Garant

Guten Morgen, habt Ihr Anwendungen für die autom. Prüfung von Breached Passwords (z.B. gegen haveivebeenpwned) im Einsatz? Und wenn ja, was für Anwendungen/Skripte oder Lösungen setzt Ihr ein? Ich habe unter https://www.alitajran.com/secure-active-directory-passwords/ ein Skript gefunden, welches die Passwörter im Active-Directory dagegen prüft und zusätzlich eine GPO bereitstellt, die bei der Auswahl des Kennworts dies auch berücksichtigt. Die Frage ist nur, für wie sicher haltet Ihr die Integration o.g. Skripts? Oder gibt es dafür auch "professionelle" Anbieter? Gruß

Für mehrere Benutzer/Kalender. Exchange 2016 CU23 mit aktuellen Updates. Wir haben mehrere Kalender, auf denen mehrere Benutzer zugreifen. Der eine Kalender hat seit 2012 ca. 20.000 Einträge und das macht sich reproduzierbar beim Aufrufen bemerkbar. Haben dann den Kalender bereinigt und es wurde spürbar schneller.

Hallo, gibt es eine kluge Maßnahme um alte Kalendereinträge bei Mailboxen aufzuräumen? Wir setzen Exchange 2016 ein.

Schema-Update kann ich ja vom Exch aus starten oder muss das von einem DC durchgeführt werden? Und kann das Schema-Update tagsüber gemacht wreden? Oder besser zum Abend?

Hallo, wenn ich Exchange 2016 CU22 auf CU23 aktualisieren will, ist der folgende Weg ein gangbarer Weg? Download CU Ein Tag vorher das Schema-Update durchführen (Wird eins benötigt 22 => 23?) Exchange Server neustarten Deaktivieren Virenscanner/Backup ExecutionPolicy anpassen Update ausführen ExecutionPolicy anpassen Virenscanner/Backup aktivieren Protokolle prüfen Oder wurde was vergessen?

Hallo, wie handhabt Ihr das Leerlauflimit für RDP-Verbindungen auf Serversystemen, speziell auch auf Domain-Controllern? Ich sehe es immer wieder, dass Administratoren, warum auch immer, ewig auf dem ein oder anderen Server idlen. Aus Gründen der Sicherheit würde ich dem gerne entgegen wirken. Das lässt sich doch vmtl. per GPO konfigurieren, oder?

Moin, das würde mich allerdings auch interessieren - für welche Konfiguration habt Ihr euch entschieden bzw. welche ist die gültige?

Wie lange dauert es, bis Exchange die Einstellungen übernimmt? Habe meinen Testbenutzer wieder entfernt, aber kann noch nicht wieder senden.. Lässt sich das forcieren?

Ich glaube ich war gestern zu "ungeduldig". Habe eben die Regeln aktiviert, damit ich über das PT weitere Infos zur Verfügung stellen kann. Habe dann noch einmal spaßeshalber die Regel ausprobiert - nun funktionieren diese. Ich wünsche euch ein schönes Wochenende!

Hey, zum ersten Punkt, ich habe eine Regel, die das versenden an externe unterbinden soll. Diese greift auf die selbe Gruppe zurück, dort funktioniert das Verhalten. zum zweiten Punkt, die beiden Regeln sind an oberster Stelle - hatte den Verdacht bzgl. "keine weiteren Regeln anwenden" auch erst vermutet. zum dritten Punkt, kann ich das irgendwie heruasfinden? Als "Kontakt" ist die E-Mailadresse nirgends angelegt.

Hallo, ich würde gerne Anwender, die Mitglied einer Benutzergruppe sind, den Empfang von externen E-Mails unterbinden. Dazu habe ich die folgende Regel erstellt und aktiviert. Leider greift diese nicht und ich kann dem Testaccount, der sich in der Gruppe befindet, weiterhin E-Mails zukommen lassen. Was habe ich übersehen?

Ahh, jetzt geht es. :) Danke. Allerdings klappt es nicht mit der Variablenliste, sondern nur beim Vergleichen, wenn ich ein Wert dahinterlege. Muss ich das ggf. anders aufbauen? $IT_Gruppe = @( 'Meyer', 'Schulze')

Ah, okay. Leider erstellt er weiterhin eine 0kb CSV. Import-Csv -Path $original_file -Delimiter ";" -Encoding UTF8 | ForEach-Object { if($_.sn -match $IT_Gruppe) {$_.company = 'Test'} } | Export-CSv $destination_file -NoTypeInformation

Bin schon weiter gekommen, hab dennoch ein Problem. Siehe Skript-Snippet unten. Er ersetzt den Inhalt einfach nicht, obwohl in der Spalte 'sn' die Nachnamen entsprechend geführt werden. Hab ich einen Denkfehler? $IT_Gruppe = @( 'Meyer', 'Schulze') (Get-Content $original_file) | Foreach-Object { if($_.sn -contains $IT_Gruppe) {$_.company = 'Test'} } | Set-Content $original_file

