Daniel -MSFT-

Hast Du mal überlegt, das per Kommandozeile zu automatisieren? Per Aufgabenplanung könnte man da sicher was machen. Bin nur gerade nicht am Rechner, um da Details nachzuschlagen. Schau doch mal in die Richtung.

Hast Du in der Firewall eventuell Ports geblockt, die für die Zeitsynchronsiation der Clients notwendig sind? Trag in die Registry mal den Logging-Parameter ein, dann siehst Du auch was im Logfile: http://support.microsoft.com/kb/816043/de und: EventLogFlags: This is a bitmask value that controls special events that may be logged to the Event Viewer System log. For all possible values, see NtpClient\EventLogFlags Subkey (http://go.microsoft.com/fwlink/?LinkId=139720). The default value is 2 decimal (0x02 hexadecimal). http://blogs.msdn.com/b/w32time/archive/2009/02/02/group-policy-settings-explained.aspx

RDP-CAL kaufen allein reicht auch nicht. Entweder CAL mit Software Assurance kaufen (hat dann Lizenzmobilität) oder die RDP-SAL beim Hoster mitmieten.

Und den Server hast Du mit einer Windows Server-Lizenz sowie einer RDP-CAL zusammen gemietet?

Geht auch mit der GUI: http://blogs.technet.com/b/canitpro/archive/2013/06/17/step-by-step-install-use-and-remove-windows-server-migration-tools.aspx Wobei ich auf dem Terminal Server eher TS Easy Print nutzen würde. Dann brauchst Du keine Treiber mehr auf dem Server pflegen.

Hi Michael, poste doch bitte einmal einen vollständigen NDR und eien SMTP-Logauszug. Ansonsten können wir nur raten. Hast Du die Empfängerfilterung für unbekannte Empfänger am Exchange Server konfiguriert und eingeschaltet?

Standorte wären da eine Möglichkeit, aber grundsätzlich die Frage: Was macht ihr mit dem RODC in der DMZ? Mit dem IPSec-Tunnel hebelst Du die Sicherheit ja schon ein gutes Stück aus.

Klar, Windows 8 Pro Clients können Mitglied in einer Windows Server 2008-Domäne werden. Wichtig ist nur die korrekte DNS-Konfiguration.

Ich fürchte, Du hast den Hintergrund immer noch nicht verstanden. Das ist wohl eine gute Idee. Have fun! Daniel

Die Ursprungsmail stammt von einer Tobit David-Installation. Da ist kein Exchange 2007 im Spiel, wenn ich das richtig sehe. @OP: Nutzt Du den gleichen E-Mail-Adressraum lokal im Tobit wie in Office 365? Leider hast Du die Logs recht stark beschnitten, so dass man da wenig herauslesen kann.

Mit einem abgelaufenen Kennwort kann man sich nicht mehr am System authentifizieren. Das sage ich, glaube ich, schon eine ganze Weile. Die Ausnahme ist der Windows-Anmeldedialog - der hat einen Mechanismus eingebaut, abgelaufene Kennworte zu erkennen und eine Kennwortänderung zu ermöglichen. Deswegen versuche ich ja die ganze Zeit zu verstehen, wo Du hier das Sicherheitsproblem vermutest. Der Hash ist jedenfalls nicht das problem hier. Außer wilden Interpretationen und Autovergleichen ist da leider nichts erklärendes mehr von Dir gekommen :-(

Sorry, aber wie kommst Du jetzt auf die Aussage? Ich habe echt Probleme, Deinen Gedankengängen zu folgen.

Fritz & Macziol Computacenter Siehe die 25 größten Systemhäuser 2013: http://www.channelpartner.de/a/die-groessten-systemhaeuser-2013,2613253 Aber vielleicht ist auch die Liste der kundenfreundlichsten Systemhäuser für Dich interessant: http://www.channelpartner.de/a/die-besten-systemhaeuser-2013,2544766

Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt: Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone. Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen. Have fun! Daniel

Du könntest generell die Webseite nicht für alle veröffentlichen, sondern im Webserver eine Benutzerauthentifizierung erfordern. Wenn Du den IIS als Webserver nutzt, kannst Du dann als Nutzer eine AD-Gruppe angeben. Beim Aufruf der Webseite müssen sich dann die Anwender mit ihrem AD-Konto authentifizieren. Im LAN läßt sich das per Single Sign On auch automatisieren, so dass die Anwender davon gar nichts merken. Wer keinen gültigen Account hat, der kommt dann nicht auf die Webanwendung.

