cj_berlin

Das Subsystem. das die DLLs bereitstellt, welche die von Dir verwendeten Cmdlets nutzen.

Genau. Der User, der den Laptop ins AD aufnehmen kann, muss am Laptop ja schon mal lokaler Administrator sein. Dann kann er auch den Registry-Wert für den Workaround setzen.

Ich habe ein Ticket beim CIS aufgemacht. Und ich habe in meinem CIS-Überprüfungsskript nachgeschaut: Es hat den korrekten Vergleichswert drin.

Weil die besseren davon versuchen zu testen, was antwortet, und schauen nicht auf die Config. Aber ja, die CIS Benchmarks haben auch das Leerzeichen drin.

Moin, keine Hilfe für den vorliegenden Fall, aber fürs weitere Leben: es heißt "on premiseS".

^^ DAS! Nachträgliches Löschen per Regel und ohne Benachrichtigung kann zu unliebsamen Diskussionen führen, denn aus Sicht des Absenders (und der Finanzverwaltung) wurde die Mail ja zugestellt.

War auch mein erster Gedanke.

Ist leider schon ausgelaufen, war doch nur ein Tag ☹️

Vielleicht solltet ihr diese Dinge nicht bei Kunden üben... Nur so ein Gedanke Du würdest Dich wundern. Shodan Basis gibt es übrigens noch ein paar Tage für $5. Und gegen Hafnium beispielsweise haben die Reverse Proxies auch nicht geholfen. Das ist das Doofe an Zero Days - keiner, der Dir helfen könnte, weiß davon, sondern nur die, die Dir schaden wollen.

Moin, 1. Es heißt "siTe-to-siTe" VPN 2, Eine RDP-Sitzung, in der Outlook läuft, verbraucht mehr Bandbreite und ist um Welten empfindlicher gegenüber Latenz als eine Outlook-Sitzung oder - erst recht - eine Exchange Backend-Proxy-Sitzung zwischen den gleichen Standorten. Daher ist Exchange meiner Meinung nach Deine geringste Sorge bei diesem Netzwerkkonzept. Wenn neben Exchange noch andere Sachen, wie Dateizugriffe auf standortspezifische Fileserver, zu berücksichtigen sind, kann RDP weiterhin Sinn ergeben. 3. Wenn Du der Kryptographie generell vertraust (und das musst Du ja, denn sonst dürfte VPN ja auch nicht zum Einsatz kommen ) spricht Null dagegen, den Outlook-Zugriff auf Exchange - was ja alles HTTPS mit TLS 1.2 ist - übers Internet zu fahren. Du könntest die äußeren Firewalls ja so konfigurieren, dass sie nur Verbindungen von den jeweils anderen Standorten zulassen. Exchange-interner Traffic würde weiterhin über die Standortvernetzung laufen. 4. Zu der PopCon-Geschichte wurde schon fast allles gesagt. Es ist im übrigen auch so, dass, wenn Du SafetyNet nicht bewusst und absichtlich totgetreten hast, Deine Mails DENNOCH in einen anderen Standort zugestellt werden als wo der PopCon sie abholt. Dein Exchange-Design wäre bis inkl. Exchange 2007 mehr oder weniger vertretbar, mit 2010 wackelt es schon ganz deutlich und ab 2013 widerspricht es eigentlich allem, was Microsoft für Exchange vorgesehen hat. 5. Der Support von Office auf Terminalservern ist bis Oktober 2026 gesichert. Und wenn es dabei immer nur um einige wenige "Springer" geht, dann kann man dafür auch ein paar Windows 11-VMs hinstellen, da wird Office noch länger supportet.

Ja, kann man. NTLM Audit Logging einschalten. Ja. Auf jedem Domänen-Member oder halt auch DC, solange man setspn mit einem Account startet, das Enterprise Admin-Berechtigungen hat (SPNs sind forestweit).

Meinem Verständnis nach, ist sie betroffen, wenn Hybrid Modern Auth eingerichtet ist.

