wznutzer

Hallo, ich erarbeite mir gerade ein Konzept, dass die lokalen Passwörter nicht mehr organisatorisch verwaltet werden, sodern über das AD. Außerdem wäre es mir recht, wenn ich einen Domänenuser mit lokalen Adminrechten auf jedem Client hätte. Lokale Passwörter Eine Lösung die sich gut anhört ist "Local Administrator Password Solution (LAPS)". Hier: https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/ ist es beschrieben. Ist LAPS noch immer die Standardlösung, auch mit Windows 10 1709? Es hört sich jedenfalls gut an. Domänenuser mit lokalen Adminrechten Ich kann einfach einem Domänenuser über GPO lokale Adminrechte geben. Das funktioniert, wäre aber so eine Art Superuser. Lieber wäre mir so etwas wie LAPS, aber in der Domäne. Ich will mich mit normalen Nutzerrechten in der Domäne aber Adminrechte lokal anmelden, das aber nicht an jedem Rechner mit dem gleichen Passwort / User. Da ich mich im AD bewege, klappt ein User mit verschiedenen Passwörter nicht. Ich stelle mir einen automatisiert angelegten User mit dem Namen des Clients vor und einem eingenen Passwort. Evtl. denke ich aber hier etwas quer, wenn ja, schiebt mich in die richtige Richtung. Ich will verhindern, dass an Clients für "normale" Wartungsarbeiten eine Anmeldung nötig wird, mit der im Netzwerk nennenswerter Schaden angerichtet werden kann.

Das ist aber kein guter Grund, sondern Bequemlichkeit. Aktuelle Patches verteilen nicht signierte *.dll und *.exe. Wir müssen eben damit leben.

Dann bleibt mir nur noch ein Danke.

Von einem separaten Treiber für die M.2 SSD habe ich zwar gelesen, aber W10 1703 + 1709 kann auch ohne extra Treiber damit umgehen.

Ich glaube das verwirrt den TE. Du meinst die Sache mit OUI der MAC-Adresse? Man kann einen Switch so konfigurieren, dass die Ports automatisch in ein VLAN fallen wenn ein bestimmtes Gerät angeschlossen wird. Bei IP-Telefonie zum Beispiel.

Hi, evtl. ist das Security-Forum hier falsch. Aber weiß jemand warum Microsoft nicht konsequent alle Dateien die zum OS gehören digital signiert? Je nach dem welche Partner-Kompetenz man hat bzw. will, muss man eigene Software doch auch signieren. Es gibt auf einem frisch installierten Windows 10 unzählig viele *.exe und *.dll die von Microsoft sind und nicht signiert sind. Das sollte im Jahr 2018 Standard sein. Mit fällt kein guter Grund ein. Kennt ihr einen? Danke

Hi, wenn ich zwei DCs habe und das Passwort des Build-in Administrators der Domäne ändern will. Muss da etwas spezielles beachtet werden? Bei einem DC oder normalen Nutzern oder zusätzlich angelegten Nutzern mit Administrationsrechten, gibt es ja nichts zu beachten. Die Beste Methode ist soweit ich weiß: anmelden, STRG + ALT + ENTF, Passwort ändern, altes und neues Passwort eingeben fertig. Ist der Build-in etwas spezielles im Bezug auf Passwortänderung mit zwei DCs oder auch "nur" ein normaler Nutzer? Die Lockout-Regeln für Passwörter gelten z. B. bei dem Build-in ja nicht und die UAC ist standardmäßig aus. Mehr Spezialitäten sind mir nicht bekannt. Schönen Abend noch...

Hi, vielen Dank für die Antworten. Schnellstart war bereits deaktiviert, aber über die UI. Memtest muss ich noch machen, ein G:\Windows gibt es mit bcdedit /v nicht. Was mir allerdings gerade erst einfällt. Ich habe die Samsung Software der SSD M.2 960 gar nicht installiert. Das muss ich machen, evtl. gibt es ein Firmwareupdate.

