Jump to content

Oli72

Members
  • Gesamte Inhalte

    43
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Oli72

  1. Oli72

    2 FA bei MSO365

    Guten Morgen, vielen Dank cj-Berlin für Deine schnelle Antwort. Ne, die IP wechselt nicht. Ich probiere das mal mit einem Nutzer aus und mache mich mal mit der Conditional Access Policies vertraut. Danke für den Tipp. Das Thema PKI stelle ich jetzt erstmal hinten an. Die Idee war, eine PKI in der Domäne zu installieren, und jedem CLient ein Zertifikat zu erstellen. Jetzt müsste ich nur herausfinden, wie ich es hinbekomme, das MS365 diesen Zertifakten vertraut. Und rein logsich gedacht würde man das hinbekommen, indem man das Dömänen Stammzertifikat irgendwie in MS365 exportiert und dort als vertrauten Zerifikat deklariert. Wenn es so eine Möglichkeit bei MS365 gibt. Wünsche allen frohe Weihnachten.
  2. Hallo und einen schönen Vorweihnachtssamstag, habe eine , nein 2 kurze Fragen zur Multifaktorauth. bei MS-Office 365, wenn diese aktiviert ist. 1.) Wie wirkt sich das auf die Arbeit mit der Outlook-Desktopapp aus. Muß sich der Benutzer dann jedes mal wenn er Outllook neu öffnet, neu authentifizieren, oder nur einmal täglich? Oder aber betrifft das nur die Nutzer, die sich über das Web-Outlook anmelden, bzw. bei der Ersteinrichtung der Outlook APP auf dem Client? 2.) Kann man die Authentifizierung über eine PKI in der Domäne durchführen, in dem man das Stammzertifikat bei MSO365 bekannt macht Ich danke euch für die Hilfe.
  3. Aber der Hinweis von Nils macht Sinn und lässt den Sinn erkennen. Tatsächlich mußte ich auf dem zugreifenden Rechner die Credentials eines Kontos auf den freigebenden Rechner angeben. Damit ist die Berechtigung hergestellt, da das entspredchende lokale Nutzerkonto mit NTFS berechtigt ist. Ich hatte diesen Umstand tatsächlich vergessen da die Freigabe schon älter ist. Aber jetzt wo Du´s sagt vielen Dank mal wieder und einen schönen Abend
  4. Naja, ist Windows 10 Home. Ich könnte mir vorstellen, daß da das Problem liegt.
  5. Wünsche eine schöne Wochenmitte, ich habe eine knappe Frage zu NTFS Berechtigungen. In einer Domäne funktioniert die Vergabe von NTFS Berechtigungen zu einzelnen Ordner problemlos. Wie sieht das aber bei Heimnetzwerken aus, in denen es keine Domäne und damit auch kein AD gibt. Wenn ich hier Ordner oder ganze Laufwerke auf einem Rechner freigebe, kann ich sie auf allen anderen Rechnern im Netzwerk sehen und bearbeiten, selbst wenn der Benutzer mit dem ich am anderen Rechner angemeldet bin nicht in der Registerkarter "Sicherheit" eingetragen ist. Das geht auch gar nicht, denn ich habe ja vom freigebenden Rechner keine Zugriffe auf Benutzer anderer Rechner, so daß ich diese unter "Sicherheit" als Berechtigt oder nicht berechtigt eintragen könnte. Sehe ich das also richtig, daß die NTFS Berechtigungen im Heimnetzwerk so gar nicht funktionieren? Ich danke euch für eine Aufklärung.
  6. Perfekt. Danke. Genau das hatte ich gesucht.
  7. Wünsche einen schönen guten Abend, hat jemand einen Tipp, wie ich ein GPO erstellen kann, das 2 Aktionen druchführt. 1.) Erstellen eines lokalen Benutzers auf den verknüpften Clients (Hierfür gibt es eine Vorlage (Computerkonfiguration >> Einstellungen >> Systemsteuerungseinstellungen >> Lokale Benutzer und Gruppen) 2.) Hinzufügen dieses neuene Benutzers zur bereits bestehenden Gruppe der loaklen Administratoren. Dieser zweite Schritt fehlt mir. Ziel ist es, auf allen Clients einen neuen lokalen Administrator anzulegen. Ich danke Oli
  8. vielen Dank für die Hilfe und Erklärung. Über das Stichwort "authentifizierte Benutzer" habe ich jetzt einen Ansatz weiter daran zu arbeiten. Ich muß das auch nicht umsetzen. Hier geht es um ein theoretisches Problem. zum Glück Ich dachte nur es gibt irgendwo eine Gruppenrichtliene, die verhindert, das auf einem Rechner alle in der GS verfügbaren Domänen überhaupt auf der Anmeldemaske angeboten werden. Aber logisch. Die Anmeldemaske unter Windows hat ja noch nichts mit den enzelnen Resourcen zu tun.
  9. Moin nach Berlin, Danke. Bei der Richtline "Lokal anmelden verweigern" war ich auch schon. Aber verhindert das nicht nur, daß sich ein Benutzer lokal auf dem entsprechenden Pc anmelden kann? Der benutzer kann sich doch dann noch immer von seinem eigenen PC an anderen Domänen anmelden.
  10. Einen wunderschönen guten Abend, hat jemand einen erfolgsversprechenden Tipp für mich, wie man bestimmten Benutzern innerhalb einer Gesamtstruktur den Zugrif auf die anderen Domänen der Gesamtstruktur untersagt? Die Domänen haben untereinander alle eine Vertrauensstellung, Ich möchte eine Gruppe von Benutzern definieren, die sich nur an der eigenen Domäne anmelden dürfen. Eine Anmeldung an den anderen Domänen der Struktur soll für diese Benuter nicht möglich sein. Ich suche schon ewig in den Gruppenrichtlinen, finde aber keine passende Richtline. Den Zugriff auf Resoursen fremder Domänen kann ich über die NTFS Berechtigungen der Resourcen direkt steuern. Aber nicht die Anmeldung an einer fremdem Domäne- Ich danke und wünsche noch einen schönen Sonntag Abend. Oli
  11. Oli72

