jarazul

Wo liegt denn die AD? Im internen LAN? Wenn ihr eure PKI nicht nur so "zum Spass" habt, solltet ihr diese schützen. Richtig schützen. Zieh die PKi ruhig von 2k3 auf 2k8R2 aber installiere Sie nicht auf dem Server der am Internet hängt. Internet <> (Firewall) DMZ (Firewall) <> Intern TMG als Firewall in der DMZ ist plausibel. Die PKI würde dann in dem internen Netz stehen.

Ich verstehe das richtig: Eure Unternehmens-PKI läuft auf der Firewall die direkt am Internet hängt?

Psexec ist dir bekannt?

Was sind denn die Anforderungen an die virtuellen Desktops? Wie wird auf diese zugegriffen? Was sind Use- und Business Cases? Wenn man diese und weitere Fragen kennt, und die richtigen Antworten erhält, kann man eine VDI Lösung aussuchen. cheers, Daniel

Sorry, grad noch mal geschaut. Applocker ist Computer Policy, nicht Users. Mit nur einem Objekt und somit einer Policy, müsste ich das auch erst in meinem Demolab testen.

Ich bin mir nicht ganz sicher, glaube aber, dass ich so etwas schon erfolgreich implementiert habe. - Domain - Computers OU (hier die Applocker Deny) - ComputersAbteilung 1 (hier die Applocker Allow) - Computers Abteilung 2 (hier keine Applocker Allow / Applocker Deny wird vererbt) Hast du das nach diesem Schema schon ausprobiert? cheers, Daniel

Ich glaube der Fehler liegt zwischen Executive und Chairman, da ist ein Komma. Soll das so?

Es ist ja die eine Sache ob euer IE mit nicht veränderbarem Proxy ins Internet geht, das ist gut so. Die Frage ist doch, kann der Client auch ohne Proxy über das Default Gateway ins Internet? Falls ja, bist du gegenüber einer portablen Firefox-Installation nicht sicher. Die portable Version hat die Proxybeschränkung nicht und geht über das Default Gatway einfach raus. Mit Applocker kannst du z.b den File Hashwert von einer Datei (bemerke das müsstest du bei sehr sehr vielen Versionen etc machen, sehr ungünstig) als "verboten" deklarieren. Du kannst auf der anderen Seite signierte exe-Dateien auf Ihre Signatur hinerkennen und diese dann verbieten. Z.B könnte eine Applocker-Rule dafür sorgen, dass alle von der Mozilla Foundation signierten exe-Dateien als "verboten" deklariert sind. Mit Windows 7 hast du sicherlich ein gutes Dutzend an Ansätzen wie du eine ordentliche Client Security implementieren kannst. Möglich wäre z.b - Client PCs können nur über den gemanagten Proxy ins Internet, es findet eine Authorisierung statt - per Applocker werden div. Executables verboten, Regeln sind Hash Werte und Publisher - per Bitlocker werden nur vom im Unternehmen verschlüsselte USB Sticks erlaubt usw usw cheers, Daniel

Gibt es für die Domains Domain1-Domain3 schon authoritive DNS Server? Falls nein. Auf einem Host DNS Rolle installieren, pro Domain eine primäre Zone erstellen. In der Zone jeweils einen A Eintrag für den Webserver.

Wenn ihr eine habt, ja klar. Sign an Excel macro with a certificate issued by your enterprise PKI Digital Code Signing Step-by-Step Guide

Ihr könnt SelfCert benutzen. Das ist bei Office Professional dabei, bei Standard o.ä weiß ich es nicht. Signing your own macros with SelfCert.exe | HowTo-Outlook

Ist nicht versteckt, heißt AppLocker und ist das was unter 2k3 die Software Restricition Policies waren / sind. Um das ganze mal lösungsorientierter zu betrachten. Was heißt denn "dürfen ins Internet"? Portable Apps ist eine Möglichkeit auf einem USB Stick z.b ein Firefox oder ähnliches zu installieren. Mit dem reinen Verbot vom Ausführen von Executables, wirst du nur sehr schwer zu einem Ziel kommen. Ob ein Benutzer ins Internet darf, sollte ein Proxy-Server entscheiden, nicht die Executable auf dem Client. cheers, daniel

Du willst dir MDT 2010 Update 1 angucken und testen. Das löst deine benannten Probleme und eröffnet dir einen ganzen Sack voller "WOW-Features". Für umsonst bei Microsoft Download zu finden. cheers, Daniel

Group Policy Preferences > Computer Settings > Registry Key > Update als Methode. Dann benötigst du kein Script oder ähnliches. cheers, Daniel