Guten Morgen, ich versuche das kurz zu schildern. Ein PC W10 1703 Enterprise installierte KB4088782/4088785 (Die März Updates). Beim Herunterfahren die übliche Meldung Bitte warten... Meldung. Beim Hochfahren auch wie üblich. PC funktioniert einwandfrei. Beim nächsten Herunterfahren wieder eine Bitte warten... Meldung. Beim nächsten Start erscheint dann "Automatische Reparatur", nach kurzer Zeit die Meldung, dass der PC nicht repariert werden konnte, näheres in der srttrail.txt. Den PC über die erweiterten Optionen heruntergefahren und neu gestartet. PC startet problemlos und funktioniert wieder einwandfrei, installiert nach dem Login die Tastatur- und Maustreiber neu. Lt. srttrail.txt ist die Datei ntfs.sys unter g:\Windows\system32\drivers\ntfs.sys beschädigt (corrupt), Fehlercode: 0x490. Klar, unter G:\ gibt es das auch nicht. PC läuft völlig problemlos, keine BlueScreens. Analyse: srttrail.txt verweist auf g:\Windows..., könnte aber auch mit der Reparaturumgebung zu tun haben. Lt. Eventlog ID20 unter System (Kernel-Boot) war einmal ein Herunterfahren FALSE. Ist mir aber nicht bekannt, bzw. habe ich nicht bemerkt. ntfs.sys ist da und die MS-Signatur stimmt. Checkdisk meldet keine Fehler. Sicherheitshalber mal ein Check mit Desinfect. Keine Funde. Auf dem PC wurde nichts installiert (außer Windows Updates), es wird nicht gesurft und Mails werden erst mal nur als Text gelesen. Malware also eher unwahrscheinlich. Ich habe nur das hier: https://superuser.com/questions/1258387/automatic-repair-couldn-t-repair-pc-looking-for-ntfs-sys-on-wrong-drive gefunden. Der User beschreibt exakt das gleiche Problem. Ich habe sogar auch eine Samsung 960 M.2 SSD installiert. Der User kommt zum Schluss: Schluckauf. Ich habe keine Erklärung für dieses Verhalten, hätte aber gerne eine um das zu verstehen. Kennt ihr das Problem bzw. habt ihr eine Idee was das sein könnte? Müssen in der srttrail.txt die korrekten Pfade stehen oder können diese schon mal umgebogen sein. Die srttrail.txt lag ja tatsächlich unter c:\Windows\system32\logfiles. Vielen Dank und Grüße PS Solltet ihr auch Desinfect nutzen. F-Secure scannt seit einiger Zeit gar nicht mehr. Es erscheint aber eine Erfolgsmeldung. Nur so zur Info.

Bis vor 2 Wochen hätte ich gesagt, dass ist mir in 19 Jahren noch nicht vorgekommen :) . Mit IBM / Lenovo habe ich ja nun auch nicht wirklich eine kleine Klitsche als Hersteller. Wahrscheinlich ist eine 10 GB Infrastruktur noch nicht so gängig. Nicht wirklich schlimm, läuft jetzt halt über 1 GB, aber immer verfügbar, auf jeden Fall, geht nicht gibt's nicht, ist halt auch nicht zu 100% richtig. Hängt vielleicht von der Wichtigkeit der Ersatzteile ab. Läuft nun über 1 GB statt über 10 GB ist halt weniger schlimm wie die Kiste steht. Ist ja tatsächlich auch so.

Hi, danke. Dieser Teil hat mir gefehlt. Ich werde das jetzt einfach mal installieren. Grüße

Es ist nicht nötig, dass du dich entschuldigst, in keinster Weise, es gibt keinen Grund. Ehrt dich aber trotzdem. Aber wie gesagt (geschrieben), wir streiten nicht, wir reden (schreiben) nur.

Guten Abend, Deine Aussage passt nicht zu dem Bild das ich mir im Kopf gemalt habe. Allerdings basiert mein Wissen bisher ausschließlich auf dem Lesen von Dokus, also potentiell falsch. Das Portal will ich nicht veröffentlichen, aber mit der Smartphone-App arbeiten. Dazu muss ich dann doch einen Port nach "innen" öffnen, weil die Webdienste für die Mobile-App bei mir installiert sind. Oder kann ich diese Webdienste auch zu Azure auslagern? Alternativ müsste ich mit der Authentifizierung per SMS arbeiten. Aber die App wäre halt eleganter. Um den Port für die Webdienste der Smartphone-App geht es mir. Dahinter ist dann ein IIS direkt in meinem Produktivnetz. Das will mir nicht gefallen. Habe ich da was falsch verstanden?