Clientverwaltung, die auch übers Internet funktioniert - Intune, SCCM/MECM/MEM, VMware WorkspaceONE, was auch immer Du hast, fast alle Systeme können das inzwischen.

Klar kenne ich das, aber die Aktivierung der notwendigen Protokolle ist etwas, was der Installer der WaWi erledigen sollte. Oder ist es eines dieser Produkte, die auf einem Platz installiert und auf den restlichen aus einer Freigabe gestartet werden?

Moin, ich kenne es von HP so, dass man das BIOS-Updateprogramm mit einem Parameter dazu bringen kann, BitLocker anzuhalten und nach dem BIOS-Update automatisch wieder zu aktivieren. Vielleicht schaust Du mal bei Deinem Hersteller nach?

Am einfachsten: mit einem Filter, wo nicht * drin steht, sonndern das, wonach Du suchst. Damit lässt Du den DC suchen und filtern, und das kann er sehr effizient. Das sollte als Startzündung helfen: https://theitbros.com/ldap-query-examples-active-directory/

Nur mal nebenbei: wenn die Jugendlichen Smartphones mit genug Datenflatrate haben, um die Pornos mit dem Hotspot zu gucken, was hindert sie daran, das einfach auf dem Smartphone zu tun? Da die Maschinen offenbar nicht Mitglied einer AD-Domäne sind, kannst Du keine Gruppenrichtlinien verwenden. Lokale Richtlinie könntest Du zwar verwenden, aber der Aufwand bei netsh ist im Zweifel geringer, da Du ja nur ein Netz erlauben willst.

Oder Du machst für die berechtigten User einen extra JEA Endpoint, der dann halt nur das kann

3389 ist richtig, die eckige Klammer nicht.

Jeder, der Cloud-VMs hat.

Moin, diese PowerShell-Skripte wurden schon lange entwickelt. Da musst Du die Suchmaschine Deines Vertrauens bemühen. Sie könnte vielleicht folgendes ausspucken: https://github.com/canix1/ADACLScanner

Also, wenn ich "vServer" lese, dann ist es scheinbar was Gehostetes. Da ist meistens eine Firewall vom Provider davor, die man für RDP aufmachen muss. Und da gibt es diverse Szenarien, zum Beispiel: Du musstest die Firewall für Deine IP-Adresse aufmachen, damit nicht das ganze Internet auf Deinen Server einhämmern kann. Dann hat sich Deine Adresse geändert, so dass die Regel nicht mehr passt. Du hast wider besseres Wissen Port 3389 für das gesamte Internet aufgemacht, der Provider hat Angriffe festgestellt (kein Wunder) und die Firewall wieder zugemacht. usw. usf. Was mich allerdings etwas wundert, ist dies: Du schreibst, Du kannst nicht mehr per RDP auf den vServer zugreifen, kannst dort aber offenbar Änderungen vornehmen - über welchen zugriffsweg machst Du das?

...und immer schön auf Cross-Posts hinweisen: https://social.technet.microsoft.com/Forums/de-DE/cd36c78b-3c2b-4d4b-80f0-d60459c95782/die-sitzung-von-remotedesktopdienste-wurde-beendet?forum=windows_Serverde

Nur halb richtig Der Auslöser für diesen Post waren ja Berechtigungen, die diese Gruppe hat(te). Und diese, sofern sie auf der SID basieren, würden ja wiederhergestellt werden. Das ist auch der Punkt, der in der Regel mehr Arbeit verursacht als herauszufinden, welche User in der Gruppe waren.

Du hast die Frage doch selbst beantwortet Es braucht das Recht, diese Gruppe zu löschen. Ja, ein Domain Admin hätte dieses Recht auch, aber es könnte auch auf anderen Wegen - durchaus auch unabsichtlich - delegiert worden sein. Weil die gelöschte Gruppe nicht nur an der Share-Ebene, sondern auch im NTFS berechtigt war - oder habe ich Deinen OP falsch gelesen?