cj_berlin

Moin, geplanter Task, der sich selber löscht. Kann als GPP eingestreut werden.

Aber nicht jede Hand hat dabei die freie Auswahl von 88 Tasten. Und ob's durch die Lizenzbedingungen von Steinway abgedeckt ist...

Wenn ich das richtig verstehe, ist es Physik

Das wäre die Keule Aber man kann ja immer sehen, wohin der Rechner kommuniziert, NETSTAT und so. Man kann auch am Fileserver sehen, welche Dateien geöffnet sind.

Moin, Namespaces haben mit Replikation nichts zu tun. DFS-N vs. DFS-R. Wenn DFS-N falsch konfiguriert ist, könnte evtl. eine Workstation auf Datein über VPN zugreifen wollen, das lässt sich aber recht schnell herausfinden. Replikation sollte bei Performance keine Rolle spielen, wenn der Zugriff in allen Fällen innerhalb des Standortes bleibt.

für welchen Unsinn zahlst Du denn 180 €/Stunde? Frage für einen Freund Ich hatte 10k Platten (doppelte Höhe - das waren vielleicht Monster) in meinen Servern in 1997. 15k weiß ich nicht mehr, vielleicht gab's die auch schon als FC für den geneigten IBM-Kunden

Das hat's ja dann auch gerettet - die CPU hatte nicht so viel zu tun

Nein, da wird nichts beschädigt. Es war auch nie eine feste Größe, sondern eher ein Richtwert. Was würden denn Orgs mi 300.000 Usern machen, sich DCs mit 300 Kernen bauen?

Sorry, das hat hier NIEMAND gesagt. 5 Device CAL reichen für 5 User, wenn sie insgesamt max. 5 Devices haben . Wenn Du ein Büro mit 5 Clients hast und nur von dort mit RDS gearbeitet wird, dann können auch 500 Leute kommen, und die 5 Device CALs reichen trotzdem. Wenn Du 3 Leute hast und jeder hat Desktop, Notebook, Tablet, Smart Fridge und Smart TV und möchte von all diesen Geräten auf RDS zugreifen, brauchst Du 15 Device CALs (oder 3 User CALs, dann aber Active Directory).

Diese Einstellung sollte aber doch unabhängig von der Version gelten...

Was ist denn die aktuelle Meinung von CIS? Schon lange nicht mehr geschaut...

DREI verschiedene CPUs in einerm Rechner? Das ist geil.

Moin, https://www.manning.com/books/learn-powershell-scripting-in-a-month-of-lunches

10.x.y.z ist ein klassisches privates Netz

Dabei bräuchtest Du ja eigentlich "Remoteverwaltungsbenutzer", die genau dafür da ist - aber eigentlich auch schon zu hoch privilegiert :-( Und wenn die Firewall genau das tut (Workstations per IP-Adresse über WMI ansprechen) dann verheiratest Du dich halt für immer mit NTLM, nur um einen Logoff zu erkennen. Was ist denn die konkrete Bedrohung, die mit diesem Mechanismus abgewendet werden soll? Dass jemand sich nach Feierabend die IP vom Kollegen reinspooft und auf irgendwelche hochgeheimen Internetseiten zugreifen kann, wo der Kollege hin darf und der Spoofende nicht?

wscad, steht im OP @ag1 Wenn Du einen Server 202x mit einer verbauten Grafikkarte hast, kannst Du diese per DDA an die VM schleifen, und hast dann in der VM eine Grafikkarte. Herstellertreiber drauf, und schon hast Du OpenGL und Grafik. Ansonsten ist der Hinweis auf Guest Additions korrekt, ohne diese gehen alle erweiterten Features, so auch die 3D-Beschleunigung, nicht.

Moin, lass mal Daniel auf dem Terminalserver diesen ausführen und schau, ob da irgendwelche Claims sind, die da nicht sein sollen: [Security.Principal.WindowsIdentity]::GetCurrent().Claims | Select-Object -Property Issuer, @{'l'='Type'; 'e'={$_.Type.Split('/')[-1]}}, Value und dann natürlich gern den DanielCopy dasselbe machen lassen und vergleichen

Was @daabm sagt. Least Privilege für STAS ist nichts für Leute, die ein Leben haben.

Moin, speziell für AVD weiß ich es nicht, aber normales RDP versucht immer eine direkte Verbindung, bevor es zu anderen Mitteln greift, um zu bestimmen, ob RD Gateway benutzt werden soll. RDP Shortpath in AVD (erkennst Du am UDP-Traffic) wird auch nur direkt ausgeführt, am Proxy vorbei. Vielleicht habt ihr das ja aktiviert?

Trumpf ist immer wieder ein Ärgernis. Schaut man auf deren Werbung, muss man meinen, dass sie das 21. Jahrhundert bereits hinter sich gelassen haben. Mein ehemaliger Arbeitgeber hat sich mal für ein AD- und Exchange-Review dort beworben, der Fragebogen zur Person des vorgeschlagenen Consultants war deutlich schlimmer (und wesentlich umfangreicher) als der für die Sicherheitsüberprüfung II. Ich kann nicht beurteilen, ob die Maschinen wirklich so geil sind, aber EDV können die Brüder einfach nicht - vor 25 Jahren nicht, und heute immer noch nicht. Aber ich war auch bei einer Ausschreibung dabei, zu der Trumpf aus genau diesen Gründen nicht zugelassen wurde. Manchmal gibt's auch Gerechtigkeit auf der Welt...

Kannst Du mal zur Probe den Cache Mode auf einem der PCs abschalten?

Nein, bist Du nicht. Das müsstest Du auch als Anwendungsentwickler wissen, wenn Du für Windows entwickelst. UAC kann man entfernt mit sudo vergleichen - Du hast das Recht, dir Adminrechte zu nehmen, aber Du hast sie (d.h. Privilegien in Deinem Token) nicht von vornherein in Deiner interaktiven Sitzung. Deine Einstellungen (ja, es sind die Richtigen) sind soweit in Ordnung. Wenn der Screenshot aus dem GPResult kommt natürlich Versuch's zu Sicherheit von einem Member mit installiertem AD-RSAT aus. Falls das auch nicht hinhaut, schau nach den Berechtigungen auf Domänen-Ebene, die ich vorhin erwähnt habe.

Du meinst, wegen UAC und so? Ja, gute Frage. @lindner wenn Du direkt auf dem DC hockst, musst Du die Werkzeuge, mit denen Du das AD bearbeitest, "Als Administrator" starten. Vermutlich hast Du bei Deinem BSI-Durchlauf die Benutzerkontensteuerung für DCs auf "Automatisch verweigern" gestellt. Noch ein Grund, sich nicht interaktiv auf DCs anzumelden

Moin, die beiden Häkchen sind aber zwei verschiedene Attribute. "Muss Kenwort ändern" ist pwdLastSet (setzen --> 0, entfernen --> aktueller Zeitstempel), "Kennwort läuft nicht ab" ist ein Bit in userAccoutControl. Wenn im "Effektiven Zugriff" tatsächlich grüne Häkchen fürs Schreiben dieser beiden Attribute zu finden ist, schau Dir die effektiven Berechtigungen desselben Users am Root-Knoten der Domäne. Dort gibt es spezielle Berechtigungen wie "Unexpire Password", die auch verweigert werden könnten. Vielleicht wirst Du da fündig.