Bei allem Respekt, das ist jetzt Rechthaberei. Ich spiele aber mit, wenn ich falsch liege kann ich nur dazu lernen. Ich habe nicht gefragt, was das RIPE ist. Ich meine das geht klar aus der Frage hervor. Wenn du mir sagen willst, dass dieser Link technische Unterschiede für verschiedene Anschlussarten von Internetanschlüssen dokumentiert, finde ich darin die entsprechende Aussage nicht. Wenn du mir sagen willst, dass Anschlüsse als Ripe-Anschlüsse bezeichnet werden deren IPs bei der Ripe registriert sind, wäre das in der hiesigen Gegend aber der Normalfall und kein Kriterium um Internetanschlüsse in verschiedene Kategorien aufzuteilen. Um die Aussage stimmig zu machen, müssten diese Kategorien unterschiedliche Konfigurationen in den angeschlossenen Modems erfordern. Wir erinnern uns Ripe = kompliziert / Bridge = einfach. Jetzt könnte ich auch versuchen deine Gedanken weiterzudenken, evtl. willst du mir sagen, dass Ripe-Anschlüsse Anschlüsse sind deren IP direkt und nicht über den ISP bei der Ripe registriert sind. Dann hättest du aber auch einfach schreiben können: "Ripe-Anschlüsse sind Anschlüsse deren IP mit den Daten des Inhabers direkt bei ripe.net registriert sind." Dann wäre der Begriff erklärt und ich hätte ein Wissensdefizit weniger. Einen technischen Unterschied der unterschiedliche Konfigurationen bei mir erfordert erkenne ich aber trotzdem nicht. Und falls jetzt jemand meint, wir streiten, nein das tun wir nicht. Wir tauschen Argumente auf einer Ebene aus die weit über dem Niveau von streiten liegt :) .

Bei Support-Verträgen fehlt beim Verkauf immer der Hinweis, dass der ganze Support-Vertrag mit ultraschneller Reaktionszeit nichts nützt wenn ein Ersatzteil nicht vorhanden ist. Wir verstehen uns nicht falsch. Abschließen würde ich so einen Vertrag immer, die Kosten sind für einen einzelnen Server ja nicht sehr hoch. Einerseits warte ich seit über eine Woche auf eine 10 GB Netzwerkkarte. Andererseits wurden mir aber auch schon Mainboards mit dem Taxi vom Frankfurter Flughafen (4h Fahrzeit) gebracht. Wenn das Teil nicht verfügbar ist, ist es eben nicht verfügbar.

Hallo, um die Azure MFA mit einem lokalen AD zur Authentifizierung eines Remote-Desktop-Gateay zu verwenden muss die lokale Installation verwendet werden. Es gibt jede Menge Infos dazu im Netz, so dass ich keine Bedenken habe das zum Laufen zu bringen. Was mir aber gar nicht gefällt, ist dass ich für den lokal installierte MFA-Server einen Port zu meinem Netzwerk aufmachen muss. Die eine Tür sichere ich doppelt ab um gegenüber eine neue Tür zu öffnen. Hat das jemand von euch im Einsatz und wenn ja wie habt ihr das abgesichert? Variante 1 Port auf und fertig. Das Exchange-Team sagt ja inzwischen auch, dass ein Exchange mit einer einfachen Portweiterleitung sicher genug ist. Variante 2 Port auf und fertig, aber nur IP-Adressen erlauben die von Azure kommen? Habe keine Doku gefunden in der z. B. ein IP-Adressen Bereich genannt wird. Variante 3 Lokaler MFA-Server in ein sep. Netzsegment. Da müsste ich aber soviel zum Produktivnetz öffnen, dass mir das nicht sicherer erscheint als den MFA-Server direkt in der Domäne zu betreiben. Variante 4 Zugriffe über einen Reverse-Proxy absichern. Doku habe ich keine gefunden. Wenn ich dann aber so viele Regeln abschalten muss, dass es funktioniert ist das dann auch wieder nur Scheinsicherheit. Habt ihr mir dazu ein paar Tipps? Natürlich gibt es andere Anbieter, aber die Microsoft-Lizenzen, nennt man das Pläne bei Azure, sind sowieso schon vorhanden.

