NorbertFe 2.277 Geschrieben 29. Dezember 2024 Melden Geschrieben 29. Dezember 2024 Am 29.12.2024 um 15:29 schrieb CoNtAcT2000: Normalerweise war da ein Autologon konfiguriert für den Domänen Admin - wegen Dienste/Tools starten und so. Mehr Und du machst dir Sorgen wegen Pingcastle? SCNR
CoNtAcT2000 15 Geschrieben 29. Dezember 2024 Autor Melden Geschrieben 29. Dezember 2024 Danke Norbert Das hilft mir grad nicht weiter. In einer kleinen Firma hat man noch viiiiiele ander Dinge die nicht stimmen und nicht passen oder besser sein könnten. Aber aktuell ist es halt Stand der Dinge.
testperson 1.857 Geschrieben 29. Dezember 2024 Melden Geschrieben 29. Dezember 2024 Was hast du denn in der neuen GPO (und möglicherweise auch ansonsten noch) konfiguriert? Ist es möglicherweise einfacher / schneller, das letzte Backup wiederherzustellen?
CoNtAcT2000 15 Geschrieben 29. Dezember 2024 Autor Melden Geschrieben 29. Dezember 2024 Ich hab vorhin versucht das Acronis Backup zurück zu spielen - und wie soll es schon sein, wenn man eh schon kein Glück hat! Das Backup lässt sich NICHT zurückspielen und hagelt Fehlermeldungen. Ich könnt so k otzen..... Also die letzen Änderungen waren, - die Admins in die Protected Users Guppe zu werfen (wurde ja schon rückgängig gemacht und sogar ein neuer Domain Admin angelegt der da nicht drin ist/war) - kein Erfolg. - Dann hatte ich an dem NTLM und Kerberos einstellungen gedreht, ich vermute das ist dann auch was den Fehler verursacht: - Und die Authifizierten User aus der Gruppe PreWin2000 entfernt
testperson 1.857 Geschrieben 30. Dezember 2024 Melden Geschrieben 30. Dezember 2024 Moin, dann bist du beim Domain Controller vermutlich auch nach dem Motto "Ganz oder gar nicht" vorgegangen und hast "The safest setting" aus dem Ping Castle Report umgesetzt und "Ungeschützte Authentifizierungsanfragen ablehnen / Fail unarmored authentication requests" konfiguriert? Theoretisch solltest du noch von einem Client mit der Gruppenrichtlinienverwaltung die Policy für die DCs bearbeiten und "GPS: Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz" auf "Unterstützt" bzw. 1 konfigurieren können. Alternativ die GPO unlinken / deaktivieren. Dann musst du aber am Domain Controller noch die Registry bearbeiten und unter "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters" "CbacAndArmorLevel" auf 1 setzen. Möglicherweise klappt das per PowerShell von einem Client mit angemeldetem Domain Admin: Enter-PSSession SERVER $dcc = (Get-ADDomain).DomainControllersContainer # Notfalls mit "Get-GPO -All" die GPO suchen Remove-GPLink -Name "<Hier der Name der erstellten GPO>" -Target $dcc Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters -Name CbacAndArmorLevel -Value 1 HTH Jan
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden