cj_berlin

Das verstehe ich nicht ganz. Der sAMAccountName wird im Azure AD nicht verwendet, da jede Azure AD-Anwendung ja als erstes das Verzeichnis identifizieren muss, gegen das der Anmeldename zu validieren ist. Somit bekommst Du aus dem Graph (wie oben beschrieben oder mit dem AzureAD Preview-Modul) den sAMAccountName des synchronisierten on-prem-Accounts.

Moin, mit einer Transportregel geht es nicht, wohl aber mit einer Postfachregel. Da gibt es die Action "Diese vom Server mit einer Nachricht beantworten".

Das einfache Ticket-System von Atlassian ist Jira. Nimmt man die Atlassian-Produkte aus der Cloud, so gibt es in Microsoft Docs sogar einen Integrationsleitfaden für Azure AD.

Das war der Ingenieur Aber als Physiker kann ich das nur bestätigen.

Moin, sorry, falls es oben schon erwähnt wurde: Hat der User, den Du suchst, das UPN-Attribut tatsächlich belegt? Man kann nämlich durchaus User ohne UPN erzeugen. Für Kerberos wird dann zwar der implizite UPN (sAMAccountName@Default.Suffix.Der.Doma.In) verwendet, beim Suchen wird der User aber nicht gefunden.

Moin, aus Deiner Ausführung ist noch nicht klar, ob die Bedrohungslage ("wie anfällig ist die konkrete Infrastruktur in der konkreten Branche/Umsatzklasse am konkreten Standort für zukünftige Angriffe?") oder der Bereitschaftsgrad ("wie robust sind die IT-Management-Prozesse und die IT-Infrastruktur darunter gegenüber möglichen Sicherheitsvorfällen?") gemessen werden soll. Ob die Kennzahl das eine, das andere oder die Kombination daraus abbilden soll, entscheidet darüber, welche Einzelindikatoren in welcher Gewichtung zu verwenden sind.

Moin, standardmäßig ist es so ("darf", "möglich" usw. sind technisch, nicht organisatorisch zu verstehen!): niemand (mit Ausnahme des Besitzers) darf in den Kalender einer Ressource direkt schreiben Buchung der Ressource ist nur durch eine Buchungsanfrage möglich. Die Anfrage wird von der Ressource abgelehnt, wenn mehr als X% der Termin-Instanzen mit bereits gebuchten Terminen kollidieren. Es kann eingestellt werden, ob die Ressource freie Termine sofort bestätigt oder an den Moderator weitergibt, der sie dann bestätigt oder ablehnt. Es können Benutzergruppen ("In-Policy") die kollidierende Termine überbuchen dürfen. Der ursprüngliche Termin wird dabei von der Ressource aber nicht abgelehnt. Insofern dürfte der von Dir geschilderte Fall mit Standard-Einstellungen nicht vorkommen. Wenn Du Benutzern das Schreibrecht auf den Kalender der Ressource gibst, können sie eben dort schreiben, löschen usw. Nimm ihnen die Rechte weg, und das Problem ist gelöst.

Dann fehlt Dir jetzt eine schließende Klammer am Ende

For the record: es ist tatsächlich möglich, einen User anzulegen, dessen sAMAccountName ^ ist Das werde ich mir jetzt beim Kunden immer wünschen

Was bedeutet ein Hütchen denn in LDAP? Und ja, bei den Klammern muss ja immer die Anzahl der Öffnenden gleich der Anzahl der Schließenden sein...

Das hilft alles nichts. Admin ist Admin. Sobald jemand, der nicht als Admin verpflichtet wurde, die Rechte eines Admins bekommt, ist vorbei. Manche sicherheitsbewusste Organisationen machen Rechner, auf denen sich ein lokaler Admin unterwegs anmelden musste, um etwas zu fixen, wieder platt und betanken sie neu, bevor sie wieder ins LAN dürfen.

Eine schließende Klammer zuviel am Ende. Und das Hütchen ist vermutlich ein Stern, oder?

