MurdocX

Klar. Das einfachste Beispiel ist "local service" oder "Lokaler Dienst" unter den Diensten. Die Dienste werden demensprechend in ihrem eigenen Kontext ausgeführt. Der Name des Dienstes ist auch gleichzeitig der "Virtuelle Account". Dieser kann zum Beispiel auf gewisse Dateien/Ordner berechtigt werden.

Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst. Schau mal hier: Group Managed Service Accounts Overview | Microsoft Learn Getting Started with Group Managed Service Accounts | Microsoft Learn Warum ist die Frage nicht einfach zu beantworten? Es gibt mehrere Service-Typen. Jeder hat seine eigenen Bedingungen und Einsatzszenarien. Service Accounts | Microsoft Learn Virtuelle Accounts Managed Service Account Group Managed Service Account Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile) VG, Jan

So verstehe ich das auch. Laut Dokumentation (ich kanns gerade nicht validieren) wurden die Standard-Einstellungen der DDCP verändert. Hier muss jetzt alles kontrolliert werden. So würde ich es jetzt machen: Signing auf den DCs wieder aktivieren Signing auf den Servern forcen Signing auf den Clients forcen

Es genau anderst herum Signing erfordert nur der DC in der Standardeinstellung. Microsoft network server Digitally sign communications (always) - Windows 10 | Microsoft Learn

Das ist sportlich ;) Ich würde wetten, dass diese die wenigsten kennen geschweige denn eingesetzt haben. Ich würde hier den GPO weg gehen, weil ich mit meinen Kollegen morgen noch sprechen möchte

14 Zeichen länge, Komplexibilität ✅, 24 Passwörter in der Historie und eine Dauer von 365 Tagen ist im guten Rahmen. Das funktioniert gut. Unabhängig des anderen Themas ;)

Hier wäre etwas für 2019. Kam wohl mit dem SU vom April, wenn ich das richtig interpretiere. Hotfixupdate für Exchange Server 2019 und 2016: 23. April 2024 (KB5037224) - Microsoft-Support How to configure Exchange Server on-premises to use Hybrid Modern Authentication - Microsoft 365 Enterprise | Microsoft Learn

Wichtig ist das der Druckertreiber auf dem Server identisch zu dem auf dem Client ist. Eine Fehlermeldung aus dem Log ist hier sehr hilfreich, sonst müssen wir raten.

Da haut @testperson aber einen raus Ich sehe hier diese Wege: (siehe oben von Kollegen) Default Block auf den ausgehenden Verkehr -> "Allow" RDP-Regel erstellen und IPs dort freigeben -> Eine Block-Regel lässt sich leider nicht aufgrund von Remoteadressen beschränken, eine Allow-Regel schon. Alle anderen möglichen Inbound-RDP Verbindungsmöglichkeiten der Servernachbarn kontrollieren Netzübergreifend die Verbindungsmöglichkeiten an der Firewall steuern

Ich kenne das Problem mit dem DSLight-Anschluss auch. Das letzte Problem mit dieser Art von Anschluss hatten wir tatsächlich vor Jahren.

Hallo, haben wir bei unserer RDS-Farm bisher nicht gehabt. Schon mal das Profil des Benutzers erneuert? Oder ist das Problem Random? Ich kenne das noch von einer betreuten Terminalserver-Farm von 2003 und 2008 Und ja, jeder TS wurde jede Nacht Neu gestartet und die Probleme waren weg. Fairerweise war der RAM bei allen Servern unterdimensioniert und es wurde viel ausgelagert. VG, Jan

Nein, sonst hätte ich es ja nicht erwähnt ;) Ausprobieren und unterschied erkennen. Ein feiner, aber wichtiger Unterschied.

Hallo, helfen könnte noch: Den Dienst auf "Verzögerten Start" zu stellen Network location awareness not detecting domain network from offsite location - Microsoft Q&A

Man brauchst halt immer etwas Zeit und Motivation sich dort reinzukämpfen. Wenn das Grundkonstrukt mal im Hirn verankert ist, dann läufts auch mit .... den Nodes

Wir haben jetzt hier ein kleines "kuddel muddel". ;) Mach bitte folgendes: Entferne "Authentifizierte Benutzer" unter der Delegierung. Entferne "GPO-User-Onedrive" aus der Sicherheitsfilterung Füge "Authentifizierte Benutzer" der Sicherheitsfilterung hinzu Dann sollte es auch klappen. Tipp: Filtere, wenn du dir nicht sicher bist, indem du die Benutzer in eine separate OU verschiebst und dort die GPO verlinkst (anwendest). Dann kann erstmal "Authentifizierte Benutzer" stehen bleiben, ohne weitere Auswirkungen für andere Benutzer. Solltest du dir sichererer sein, dann in die Produktiv-OU verknüpfen. VG, Jan

