cj_berlin

Ich könnte Dir ein paar Adressen aus jüngster Vergangenheit nennen, die genau diese Rechnung gesehen haben, aber dann müsste ich mir einen anderen Job suchen, vor allem in einer anderen Branche.

Aber erst, wenn das Personal, welches den Betrieb von gemanagten Systemen beherrscht, in Rente ist...

Warum muss man an die Geschäfstführung noch irgendwas außer Umstellungstermin kommunizieren? Eine solche Maßnahme muss von der Geschäftsführung ausgehen, auch wenn die IT, intern wie extern, die GF natürlich vorher entsprechend berät, damit sie von sich aus auf den Gedanken kommt, dass man so etwas unbedingt braucht...

Außer es geht irgendwas nicht. Dann ist es "shared responsibility".

Moin, ich ahne schon, wo euer Poroblem liegt: Ihr versucht, eure "rustikalen" Management-Prozesse in eine gehärtete Umgebung zu verpflanzen. Das geht nicht. Es gab mal diesen Typen, der eine neue Methode zu putzen entwickelt hat, womit er in 30% der Zeit mit einer Wohnung fertig wurde. Und das ging so: Statt zuerst überall zu saugen, dann überall Staub zu wischen, dann überall zu putzen, dann überall zu bohnern usw. usw., hat er sich etwas gebastelt, womit er das gesamte Inventar jederzeit am Mann hatte, so dass er sich langsam durch die Wohnung bewegte, aber dafür Streifen für Streifen den gesamten Putzgang dabei absolvierte. Gleichers Ergebnis, weniger Zeit, weniger Gesamtstrecke. Genau so müsst ihr das auch machen. Das Problem ist doch, dass immer das nächste Ticket genommen wird. Ihr müsst aber anfangen zu schauen, dass ihr die Tickets nicht nach der (vom Ersteller wahrgenommenen) Prio sortiert, sondern nach Tier. Und wenn Admin Uwe gerade was in Tier 1 gemacht hat, dann nimmt er sich als nächstes ein Tier 1-Ticket und nicht das, was zuoberst liegt. Dann muss man sich nicht so oft ummelden und ist weniger frustriert. Und man kann sich im Team sogar absprechen, in welchem Tier man morgens anfängt zu arbeiten - einer nimmt sich die aufgelaufenen Tier 0-Dinger, der andere Tier 1 usw. Dabei entstehen auch weniger Kontextwechsel, was den Geist auch wieder etwas entlastet. Das mit den Kontextwechseln widerspricht vielleicht ein wenig dem Putzmann-Beispiel, aber Du verstehst, was ich meine.

Moin, die Bandbreite geht natürlich sogar noch weiter, sowohl nach unten (jeder User hat DA) als auch nach oben (Red Forest mit Smartcards und SCAMA oder zumindest Shadow Principals). Alles (´zumindest nach oben) schon gebaut, alles (sowohl nach oben als auch nach unten) schon irgendwo gesehen

Zumal es Dir schon zum zweiten Mal empfohlen wird, auf nur TCP umzustellen 😊

Vielleicht wollen wir aber auch ein paar CPU-Zyklen sparen und die Auswahl nur auf die User konzentrieren, wo die Prüfung auch tatsächlich Sinn ergibt: Get-ADUser -Properties mail -LDAPFilter '(mail=*)'

Ja, eine ähnliche Entwicklung wie bei @m0insen habe ich bei einigen Kunden miterleben dürfen. Dazu kommt, dass das Versprechen des automatischen Compliance-Audits fast nie eingehalten wird. Mein Lieblingsthema waren immer die im SAM gemeldeten Dutzende von "Exchange-Servern", die sich bei näherer Betrachtung als Admin-Jumphosts oder -Workstations mit installierten Exchange Management Tools entpuppten

Das ist nicht die Sender Domain, sondern der Sender Host. Und der HELO String beim Send Connector ist halt ein anderer als der Hostname hinter der IP-Adresse, die zum empfangenden MX spricht. Es ist *schon* ein Fehlerzustand, aber einer, den Du bei 75% der SMTP-Handshakes feststellen würdest, wenn Du dir die Mühe machen würdest zu prüfen.

Ja, das ist in der Tat Quatsch, der in den frühen 2000ern erfunden wurde, um Billig-Internetzugänge von den ordentlichen zu trennen. Das war auch damals schon Quatsch, aber seit SPF und vor allem DMARC ist es totaler Dreck.

Moin, und willkommen on Board! Magst Du die Aufgabenstellung *und* die vorhandene Netz-Topologie etwas ausführen? Traffic von wo nach wo, was ist hinter was geschaltet usw.