Die Richtlinieneinstellung für das maximale Kennwortalter legt fest, wie lange ein Benutzer sein Kennwort verwenden kann, bevor das System ihn bei der nächsten Nutzung zwingt, es zu ändern. Dieser Änderungszwang ist auch nicht in jeder Authentifizierungsebene eingebaut. Meines Wissens gibt es den beim Desktop-Login - wenn Du Dich z.B. per RADIUS authentifizieren willst, wirst Du einfach abgelehnt, weil ein abgelaufenes Kennwort einem deaktiviertem Account gleichgesetzt wird. Oder wenn Du Dein Mails abrufen willst. Oder wenn Du auf eine Freigabe zugreifen willst... Willst Du verhindern, dass Benutzerkonten mit abgelaufenen Kennwörtern überhaupt verwendet werden können? Dann musst Du Dir Gedanken darüber machen, wie Du inaktive Benutzer (und auch Computer) ermittelst und mit ihnen umgehst. Du kannst zum Beispiel das PowerShell-Skript von http://gallery.technet.microsoft.com/scriptcenter/Get-Inactive-User-in-78b8db79 verwenden: # Gets time stamps for all User in the domain that have NOT logged in since after specified date # Mod by Tilo 2014-04-01 import-module activedirectory $domain = "domain.mydom.com" $DaysInactive = 90 $time = (Get-Date).Adddays(-($DaysInactive)) # Get all AD User with lastLogonTimestamp less than our time and set to enable Get-ADUser -Filter {LastLogonTimeStamp -lt $time -and enabled -eq $true} -Properties LastLogonTimeStamp | # Output Name and lastLogonTimestamp into CSV select-object Name,@{Name="Stamp"; Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp).ToString('yyyy-MM-dd_hh:mm:ss')}} | export-csv OLD_User.csv -notypeinformation und dann eine entsprechende Aktion durchführen. Zum Beispiel könntest Du in der Beschreibung die E-Mail-Adresse das zugehörigen Hauptbenutzers eintragen und dann an diese User eine Mail schicken, dass zum Beispiel der Account in 10 (9, 8, 7, ...) Tagen deaktiviert wird, wenn sie nicht das Passwort ändern. Dann musst Du Dir aber wieder Gedanken machen, was passiert, wenn der Hauptaccount geändert wird. Zum Beispiel E-Mail-Umstellung durch Heirat. Oder Jobwechsel in der Firma. Oder Abwesenheit durch Krankheit. Da muss dann eine Vertretungsregelung her. In Summe musst Du also Fragen über Identity Management beantworten. Und das ist eine ganz andere Baustelle: http://www.microsoft.com/de-de/server-cloud/products/forefront-identity-manager/ P.S.: Autovergleiche hinken in der Regel. Niemand zwingt ein Auto (oder den Halter/Fahrer/...) tatsächlich, sich an die Regeln zu halten. Du kannst problemlos ein Auto ohne TÜV-Plakette auf die Straße stellen. Das verschwindet nicht automagisch. Dass das nach der Entdeckung durch die Behörden nachträglich Konsequenzen haben kann, sein dahingestellt.

Was hat Latex mit studieren zu tun? Wir hatten unsere in Steine gemeißelt. Jawoll.

Und wo hat der Angreifer das Passwort her? Und wie unterscheidet sich das Szenario, ob das Passwort abgelaufen ist oder nicht?

Vermutlich war der Domänen-Adminaccount nicht mehr in der lokalen Gruppe der Administratoren am Client enthalten?

Hi Jan dieser Thread ist über 10 Jahre alt. Lass ihn doch bitte in Ruhe und mach einen neuen auf mit Deinem Problem. Have Fun! Daniel

Schau mal in das Bereitstellungshandbuch für Office 365: http://technet.microsoft.com/de-de/library/hh852466.aspx

Welche O365-Version wird denn eingesetzt? Bei M und E kannst Du hybrid installieren und die Postfächer aus der Cloud zurückschieben.

@Nemix: SMTP läuft auf Port 25. Den gilt es zu beobachten. @AchimS: Microsoft Security Essentials ist nur für Kleinunternehmen mit bis zu 10 PCs kostenfrei verfügbar.

Was sagt denn das Log von einem Client? Wie sind die Clients konfiguriert? Über die Gruppenrichtlinie kannst Du sehr einfach die Konfiguration zentral vorgeben. Wenn Du es manuell machen willst, dann musst Du auch alle Rechner manuell anfassen und die Konfiguration prüfen.

Welche Exchange-Version ist es denn? Falls Du den User löschst, wird die Msilbox abgetrennt und kann danach neu verbunden werden. Aber beschreib mal die eigentlichen Probleme mit dem Account.