z3r0privacy

Die Richtlinie "Network Security: Restrict NTLM: NTLM authentication in this domain" steht auf "Deny All"...

Ich konnte gpupdate (mit und ohne force) testen. In beiden Fällen erhielt ich das von dir prophezeite Ergebnis: - die Userpolicy wurde gezogen, - die Clientpolicy schlug wegen der zu grossen Zeitdifferenz fehl. Soweit ich das verstanden habe, hat der DC meinem Client "auf die Finger gehauen", jedoch dürfen sich User trotzdem von diesem Client aus an der Domäne authentifizieren. Dies weil sie sich nicht am Computer sondern an der Domäne (=DC) einloggen. Der Client jedoch mit seiner falschen Zeit konnte sich nicht an der Domäne mit seinem Computerkonto anmelden. Deshalb schlug die Clientpolicy beim gpupdate fehl. Habe ich das soweit richtig verstanden?

Ok danke, ich werde das mal versuchen. Das kann aber leider ein wenig dauern, bin die nächsten Tage abwesend.

Ja, ich habe ein Ticket bekommen. Der Timeskew ist -180 Minuten (also ist der Client 3 Stunden voraus), was mit den aktuellen Einstellungen auch überreinstimmt. Im Eventlog vom Domain Controller habe ich zu dieser Zeit meherere Audit Success von Kerberos, einige den User, andere den Client betreffend. Soll ich diese auch noch posten? Und wenn ja welche davon? Ausserdem habe ich gesehen, dass die Maximum tolerance ...." Policy nur in der Default Domain Policy auf 5 Minuten gesetzt ist, in der Default Domain Controllers Policy ist diese Richtlinie nicht definiert, könnte es das sein?

Ich kann mich auch einloggen, wenn ich einen neuen User anlege, welcher sich noch nie angemeldet hat...

Hallo zusammen, Ich habe in einer Testumgebung eine Domäne aufgesetzt, mit einem Windows Server 2012R2 als DC und mit einem Win7 als Client. Standardmässig liegt die "Maximum tolerance for computer clock synchronisation" bei 5 Minuten. Für mich bedeuted das, dass wenn der Client mehr als 5 Minuten vor oder hinter dem DC ist, dass das Login fehlschlagen sollte. Allerdings funktioniert das nicht, resp. das Login funktioniert problemlos. Sogar wenn der Client über ein Jahr in der Zukunft liegt. Woran kann das liegen? Muss ich noch etwas zusätzliches konfigurieren damit das funktioniert oder wie kann ich erwingen, dass das Login verhindert wird? Functional level der Domain und Forest sind beide 2012R2 Danke und freundliche Grüsse, Michi