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat

Moin, also in dem vom Hersteller vorgesehenen Szenario (mehrere User greifen auf viele bis sehr viele andere Postfächer und Ressourcen zu) hat eine entsprechend großzügige Throttling Policy auf 2019 durchaus gegriffen. Dein Fall (ein User hat 70 Devices) ist so nicht vorgesehen, und ich bezweifle sehr, dass er bei Microsoft so getestet worden ist. Themenwechsel: Die Exchange CALs für alle User oder zumindest für die 70+ Devices habt ihr aber schon gekauft, oder? Technisch hat es zwar keine Auswirkungen, aber rein aus Interesse?

Moin, in meiner Erfahrung (bin aber kein Netzwerker) sind die Hersteller nicht homogen. Bei HP gibt es auch keine "Mischung", sondern es gibt mehrere Baureihen. Für ein Datacenter wäre A-Series (3Com) oder Aruba durchaus eine exzellente Wahl. Auch bei Cisco gibt es ja große Unterschiede zwischen den einzelnen Familien. Ich denke, hier musst Du, wenn Du sinnvolle Empfehlungen hören willst, den Use Case etwas näher beschreiben, Wie viele 100G / 10G / 1 G-Ports brauchst Du, ist nur Campus und Core wichtig oder auch Datacenter, welches NAC kommt zum Einsatz, ist im Campus PoE oder PoE+ oder gar noch mehr notwendig usw.

Moin, kommt darauf an, was gefordert wird. Von "auf dem Server belassen mit Rollover" über "auf dem Server belassen mit Abspeichern" über "auf einen zentralen Server per Event Subscription duplizieren" bis hin zu dedizierten SIEM-Lösungen ist alles möglich und wird praktiziert. Wenn Dein Syslog server genügend Platz und Performance hat, kannst Du diesen z.B. mit rsyslog nutzen.

Wenn Du die Proxy-Anmeldedaten nicht speicherst, würde es reichen, dass der vorherige User den Browser beendet. Und das muss auch das Inaktivitäts-Skript dann leisten. Das An- und Abmelden verstehe ich in diesem Szenario gar nicht - würden die PCs nicht theoretisch als Kiosk laufen, d.h. immer angemeldet? Wenn sich nämlich alle User eh mit dem gleichen Namen und Kennwort (die dann irgendwo an einer Tafel stehen) anmelden, wo ist hier der Sinn?

Du trägst in die Browser-Konfiguration verbindlich einen Proxy ein und sorgst dafür, dass Proxy-Anmeldedaten nicht abgespeichert werden können. Bei jedem Aufruf einer externen Ressource (interne Webdienste schließt Du aus dem Proxy aus) kommt ein Pop-Up mit der Bitte um Anmeldung. Und der Proxy verifiziert diese Anmeldung gegen das vorhandene Kerberos-System.

Man merkt, dass ein Thread entgleist ist, wenn wirklich keiner mehr die vorherigen Posts liest

Ja. Aber hast Du schon versucht, ob es von extern nicht auch so geht (https://rdweb.firma.com/RDWeb)?

Moin, das sind viele Fragen. Apps und Desktop über die gleiche Collection geht offiziell nicht, es gibt einen Registry Hack, musst Du googlen, Stichwort "ShowInPortal". RDWeb durch RD Gateway bereitstellen: Wenn Dein internes DNS den externen FQDN des Gateways zum RDWeb auflösen kann, sollte das funktionieren. Wenn alle Stricke reißen, RDWeb auf dem Gateway mit installieren.

Jetzt aber mal andersherum gedacht: Sind die Dienste, die die Studenten an den öffentlichen PCs nutzen, so personalisiert, dass man das nicht als Kiosk abbilden kann, quasi ohne Anmeldung?

Spear phishing.

Moin, grundsätzlich passiert da gar nichts, dem Trust (ab FFL=2003) ist es egal, was auf den DCs läuft. Allerdings muss die fremde Domain Deine Domain weiterhin finden. Wenn Du also die IP-Adressen Deiner DCs bei der Migration beibehältst, ist alles gut. Ändern sich die IP-Adressen der DCs und somit der DNS-Server, musst Du das den fremden Admins mitteilen, damit sie den Conditional Forwarder anpassen können.

Moin, ja, "jeder Nutzer kriegt eine O365-Lizenz und alle teilen sich einen PC mit OneDrive for Business" würde gehen. Mit "alle Nutzer teilen sich eine O365-Lizenz" würdet ihr den Lizenzvertrag verletzen. Alles andere wäre in diesem Szenario vermutlich ein Overkill.