    VPN und Metrik

    Moin Nils, vielne Dank für deine Antwort. Es funktioniert ja alles. Ich wollte das nur verstehen. Aber Du hast schon recht, über das Thema Metrik gibt es viel zu lesen, aber nichts, was so richtig erklärend ist. Ich werde mal noch ein wenig weiter recherchieren. einen schonen Dienstag OW
  12. Oli72

    VPN und Metrik

    hm, mojn. Hier niemand eine Idee?
  13. Hallo Zusammen. hat jemand von euch den entsprechenden Durchblick um mir eine Frage im Bereich VPN zu beantworten? Problemstellung wie folgt. Ich arbeite von Zuhause über ein VPN im Firmennetzwerk. Nun hatte ich öfter das Problem, daß mein lokales Outlook (auf meinem Rechner zuhause) unseren Firmen Exchange Server nicht gefunden hat. Das war nicht immer der Fall aber ab und zu. Nun gab mir jemand den Tipp, die Metrik des Netzwerkadapter, der für das VPN zuständig ist von automatisch auf eine niedrige Priorität (z.B. Wert 1)zu stellen. Seit dem habe ich keine Probleme mehr mit Outlook. Nun die Frage. Sehe ich das richtig, das Outlook zeitweise versucht hat, über eine andere Netzwerkkarte, beispielsweise in meinem LAN einen Exchange Server zu finden, was jetzt durch die Priorisierung des VPN unterbunden wird? Und wenn das do ist, könnte es jetzt nicht theoretisch passieren, daß Dienste auf meinem Rechner, damit im falschen Netzwerk, also im Firmennetzwerk nach Resourcen suchen, die Sie dort nicht finden, eben durch die Priorisierung des VPN? Wenn ein VPN aktiv sind, sind doch Resourcen in beiden Netzwerken erreichbar. Weshalb findet dann Outlook den Exchange erst, wenn man das VPN priorisiert? Ich hoffe, ich habe hier keinen vollständigen Verständnissfehler eingebaut. Danke euch und noch einen schönen Abend- oli
  14. Wenn es nur darum geht auf die gleich Dokumente zuzugreifen und evtl noch einen gemeinsamen Fileserver zu nutzen. Da stelle ich mir bei Kleinstfirmen Angebote wie z.B. Offie 365 einfacher vor als eine eigene Domäne aufzusetzen und mit Freigaben zu arbeiten. Allerdings hast Du mit Deiner Rückfrage wahrscheinlich recht, denn das Problem der Freigaben nur für bestimmte Benutzer habe ich mit Office365 ohne Domäne noch immer nicht gelöst (glaube ich). >> Der Wahnsinn in der IT. Eine Antwort wirft gleich wieder 3 neue Fragen auf
  15. Moin, vielen Dank für die Anstöße. Da klärte aber meine Frage bereits. Ich habe also in einem Netzwerk ohne zentale Benutzerverwaltung keinen gegenseitigen Zugriff auf die einzelnen lokalen Nutzer der Rechner. Genau damit habe ich erfolglos herumexperimentiert. Also Domäne aufsetzen und gut oder eine Cloudlösung. Hier geht es in erster Linie ums Verständniss. Vielen Dank euch und noch einen schönen Sonntag. Oli
  16. Ich wünsche euch einen schönen Samstag, ich habe eine Frage zum Thema "Freigaben". In einem Heimnetzwerk (ohne Domäne) kann ich Order und ganze Laufwerke ja für das gesamte Netzwerk freigeben. In den NTFs Berechtigungen sowie in der Freigabe wird "Jeder" angegeben. Das funktioniert auch. Jetzt kann aber logisch jeder im Heimnetz darauf zugreifen. Wie aber kann ich einen Ordner nur für einen bestimmten Benutzer auf einem anderen Rechner im Netzwerk freigeben. Durch die fehlende Domäne habe ich ja keine Benutzerverwaltung. Es soll also ein Ordner so freigegeben werden, so daß ich von einem anderen Rechner nur mit einem bestimmten Benutzer darauf zugreifen kann. Die Überlegung dahinter ist, ob man in einem Kleinunternehmen mit vielleicht 2-3 Rechnern nicht mit einem Heimnetzwerk arbeiten kann ohne gleich eine ganze Domäne aufzusetzen. Ich danke für eure Ideen. Oder vielleicht geht das auch gar nicht? Gruß Oli
