cj_berlin

Klar, der Artikel dazu ist so alt wie AD.

Für Dich, von der letzten BSides Berlin:

Das macht die Frage nach dem "Warum, eigentlich?" umso spannender. Was können die User denn in diesem Menü so schlimmes ausrichten, dass Du es ihnen verweigern möchtest? Beim echten Kontextmenü würden mir vielleicht noch 1,5 Erklärungen einfallen, aber hier?..

Und wenn der Screenshot von dem betroffenen Server stammt, dann hat Deine Policy möglicherweise wirklich nicht gegriffen.

Was ja nicht bedeuten muss, dass es per GPO grundsätzlich nicht funktioniert. Wurde die GPO angewandt (Registry-Wert im richtigen Pfad, siehe oben) Falls Du es per Computer gesetzt hast: Wurde der TS danach rebootet? Und hast Du es auch per User probiert? Vom Funktionieren oder Nicht-funktionieren dieser Einstellung jedoch einmal abgesehen: Was möchtest Du damit erreichen? Nicht-Administratoren können damit nichts kaputtmachen, zumindest nicht für andere User, und bei manchen Programmen ist es eine wertvolle Arbeitserleichterung, denn das Kontextmenü enthält die Liste der zuletzt geöffneten Dateien aus der jeweiligen Anwendung...

Noch ein Schuss ins Blaue - wenn eine App wegfliegt, gibt es dennoch oft einen WER-Bericht im Event Log oder eine Dr. Watson-Meldung. Diese kann den ersten Anhaltspunkt liefern.

Doch, indem er beispielsweise darauf besteht, die Settings im hartkodierten alten Pfad zu suchen Ich kann mich noch an Norskale/Citrix WEM erinnern. Irgendwann war die Umbenennung offiziell vollzogen, nur: Wenn Du von einer Version, die noch Norskale hieß, upgedated hast, hieß alles weiterhin Norskale. Hast Du neu installiert, hieß es dann Citrix. Blöderweise gab es ein paar Use Cases, wo man eine Executable aus dem Arsenal von WEM aufrufen musste, mit dem absoluten Pfad und Namen

Soweit ich es aus der Präsentation verstanden habe, weder noch. Es wird beim Aufbau des Clusters ein Secret ausgetauscht, und das dient als Basis für die Authentifizierung der Kommunikation der Knoten untereinander, so ähnlich wie die zertifikatsbasierte Authentifizierung in Hyper-V für Replikation und Live Migraiton.

Vom Gateway war bisher nicht die Rede Das ist eine vollkommen andere Geschichete. Was Du suchst ist https://learn.microsoft.com/en-us/troubleshoot/windows-server/remote/remote-desktop-listener-certificate-configurations

Du musst das entsprechende Zertifikat auch an RDP binden. Da findet keine automatische Auswahl statt.

...und damit wäre auch das Thema Mobilität bereits abgedeckt.

Ich könnte Dir ein paar Adressen aus jüngster Vergangenheit nennen, die genau diese Rechnung gesehen haben, aber dann müsste ich mir einen anderen Job suchen, vor allem in einer anderen Branche.

Aber erst, wenn das Personal, welches den Betrieb von gemanagten Systemen beherrscht, in Rente ist...

Warum muss man an die Geschäfstführung noch irgendwas außer Umstellungstermin kommunizieren? Eine solche Maßnahme muss von der Geschäftsführung ausgehen, auch wenn die IT, intern wie extern, die GF natürlich vorher entsprechend berät, damit sie von sich aus auf den Gedanken kommt, dass man so etwas unbedingt braucht...

Außer es geht irgendwas nicht. Dann ist es "shared responsibility".

