Garant

11 Stück Die EFS-Zertifikate habe ich auch gesehen. Nutzen aber kein Encryption File System.

Hallo Nils, danke für die ausführliche Antwort. Ich habe noch einmal geschaut, welcher Arten von Zertifikaten ausgestellt sind. Dabei handelt es sich zum Großteil um die Domänencontrollerzertifikate und außerdem um Zertifikate vom Typ Basis-EFS, Codesignatur (aber alt). Wenn ich die CA aber lösche, existiert ja keine weitere CA im Netzwerk, also auch keine Enterprise CA. Oder wo kommen die dann genau her?

Hallo, auf einem Domain-Controller ist die Zertifizierungsstelle installiert. Dieser DC soll nun aber heruntergestuft und abgeschaltet werden. Ich kann mir nicht erklären, wofür diese Zertifizierungsstelle im Unternehmen benötigt wird und gehe davon erstmal von einer Testinstallation vom Vorgänger aus. Im Bereich "Ausgestellte Zertifikate" sehe ich allerdings Zertifikat vom Typ Domänencontroller, wo ich mir nun unsicher bin, ob ich diese CA direkt entfernen darf oder nicht auch auf einen anderen DC/Server migrieren sollte?

Das o.g. Szenario stammt ja ursprünglich von dem Blog Frankysweb, der dort die Konfiguration des Admin Tiering beschrieben hat.

Guten Morgen zahni, da hast du natürlich vollkommen Recht mit. Aber mit den o.g. Konfigurationen könnte ein Nutzer mit Benutzer für Server_Admin und Client_Admin aber soweit keinen Schabernack treiben? Der Schnittpunkt kommt doch erst, wenn jeweiliger Benutzer auch ein Benutzer in der Domain_Admin-Gruppe erhält? Mir ging es oben auch eher um die technische Umsetzung, ob es da irgendwo zu einem Problem kommen kann.

Hallo, wir wollen für vers. Systeme separate Admin-Konten einrichten. Dazu habe ich drei AD-Gruppen konfiguriert (Client_Admins, Server_Admins, Domain_Admins). In diese Gruppen kommen jeweils einzelne Benutzerkonten. Über Gruppenrichtlinien habe ich konfiguriert, dass für die OU der Clients die Anmeldung für die Gruppen Client_Admins und Domain_Admins verweigert wird. Das funktioniert auch soweit. Nun würde ich im nächsten Schritt die Aktivierung für (Applikations-)Server konfigurieren. Ich würde dazu eine ähnliche GPO bauen, die dann auf der OU der Server (nicht Domain-Controller) liegt, die die Domain_Admins aussperrt. Dies sollte doch reichen, dass sich am Server nur noch die Benutzer innerhalb der Gruppe Server_Admins anmelden können? Oder habe ich einen Denkfehler? Die Gruppe Domain_Admins würde ich zu der Gruppe "Domänen-Admins" hinzufügen, so kann sich an einem AD-Controller am Ende nur noch der Administrator und Benutzer der Gruppe anmelden. Und irgendwann würde ich den Administrator ein sehr starkes KW vergeben.

Alles klar, also fahre ich die VMs runter und kopiere alle Dateien aus den Verzeichnissen für virtuelle Festplatten und virtuelle Computer? Registriere diese auf dem neuen Hyper-V Server und fahre sie hoch? Und ob DC/Exchange als VM läuft, spielt bei der Vorgehensweise keine Rolle? Korrekt?

Nicht direkt, ich mache mir nur einige Gedanken zu dem gesamten Thema. Ich dachte es wäre schlau solche Events zu überwachen, da man, wie gesagt, anomalien feststellen könnte.

Hey, sorry, das tut mir Leid. Eigentlich habe ich gedacht, dass die Antwort zur "Ransomware-Prävention" dir ausreichen würde. War keine absicht so karge Antworten zu schreiben. Ich habe die Hoffnung gehabt, dass ich durch eine Logging/Monitoring-Software auf jeden Fall anomalien zum Tagesgeschäft herausfinden könnte und ggf., auch wenn es vielleicht zu spät ist, was mitkriegen könnte und auch Rückwirkend daraus schlüsse ziehen könnte. Was wäre denn eine prof. Monitoring-Software, die mir sowas abbilden kann? Auf selber bauen habe ich (eigentlich) keine Lust. Gruß

Um herauszubekommen, wenn sich z.B. irgendwas "verselbstständig". Verursacht durch Ransomware o.ä..

Ich hätte gerne eine Möglichkeit, dass ich erkennen kann, wenn z.B. neue Gruppenrichtlinien erstellt oder vorhandene bearbeitet werden. Und das ich z.B. sehen kann, dass sich ein Admin auf DC XYZ angemeldet hat. Die Tätigkeit am Ende muss ich (erstmal) nicht sehen.

Moin, lässt sich ein Logging aktivieren, wenn neue GPOs erstellt werden und wenn sich Benutzer mit administrativen Rechten irgendwo anmelden? Und kann man diese ggf. zentral zusammenlaufen lassen? Wie macht Ihr das?

Guten Morgen, wie sieht eure Umgebung zur Verwaltung vom Active-Directory aus? Nutzt ihr Sprungserver (Terminalserver?), haben die IT-Benutzer für den Sprungserver auch eigtl. Credentials oder werden die eigtl. User-Accoutns genommen und nur vom Sprungserver gibt es dann die entsprechenden Credentials zur Verwaltung vom AD bzw. einzelner Dienste?

Alles klar, vielen Dank für eure Ratschläge.

Es gibt einen Fileserver an dem Standort vor Ort. E-Mail und ERP kommt alles aus der Zentrale (teilweise via Terminalservices).

Das ist völlig unterschiedlich. Von 5 - 30 Personen. Die einzige Anforderung wäre, dasss die Benutzer sich an Ihren Arbeitsplätzen anmelden können, wenn es z.B. auch mal Störung auf der Datenleitung zum zentralen Standort gibt. Das ist allerdings in der Vergangenheit immer seltener geworden. Die MPLS-Konstellation verfügt auch über ein Funk-Backup an jedem Standort, was (gefühlt) die Verbindung verfügbarer macht, weil man vor Baggerschäden unmittelbar vorm Haus geschützt ist. Es stört der höhere administrative Aufwand an jedem Standort für einen DC.

zum Beispiel?

Hallo, wie handhabt Ihr die Bereitstellung von (RO)DCs an verteilten Standorten? Als Beispiel z.B. 25 Standorte die alle mit einer 2 - 5Mbit/s Datenleitung an die Zentrale angebunden sind. Erachtet Ihr es für sinnvoll, dass in jedem Standort ein (RO)DC zur Verfügung steht oder setzt ihr auf zentrale Domain Controller. Gruß

Afaik gab es nur die folgenden Standardregeln.

Blockiert wurde z.B. dre Zugriff auf C:\Windows\system32\DllHost.exe, die aber eigentlich aufgrund der Regel freigegeben sein sollte. Die genaue Fehlermeldung aus der Ereignisanzeige: Der Pfad und die Unterverzeichnisse sind aber freigegeben. Wie gesagt, der Fehler tritt auch nur sporadisch auf.

Hallo, wir setzen SRP (Whitelisting) auf vielen Arbeitsplätzen ein. Das funktioniert auch sehr gut, bis auf das es sporadisch zu den Problemen kommt, dass Anwendungen aus freigegebenen Verzeichnissen doch blockiert werden. Hat da jemand von euch bereits Erfahrung mit und eine Idee wie man das lösen könnte? Gruß

Ich hatte gedacht, dass das evtl. ein Fall für Outlook Anywhere ist und ich die Verbindung über GPO forcieren kann. Alternativ könnte ich doch auch die externe Adresse als InternalURL angeben, oder.....?

Die Festverbindung ist eine MPLS. Die Internetleitung an Standort A ist ein DCIP mit fester Bandbreite, usw. und die Internetleitung an Standort B wurde auch angehoben.

Guten Morgen, der Exchange-Server steht an Standort A. Es gibt Standort B mit diversen Clients, die über eine Festverbindung an Standort A angebunden sind. Diese Festverbindung ist allerdings sehr träge. Nun soll Outlook über das Internet auf den Exchange an Standort A zugreifen. Ist hier Outlook Anywhere das Mittel der Wahl? Exchange 2016 und Outlook 2016 Gruß

Moin, das klingt einfach. Zwei VMs beinhalten DC und Exchange - denen ist das exportieren und kopieren im Hintergrund auch "egal"?