cj_berlin

Moin, nein, Erzwingen heißt erzwingen. Das hat auch Auswirkungen - das Kennwort und das NTLM-Secret für "erzwungene" User wird halt durch AD automatisch gemanagt. Für Systeme, die explizite Authentifizierung erwarten, braucht man einen separaten User, und der hat dann halt keine SmartCard oder zumindest nicht verpflichtend. Aber für Tier 0-Admins darf es keine Anwendungen geben, die was anderes als Kerberos haben wollen.

Moin, entweder 2x Get-ADGroupMember und ein Compare-Object, oder 1x Get-ADPrincipalGroupMembership für alle in Frage kommenden User und das Ergebnis nach beiden Gruppen filtern. Vermutlich ist #1 schneller und einfacher.

Verhindert aber nicht RENDOM. Auch Exchange im Forest verhindert nicht RENDOM, funktioniert danach halt einfach nicht mehr Ich würde migrieren.

Er meint die Devices umbenennen, nicht die DNS records Easy:

Dann setz mal den oberen Radiobutton auf 'Always'. Und, wenn DHCP nicht auf dem Domain Controller läuft (was es auch sollte!), musst Du ein Service Account eintragen und den DHCP-Server in die DNSUpdateProxy-Gruppe stecken.

Da sind zwei Faktoren im Spiel: welche Updates lässt die Zone zu? Wenn sie auf "sichere Updates" steht, werden Linux-Clients ihre A-records nicht dynamisch registrieren können, egal wie lang sie sind. wer trägt die Records ein? Wenn das derDHCÜ-Server tut, sollte es funktionieren (und der erste Punkt keine Rolle spielen)

User löschen, 15 Minuten warten, aus dem Papierkorb wiederherstellen. Falls es ein synchronisierter User ist, AAD Connect für diese Zeit anhalten.

Hier liegt seit gestern Schnee. Nicht viel, bleibt aber liegen. Bin vorhin durch den Wald gefahren - traumhaft!

Moin, hat SERVERX1 denn diese GUID auf dem Host, wo die VM jetzt läuft?

Dienst aus der Registry austragen und sich die Rechte notfalls mit Gewalt nehmen. Oder sc im SYSTEM-Kontext, sollte auch gehen.

In welchem Szenario? Linux-Rechner, der einen langen Hostnamen hat, für den Windows DHCP im Windows-DNS einen A-Record erzeugen soll?

Moin, aber spätestens im Header einer empfangenen Mail (aus einem "falschen" Netzwerk verschickt) steht doch, von welchem Server sie ursprünglich ausgeht. Das sollte ein guter Anhaltspunkt fürs Troubleshooting sein

Hmmm. Dann sind das ja interne Mails - warum sollten sie überhaupt auf SPF geprüft werden? Welches System macht es? Welchen Bericht meinst Du genau? Im SMTP-Protokoll oder im Mail-Header steht nicht drin, in welchem Netz der Nutzer seinen Browser aufgerufen hat, um die Mail abzusetzen, denn an dieser Stelle ist SMTP noch gar nicht involviert. Und wenn Exchange angefangen hat, bei OWA diese Info im Header zu verewigen, dann wohl kaum in einem Header, der für die SPF-Prüfung relevant ist...

Moin, sprechen wir hier von Exchange OWA, oder was ist "euer offizielles Webmail"?

Moin, ich würde sagen, es ist alles VBS - wenn Deine Skills darin gut genug sind, kriegst Du alles hin. Und die werksseitig gelieferten Sachen geben genug Referenzmaterial her

So isses. Aber die Audit-Tools, die man laufen lässt, werden ja bei RC4 regelmäßig ausflippen und einen erinnern

...aber Du fügst weniger Daten zur ArrayList hinzu. Ansonsten auf die Schnelle: $as = New-Object System.DirectoryServices.DirectorySearcher $as.Filter = "(|(objectClass=computer)(objectClass=user)(objectClass=msDS-GroupManagedServiceAccount))" $as.PropertiesToLoad.add('distinguishedName') $Results = $as.FindAll().Foreach({$_.Properties['distinguishedName'][0]}) Und hier vermutlich auch für mittelgroße Umgebungen geeignet: $as = New-Object System.DirectoryServices.DirectorySearcher $as.Filter = "(|(objectClass=computer)(objectClass=user)(objectClass=msDS-GroupManagedServiceAccount))" $as.PageSize = 1000 $as.PropertiesToLoad.add('distinguishedName') $as.FindAll().Foreach({ $de = $_.GetDirectoryEntry() $de.InvokeSet('msds-supportedencryptiontypes',28) $de.CommitChanges() })

Ich würde nur die DistinguishedNames in die ArrayList einsammeln, denn nur diese verwendest Du ja später...

Mit welchen Befehlen hast Du es überprüft? Poste mal die Ausgabe von ipconfig /all (als code, für bessere Lesbarkeit)

Warum, der letzte Teil mit der Erweiterung kommt doch nicht zum Tragen. Aber wenn das Datumsformat in der Ausgabe wichtig ist, $pattern = "^.+_(?<number>\d+)_(?<year>\d{4})(?<month>\d{2})(?<day>\d{2})_(\d{6}).*$" $filename = "Rechnung Allge_123456789_20221111_150000.pdf" $outfile = ($filename -replace "\.pdf$",".txt") if ($filename -match $pattern) { $Matches["number"] | Set-Content -Path $outfile Get-Date -Year $Matches["year"] -Month $Matches["month"] -Day $Matches["day"] -Format "dd.MM.yyyy" | Add-Content -Path $outfile } else { Write-Warning "Filename does not match pattern!" }

Moin, gibt es einen Grund, warum Du für den geplanten bidirektionalen Trust die DNS-Forwarder nur in eine Richtung einträgst? Es müssen sich beide Domänen gegenseitig finden können.

Und in $null steht außerdem immer $null, wohingegen in $blank nur solange $null steht, bis jemand ihr "Willi" zuweist

Es kommt darauf an, warum der Server neu installiert werden muss, Wenn die Konfig des Exchange als solche OK ist, machst Du den Server einfach platt, joinst ihn unter Wiederverwendung des Computer-Objektes ins AD und machst eine Exchange-Installation im Recovery Mode. Deinstallieren und neu installieren geht auch und wäre dann zu empfehlen, wenn der Fehler in der Konfiguration von Exchange vermutet wird.

Wie unterbinde ich SMB auf einem Fileserver?