Anwender sind lokale Admins, AI3 Skripte zur Softwareinstallation, UAC deaktivieren. Ich kann dir gar nicht sagen, wie viele Punkte du auf der "Bastel-IT Skala" erreichst ;) cheers, Daniel

Der einzig vertretbare und wirklich ernstgemeinte Rat kann von professioneller Seite nur dieser sein: Holt euch professionelle Hilfe. Welche Rolle spielst du in diesem Szenario? Du sprichst von "die IT stellt...." bist du kein Mitglied der IT? Bist du Dienstleister? cheers, Daniel

So wie von mir beschrieben, habe das ganze soeben in nicht einmal 3 Minuten ausprobiert. - Task anlegen - Ping auf Nachrichten - Aktuelle News, Hintergründe und bildstarke Reportagen | STERN.DE (194.12.192.65) - Host-Datei ändern auf 1.1.1.1 Nachrichten - Aktuelle News, Hintergründe und bildstarke Reportagen | STERN.DE - Task ausführen - Ping auf Nachrichten - Aktuelle News, Hintergründe und bildstarke Reportagen | STERN.DE (1.1.1.1) Anstatt dass du x Antworten schreibst, einfach kurz ausprobieren. Ist doch nicht so schwer. cheers, Daniel

Sind deine Anwender denn lokale Administratoren?

Du erkennst das, in dem du die Web-Anwendung oder den dazugehörigen Domain Controller analysierst. Wurden die Benutzerkonten von Domäne A irgendwann einmal zu B kopiert, oder umgekehrt? Die SID-History ist ein User-Attribut das oft bei Migrationen eingesetzt wird. Wenn ihr keine Migration gemacht habt, habt ihr wahrscheinlich auch kein gesetztes SID-Attribut bei den Usern. Ob es vernünftig wäre, ein Authentifizierungsproblem mittels manuellem SID-History transfer zu lösen, bezweifle ich ganz stark. Das Problem liegt bei der Web-Anwendung. Du kannst versuchen der Anwendung beizubringen mittels Kerberos zu authentifizieren oder, du schaust dir das AD FS an wenn zwischen den Domänen kein Trust besteht. Das wurde genau aus diesem Grund entwickelt. Erzähl uns doch ein bisschen mehr z.b Haben die Domänen einen Trust? Wurde die Objekte der einen Domäne seiner Zeit zu der anderen migriert? Sind es selbst programmierte Web-Anwendungen? cheers, Daniel

Hier findest du alle Infos: Windows Server 2008 R2: Downgrade Options and Rights Beachte den Part: Obtaining Product Keys and Media for Previous Versions

Hallo Andreas, Wie Doc Melzer schon sagte, suche dir einen Dienstleister. Dein Problem wird ja nicht nur sein, dass du nicht genau weißt wie du vorgehen sollst, sondern auch, dass du nicht genau weißt was du möchtest. Und genau für das Erkennen und Definieren von Anforderungen, dafür sind die Dienstleister da. Die Umsetzung der Anforderungen, gehört dann natürlich auch dazu. Den Dienstleister kannst du dann bei seiner Arbeit beobachten und ihn ganz ganz viele Löcher in den Bauch fragen. Er wird dir sogar eine Dokumentation erstellen und später, gegen Einwurf kleiner Münzen, für Rückfragen zur Verfügung stehen. cheers, Daniel

Genau richtig überlegt. Eine GPO mit mehreren GPP Items. Auf die Items dann Item Level Targeting. Habe dies bei Kunden die über dutzende (!) Loginskripte nur für die Netzlaufwerkzuweisung eingeführt und die Administratoren Vorort waren aus dem Stauen gar nicht heraus zubekommen. cheers, Daniel

Da Silverlight "verwandt" mit .net ist, sind einige Sicherheitslücken bei beiden Anwendungen zu finden. Vulnerability: MS10-060 - Vulnerabilities in the Microsoft .NET Common Language Runtime and in Microsoft Silverlight Could Allow Remote Code Execution (2265906) cheers, Daniel

Du könntest z.b prüfen ob der DNS-Cache wirklich geflusht wurde. Vor dem Task ein Ping auf einen Host, Task ausführen, HOSTS-Datei ändern, im DNS CNAME erstellen, A Einträg ändern, kannst du dir aussuchen was gerade am besten passt :) und anschließend wieder pingen. Antwortet der neue Wert, hats geklappt. Antwortet der alte, hats nicht geklappt :) cheers, Daniel

Andere Möglichkeit ohne Ausblenden wäre folgende GPO: Computer>Administrative Templates>System>Anmelden>Standarddomäne für die Anmeldung zuweisen. Damit melden sich die Benutzer zwar nicht mit dem UPN an, sie melden sich aber immer an der Domäne an. cheers, Daniel