Guten Morgen, ich benötige einen kleinen Denkanstoß. Ein Skript zieht via PowerShell eine Benutzerliste aus dem Verzeichnisdienst und erzeugt eine CSV-Datei. Jetzt möchte ich über eine Vergleichstabelle Inhalte in der CSV-Datei anpassen (z.B. PagerNo 1 = Bremen, PagerNo2 = Hamburg, PagerNo3 = Düsseldorf). Habt ihr eine schnelle Idee, wie ich das am geschicktesten durchführe?

kurzer Nachtrag, ich habe die Migration auf DFS-R durchgeführt. Verlief wirklich problemlos - hat allerdings etwas Zeit in Anspruch genommen. Pro Schritt waren die Systeme ca. 3 - 4 Stunden beschäftigt. Gruß

Hallo, vielen Dank für die Unterstützung. Ich konnte das Problem über Starten der Dateireplikation im non-authorativen Mode lösen. Oftmals ist es auch eher keine technische Überwindung, sondern die Frage was nach dem Setzen solch eines Flags passiert, wenn man das noch nie gemacht hat. Da hilft meistens etwas Mut zu sprechen. Daher nochmal vielen Dank @NorbertFe und @daabm!

Das habe ich mir schon auf die Agenda gesetzt. Kann ich das mit dem Flag im laufenden Betrieb machen oder gibt das eine Störung größeren Ausmas? Trifft natürlich wieder den DC an einem größeren Standort. :|

Ich will eigentlich nur auf möglichst einfachen Weg den Fehler auf dem einen der fünf Domänen-Controller beheben und daher die Frage, wie ich mit den Werten umgehen soll, damit ich nicht noch einen größeren Schaden anstelle. Wenn ich den Link oben korrekt verstehe, würde ich auf dem 'defekten' DC das Flag 'D2' setzen (vorher Dienst gestoppt), dann den Dienst wieder starten und abwarten, bis eine eine Erfolgsmeldung in der Ereignisanzeige protokolliert wird. Alle anderen DCs würde ich nicht anfassen. Und vermutlich sollte ich dies nur in den Abendstunden und nicht dem Tagüber durchführen, oder?

Moin, also nicht mit dem aus der Ereignisanzeige angezeigten Wert/Flag arbeiten? In welchem Modus (D2 oder D4) sollte denn die Wiederherstellung gefahren werden und betrifft das dann nur den einen DC?

Hallo, ich habe blöderweise heute festgestellt, dass eine neue Gruppenrichtlinien zwischen den DCs nicht mehr repliziert werden. Es handelt sich dabei um 5 DCs, die alle unter Server 2016 betrieben werden. Auf einem DC habe ich nun folgenden Fehler gefunden: EventID 13568: Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. In der Ereignisanzeige wird ja auch die 'Lösung' beschrieben, indem ich den Wert 'Enable Journal Wrap Automatic Restore' konfiguriere. Meine Frage: Muss ich diesen Wert auf allen DCs konfigurieren oder nur auf dem einen DC? Vorgehensweise korrekt? Wert konfigurieren Dateireplikationsdienst neustarten Aufbau SYSVOL abwarten? Wert entfernen Gruß

Leider nicht. :-D

Das ist korrekt. Allerdings muss ich sagen, dass sich wirklich alle angemeldeten Benutzerkonten gesperrt haben auf einen Schlag. Wir haben eine Skript laufen, welches uns via E-Mail informiert, wenn ein Anwender zu oft das falsche Kennwort eingegeben hat und daraus resultierend gesperrt wird (fragt einfach ein Event ab). Nach der o.g. Konfiguration kamen innerhalb von Minuten die E-Mails auf einen Schlag und die Accounts waren zu. Ich werde wohl das Logging aktivieren müssen - kann/darf ich dies in einer sep. GPO machen, die ich auf Testkandidaten linke? Und darf innerhalb der GPO auch die o.g. Konfiguration gesetzt werden?

Hi, ich hatte am gestrigen Donnerstag die Konfiguration einmal gesetzt. Nur NTLMv2-Antworten senden, LM & NTLM verweigern in der Default Domain Policy. Leider hatte das dann den Effekt, dass sich auf einen Schlag alle Konten der Benutzer gesperrt haben. Habe ich etwas übersehen? Oder den Eintrag an falscher Stelle konfiguriert?

Gute Idee, soweit ich in den Docs gefunden habe, gibt es drei Richtlinien? Network security: Restrict NTLM: Audit Incoming NTLM Traffic Network security: Restrict NTLM: Audit NTLM authentication in this domain Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers Die Erste für Domain Controller (verteilen via Default Domain Controller Policy?) und die anderen beiden für die restlichen Systeme. Aber was heißt das? Nur Server oder auch Clients - vmtl. nur Ersteres, oder?