NilsK

Moin, naja ... das ist am Ende Gutdünken des Entwicklers. In den Einzelbewertungen hab ich da eine ganze Menge Kritikpunkte. Aber man muss das Tool ja auch nicht als unfehlbare Quelle der Wahrheit ansehen. Gruß, Nils

Moin, die Frage ist, welches Problem du überhaupt zu lösen versuchst. Möglicherweise gibt es einen verwaisten Berechtigungseintrag, zu dem der SID nicht mehr auflösbar ist - dann stellt das eher ein theoretisches Problem dar, denn der zugehörige Account existiert nicht. Es gibt also kein höheres Angriffspotenzial als bei jedem anderen Berechtigungseintrag, im Gegenteil - mit dem Account kann sich ja niemand anmelden. Vielleicht arbeitet PingCastle aber auch irgendwie fehlerhaft. Denn aktuell scheint ja nur PingCastle "das Problem" anzuzeigen. Solange es kein weiteres Problem gibt, das damit im Zusammenhang stehen könnte, würde ich mir jetzt überlegen, wie viel Energie ich an welcher Stelle noch investiere. Gruß, Nils

Moin, das heißt, der Berechtigungseintrag wird dir nicht angezeigt? Oder was meinst du genau? Wenn die einzige Fundstelle der PingCastle-Report ist, dann könnte da ja auch irgendwas falsch sein. Gruß, Nils

Moin, Gibt es ein Konto des Namens lokal auf dem Rechner? Es kommt vor, dass Windows dann durcheinander kommt. Gruß, Nils

Moin, das weiß ich doch. Ich wollte mal was anderes schreiben als "PKI ist böse". Wie, habe ich darauf schon mal hingewiesen? Ich bin doch sonst so zurückhaltend. Gruß, Ni"sehr uneitel"ls

Moin, wer sagt denn sowas? Ja, das ist das Grundproblem der ganzen PKI-Klamotte. Wir ersetzen Vertrauen durch Verträge, die uns nicht bekannte Unternehmen miteinander geschlossen haben. Im Falle von Unterschriften muss man aber auch dazu sagen, dass die Anforderungen an digitale Signaturen viel höher sind als die an die analoge Welt. Einer auf Papier gekritzelten Unterschrift kann ich nicht ansehen, wer da gekritzelt hat. Trotzdem kann man damit Arbeitsverträge kündigen und Grundstücke kaufen. Das ist jetzt Äpfel mit Pflaumen vergleichen. Letsencrypt macht ausschließlich TLS-Zertifikate vom Typ "Domain Validated". Da passt deren Prozess. Für andere Zwecke passt er nicht, aber die bedient die Organisation auch nicht. Gruß, Nils ... die Langfassung gibt es auch als Vortrag von mir.

Moin, dsacls (gehört zu den AD-Verwaltungstools) sollte auch SIDs entgegennehmen. Ich hab dein Szenario nicht geprüft, aber im Grundsatz sollte es damit gehen. Gruß, Nils

Moin, entschuldigt, ich habe nicht reagiert. Gruß, Nils

Moin, das hat auch einen Grund: Datenbankreplikation war ein heißes Thema in den Neunzigern. So alt ist auch die Technik. Heute macht man das nicht mehr bzw. versucht es zu vermeiden - weil es eben sehr fehleranfällig ist und die allermeisten Use Cases dafür entfallen sind. In den Neunzigern war es noch undenkbar, von verschiedenen Standorten auf einen zentralen Datenbestand zuzugreifen. Heute schon lange nicht mehr. Möglicherweise habt ihr einen der seltenen Fälle, wo man Replikation noch braucht. Alle Kunden, mit denen ich in den letzten ca. 15 Jahren auf so ein Thema geguckt habe, hatten keinen echten Bedarf (mehr) für Replikation. Es lohnt also evtl., da noch mal kritisch draufzuschauen. Gruß, Nils

Moin, kannst du deine Frage noch mal so stellen, dass man sie versteht? Gruß, Nils

Moin, ja, das war eindeutig ein C64.* Ich hatte auch mal einen Screenshot dazu, den finde ich aber gerade nicht. Eine Szene, wo man die Anlage sieht, hab ich im Web gefunden. Demnach war es ein A5120, so eine Art halbmobiles System. Meine Erinnerung hatte mir auch noch eine schrankgroße Anlage vorgegaukelt. Gruß, Nils EDIT: * ähem, ich muss mich korrigieren. Es war kein C64, aber möglicherweise was von Commodore, dem Zeichensatz nach zu urteilen. Zumindest das, was an den abgefilmten Bildschirm angeschlossen ist. Bei dem IBM-Portable, von dem die diese Webseite spricht, sehen die Zeichen anders aus. https://olcay.dev/2017/05/04/deutschland-83-encoded-floppy-disc/ Die Szene, um die es da geht, meinte ich.

