cj_berlin

Oder zwei Buchstaben des Vornamen und drei Buchstaben der Nachnamen - siehe den bekannten Dialog zwischen Arnold Schneider und dem IT-Supporter Volker Tzenandalis

Aber warum denn? Auf modernen Windows-Versionen sieht der User den tatsächlichen Ordnernamen doch eigentlich nie. Und der Admin kann ihn beim Skripten immer aus der Registry aus der SID ableiten - würde ich sowieso empfehlen, bis der Namenswechsel beim Heiraten irgendwann hoffentlich verboten wird.

Bei Read Only Domain Controllern bewirkt das Managed By-Attribut tatsächlich Verwaltungsrechte auf dem jeweiligen System. Bei Gruppen gibt es in ADUC daneben ei Häckchen, das dem Manager das Recht gibt, Mitgliedschaften zu verwalten. Das ist aber keine "Magie", sondern die Konsole setzt beim Speichern explizite Berechtigungen.

Ja, ein GPP-Element mit demselben Namen und Typ "Löschen" anlegen.

UDP ist grundsätzlich performanter, wenn es nicht unterwegs in TCP eingekapselt wird, Stichwort SSL-VPN.

https://techwontsave.us/episode/151_dont_fall_for_the_ai_hype_w_timnit_gebru

Sehe ich anders. 75% jeder Härtung ist das Unsichtbarmachen der Löcher, die zu schließen im Moment nicht möglich ist. Anonymer Netzzugang wäre auch das Szenario "Log4j auf nicht-Member", und das kann nur behandelt werden, wenn die Vuln auch bekannt ist.

Naja, anonym listen kann ich das AD normalerweise nicht. Das heißt, für das Szenario "gepatchte Netzwerkdose auf der Toilette" wäre es schon relevant...

Und dann dokumentiert ihr das ganze auch noch, damit es beim nächsten Austritt nicht wieder zum Kopfkratzen kommt.

Ja, und das Stichwort hier ist "Misskonfiguration". Türen sind schließlich ein bekannter Angriffsvektor für Einbrecher - die Mitigation besteht aber nicht darin, Türen abzuschaffen. Eine PKI ist etwas, das man ingenieursmäßig planen muss. Daher wundern sich die Kunden immer, wenn ich einen PKI-Workshop mit der Frage anfange, was sie denn damit machen wollen, und nicht von ihr ablasse, bis eine wenigstens irgendwie verwertbare Antwort auf dem Tisch liegt...

Huch?

Korrekt.

Moin, ja, einen zusätzlichen DC kannst Du ohne weiteres in die bestehende Domäne einfügen. Das Konto, mit dem es geschieht, muss Schema-Admin sind, denn es findet dabei ein Schema-Upgrade statt. ja, Member unter älteren OS-Versionen sind absolut möglich. Ab November weißt Du dann halt, dass alle Security Patches, die Du monatlich auf Deine 2019er anwendest, für den 2012er nicht bestehen, obwohl die geschlossenen Sicherheitslücken da durchaus noch vorhanden sind.

Früher gab's mal Tools dafür, zumindest für POP3 und IMAP. Vielleicht gibt es so etwas immer noch? Oder als Plugin von Gangl oder MAPILab?

Doch, doch, die kommen später. Und im Kerberos-Ticket, das Du beim Benutzer sieht, steht der korrekte UPN und auch der korrekte SPN für HTTP/exchange? Kannst Du anhand der IIS-Logs sehen, welches virtuelle Verzeichnis die erneute Authentifizierung verlangt?

Ja. Und es gibt fast jeden Monat Updates, die Kerberos betreffen und etwas kaputtmachen. Wo ist denn hier ein Widerspruch?

Moin, es ehrt Dich, dass Du von Deinen Erfahrungen und gefundenen Workarounds berichtest. Allerdings glaube ich, dass es hier um mehrere Probleme geht, die miteinander nichts zu tun haben: das Riesenfenster, das nicht minimiert oder normalisiert werden kann --> noch nie an dieser Stelle gesehen, aber ein paar andere Dialoge haben das in der Vergangenheit auch schon "geschafft" --> bei Fenstern, die normalerweise sofort wieder verschwinden, ist es meistens kein Problem. die Anmeldung mit dem UPN dauert länger als mit dem sAMAccountName --> wenn man sich anschaut, wie Kerberos im Vergleich zu NTLM funktioniert, gewinnt man schon den ersten Anhaltspunkt dazu, wo man suchen sollte. Ich würde ja gern "lernt man in jedem Server-Lehrgang" hinzufügen, aber leider weiß ich nur zu gut, dass dem nicht so ist :-( Und wenn in Deiner Infrastruktur tatsächlich Fehlkonfigurationen vorhanden sind, die ausgerechnet bei RDP ein Fallback von Kerberos auf NTLM erforderlich machen, dann solltest Du diese dringend suchen und beheben, statt nach Workarounds bei einem einzelnen Symptom zu forschen.

Moin, Azure AD hat übrigens auch eine solche Prüfung, die durchaus auch für synchronisierte AD-Accounts angewandt wird. Beim Passwortwechsel in AD freilich erst im Nachhinein, beim Passwortwechsel in AAD halt schon bevor das Passwort gesetzt wird. Aber die haben auch einen eigenen Filter-Agenten, den man für die Prüfung im AD, aber gegen die Listen aus dem Azure AD, einsetzen kann. Diesen würde ich im Zweifel als vertrauenswürdiger einstufen als eine Third Party. Das generelle Problem bei ALLEN diesen Filter-DLLs ist, dass in Windows keinerlei API existiert, um dem Kontoinhaber mitzuteilen, WORAN GENAU sein Änderungsversuch gescheitert ist.

Das wiederum hinge davon ab, ob Outlook im Online Mode oder im Cache Mode betrieben wird

Moin, ich rekapituliere: Angst vor Server mit externem Zugriff (es ist auch keiner da, der Ihn sinnvoll betreiben könnte) Mail liegt jetzt schon dauerhaft auf einem Server herum, der aus dem Internet frei erreichbar ist (STRATO) Windows-Benutzer ist überall gleich Die Lösung ist *eigentlich* Exchange Online, und den/die vorhandenen User nicht ins Azure AD synchronisieren, sondern die Anmeldung in Outlook explizit durchführen. Das zu lizenzieren, wird allerdings spannend, denn Du musst ja echte User lizenzieren, aber solche Sammelpostfächer, auf die man mit "ihrem" Usernamen zugreift, brauchen ebenfalls eine Lizenz...

Es kann ja ein Drucker im Büro stehen und trotzdem über Follow-Me erreichbar sein Die meisten Anbieter unterstützen inzwischen auch Kleingeräte und sogar die von der Konkurrenz.

Drum mache ich den Kram auch nicht mehr. Enough is enough. Ich habe mir 25 Jahre lang den Mund in diversen Sachen fusselig geredet. Habe neulich in den Archiven eine Mail-Konversation entdeckt, wo ich 2007 jemanden darauf hinwies, dass man auf DCs den Print Spooler deaktivieren sollte. Und, hat jemand drauf gehört? So ist es hier auch.

Dem Partner erklären, dass ein Verfahren, das zwingend auf Gateway-to-Gateway-Verschlüssellung beruht, Murks und rausgeschmissenes Geld ist, denn: die Vertraulichkeit ist nicht besser als bei TLS (was vermutlich eh schon da ist): Innerhalb beider Mailsysteme liegt Kartext, dazwischen ist verschlüsselt die Authentizität (der Organisation, nicht des Absenders!) und die Integrität können mit DKIM gewährleistet werden, was die Mailsysteme möglicherweise bereits können Es ist im Business-Umfeld auch vollkommen unklar, wofür das gut sein soll. Innerhalb der Mailsysteme möchte man explizit Klartext haben, weil Stellvertretung Archivierung DSGVO Antimalware und nach außen kommunizieren die Mailsysteme direkt miteinander oder durch Services, deren Geschäftsauftrag es ja ist, den Content zu untersuchen! Integrität kann man mit DKIM genauso gut absichern wie mit S/MIME-Signatur. Und gegen Wiretapping hilft TLS ausreichend gut.

Ja, nur so funktioniert es auch mit den Domain-Zertifikaten, as defined in RFC3183.

Moin, da Windows IoT auch nicht die VDA ersetzt, wäre es zumindest nicht falscher als vorher