daabm

Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern. Das Kleingeld für entsprechende Tool-Unterstützung geben aber die wenigsten aus, und manuell ist auf Dauer nicht durchsetzbar.

Da kriegt jm2c ne ganz neue Bedeutung

Wenn Du das $userobject erstellst, hast Du ein Objekt. Das fügst Du Deinem Array hinzu. Dann änderst Du Eigenschaften davon - im Array ist aber immer noch das eigentliche Objekt. Und wenn Du das erneut hinzufügst, ist es jetzt halt zweimal drin. Du mußt schon bei jedem neuen User eine neue Instanz erstellen... Insofern: @testperson hat's schon richtig beschrieben. Nachtrag: Das gleiche "Problem" hat man auch, wenn man Kopien von Objekten erstellen möchte. $MyObject = [PSCustomObject]@{ Name = "Test" } $MyCopy = $MyObject $MyCopy.Name = "Geändert" $MyObject.Name $MyCopy2 = $MyObject.PSObject.Copy() $MyCopy2.Name = "Geändert" $MyObject.Name Viele glauben, daß $MyObject.Name immer noch "Test" wäre. Ist es aber nicht, denn $MyObject ist identisch mit $MyCopy. In der Variablen steckt das gleiche Objekt. Du mußt ein neues Objekt erstellen, entweder wie in meinem Beispiel durch Kopieren oder wie bei Dir durch ::new()

MACVLAN comes to mind... Gib den Docker-Containern eine eigene IP.

Ojeh... BMC Atrium Device Discovery Manager Ich schmeiß die Wolke wieder weg, die schmeckt so fad... 🍺

Mimimi... Ein Leerzeichen ist genauso ein vollwertiges Zeichen wie \ oder /, Die meisten "Strings" in AD sind Unicode. Daß es fast 25 Jahre später immer noch Drittanbieter-Software (und natürlich custom Admin Skripts/Workflows) gibt, die damit nicht klarkommt, ist viel nerviger

Ja, das ist auch falsch dokumentiert - zumindest war das mal so. Die Doku behauptet, wenn der Pfad ein Verzeichnis wäre, gilt die Regel für alles in diesem Verzeichnis. Tut sie aber nicht.

Und damit wir da jetzt weiterkommen: powershell "$Results=[Collections.Arraylist]::new();$ApplockerPolicies=Get-AppLockerPolicy -Effective;Foreach($ApplockerPolicy in $AppLockerPolicies){Foreach($RuleCollection in $ApplockerPolicy.RuleCollections){Foreach($Rule in $RuleCollection){Try{$UserOrGroup=$Rule.UserOrGroupSid.Translate([System.Security.Principal.NTAccount]).Value}Catch{$UserOrGroup=$Rule.UserOrGroupSid.Value};Switch($Rule.GetType().Name){'FileHashRule'{$RuleValue=$Rule.HashConditions;break};'FilePublisherRule'{$RuleValue=$Rule.PublisherConditions;break};'FilePathRule'{$RuleValue=$Rule.PathConditions;break};Default{$RuleValue='*** Unknown rule type ***'}};$Result = [PSCustomObject]@{Name=$Rule.Name;Description=$Rule.Description;RuleType=$RuleCollection.RuleCollectionType;Account=$UserOrGroup;Type=$Rule.GetType().Name;Action=$Rule.Action;Value=$RuleValue -join ','};[Void]$Results.Add($Result)}}};$Results" Sammelt alle aktiven Applocker-Regeln (allerdings ohne evtl. vorhandene Ausnahmen - dann wäre der Output etwas unübersichtlich geworden). Nur wenn Du Auditing auf "Process Creation" aktivierst. Viel Spaß beim Auswerten

Wo ich mir diesen OP grad noch mal durchlese - das scheitert ja schon daran, daß es keine Authentifizierung für Remotezugriffe in einem Netzwerk-Range gibt. Entweder das System ist in der Domäne und ich hab einen entsprechend berechtigten User, es ist in einer Workgroup und ich hantiere mit dezentralen ("verteilten") Credentials oder ich habe einen Agent darauf laufen... Alles diffus, ich pflück mir jetzt mal eine ☁️

Deine Beschreibung hakt schon bei "OU auswählen" - dsa.msc, ADAC, sonstige Oberfläche? Den Screenshot deiner Fehlermeldung kann ich nicht zuordnen.

Hat @cj_berlin doch oben schon alles geschrieben... In der gleichen OU muß der CN eindeutig sein. Und die Fehlermeldung war schon klar. Unklar ist, was genau Du machst, um den Benutzer anzulegen.

Hab die Woche schon zweimal den Vollautomat entkalkt... Beide Male nicht rechtzeitig dazu gekommen, Step 2 einzuleiten (Wasserbehälter spülen und mit Wasser füllen) -> Abbruch -> "Dringend entkalken". Heute endlich geschafft mit einer Fake-Entkalkung nur mit Wasser. Zum Glück können die Dinger noch nicht feststellen, ob wirklich Entkalker im Wasser ist

Ohne genaue Kenntnis Deiner aktiven Regeln kann das niemand seriös beantworten

Die meisten machen sowas mit Tools, die das fertig mitbringen Remote-Inventory ist ja keine neue Aufgabe.

Bei der Nachvollziehbarkeit verlassen wir uns auf Splunk Die Eventlogs unserer DCs laufen - trotz 4 GB - nach ca. 3-5 Stunden über, weil alle möglichen Services Auditing von diesem und jenem haben wollen.

/force vergessen... SCNR

"Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management".

So ist das hier auch - wir haben Hunderte von Terminal Servern (Citrix, nicht RDS, aber das Grundproblem ist das gleiche). Die werden alle wechselnd jede 2. Nacht gebootet.

Wir deaktivieren und archivieren. Gelöscht wird nicht. Zu viele Rückfragen wegen verwaister SIDs in irgendwelchen ACLs... Wo Norbert das her hat, würde mich aber auch interessieren - wir sind KRITIS, ich hab davon noch nichts gehört.

Freitag vorbei, Licht aus

Bin bei @cj_berlin # for hex 0x80090311 / decimal -2146893039 : SEC_E_NO_AUTHENTICATING_AUTHORITY winerror.h # No authority could be contacted for authentication. Da klappt was mit DNS nicht. Oder die NW-Verbindung von dem Client hat ein Problem.

@Nobbyaushb smells like spam...

300 GB im FAT-Format? Egal, wenn nur die FAT kaputt ist, kriegt man das mit gängigen Tools wieder hin. Wichtig wäre, den Inhalt zu dumpen und nicht auf dem Original "rumexperimentieren".

Hab rumgefragt - niemand erinnert sich daran. Kann auch sein, daß sich das zwischen MSA und gMSA unterscheidet, wir nutzen nur noch gMSA. Und das funktioniert auch ohne Schreibrechte auf dem AD-Account. Im Zweifel würde ich die SACL aktivieren und nachschauen, was da geblockt wird.

Wenns wichtig ist frag ich rum - wir haben das wohl im DefaultSD von gMSA angepaßt, weiß nur nicht was genau weil ich nicht dran beteiligt war...