Moin, in der Spionageserie "Deutschland 83" wird eine Robotron-Anlage bei der Arbeit gezeigt. Dem Bildschirm nach, der dort zu sehen ist, lief der mit demselben Betriebssystem wie der C64 und konnte wundersame Dinge mit einem zehnzeiligen Basic-Programm tun, das auf den ersten Blick nicht viel mehr tat als eine Eingabe gleich wieder auszugeben. Gruß, Nils

Moin, Das ist die KI, die damals mitgeliefert wurde. Gruß, Nils

Moin, Dafür müsstest du jetzt bitte mal erklären, was der Anwendungsfall ist. Je nachdem kann so ein Skript entweder super trivial sein oder ziemlich komplex. Gruß, Nils

Moin, E5-Lizenzen sind ja Abonnementlizenzen. Gruß, Nils

Moin Franz, danke für den Hinweis, das ist ja in der Tat eine heftige Änderung. Lese ich das richtig, dass es nur die genannten Produkte betrifft, aber nicht das Betriebssystem Windows Server als solches? Sprich, wenn ich einen Windows-Server mit SA habe, dann dürfen die Windows-CALs auch weiterhin ohne SA sein? Gruß, Nils

Moin, das Skript liest nur und ändert nichts. Das Schlimmste, was passieren kann, ist dass es auf einen Fehler läuft und keinen Report erzeugt. Mehr nicht. Es ist natürlich richtig, nicht einfach Skripte "aus dem Internet" auf einem produktiven System auszuprobieren. Da empfiehlt es sich, eine separate Laborumgebung zu haben. Wenn du keine PowerShell-Kenntnisse hast, nützt es dir wenig, den Text selbst anzusehen, aber immerhin kann man es tun. Das ginge bei einem Binärtool nicht. Gruß, Nils

Moin, Hinreichend exotisch - also interessant. (Ernsthaft.) Gruß, Nils

Moin, naja, deine Ergänzung wäre halt syntaktisch falsch. "BETWEEN" ist Teil eines Filterkriteriums und an der Stelle, an der du es laut Kommentar vermutlich einfügen willst, nicht erwartet. Du kannst das in einer WHERE- oder einer HAVING-Klausel verwenden, aber das ist in deinem Code ja nicht der Fall. Du bist da ja anscheinend noch im SELECT. Es ist auch nicht ganz einfach, dem zu folgen, was du vorhast. Vielleicht nimmst du dir noch mal etwas Zeit, zu beschreiben, was du erreichen willst. Gruß, Nils

Moin, wieso, wie oft muss ein normaler Anwender die denn tippen? Mehr als einmal? Gruß, Nils

Moin, noch mal in Ruhe lesen. Eine berechnete Ausfallrate ist ja eben keine empirische. Gruß, Nils

Moin, Ich tute mal in dasselbe Horn. Als wesentliche Fehlerquelle sind mir RAID-Controller in den vergangenen 25 Jahren als IT-Dienstleister nicht untergekommen. Gruß, Nils

Moin, ah, nee, das kann gut sein - die gab es damals schlicht noch nicht. Falls jemand die Gelegenheit hat, das zu prüfen und zu testen - dann würde ich das Skript in neuer Fassung (und mit Hinweis auf die Beteiligung) posten. Hab leider keinen Zugriff auf passende Umgebungen ... Gruß, Nils

Moin, ja, das geht, weil ich dieses Problem vor einigen Jahren mit einem Skript gelöst habe. [Get-HyperVNetworkReport: New Download Source is Here | faq-o-matic.net] https://www.faq-o-matic.net/2020/12/29/get-hypervnetworkreport-new-download-source-is-here/ Ist schon etwas älter, sollte aber immer noch funktionieren. Gruß, Nils

Moin, die ganze Port-Klamotte kommt ihrerseits ja auch aus der Zeit, wo jedes Protokoll einen eigenen Port hatte. Dieser mysteriöse Port ist ja nichts weiter als ein Label, mit dem man dem Netzwerkstack mitteilt, wohin die Pakete innerhalb des Systems denn gehen sollen. Da konnte man am Port die Applikation identifizieren und hatte gute Chancen, dort eine angreifbare Version zu finden. Um das einzudämmen, hat man dann vorsichtshalber auf den Firewalls eben die Ports blockiert. Da die Bedeutung der Ports aber dramatisch abgenommen hat, seit alles über http(s) läuft, gehen Angreifer heute anders vor. Es kommt also noch mehr darauf an, dass man sein Zeug ordentlich pflegt, dafür sind Ports als direkte Einfallstore weniger relevant. Wie Dukel schon sagt, wenn die Applikation selbst nicht lückenhaft ist, ist es egal, ob sie auf einem Port nicht angreifbar ist oder auf hundert. Und umgekehrt - kann ich eine Applikation angreifen, weil sie eine Lücke hat, dann ist der Port genauso egal. Gruß, Nils