cj_berlin

Du sollst auch nicht tagsüber schlafen

Noch Fragen hierzu?

Naja, bis inklusive 2003 (FL, nicht Jahr ) war es ja auch nicht wirklich supported, das Kennwort des KRBTGT zurückzusetzen...

wieso, funktioniert doch? Nur nicht beim ersten Mal... Ich lese das jetzt so, dass 192.168.0.2 der DC für die ausgegraute .local Domain (Domain B) ist, richtig?

Nachdem Du den konkreten Troubleshooting-Hinweis ignoriert hast, kann man ihn nur wiederholen: Kannst Du vom DC B einen nslookup auf etwas in A, ausgeführt gegen DC A, erfolgreich durchführen?

Ach, und ich hatte "Kind Santas" gelesen

P.P.P.S. Das ist genaugenommen nicht supported, auch wenn's meistens funktioniert

Moin, zwischen dem ersten Pass-the-Hash und dem Golden Ticket liegen meist ein paar (Zeiteinheit je nach Paranoia/Optimismus einfügen). Das kannst Du in der Zeit mit der Änderung des KRBTGT-Kennworts abschneiden.

Moin, was sagt denn RESTORE HEADERONLY dazu?

...aber wird sie auch NTLM-Versuche ablehnen? Der Angreifer verwendet ja nicht das, was ihr verwendet, sondern das, was möglich ist

https://www.cosmopolitan.de/numerologie-das-sagt-euer-hochzeitsdatum-ueber-eure-ehe-aus-80531.html

[int[]]((Get-Date -Format ddMMyyyy) -split "") | Measure-Object -Sum | Select-Object -ExpandProperty Sum

Ich habe mich sehr über die dazugehörige Sicherheitslücke gefreut, denn das gab mir den Anlass, bei einigen Kunden diesen antiquierten Dreck endlich zu deinstallieren...

Moin, die Umstellung auf SingleUser ist für ein normales konsistentes Backup nicht notwendig - offene Transaktionen werden natürlich nicht gesichert, aber die könnten ja theoretisch auch zurückgerollt werden, wären also auch nicht sicherungswürdig Offene Sitzungen, die keine offenen Transaktionen haben, sind für das Backup unerheblich. Sind die Backups, die aus dem Wartungsplan kommen, denn vollständig?

Alternativen zu Exchange gibt es zuhauf. Allerdings hat mir in über 20 Jahren Exchange-Beratung noch nie eine IT- oder Orga-Leitung oder ein Kommunikationsarchitekt den Wunsch nach diesem Feature angetragen (und glaub mir, ich habe bereits abwegige Wünsche gesehen ). Exchange ist sehr stark im Konzept einer persönlichen Mailbox verankert. Die Anforderung nach verzögertem Senden wäre eher legitim im Kontext einer Funktionsmailbox (Einladung zu einem Event, Pressemitteilung usw.), während das verzögerte Senden aus einer privaten Mailbox eigentlich Betrug ist. Daher ist in Exchange derartiges, wie auch viele andere Funktionsmailbox-typischen Features, nicht oder nicht vollumfänglich vorgesehen. Wenn mein Feierabend davon abhinge, würde ich in diesem konkreten Fall vermutlich zu einem Skript greifen, das die Mail für mich über SMTP oder EWS zum gewünschten Zeitpunkt abschießt.

<korinthenkack>Die Voraussetzung dafür wäre eine Garantie, dass Deine Maschine + AD vor dem Backup zu 100% funktionstüchtig sind. Was hast Du am Start, um dies sicherzustellen?</korinthenkack> Aber die meisten Enterprise-fähigen Backup-Produkte haben die Fähigkeit, jedes Backup zu validieren, indem es als VM in eine isolierte Umgebung wiederhergestellt wird und dann geschaut wird, ob die VM ordnungsgemäß startet. Da muss man aber die Infrastruktur für beistellen. Doch auch da gibt es keine 100% Garantie - lass zwischen Backup und Restore die Hypervisor-Infrastruktur (oder zum Beispiel Server-Firmware, falls Physik) gepatcht worden sein...

Da reden wir aber noch nicht von Active Directory Nein, ein NUC als DC ist heutzutage fast schon ein Overkill. Wenn man aus Software-Kostengründen auf einen Essentials möchte, sollte es aber ein NUC mit mindestens 4 Kernen und 8 GB RAM sein.

Dass das Konto "chef" immer das gleiche Kennwort hat, egal auf welchem Computer man sich anmeldet, und das Kennwort auch von jedem dieser Computer geändert werden kann Und dass das gleiche auch für das Konto "chefin" gilt...

in welcher Zone? Was ist ein Alias bei einem CName? Ich dachte immer, ein CName sei ein Alias...

Moin, ich gehe sogar einen Schritt weiter und bringe \\fqdn\freigabe ins Spiel Aber das NTLM-Relay-Thema ist natürlich maßgeblich davon beeinflusst, ob das NAS überhaupt Kerberos kann

Das würde aber nur das Thema "Office-Applikationen sind auf der Messmaschine installiert" abbilden, nicht "Techniker muss ab und zu eine Mail versenden"...

Das war mein erster Gedanke, aber eigentlich stimmt das nicht, sofern einer der Bediener der Messmaschine kein Problem damit hat, dass sein Konto "Messmaschine" heißt. Sofern dieser Mitarbeiter kein persönliches Konto braucht, kann man das durchaus praktizieren, und es wäre auch kein Lizenzverstoß.

Moin, die Lizenzen mietest Du "per User" und nicht "per Account". Somit gibt es keinen vertragskonformen weg, mehreren Personen eine Lizenz zur Verfügung zu stellen. Nachtrag: Aus technischen Gründen mag es notwendig sein, dass stets ein und dasselbe Konto sich an der Messmaschine anmeldet. Das ändert aber nichts daran, dass jede Person, die eine M365-Funktion nutzt, eine Lizenz für diese Funktion zugewiesen haben muss.

Naja, das Problem zu *umgehen* ist recht trivial - die Bestehenden auslesen, die Gewünschten hinzufügen und das Ergebnis zurückschreiben: $bypassModFrom = @((Get-DistributionGroup SG01).BypassModerationFromSendersOrMembers.DistinguishedName) $bypassModFrom += (Get-Recipient SG01).DistinguishedName Get-DistributionGroup SG01 | Set-DistributionGroup -BypassModerationFromSendersOrMembers ($bypassModFrom | Select-Object -Unique) Ansonsten: Ticket bei M$ aufmachen, und wenn ein Bug festgestellt wird, gibt es Geld zurück

As a local admin on a Windows server you can RDP into it without the RDSH role enabled. You just need to enable RDP inbound connections and the corresponding firewall exception. RDSH role does way more than enabling RDP access so for an infrastructure server you would want to disable it before doing any further troubleshooting.