Bedeutet aber, dass MSFT immer noch Win311 irgendwo als SKU führt und hin und wieder Rechnungen dafür schreibt Ich frage mich halt, was im September wird? Der Kollege kommt wohl nicht mehr wieder - haben die gerade einen in Ausbildung? Ich stelle mir das so richtig bildhaft vor - angehender SysEl oder FISI, geilen Ausbildungsplatz bei SIEMENS geschossen, und dann das

Das nicht, aber was gibt es da zu aktualisieren? Und vor allem, woher? Es muss ja neben unserer Welt noch eine parallele Realität existieren, in der es Hardware gibt, auf der Windows 3.11 läuft, und Leute Treiber dafür schreiben.

"Treiber für Windows 3.11 aktualisieren"? Ich habe Fragen...

Müsste man ausprobieren, aber ich bin der Meinung, dass es nur für Systeme gilt, die es damals schon gab. Und seit Oktober letzten Jahres ist nichts davon supported. Aber wäre zu testen. Hat jemand eine XML herumliegen? Ich mache ja keine Audits mehr, habe also keine Hoffnung, Montag auf eine zu stoßen...

Aber die Tasks aus der GPP kann es doch auf keinem heute noch supporteten System mehr geben. Das ist vermutlich auch Teil des Problems

Ich habe das in nahezu jeder Umgebung gesehen, wo ich ein Audit gemacht habe. Richtig erschreckend finde ich halt auch, dass der Kram seit 10 Jahren nicht mehr funktioniert, die Accounts aber immer noch gültig sind.

Moin, auf welchem Transport läuft die OpenVPN-Verbindung - TCP oder UDP? Wenn es TCP ist, versuche am Client per Policy (notfalls per LocalGPO) zu erzwingen, dass für RDP ebenfalls TCP benutzt wird.

Hier kannst Du dir sicher sein: eine 2. Instanz auf derselben Windows-Maschine ist von derselben Lizenz abgedeckt wie die erste. Doch, mit mehreren Instanzen geht das. Die Anzahl der Instanzen muss aber halt noch managebar bleiben...

Moin, auch wenn diese POP3-Puller schon immer verpönt waren und das Konzept in mehr als einer Hinsicht Sch**ße ist, ist anhand der geschilderten Anamnese nicht eindeutig, dass es nur daran liegt. Hol doch mal eine signierte, aber nicht verschlüsselte Mail direkt mit einem POP3-Client vom Hoster ab und schau, wie der Header bzw. die Struktur aussieht. Vielleicht ist es bereits der Hoster, der das zerhaut. In diesem Fall hast Du wirklich keine Wahl, die Mails statt zum Hoster entweder direkt an den Exchange oder, besser, an einen Gateway davor zustellen zu lassen. "Gateway davor" kann ein Online-Dienst sein, muss nicht zwingend on-premises sein.

Das ist einmal wieder richtig geiler Stoff: https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Klar, böser Nobelium, böse Russen, aber dann kommt's: Und da kann ich nur kopfschüttelnd sagen: DAFUQ? Darf dort ein Praktikant Berechtigungen an Postfächern von Managern vergeben, und zwar an identitäten außerhalb des Tenants? Solange das so bleibt, ist die ganze "EU Data Boundary"-Diskussion das digitale Papier nicht wert, auf dem sie geführt wird...

Moin, das einzige, was an EWS als Zugriffsprotokoll auszusetzen wäre, ist, dass damit der vollständige Befehlssatz möglich ist, sprich, dass damit auch Mails, Permissions vorausgesetzt, versendet werden können. Daher, wo möglich, NICHT mit Impersonation arbeiten, sondern mit expliziten Berechtigungen, und dort nur das Leserecht erteilen. Muss die Anwendung natürlich in ihrem Code umsetzen. Ansonsten, wenn es nur um Lesezugriff geht, POP3 und IMAP4 sind immer noch möglich - auch da muss die Anwendung dies im Code umsetzen. Schwieriger wird es, wenn die zugreifende Anwendung die Elemente, auf die zugegriffen wird, anpassen muss - zum Beispiel, den Link zum Speicherort im DMS in eine MAPI-Property des archivierten Eintrags injizieren. Das geht wieder nur über EWS oder MAPI, und MAPI willst Du wirklich nicht.

Moin, bei einem Kunden haben wir das nach langen Diskussionen mit mehreren Instanzen gelöst, wo das betreffende Team zwar nicht sa, aber immerhin db_creator hatte. Es waren aber nur drei Dev teams plus Produktion, da geht es. Hast Du zwanzig solche User oder Teams, wird es nicht mehr händelbar.