4zap

Danke Norbert, ich hatte auch in Erinnerung das geht nur mit Drittanbieter Tools. Sollte ich einen Hack dafür finden, poste ich den hier.

Moin kurze Frage.... wenn der User sein PW ändern will am Windows Client erscheint ein PW Hinweis von MS über dem PW Feld. Kann man das editieren irgendwie über ADSIedit oder sowas? Wir würden gern erweiterte Infos mitgeben über die Komplexität. Da ich sonst nix gefunden hab, frag ich mal die Profis hier :)

Aber dann sind wir wieder bei einer managed PKI und wer will das schon. Meist nur wenn du S/Mime oder sowas noch in public verwenden willst. Jedes enrollte Zertifikat kostet halt.... im Gegensatz dazu eine eigene PKI ja auch am Ende... muss jeder selber wissen. Ich bin kein Freund davon. Es hat mir ja keine Ruhe gelassen mit NTLM relay -> https://support.microsoft.com/de-de/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429 bin mal alle Einstellungen durchgegangen - bis auf negotiated kerberos waren wir schon ganz nah dran

Ja, aber mit vorher gebrannter Server 2019 DVD - Image aus dem VLSC, nicht über Windows Update Server. also mehr oder weniger "in-place" Probleme gabs mit dem Teaming Netzwerkadapter des HP Servers - musste erst aufgelöst weden und mit der Grafikkarte von Matrox gabs zickereien. Wir hatten die gleiche Konfig - HyperV mit DC drauf. Auf einem neueren Lenovo Server gabs null Probleme. Longterm werden wie die onprem Kisten aber bald in Rente schicken. Wir sind soweit fertig mit Intune, Azure AD Domain join usw. Ziel ist 100% cloud.

Moin Eine Ende scheint aber in Sicht.

Hallo Norbert https://docs.microsoft.com/de-de/deployedge/edge-ie-mode-policies

Ach stimmt. die NTLM Geschichte mit Domänenübernahme. Wir haben die RootCA und PKI abklopfen lassen, wir verwenden dort kein NTLM mehr seit einiger Zeit. Wir hatten aber ein faules Template gefunden was wir geändert hatten, da hatte mal ein admin mit rumgespielt und hatte böse Berechtigungen gesetzt für die User.... hätte böse enden können. Thema Golden Ticket.....

Hi CJ hast du dazu eine CVE Nummer? Würd ich mir gern anschauen oder meinst du die anfälligen Vorlagen?

Liefer ich nach heute nachmittag. Mein Admin hats getestet, ich zieh mir nachher mal die Details nach der Mittagspause.

Super Danke, Norbert.... für den zweiten Wechsel hab ich Zeit, das kann ich am nächsten Tag machen. Ich ändere das Passwort heute abend, und dann Freitag abend nochmal. Die Umgebung ist zu groß zum Testen.... leider. Das AD zieht sich quer über den Planeten. Daher frag ich lieber mal vorher, die MS Docs sind nett, sagen aber nix über evtl. Folgen aus und meine Recherche hat kaum was ergeben, also scheints folgenlos zu sein wenn man nicht zu hekitsch die zweite Änderung nach sich zieht.

Moin ich muss die Kennwortänderung für der Kbrgtr account durchführen. Die letzte Änderung ist zu lange her, wir müssen den jetzt alle 30 Tage erneuern wegen Compliance. Normalerweise sehe ich da kein Problem drin, ich ändere das Kennwort ....warte auf die Replikation und ändere dann nochmal. Was mich jetzt grad blockt ist die Tatsache das mit dem Account ja alle Token verschlüsselt werden. Die Token werden on the fly neu erstellt. Ich hab diverse service account die per oauth API aufs AD zugreifen aus anderen Systemen usw. Was nicht passieren darf das irgendwelche Accounts dann erstmal aus irgendwelchen Gründen keine valides token bekommen und es kommt zu Unterbrechungen in der Produktion. Die AD Helden im Forum hier wissen doch bestimmt welche Folgen das evtl. hat? Lauf ich Gefahr irgendeinen Account auszusperren den ich dann per quick fix wieder an der Start bringen muss oder ist es total unberechtigt das ich mir hier Sorgen mache? Danke und Gruß

Moin Edge hat jetzt auch eine Extension für IE - Web enrollment klappt damit auch. fyi

Fein, danke! Das hilft ziemlich gut. ;)

Moin das wäre natürlich eine Alternative auf Befehlzeilenebene. Danke. Aber kann ich miit certreq.exe auch auf eine PKI pointen, im AD Intranet ist das ja kein Problem? Der DC sagt ja wo es langegehen soll. Es geht um Clients die kein connect zur Domäne haben. Intern laufen GPOs für Device und Userzertifikate. Die Roadwarrior ziehen sich momentan per IE und client Anmeldung die Zertifikate bei Bedarf übers Webenrollment portal. Ich brauchs nicht zwingend aber das Webenrollment ist schon gut besucht und ich würds gern weiter führen. Wenn certreq damit klar kommt würds schon passen. Ich acker mich mal durch die Referenz. Danke.

Hi ich betreibe eine eigene RootCA und SubCA im AD. Für manche Anwendungsfälle haben wir ein Zertifikats Web enrollment aufgesetzt und können per IE Zertifikate auf domain joined clients ausrollen die keine aktive Verbindung zur Domäne haben. Klappt super, aber nur mit IE. Jetzt ist IE abgekündigt, ich find keine Alternative für einen Browser mit dem das Web enrollment noch funktionieren würde. Hat jemand eine Alternative parat? Im nächsten Win10 deployment build ist kein IE mehr am Start. Ích ging davon wir sind nicht die Einzigen mit dem Problem aber via Google und MS Technet find ich nicht einen Hinweis darauf, entweder bin ich zu doof zum Suchen oder es gibt wirklich keinen Ersatz. Weiß jemand mehr?