  17. Ok, Danke. Das deckt sich mit meiner Vermutung.
  18. guten Abend, ich habe eine Frage zu den AD- Rechteverwaltungsdiensten. Funktionieren diese nur innerhalb einer Domäne, so daß Absender und Empfänger einer Datei über das selbe AD laufen? Oder funktioniert daß ganze auch extern. Konkret: Wenn ich auf meinem Server innerhalb meiner Domäne die AD-RMS Rolle installiert habe und sende jetzt ein geschütztes Dokument an jemanden in einer völlig anderen Organisation, wie soll da eine Verbindung zwischen dessen Client und meinem AD-RMS Server hergestellt werden? Das leuchtet mir noch nicht so richtig ein, Ich danke euch, Einen schönen Abend. Oli
  19. Jo, dann liege ich ja mit meiner Sicht gar nicht so verkehrt und beides ist möglich. Vielen Dank für Deine ausführliche Antwort.
  20. einen schönen guten Abend, ich hoffe, daß mir hier jemand mit einem Verständnissproblem helfen kann. Es geht um Web Server in einer DMZ (Perimeternetzwerk). Aus meinem Verständniss, heraus, würde es doch ausreichen, die Server in der DMZ in ein anderes privates Netzwerk zu packen als das restliche LAN. Also zB. das LAN in 192.168.0.0/24 und die DMZ in 192.1681.0/24 mit einer öffentlichens IP (NAT). Weshalb wäre es sinnvoll (so habe ich es in einem Erklärungsvideo gesehen), ein öffentliches Netz durch Subnetting in 2 Teilnetze zu zerlegen, die DMZ in das eine öffentliche Teilnetz zu legen (z.B. 194.88.223.130/25) und das LAN über das zweite öffentliche Teilnetz (z.B. 194.88.223.126/25) zu verbinden (Schaubild aus dem Video im Anhang (Quelle:https://www.youtube.com/watch?v=hAQxrBlCAiE ) Was mir nicht ganz einleuchtet: Wann macht es überhaupt Sinn, nicht mit privaten Netzwerken zu arbeiten, sondern mit öffentlichen Subnetzen. Würde es in einem großen Unternehmen mit verschiedenen Filialen oder Abteilungen mehr Sinn machen mit verschiedenen öffentlichen Netzen oder mit verschiedenen privaten Netzen zu arbeiten? Ich danke für eure Hilfe. Oli
  21. OK. Dank euch. Dann lege ich das Thema mal auf Seite und widme mich spannenderen Themen. .-)
  22. moin und Danke für die Anteilnahme..-) Also mir gehts nicht um die Sinnhaftigkeit. Praktisch würde ich das auch nicht trennen. Die Lease Time war auch nur ein Beispiel. Mir geht es darum die Systeme zu verstehen. Benutzerklassen existieren, also müssen sie irgendwie einsetzbar sein. Aber wenn das nur bei reservierten IP´s geht, wäre der Einsatz unverhältnismäßig kompliziert. Daher die Frage. Wenn ich Benutzerklassen habe, weshalb sind Sie dann nicht für ganze Bereiche einsetzbar. Gruß Oli
  23. Hallo zusammen, kann mir jemand einen Tipp geben, wie man es anstellt, Laptops, die nur zeitweise im lokalen Netz hängen eine kürzere Lease zu geben. Ich wollte das so lösen, indem ich eine entsprechende Benutzerklasse "Laptops" erstellt habe. Jetzt dachte ich mir, könnte ich unter "Bereichsoptionen" >> Erweitert >> für die entsprechende Benutzerklasse eine andere Lease-Dauer einstellen. Dort gibt es allerdings nur die Auswahl von "Herstellerklassen" und die Option 051Lease ist gar nicht verfügbar. Wenn ich aber eine Reservierung erstelle, kann ich dort wie oben beschrieben über die Optionen >> Erweitert die Benutzerklasse auswählen und die Lease-Dauer einstellen. Das würde aber bedeuten, ich müsste für jeden Laptop eine eigene Reservierung erstellen. Gibt es da keine Möglichkeit das über den gesamten Bereich zu machen? Ich danke euch für Denkanstöße oder am Besten gleich die Lösung Gn8 Oli
  24. Oli72