Hallo, Ja, die Berechtigungen sind nur vererbt. Suche die Basis-OU und entferne die gesetzten Einträge aus der Sicherheit. Damit werden sie auch von den unterliegenden Objekten entfernt. VG, Jan

Hallo, es gibt die Möglichkeit "Auf das Netzwerk warten" als GPO. Wurden unter den DNS-Einstellungen der aktiven Netzwerkkarte ausschließlich Domaincontroller für die Clients hinterlegt? Oder finden sich bspw. die Firewall oder andere DNS-Server in der Liste? VG, Jan

Hallo, ich würde folgendes machen: mstsc.exe öffnen IP -> besser den DNS-Namen verwenden Benutzernamen eintragen Reiter "Allgemein" -> "Speichern unter" wählen und die Datei ablegen. Datei zentral ablegen und eine Verknüpfung auf die Datei via GPO verteilen. Vermutlich ist diese Lösung nicht nachhaltig, wenn der RDS eingesetzt wird. Anhand deiner Anfrage und Anforderung kann ich das leider nicht beurteilen. VG, Jan

Hallo @Rubinrot, willkommen im Forum. Für dieses Szenario möchte ich dir ein kleines, kostengünstiges und effizientes NAS empfehlen. Das ist genau dafür gemacht und tut was es soll. Schnell und Effizient. Ein Windows 10 PC kann durch, viele verschiedenste Konstellationen oder Anwendungen, nicht funktionieren oder seinen Dienst einstellen. Empfehlen würde ich das nie. Für einen Testaufbau würde ich folgendes konfigurieren: Erstelle einen lokalen Benutzer, der für den späteren Zugriff von einem anderen PC auf die Freigabe genutzt werden soll Erstellen einen Ordner Berechtige den erstellten Benutzer mit "Ändern" auf dem Ordner (unter Sicherheit) Gebe den Ordner frei und setzt die Freigabeberechtigung auf "Jeder" mit "Ändern" VG, Jan

Hallo @xrated2, leider ist in deinen Screenshots nicht zu erkennen, dass das Feedback der Kollegen umgesetzt wurde. Wo ist der PC (nicht der Benutzer) oder die PC-Gruppe in der Sicherheitsfilterung (oder Sicherheit) der die Benutzer-Richtlinie lesen darf? Das passt so. In der GUI wird das leider nicht klar dargestellt (Lesen -> Ohne übernehmen; Lesen (durch Sicherheitsfilterung) -> mit übernehmen) VG, Jan

Sobald ich etwas vorzeigbares habe, gib ich Dir bescheid. :)

Der Connector nutzt die REST-API-Schnittstellen der Firewalls direkt. Benötigt wird hier nur ein readonly API-User oder ein generierter Token für die Abfragen. Ein Import aus einem anderen Dateiformat, statt der FW direkt, wäre auch möglich. Oder der Export der Regeln aus der FW in ein Dateiformat. Falls du Vorschläge hättest, gerne her damit. Das Projekt werde ich auch auf GitHub veröffentlichen, um die nötige Transparenz zu geben.

Aktuelle schreibe ich den Connector für die FortiGate/FortiManager. Für die SophosXG ist er schon fertig. Ich sehe in Unternehmen 300+ Firewallregeln. Eine Visualisierung kann hier etwas mehr Transparenz bringen und Konfigurationsfehler aufdecken. Es wird verschiedene Ansichten geben, um hier unterschiedliche Fokusse setzen zu können. Bisher gibt es AFAIK kein Tool das dies so abbildet. Selbst Bloodhound macht das nur auf Identity Basis.

Das ist ein sehr frühes Beispiel, wie das Visualisieren von Firewallregeln aussehen kann. Es lässt sich auch einfach erkennen, welchen Weg ich gehen kann, um einfach an mein Ziel zu kommen. Das soll bei einer Analyse des Netzwerks helfen. Ein Beispiel wäre das hier:

Hallo @Squire, danke für deinen Input. Leider bietet das Tool nicht das was ich benötige. Mittlerweile habe ich mir mittels GraphViz selbst ein Tool zum Abholen und Anzeigen der Daten. Ich hatte schon vermutet, dass das Thema wohl etwas zu speziell ist VG, Jan