xrated2

Das habe ich befürchtet, siehe auch: https://social.technet.microsoft.com/Forums/en-US/f844451a-5bd2-4cbe-a031-86fe514ffabc/server-2019-essentials-user-licensing-limitation Wird dann auch nicht geprüft ob diese angemeldet sind? Gibt es Warnungen im Eventlog das die Grenze überschritten ist?

Weißt du auch wo man das einstellt? Habe bis jetzt laut Dokumentation gefunden das man DNS server über DHCP mitgeben kann aber das müsste sich doch dann auf das VPN Interface beschränken. Edit: Na toll die haben jetzt was in die Cloud gestellt und nur noch 1 Person braucht diesen VPN Client noch d.h. hat sich mehr oder weniger von selbst erledigt mit der VPN Geschichte. Nur selber erfährt man sowas immer als letzter.

Wem sagst du das aber man will ja immer sparen. Ich habe drauf hingewiesen das man Standard nehmen soll mit CALs, wobei Standard eh schon verfügbar wäre.

Sind nicht die meisten Einstellungen für Office in der GPO unter Benutzerkonfiguration?

Hallo wir haben in unserem Netzwerk OpenVPN, nie Probleme damit gehabt. Seit kurzem müssen sich einige Kollegen mit SonicWall und dessen Mobile Client zusätzlich ins Ausland verbinden. Jetzt werden einige die Hände über die Köpfe schlagen aber ich kann sowas nicht bestimmen. Vor allem ist das auch noch eine App aus dem Appstore und verstehe nicht warum man da nicht den Desktop Client nimmt. Vielleicht aus Kostengründen? Eine Standleitung wird auch abgelehnt. Ich habe festgestellt das sobald die Verbindung zur SonicWall aufgebaut ist (10er Netz) und wenn der User im Office sitzt (192.168.3.0), ungültige Routen verteilt werden. Nur ich sehe nicht woher, da ich diese Firewall nicht verwalte und verstehe auch nicht wie sowas überhaupt sein kann. Ohne VPN ist die Route fürs LAN ganz normal 192.168.3.0 255.255.255.0 Mit VPN werden zusätzlich folgende Einträge gemacht: 192.168.3.12 255.255.255.255 192.168.3.1 192.168.3.14 255.255.255.255 192.168.3.1 Mit der Folge das die 2 DC und DNS (IP 12 und 14) aus unserem LAN nicht mehr erreichbar sind, weil die nicht geroutet werden müssen. In diesem entfernten Netz mit Sonicwall gibt es gar kein 192er Netz. Generell taucht auch eine Route für ein 192.168.137.0 Netz auf wo ich keine Ahnung habe woher das stammt. Gibt es bei Sonicwall irgendwelche Parameter wo DNS Server vom Client umgebogen werden? Kann mir vorstellen das das irgendwas mit DNS zu tun hat. Unsere Clients bekommen die 2 Server via DHCP mit.

Nö, die Powershell Skripts (wsscmdlets) gibts nicht mehr und die laufen auch nicht wenn man sie kopiert. Gibt ja auch kein Dashboard mehr.

In den alten Essentials Versionen konnte man festlegen welche User aktiv im Dashboard angezeigt wurden, nur die haben eine Lizenz benötigt, http://blog.mhblog.de/?p=348

wow! das tolle bei 2019 essentials ist ja das man von der Lizenz scheinbar nicht mehr festlegen kann was normaler User ist und was nicht. Also bin ich da etwas beschränkt.

Wie handhabt ihr denn eure eigenen Benutzerkonten? Also normaler User + extra Admin Account ist klar. Aber was ist wenn man Clients + Server + Domain verwaltet. Wieviele Konten verwendet ihr da? Sich als Domain Admin an einen PC anzumelden ist ja nicht erforderlich.

Wenn ich in der Policy mehrere Einträge mache geht es jetzt scheinbar

Hallo was der kann ist ja bekannt. Aber wo sieht man denn wieviele der 25 User in Benutzung sind bevor der silsvc Service die Kiste runterfährt? Bei den Vorgängerversionen konnte man das ja im Dashboard sehen und auch über eine Gruppe bzw. Powershell steuern welche User zählen aber bei 2019?

Werden die nur für Dienste oder Tasks verwendet oder kann man damit auch Applikationen wie PRTG benutzen die sich z.B. über Remote WMI anmelden?