    2. Domain Controller

    Hallo an alle Helfer, sorry, daß ich gestern auf div. Vorschläge nicht mehr geantwortet hatte. Es hat mir gestern Abend irgendwie die gesamte Struktur verhagelt. Da ging dann nicht einmal mehr der ursprüngliche DC1. Der absolute Alptraum, wenn es nicht nur eine Übungsumgebung wäre, die man zur Not einstampfen könnte. Es hat dann nur noch geholfen den DC1 mit einem 2 Wochen alten Snapshot zurückzusetzen. Hat funktioniert. Danach DC2 und 3 komplett deinstalliert und nochmal einen neuen DC aufgesetzt. Und was soll ich sagen. jetzt läuft alles wie es soll. Es gab auch keine Warnmeldungen und ich kann mich auf DC 2 mit den Clients anmelden (cmd und set gestestet). Gruppenrichtlinien funktionieren auch nachdem ich die PolicyDefinition an die richtige Stelle im Sysvol Ordner kopiert hatte. Der Fehler war irgendwo in der Replikation, da ich auf DC1 auch ständig die Fehlermeldungen bekommen hatte (DFS-Replikation). Der Sysvol Ordner war auf den neuen DC2 und DC3 jeweils leer. Gut, jetzt läuft das wieder und die Lernerei geht weiter. Auf jedem Fall vielen Dank für die vielen Tipps und Hilfen. Das ist toll. Oli
  25. Oli72

    2. Domain Controller

    Jep. Genau Wie erwartet der ursprüngliche DC1 (Logonserver).
×
×
  • Neu erstellen...