cj_berlin

Kommt auf die Internet-Bandbreite und Auslastung der Gallery an, aber ich habe schon 15+ Minuten gesehen...

Moin, Graph ist ein Riesen-Monster und besteht aus zig Sub-Modulen. Die Installation dauert deswegen lange. Das solltest Du auf jeden Fall nicht in der Windows PowerShell installieren, sondern in PowerShell 7, aber falls das in Windows PowerShell doch funktionieren muss, musst Du in Deinem Profil $MaximumFunctionCount = 32768 setzen.

Naja, die *Anforderung* ist ja kein Zertifikat - sie ist nur mit dem Key des Antragstellers signiert. Wenn sie nicht durch einen Erollment Agent "im Auftrag von" erzeugt wird, ist der Antragsteller und der Erzeuger der Anforderung dieselbe Person

Indem Du Zertifikate bei Deiner CA beantragst und nicht als Selfsigned erzeugst? Kannst Du mal einen Screenshot posten? Oder braucht man dafür 10 Posts oder so?

Moin, das hat nichts mit PowerShell zu tun. Du brauchst die seSecurityPrivilege, und das ist im normalen Token ausgeblendet, selbst wenn es im Admin-Token enthalten wäre. Du kannst mal schauen, was passiert, wenn Du dem Service-User in der Group Policy (oder LGPO) das Recht explizit gibst ("manage auditing and security log", meine ich). Vielleicht reicht es ja schon. Falls nicht, musst Du mit sc privs den Icinga Agent-Dienst anweisen, dieses Recht beim Starten anzufordern. Davon völlig abgesehen: Deinen Least Privilege-Ansatz in allen Ehren, aber Monitoring mit einem normalen Benutzerkonto ist sehr ungewöhnlich.

Terminal wäre ein Beispiel.

Das ist nur PowerShell Core und nur lokal.

...aber bist Du auch lokaler Admin auf der Zielmaschine? Kannst Du mal den obigen Invoke-Copmmand, aber mit dem folgenden Scriptblock laufen lassen: $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) Wenn $false zurückkommt, weißt Du auch schon bescheid

Was man natürlich, zumindest im Android-Bereich, auch machen kann, ist SD-Karte nutzen und die Speicherung von Fotos darauf umbiegen. Karte raus aus dem Telefon, rein in den Rechner, Robocopy - schneller wird's mit Sicherheit nicht und robuster auch nicht. Für Apple gab es so ein Third Party-Tool, das für Musik und Fotos kostenlos ware und auf Treibern aus iTunes basierte, keine Ahnung ob das noch benötigt, unterstützt und angeboten wird.

Kenne ich auch so. Das ist so ähnlich "wirkungsvoll" wie bei den Firmen, die die Kommandozeile deaktivieren, denn winget funktioniert mit dieser Einschränkung weiterhin

Moin, es geht ja nicht darum, die Einstellung zu verwalten, sondern darum, die Verwaltung dieser Einstellung zu delegieren Im AD wäre das einfach, aber in Exchange RBAC müsste man recht tief reingehen, sofern man der jeweiligen Gruppe nicht generell die Berechtigungsverwaltung, sondern nur Send-As erlauben möchte.

Moin, wenn es wirklich knapp wird: mit den Netzern und der Architektur reden uns einen zweiten Scope für diese Themen etablieren? Und - hilft dir jetzt nicht beim konkreten Problem, aber das Beispiel zeigt gut auf, wo ihr Defizite habt: Dokumentation und Lifecycle. Das sollte man als Lessons Learned entsprechend verwerten 🙂 Wenn es nicht akademisch ist, sondern aus dem Alltag kommt, lässt sich so etwas viel besser verargumentieren...

Moin, Inaktiv bedeutet, dass es derzeit kein Lease zu dieser Reservierung gibt, daher kann eine aktive Reservierung durchaus wieder inaktiv werden.

