cj_berlin

Also doch Essentials. Ob's die richtigen sind, kommt doch darauf an, ob Du 5 User an 100 Maschinen hast oder 100 User an 5 Maschinen Also zumindest kaufmännisch kommt es darauf an.

Zwei Dinge. 1. Du sagst "Standard". Kannst Du das bitte bestätigen: Get-WindowsEdition -Online 2. Server ist standalone: Hoffentlich habt ihr keine User CALs gekauft, denn die gehen nur im AD.

Wenn Du auf diesem Server PowerShell mit erhöhten Rechten öffnest und Get-WindowsFeature rds* absetzt, was kommt zurück?

Essentials bringt einen Teil der Terminaldienste bereits bei der Installation (des Essentials-Assistenten) mit. Diese Essential-App ist als RemoteApp bereitgestellt. Dann bin ich bei Jan, schau, ob Du die Rollen mit dem "großen" Assistenten installiert bekommst. Schnellstart habe ich persönlich in Produktion noch nie benutzt. Brauchst Du nicht. Du wirst trotzdem durch einen Assistenten geführt und wählst einfach bei allen Rollen denselben (=einzig vorhandenen) Server aus

Moin, nur mal als Sanity Check: Dieser Server ist mit Desktop Experience installiert ein Standard oder Datacenter, kein Essentials Mitglied in einer AD-Domäne

Wenn es auch bei anderen Usern ist, dann müsstest Du mal auf AppLocker / WDAC schauen.

Das riecht nach Constrained Language Mode, auch wenn die Ausgabe vom Freitag etwas anderes nahelegt... Was bekommst Du alles bei Get-Command ausgegeben?

Also zumindest weißt Du dann, dass Du alles richtig gemacht hast. In einem Drittel der Fälle braucht's trotztdem einen Reboot, die Deregistrierung/Neuregistrierung usw.

Und da nachschauen, wo Du es früher her hattest? https://www.heise.de/download/product/wsus-offline-update-ct-offline-update-38170

Moin, alles außer PDCe soll nicht "einen Zeitserver", sondern die Zeitquelle "NT5DS" eingetragen bekommen. In einigen Fällen musste der PDCe nach der Aktivierung der Policy neu gestartet werden, aber normalerweise funktioniert es wie beschrieben. Und klar, der PDCe sollte natürlich als NTP-Client aktiv sein, wenn er externe NTP-Zeit bekommen soll.

Moin, was liefert denn am DOS-Prompt powershell.exe -command "$ExecutionContext.SessionState.LanguageMode" ?

Moin, das Stichwort, welches Du suchst, lautet "Vererbung". Erstelle einen Einsprungsordner, berechtigen ihn richtig, dann werden auch die darunter erstellten Unterordner richtig berechtigt sein. Das andere Stichwort lautet "UAC". Wenn Du den "Administrator" entfernst, weil er ja in "Administratoren" ist, wirst Du feststellen, dass der Zugriff über die Freigabe sehr wohl funktioniert, das Problem besteht nur bei lokalem Zugriff.

Ich aber, drum sage ich's Dir ja

Moin, wenn Du ein belastbares Know-How hast, so gibt es bestimmt auch in Deinem Ort/Kreis kleine Systemhäuser, die Dir auf Stundenbasis solche Admintätigkeiten geben können. Das ist ein Dilemma, das jede dieser Firmen hat: eigentlich noch einen Mitarbeiter benötigen, jedoch weder finden noch bezahlen können.

Das ist aber eine etwas andere Aussage Du schreibst: Ich habe nun gelesen, dass man die Advance Audit Policy nur in der Default Domain Policy aktivieren soll, Im Thread steht: Damit Adavnced Audit Policies in jeder GPO funktionieren, muss in der DDP die audit.csv physisch präsent sein (ggfls. mit minimalem Inhalt)

Wenn wir statt "Subnetz" lieber "Broadcastdomäne" schreiben, dann sind wir uns ganz bestimmt einig

Ach, was. Disjoint Namespaces sind sogar von Exchange supported, und das will was heißen

Huch? Da Helper auf Layer 2 agieren, ist Router eine OSI-Schicht zu weit

Das wäre ja schlimm, denn das würde ja heißen, dass es nur eine Audit Policy pro Domain geben kann. Vielleicht verwechselst Du das mit der Password & Lockout Policy - auf die trifft beides zu: Kann es nur einmal geben und muss in der DDP gesetzt werden.

Das kommt auf die Größe der Umgebung an. Wo ich normalerweise unterwegs bin, verursacht eine zusätzliche Windows Server-VM keine zusätzlichen Lizenzkosten Break-Even zwischen Standard und Datacenter liegt bei 11 VMs pro Host, +/- 2, abhängig von den Verträgen, die man hat. Wenn wir von Umgebungen reden, wo die Frage nach einem zweiten Domain Controller bereits die Lizenzkosten-Debatte auf den Plan ruft, ist die Best Practice-Frage sowieso müßig. Da gibt es halt "den Server" (in traditionelleren Unternehmen heißt er dann "der Hauptrechner") und wenn der angegriffen wird oder kaputt geht, ist eh vorbei.

Ganz gut, würde ich sagen.

Moin, da bei modernen Exchange-Versionen der Cache im Postfach wohnt, ist es möglich, ihn auch administrativ zu leeren; https://github.com/michelderooij/Clear-AutoComplete/blob/master/Clear-AutoComplete.ps1 Mit -Pattern kannst - und solltest - Du erreichen, dass nur Autocomplete aus der umgezogenen Domäne gelöscht wird.

So ist es.

Definiere "Brauchbares". Die Kommunikation kann er nicht mitlesen, das Szenario mit der PEM-Datei ist extrem konstruiert EDIT zumal dafür der Angreifer auch das DNS im WLAN beeinflussen müsste /EDIT. Ist das WLAN jedoch nicht verschlüsselt, so könnte der Mithörer zumindest sehen, wohin sich der Mail-Client verbindet gegen welche VA das dort vorgelegte Server-Zertifikat validiert wird ob dabei MFA verwendet wird ob das Gerät gemanagt ist und wo die Management-Infrastruktur steht welches Portal zum Anschauen von Pornos verwendet wird

Nö. Diese Brüder fordern immer den Datenbank-Dump an, kenne ich von früher zu Genüge.