Nirgendswo. Die Aussage kam von der techn. Hotline nach dem Bestellprozess, ich hätte das falsche bestellt. Ich habe hier gefragt, weil ich dachte ich hätte ein Wissensdefizit. Es hat sich, wie oben geschrieben, aber auch schon geklärt. Ripe-Anschluss wird man anders als viele andere Begriffe (IP-Adresse, MAC-Adresse usw.) nicht in einem IT-Lexikon finden.

Hi, entschuldigt die verspätete Nachricht. Natürlich habe ich die Anschlussbedingungen gelesen. Da steht nichts von RIPE/Bridge Anschluss. Da ich aber die Bedingungen gelesen habe :D , wollte ich das mit Dual Stack Lite nicht und habe eine feste IP mitbestellt. Es ging mir aber um die Behauptung RIPE/Bridge wäre etwas komplett anderes und RIPE total kompliziert und ich soll einen Bridge-Anschluss bestellen. Wir kürzen das ab, ich hatte nochmals Kontakt mit der Hotline. Ich hatte wohl einen Neuen der noch nicht so richtig Bescheid wusste an der Strippe. Ein RIPE-Anschluss ist, wenn überhaupt, ein interne Bezeichnung von Unitymedia. Ein "stehender Begriff" ist das nicht. Schönes Wochenende wünsche ich euch.

Hallo, Unitymedia verkauft Anschlüsse die sie Ripe-Anschlüsse nennen. Entweder suche ich mit falschen Begriffen, aber ich finde keine Definition was denn ein Ripe-Anschluss sein soll. Die Hotline ist leider keine große Hilfe bzw. kann mir nicht erklären was der Unterschied ist, besteht aber darauf, dass das eine grundsätzlich andere Technik ist. Ripe-Anschlüsse wären kompliziert man sollte Bridge-Anschlüse buchen. Technisch sieht das so aus. Bridge-Anschluss Hitron Modem mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP des Modems ist mein Gateway. Im Modem ist Bridge aktiviert und alle Regeln stehen auf Durchzug bzw. im Bridge-Modus sind gar keine Regeln möglich. Ripe-Anschluss FritzBox 6490 mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP der FritzBox ist mein Gateway. Meine Firewall ist als Exposed Host eingetragen. Somit steht auch da alles auf Durchzug. Lt. Hotline müssten Regeln für ausgehende Verbindungen angelegt werden, sonst würde das nicht gehen. Ist natürlich dummes Geschwätz, geht nämlich trotzdem. Für mich sieht das so aus, als ob es keinen Unterschied gibt, bis auf das die FritzBox etwas anders konfiguriert wird wie das Hitron. Was klar ist, ist ja ein anderes Gerät. Es funktioniert alles wie es soll, mich würde nur interessieren ob es diese Technik Ripe-Anschluss wirklich gibt. Danke und Grüße

Axialis Icon-Workshop Server deaktiviert, Clients gestartet. Aber wie geschrieben. Wenn ich an einem der DCs den Computerbrowser aktiviere läuft alles einwandfrei. Bisher lief es aber ohne. Deswegen die Frage wie das ohne Computerbrowser am DC bisher funktionierte. Da es browstat nicht mehr gibt, ist das herausfinden des Masterbrowser evtl. nicht zuverlässig. Jedenfalls nicht so wie ich das versuche. for /f "delims=\= " %C in ('net view ^| find "\\"') do @echo -Checking %C && @nbtstat -a %C | find "MSBROWSE" Genau, ich erlebe diese Diskussionen ständig :cry: . Das Wort Clientel lässt sich beliebigen Gruppen zuordnen. Erfahrene Admins / IT-Experten gehören da auch dazu. Eine Funktion einer Software wurde benutzt die vom Entwickler so nicht vorgesehen war. Du erklärst dem Admin lang und breit das es bisher Zufall war und er es künftig anders machen soll. Die Schuld liegt immer bei dem der die Arbeit oder den Ärger haben soll :rolleyes: . Ohne irgendeine Änderung funktioniert es wieder. Wenn der Fehler das nächste Mal auftritt aktiviere ich den Computerbrowser auf den DCs.