Diese Sprachzensur-Vorrichtung treibt immer wieder lustige Blüten

Nur, dass Du, wenn Du es nicht bewusst und geregelt betreibst, die Angriffsfläche Deiner Umgebung noch einmal erweiterst. Denk daran, eine mit Weiter-Weiter-Finish installierte Enterprise CA ist sofort a. zur Ausstellung von Kerberos- (Smartcard-)Zertifikaten befähigt und b. so konfiguriert, dass der Beantragende die Namen selber festlegen kann. Wenn Du nicht vorhast, Smartcard-Authentifizierung auch wirklich zu nutzen, trage die CA daher am besten gleich nach der Installation aus dem NTAuth-Container aus. Ansonsten google mal nach capolicy.inf und installiere die CA erst mal "blank" und veröffentliche nur die Vorlagen, die Du wirklich brauchst, berechtigt nur für die User/Computer, die sie jeweils wirklich benötigen. Wie bereits gesagt wurde, die DCs haben sich vermutlich welche gezogen. Schmeiß sie einfach runter. Wenn eine Einrichtung LDAPS nutzen wollte, wüßtest Du es. Alles, was Domain Member ist, braucht kein LDAPS (siehe auch https://it-pro-berlin.de/2024/06/ldap-deaktivieren-ein-reality-check/).

Das ist halt nicht gottgegeben, sondern Snover-/Payette-gegeben. Wenn ich sage, ich gebe eine Collection zurück, von einem bestimmten Typ, ist es keine überzogene Erwartung, dass PowerShell sie nicht in ihren internen Array-Typ wandelt und dann mit anderen ähnlichen Ergebnissen zusammenrührt. Ja, wir wissen, dass das so ist, aber wir wissen ja auch, dass PowerShell viele Quirks hat, die nur mit "ist halt so" zu erklären sind.

Willkommen in der Welt der Defender Im Defender for Identity sollte es machbar sein, aber der "normale" Defender for Endpoint hat dieses Feature natürlich nicht, denn es ist nicht sein Anliegen... Wenn Du MDI nicht gebucht hast, musst Du es wohl basteln. Ein PowerAutomate-Job könnte das z.B. periodisch prüfen und eine Mail versenden.

Oder vielleicht sogar ohne JSON, ist ja dann dennoch nur ein Objekt pro Zielsitzung.

Nein, eher Dafür wird man dann schon mal als "der der es halt nicht besser kann" angesehen. aussm Ausgangspost. Ich wette, der TO hat's richtig verstanden, auch aus dem weiteren Text meiner Antwort

Ja, das sind Serialisierungsartefakte. Du könntest sowas machen: [PSCustomObject]@{ ComputerName = $env:COMPUTERNAME Result = $test } | ConvertTo-Json dort wo Du $test zurückgibst.

Ich weiß nicht, wer diese Position vertritt, abgesehen von Leuten, die Alternativprodukte verkaufen wollen. Die Windows Firewall ist ein probates Mittel. Das einzige, was am Konzept einer Host-Firewall (und nicht an der konkreten Implementierung in Windows) auszusetzen wäre, ist, dass eine potentielle Angreiferin dadurch evtl. Dinge über die Umgebung erfährt, die sie sich sonst erarbeiten müsste. Aber die Alternative ist eine Distributed Firewall auf Switch-Ebene, die virtuelle und physische Netze gleichermaßen beherrscht. Im virtuellen Bereich kenne ich das (ist aber alles andere als trivial), in der Physik wird die Luft sehr schnell sehr dünn. Rein aus Interesse: wer hat denn sowas gesagt?

Moin, SQL cacht Ergebnisse aller Leseabfragen, denn es könnte ja sein, dass man sie gleich nochmal benötigt. Es gibt vier PerfMon-Indikatoren, die Aufschluss darüber ermöglichen, was da abgeht: MSSQL$<Instanz>:Puffer-Manager: „Lebenserwartung der Seite“ und „Puffercache-Trefferquote“ --> besagen eigentlich das gleiche, nur aus unterschiedlichen Blickwinkeln. Wenn die Lebenserwartung hoch und die Trefferquote nah bei 100% liegt, wird der Cache zumindest genutzt MSSQL$<Instanz>:Memory Manager: „Zielserverspeicher“ und „Serverspeicher gesamt“ --> im Idealfall sind beide gleich und unterhalb des für die Instanz konfigurierten Höchstspeichers. Ich habe dazu vor 9 Jahren mal was für den IT-Administrator geschrieben.

Das schon, aber Du hast dann einige Features nicht zur Verfügung, die man vielleicht nutzen möchte Wenn man die nicht braucht, kann man es verwenden.

hilft also auch nix

Bei physischen Clients gehe ich mit. Server und vor allem VMs haben durchaus noch optische Laufwerke. Eine VM von USB booten zu lassen ist keine schöne Übung, vor allem wenn die VMs über mehrere Plattformen verstreut sind. Da ist ein ISO-File schon schön