Moin, ich ahne schon, wo euer Poroblem liegt: Ihr versucht, eure "rustikalen" Management-Prozesse in eine gehärtete Umgebung zu verpflanzen. Das geht nicht. Es gab mal diesen Typen, der eine neue Methode zu putzen entwickelt hat, womit er in 30% der Zeit mit einer Wohnung fertig wurde. Und das ging so: Statt zuerst überall zu saugen, dann überall Staub zu wischen, dann überall zu putzen, dann überall zu bohnern usw. usw., hat er sich etwas gebastelt, womit er das gesamte Inventar jederzeit am Mann hatte, so dass er sich langsam durch die Wohnung bewegte, aber dafür Streifen für Streifen den gesamten Putzgang dabei absolvierte. Gleichers Ergebnis, weniger Zeit, weniger Gesamtstrecke. Genau so müsst ihr das auch machen. Das Problem ist doch, dass immer das nächste Ticket genommen wird. Ihr müsst aber anfangen zu schauen, dass ihr die Tickets nicht nach der (vom Ersteller wahrgenommenen) Prio sortiert, sondern nach Tier. Und wenn Admin Uwe gerade was in Tier 1 gemacht hat, dann nimmt er sich als nächstes ein Tier 1-Ticket und nicht das, was zuoberst liegt. Dann muss man sich nicht so oft ummelden und ist weniger frustriert. Und man kann sich im Team sogar absprechen, in welchem Tier man morgens anfängt zu arbeiten - einer nimmt sich die aufgelaufenen Tier 0-Dinger, der andere Tier 1 usw. Dabei entstehen auch weniger Kontextwechsel, was den Geist auch wieder etwas entlastet. Das mit den Kontextwechseln widerspricht vielleicht ein wenig dem Putzmann-Beispiel, aber Du verstehst, was ich meine.

Moin, die Bandbreite geht natürlich sogar noch weiter, sowohl nach unten (jeder User hat DA) als auch nach oben (Red Forest mit Smartcards und SCAMA oder zumindest Shadow Principals). Alles (´zumindest nach oben) schon gebaut, alles (sowohl nach oben als auch nach unten) schon irgendwo gesehen

Zumal es Dir schon zum zweiten Mal empfohlen wird, auf nur TCP umzustellen 😊

Vielleicht wollen wir aber auch ein paar CPU-Zyklen sparen und die Auswahl nur auf die User konzentrieren, wo die Prüfung auch tatsächlich Sinn ergibt: Get-ADUser -Properties mail -LDAPFilter '(mail=*)'

Ja, eine ähnliche Entwicklung wie bei @m0insen habe ich bei einigen Kunden miterleben dürfen. Dazu kommt, dass das Versprechen des automatischen Compliance-Audits fast nie eingehalten wird. Mein Lieblingsthema waren immer die im SAM gemeldeten Dutzende von "Exchange-Servern", die sich bei näherer Betrachtung als Admin-Jumphosts oder -Workstations mit installierten Exchange Management Tools entpuppten

Das ist nicht die Sender Domain, sondern der Sender Host. Und der HELO String beim Send Connector ist halt ein anderer als der Hostname hinter der IP-Adresse, die zum empfangenden MX spricht. Es ist *schon* ein Fehlerzustand, aber einer, den Du bei 75% der SMTP-Handshakes feststellen würdest, wenn Du dir die Mühe machen würdest zu prüfen.

Ja, das ist in der Tat Quatsch, der in den frühen 2000ern erfunden wurde, um Billig-Internetzugänge von den ordentlichen zu trennen. Das war auch damals schon Quatsch, aber seit SPF und vor allem DMARC ist es totaler Dreck.

Moin, und willkommen on Board! Magst Du die Aufgabenstellung *und* die vorhandene Netz-Topologie etwas ausführen? Traffic von wo nach wo, was ist hinter was geschaltet usw.

Bedeutet aber, dass MSFT immer noch Win311 irgendwo als SKU führt und hin und wieder Rechnungen dafür schreibt Ich frage mich halt, was im September wird? Der Kollege kommt wohl nicht mehr wieder - haben die gerade einen in Ausbildung? Ich stelle mir das so richtig bildhaft vor - angehender SysEl oder FISI, geilen Ausbildungsplatz bei SIEMENS geschossen, und dann das