Hi, Nein Ja, habe ich gelesen. Es werden aber halt Programme genutzt die "nur" das browsen, ohne Adresszeile, erlauben. Natürlich kann man lokal speichern und dann kopieren. Wenn aber etwas jahrelang funktioniert und dann auf einmal nicht mehr, gibt es halt Reklamationen.

Guten Abend, Problem: Im kompletten Netzwerk werden im Explorer seit 2 Tagen die PCs nicht mehr angezeigt. Mir ist keine Konfigurationsänderung bekannt. Bisher hat alles problemlos funktioniert. Umgebung: Domänennetzwerk, 2 DCs, Windows Server 2012 R2, 80 Clients (W7, W8, W10) Auf den DCs ist der Computerbrowser deaktiviert. Das ist bei W2K12 R2 per default so. Auf den Clients ist der Computerbrowser und die Netzwerkerkennung aktiviert. Es gibt keine spezielle Konfiguration, die PCs wurden in der Netzwerkumgebung bisher angezeigt. Auch sonst gibt es keine Probleme, das AD, DNS, DHCP, alles läuft bestens. Mit net view werden auch alle PCs angezeigt. Wenn ich auf einem der DCs den Computerbrowser starte, werden die PCs wieder in der Netzwerkumgebung angezeigt. Aber bisher hat das auch ohne funktioniert. Frage 1: Wie hat das denn bisher funktioniert? Meine Vermutung ist, dass die Clients auf denen der Computerbrowser lief untereinander einen Masterbrowser ausgehandelt haben (hieß das nicht election) und das dann einfach so ohne weiteres funktioniert hat. Mit einem kleinen Script habe ich alle per net view angezeigten PCs durchgesucht, bei keinem steht etwas von Masterbrowser. Wenn meine Vermutung stimmt gibt es jetzt aktuell, warum auch immer, keinen Masterbrowser und somit keine PCs in der Netzwerkumgebung. Funktioniert vielleicht dann irgendwann mal wieder und dann mal wieder nicht. Kann das sein? Frage 2: Was ist den "best practices" um die PCs zuverlässig in der Netzwerkumgebung anzuzeigen? Wie macht ihr das? Firewalleinstellungen, Ereignisanzeige habe ich alles durchsucht. Da gibt es keine Hinweise warum das auf einmal nicht mehr funktioniert. Vielen Dank und eben so viele Grüße

Die Anforderungen habe ich mir überlegt. Es ist tatsächlich so, dass ich "nur" die URLs filtern will. Mir gefällt nicht, dass bei einer Portfreigabe /ecp usw. auch erreichbar ist. Aber du hast recht. Ich habe mich etwas durch verschiedene Foren gelesen. Es gibt oft Tipps wie, schalt diesen oder jenen Schalter an. Diese Schalter haben dann meist die Namen PassThrough, XY ignorieren. Dann habe ich einen Reverse-Proxy nur um einen zu haben. Bleibt die URL Filterung. Ich muss da noch schlauer werden. Vielleicht werde ich einer der üblen Portweiterleiter.

Hi, da hake ich doch nochmal nach. Könntest dur mir das kurz erläutern, warum die Sicherheit nicht zwingend erhöht wird? Deine Meinung passt dazu: Lt. einem Blog von MS https://blogs.techne...y-as-you-think/ ist ein Reverse-Proxy nicht mehr nötig. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Evtl. ist ein Reverse-Proxy für den Exchange tatsächlich nicht mehr notwendig und ich wäre mit einer einfachen Portfreigabe ein Earlyadopter :cool: . Schönen Abend

Hi, ich musste mich auch schon mal damit beschäftigen. Die Anwendungswiederherstellung ist die einzig supportete Variante um einen Exchange mit wbadmin zu sichern (https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.aspx). Dazu muss das gesamte Volume gesichert werden. Man kann auch nur die DB sichern (*duck*), aber dann sollte man die Wiederherstellung üben.