglich war (wenn auch nur mit der besagten Einschränkung)

Weil er dann auch andere Dateien und Ordner mit Unterordnern löschen kann? Das will ich nicht. So würde man meine Struktur immer wieder löschen. Ich möchte zukünftig eine Ordnerstruktur fest vorgeben und den Usern nur das Bearbeiten von Dateien (nicht jeder soll dabei auch löschen dürfen) ermöglichen. Im Übrigen deckt sich dieses schwachsinnige Excel-Verhalten überhaupt nicht mit der Empfehlung von Microsoft, wie man Berechtigungen im AD erteilen soll.

Hallo Forum, auch wenn dieser Post hier nur 'sekundär' etwas zu suchen hat, hoffe ich, dass ich hier schneller eine Antwort als im Office Forum bekomme. Ich habe einen AD-User mit Office 2016, der auf einer Freigabe mit Exceldateien Lese- und Schreibrechte hat (keine Löschrechte). Dieser kann keine Exceldatei ändern und abspeichern, ohne dass ich ihm zunächst Löschrechte erteilen musste. Laut Microsoft ist das Problem bei 2010 und 2013 bekannt. Dafür gab es auch jeweils einen Hotfix, der das ändern von Excel-Dateien zwar ohne Löschrechte ermöglichte, man aber mit übrigbleibenden "~"Dateien klarkommen muss, da diese dann nicht mehr entfernt würden. Ich hätte es gerne, dass ich meinen Kollegen Schreibrechte ohne Löschrechte gewähren kann und dennoch das Ändern von Excel dadurch möglich ist. Wäre das Eurer Meinung nach zuviel verlangt? Wenn NEIN, freue ich mich auf Hinweise zu einer Lösung Audax

Meine erste Antwort hierzu war 1 A4 Seite lang, bis der Browser sich verabschiedete: Jetzt in Kürze (habt Ihr ein Glück) @Ja, Ihr habt Recht, dass das nicht Ideal ist mit dem Abschalten. Aber bis wir das beherrschen, brauchen wir es nicht betreiben. Dann würde ich aber auf keinen Fall beides machen, sonder AUSCHLIEßLICH IPv6, wenn das so viel besser ist und elementarer Bestandteil des Systems. Ich muss dann nicht 2gleisig fahren. Das Problem war auch nicht direkt der Drucker als Multcast Sender, sondern 3 PCs, die im Sleep-Modus Multicast-Listener-Reports (in riesigen Mengen von sich gaben, auf den Multicast des Druckers). Diese Reports haben dann vermutlich meine Switch vollgedröhnt. Ich kann das noch nicht 100 %ig bestätigen, aber alles deutet darauf hin. Offensichtlich haben auh HP Pcs dieses Problem schon mal hin und wieder verursacht. Wir jedoch setzen Lenovo PCs ein. Falls es wen interessiert. Danke P.S. http://networkguy.de/?p=742 In etwa der gleiche Fall

Kein NAT ist schon mal interessant, aber das bedingt dann auch, dass man die zahlreichen Firewall Rules wieder verwerfen und ändern muss. Wer bitteschön macht das nach Jahren freiwillig? :-) Ende zu Ende Verschlüsselung halte ich im LAN erst mal für zu gefährlich. Ein infizierter Host aus Segment a würde dann einen Trojaner ins Segment b schleusen, ohne dass meine FW da reinschnupper kann, es sei denn ich mach man in the middle. Aber dann kann ich intern auf den Käse auch gleich verzichten. Ende zu Ende Connectivty ... Kann ich erst mal so nichts mit anfangen. Schmaler Header - OK Optimierung ist immer gut, aber nicht um jeden Preis. Wenn ich jetzt intern zu viel ändern muss, dann dürfen die unnötigen paar Bit gerne noch durch die Leitung. Schnelleres Routing. Wie gesagt, ich bezweifle nicht, dass bei den ISPs IPV6 das Maß aller DInge ist. Aber wieviel routet Ihr innerhalb Eurer Lans? Wie viel schneller (merkbar) ist Euer V6 Netz? Im LAN wohlgemerkt? Danke

@DocData und @Nobbyaushb ich hab mir mal diese Seite angeschaut: http://www.ipv6-portal.de/informationen/einfuehrung/warum-ipv6.html hier werden folgende Vorteile genannt: 1. Bessere Autokonfiguration - ich möchte lieber ganz genau wissen, welcher Rechner welche Adresse besitzt und ggfs. möchte ich das über DHCP schnell anpassen können 2. Verknappung - interessiert mich im LAN garnicht Habt Ihr evtl. eine andere Quelle, weil die hier ist echt ein Witz. :-)

@zahni ich bekomm die Datei nicht heruntergeladen. Mit allen beiden Browsern probiert. MicrosoftEasyFix20160.mini.diagcab

Danke an Alle. Offensichtlich hat nur Exchange (setzen wir nicht ein) damit Bauchschmerzen. Ich habe in der Tat keine Ahnung von IPV6. Bisher (und ich bin davon überzeugt, dass auch weiterhin innerhalb meines LAN ALLES auch mit IPV4 läuft) ein IPV6 im lokalen Netz überhaupt nicht nötig ist. Tatsächlich ist nicht das IPV6 das Problem sondern offensichtlich unsere HP Switche (schon etwas älter). Diese haben wohl Trouble mit IPV6 Multicast, und hielten sich viel zu lange an Ihren Tabellen auf. Dadurch kam es zu einer massiven Verlangsamung. Der Multicast Sender war übrigens ein HP Drucker wtf ..... Drei PCs im Netz haben lt Wireshark ihr Listen-Protokoll zu diesem Drucker hinsenden wollen wtf... Ich gebe zu, das ist alles in IPV4 etwas übersichtlicher. Ich sehe auch wirklich keinen Grund für IPv6 im Lan mit wenigen hundert Adressen. Wenn also jemand einen anderen Vorschlag als "kauft Euch neue Switche" hat, so bin ich gerne bereit, IPV6 weiterhin aktiv zu lassen. Vielleicht werde ich arbeitslos - vielleicht wird IPV6 aber auch wie so zahlreiche Errungenschaften zuvor einfach ein eingeschränktes Dasein bei irgendwelchen ISps fristen. Jetzt aber möchte ich zunächst einmal mein Netzwerk auf IPV4 einstellen, so, wie es auch vor IPV6 funktioniert hat. Auch wenn das den Rahmen sprengt, welche Vorteile habe ich mit V6 gegenüber v4 (bei Autos wüsste ich das :-))?

Hallo liebe Gemeinde, ich möchte gerne in meinem AD (ca. 350 PCs und ca. 45 Server/Drucker etc.) überall IPV6 deaktivieren. Jedoch finde ich bei mir nicht den nötigen Eintrag im PolicyEditor. Ich habe eine 2008er AD (2 DC sind schon 2012 R2). Habt Ihr eine Idee, ob ich das überhaupt kann, und was ich updaten muss? Danke