daabm

Ja, Daniel - Du hast grundsätzlich Recht. Java und Flash gibt's bei mir nicht mehr, User haben keine Schreibrechte, aber gegen Buffer Overflows kann ich natürlich auch nichts machen. Ich halte die Kombi AppLocker/EMET trotzdem für weit wirkungsvoller als Avast/Symantec - und zwar auch auf lange Sicht. Drive-by funktioniert ja auch nur, wenn ich das zulasse (bzw. nicht verbiete)- also blocken wir irgendwann noch Downloads und Javascript im Browser. Um uns dann überrascht mit HTML5-Lücken herumzuschlagen :rolleyes:

Bei Pro bleibt Dir nur "Software Restriction Policies" - für AppLocker brauchst Du Enterprise/Ultimate. Gehen tut beides, AppLocker ist "etwas" komfortabler, da er einen "Planning Mode" hat und für Normaluser einfacher zu konfigurieren ist.

Ja, weil die Bank selber - nicht weiß, daß das nicht hilft - nicht weiß, daß es SRP/AppLocker gibt und daß Whitelisting der einzige wirksame Schutz ist Hier seit Jahren aktiv und ohne Probleme - und ich schlafe seither ruhiger, wenn die Familie mir ab und zu Mails mit "Details im Anhang" zeigt :D

Humor stirbt zuletzt :thumb1:

Schick den Supporter mal bei evilgpo.blogspot.com vorbei... Oder direkt bei mir :jau: Klar ist AGGU überzogen, aber es ist "nachvollziehbar". Du kannst prinzipiell auch auf AGDLP verzichten, aber was machst Du, wenn dann von der Seite mal ein Trust zu einem fremden Forest daherkommt? Unsauber :nene: Das wichtige daran ist nicht AGDLP, sondern "wenigstens überhaupt ein dokumentiertes und konsequent umgesetzes Konzept".

Gottseidank ist bei Umgebungsvariablen Groß/Klein egal =o) Du meinst "Ich habe es in eine Gruppenrichtlinie eingetragen und diese verknüpft"? Wo verknüpft? Wie genau eingetragen? Was sagt "gpresult /h report.html & report.html" über den Erfolg dieser Aktionen? Was steht ggf. im Eventlog "Group Policy" zu Deiner GPO und zur Ausführung von Anmeldeskripts drin?

...ym2c: "Logonskript im AD beim User" - schau Dir lieber mal GPOs an - da geht das komfortabler. Und IMHO gehören Skripte immer in das lokale Dateisystem des jeweiligen Computers, damit sie nicht übers Netz ausgeführt werden, aber da wollen wir jetzt nicht drüber philosophieren.

...und für NTFS-Berechtigungen geht "icacls" eigentlich ganz gut :cool: Wenn man sich nicht mit der Syntax von setacl beschäftigen will...

Hm - da kann ich nur "Viel Glück" wünschen... Problem ist wirklich, daß es bei "Multi Komponenten Changes" schwer ist, Verantwortliche oder auch nur Zuständige oder wenigstens Hilfsfähige zu finden...

Warum? Stimmt doch :jau: SCNR... Ja ich weiß schon, mein Chef hasst mich auch manchmal dafür...

Welches OS hat denn der "bestimmte Computer"? Wenn das nicht Windows 8 ist, sollte Dir das AppMgmtDebugLog helfen... http://technet.microsoft.com/en-us/library/cc775423%28v=ws.10%29.aspx (In Windows 8 und neuer ist das leider kaputt und protokolliert nichts mehr...)

Du fragst manchmal einfach komische Fragen :cool: Ja, natürlich - weil es die einzige anständige Lösung ist, wenn es um saubere Delegation mit einem Rollenmodell geht. Und weil es Forest-übergreifend funktioniert. Und falls es für Dich relevant ist: Es gibt auch noch AGGUDLP...

Saublöde Idee, sorry.... Alles auf einmal, und wenn hinterher eine Komponente nicht mehr funktioniert, schiebt jeder Beteiligte die Schuld auf einen anderen. In dem Boot wollte ich nicht sitzen...

Wo Du Gruppen sammelst, ist völlig egal, wenn kein Exchange im Spiel ist... GPOs wirken nicht auf Gruppen, und wenn Du keine Berechtigungen delegieren mußt, dann erstelle einen Container "Sinnlose Gruppen" und steck sie da rein :D

So isses... Meine Lieblingsartikel dazu: http://evilgpo.blogspot.de/2012/02/loopback-demystified.html http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx Sollte jeder mal gelesen haben. Vor allem die Empfehlung von Kim: Recommendations for using loopback [...] 1. Don't use loopback :-)

Wenn er nur "mal reinschauen" soll: Entweder wie schon geschrieben "exportieren" oder für alle einen HTML-Report erstellen und den weitergeben. Geht mit Powershell recht einfach... (Müßte jetzt selber suchen, aber Du kannst G***e und B***g sicher auch bedienen :p ) Aber wenn das mit der Unterstützung wirklich funktionieren soll, reicht "Lesen" ohnehin nicht aus - entweder Ihr habt Vertrauen, oder Ihr habt keines...

Er meint "Kuchen essen und behalten"... Die Vorteile einer Domäne ohne die Kosten der DCs dazu... :cool:

""Verbindungsspezifisches DNS-Suffix: fritz.box" - da ist noch Raum für Verbesserungen... Und die Serverseite fehlt leider. Geht ein Ping auf den Server- und (!) auf den Domänennamen vom Client aus?

Naja, soviel Aufmerksamkeit setze ich voraus, dass der TO merkt, daß ich .BAT durch .CMD ersetzt habe :cool: Das Prinzip ist ja das selbe...

Mehrere DCs? KDC-Kennwörter out of sync?

Was meinst Du genau mit "werden verschoben"? Gruppenmitgliedschaften habe nix mit OU-Pfaden (aka "Distinguished Name") zu tun, und nur bei den DNs kann man "verschieben". Ein Screenshot wäre ggf. hilfreich :)

Kann es sein, daß er auf dem alten Rechner mit "uralten" cached credentials läuft und daher mehr Gruppen hat als er haben sollte?

...Nachtrag: Winfried hatte den einzig brauchbaren Hinweis - Application Whitelisting. Alles andere funktioniert nicht. Und zwar nicht nur für Exe/Com, sondern natürlich auch für CMD/VBS und alles andere, was ausführbar ist. Spart dann auch schlaflose Nächte, falls der Virenscanner mal was durchlässt... ym2c :cool:

chkntfs /? -> Option /X Das ganze als Shutdownskript...

Jepp - in den Symlinks ist das Recht "Ordner/Dateien auflisten" für "Jeder" verweigert, damit sowas eben keiner mehr macht - da geht nur "mit vollqualifiziertem Pfad aufrufen".