Und wenn man dies nur z.B. bei ServiceAccounts macht? Man muss die Policy ja nicht auf alle Accounts ausrollen. Ist nur die Frage ob es überhaupt Attacken gibt wo das Passwort am DC via Bruteforce probiert wird. Kenne nur das abgreifen vom NTLM Hash wo man dann Offline Tools wie Ophcrack drüber laufen lässt d.h. was dann ausserhalb vom Netzwerk stattfinden kann.

Man könnte die Konten nach x Anmeldeversuchen ja sperren wenn es über BruteForce passiert. Die Frage ist eben ob kurze Passwörter in einem Zug schneller geknackt werden können z.B. wenn sie im Arbeitsspeicher oder über NTLM Hash abgegriffen werden.

Hallo was würdet ihr als minimale Passwortlänge bei Adminaccounts setzen? Sind z.B. 8 Zeichen wirklich so schnell zu knacken? Habe was über Rainbowtables gelesen.

Könnte man die nicht einfach selbst signieren?

Na Super. Also über Registry kann man die wenigstens noch vollständig verbieten?

Offiziell nicht, siehe Kommentar dort

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen. btw. hier Seite 49 https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso? Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

OT: hat jemand Macros bei Non VL deaktivieren können? siehe https://www.windowspro.de/wolfgang-sommergut/makros-office-2016-2019-einschraenken-blockieren-gruppenrichtlinien

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt." Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU. Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

Hallo mit PRTG ist mir aufgefallen das die Errorcounts stetig steigen bei den vhdx Dateien im Virtual Storage Device Sensor. Ich habe herausgefunden das die WMI Abfrage wie folgt ist: SELECT Name, ReadBytesPersec, Timestamp_Perftime, Frequency_PerfTime , WriteBytesPersec, ErrorCount FROM Win32_PerfRawData_Counters_HyperVVirtualStorageDevice Könnt ihr das bitte mal im WMI Tester bei euren Servern unter Angabe des Controllers machen? Das Tool muss nicht installiert werden. https://www.de.paessler.com/tools/wmitester Es gibt sogar Fehler bei den ISO Dateien die angezeigt werden, scheint also nicht unbedingt Hyper-V spezifisch zu sein. Bei Remoteverbindung muss man evtl. noch eine Firewallrule aktivieren: Windows-Verwaltungsinstrumentation (WMI eingehend)

Hallo ich hatte letzthin etwas sehr merkwürdiges. Der DC und weitere Server laufen auf 2016 Hyper-V Core. Es ist ein Supermicro mit Quad Intel i210 NIC. Das Problem war das ein PC zeitweise den DC nicht erreichen konnte und damit meine ich das nicht mal der Ping funktionierte. Nach ein paar Minuten ging es dann wieder. Eine andere VM auf dem selben Hypervisor funktionierte dagegen die ganze Zeit. Dann ist mir eingefallen das das NIC Teaming besonders war. Ich hatte wie empfohlen Switch unabhängig und dynamisch eingestellt. Da ist mir aber irgendwann im Log der MAC Adress conflict aufgefallen. Siehe: https://social.technet.microsoft.com/wiki/contents/articles/31357.hyper-v-troubleshooting-mac-address-conflict-event-16945.aspx Unter Core kann man die MAC aber nicht so einfach ändern wie beschrieben, ich habe dann mit einem MAC Changer Tool die MAC geändert, allerdings nicht vom Team sondern vom Public Switch weil kein anderer Adapter angezeigt wurde. Könnte dies das Problem verursacht haben? Edit: Also das Problem der Nichterreichbarkeit lag an einem VPN Client, auf sowas muss man mal kommen.

Hatte ich auch schon mal verwendet aber da ich noch andere Policy dieser Art benutze wo ich dem User lokale Adminrechte je nach PC Name erteile, wäre es nicht schlecht wenn man bei einer Methode bleibt denke ich. gefährlich?

Hallo es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern. Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum. Die Einstellung: Gruppenname Administratoren (integriert) Beschreibung modified by nonadmin gpp Alle Mitgliederbenutzer löschen Aktiviert Alle Mitgliedergruppen löschen Deaktiviert Mitglieder hinzufügen BUILTIN\Administrator DOMAIN\IT-Helpdesk DOMAIN\helpdesk DOMAIN\Domänen-Admins Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein Element entfernen, wenn es nicht mehr angewendet wird Nein Nur einmalig anwenden Nein Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf. Weiß jemand wieso?