cj_berlin

Ich korrigiere: Jedes Skript, was in eine Allow-Rule fällt, läuft im Full Language Mode. Hier sind nur Default Rules (C:\Windows, C:\Program Files und BUILTIN\Administrators) aktiv PLUS eine Publisher-Rule: @daabm Oder hast Du ein anderes Verhalten gemeint oder beobachtet?

Zu 2. Also *gedacht* ist es wohl schon richtig - Laut Doku (also: gedacht ) sollen signierte Skripte, deren Signierer in AppLocker per Rule berechtigt ist, im Full Mode laufen. Ob das Gedachte tatsächlich so umgesetzt wurde, muss man testen... Finde das Dokument leider gerade nicht :-(

1. wäre ja kein Hindernis, denn man kann im Skript auch gegen die SID der gewünschten Gruppe filtern, die ist ja schnell nachgeschaut. Und ohne Verbindung zur Domäne liefert whoami ja auch nur SIDs. 2. wenn das Skript signiert ist, würde es ja im Full Language Mode laufen - oder?

Was hat Backup mit AD zu tun? Aber mehrere Schedules für verschiedene Bestände in einer Policy (und es gibt im WSB nur eine Policy pro ausführenden Server) halte ich für ein Gerücht. Deswegen wird es auch per PowerShell nicht klappen, sondern Du musst, wie bereits von anderen angedeutet, jeden Zeitplan auf dem jeweiligen Server unabhängig von den anderen eintragen...

+1 Ich habe mir auch inzwischen abgewöhnt, darauf zu klicken oder auch nur danach Ausschau zu halten. Und auf meinem privaten Notebook ist sogar "Desktopbenachrichtigung anzeigen" aktiviert, aber ich kann mich nicht erinnern, sie jemals gesehen zu haben...

Moin, eine Lösung, die zumindest eine einheitliche Plattform (Batch) einsetzt, wäre whoami /groups /fo csv | findstr <Gruppenname> > nul if ERRORLEVEL 0 net use Z: \\server\SHARE Eine Lösung, die gar keine Skriptsprache nutzt, habe ich bereits vorgeschlagen. Ob es sich lohnt, sich mit dem API-Wrapper für PowerShell (und somit ja auch für VBS, ist ja alles P/Invoke) zu beschäftigen, muss ich noch bewerten.

Mein Problem ist doch nicht, *wie* man genügend PowerShell oder VBS um einen DOS-Befehl strickt, damit es tut, sondern *dass* man es machen muss, um etwas zu erreichen, das evtl. mit einem API-Aufruf bessere (z.B. von der Systemsprache unabhängige) Ergebnisse liefert. Und in dieser unseren Zeit ist das Ereignis "powershell.exe spawned a child process" etwas, was regelmäßig für Gesprächsbedarf sorgt.

Moin, etwas, was unformatierten Text, der auch noch Locale-spezifisch ist, auf den stdout ausspuckt, ist für mich ein DOS-Befehl. Es steht nirgends geschrieben, dass "Befehle" ausschließlich als Teil der cmd.exe implementiert sein müssen, es geht also eher um die Art der Eingabe und Ausgabe - UND darum, ob ein neuer Prozess gestartet werden muss, um das gewünschte Ergebnis zu erreichen. Für einen gelegentlichen beaufsichtigten Aufruf durch den Operator mag das Prinzip "lieber sich ums Bewährte verrenken als das Neue debuggen zu müssen" durchaus ökonomisch sinnvoll sein. Wenn man aber Tools baut, die jahrelang unbeaufsichtigt, zum Teil in vorher unbekannten Umgebungen, laufen sollen, sieht die Ökonomie bisweilen anders aus.

Um nicht DOS-Befehle in Skripten aus anderen Sprachen verwenden und deren Ausgabe parsen zu müssen. Aber performance-technisch hast Du absolut recht. Eigentlich müsste man mal schauen, welche API whoami aufruft, und einen Wrapper in PowerShell bzw. VBS basteln.

Kommt vielleicht noch. @BOfH_666 hat sich ja noch nicht geäußert.

Ja. Nicht die memberOF-Funktion in VBS benutzen GPP, oder halt die Funktion erweitern, so dass sie Rekursion benutzt. Oder, wie @NilsK angedeutet hat, whoami und dann die Ausgabe nach der gewünschten Gruppe durchflöhen.

Bedenke jedoch, dass Du, wenn Du einen Mailgateway vorschaltest, die Filterung der zugelassenen IP-Adressen dort machen muss, denn am Receive Connector kommen dann alle mit der gleichen IP an.

Als erstes eine realistische Schätzung treffen (lassen), wann es eine SaaS-Variante des ERP gibt, und wenn die Antwort "nie" oder "irgendwann" lautet (was dasselbe bedeutet, denn das P in ERP steht für Planung ) mir Gedanken um Anbieterwechsel machen. Denn; Wenn eure IT-Strategie eine Umstellung auf SaaS beinhaltet, ist jede "Insel" prohibitiv teuer, da sie keine Ressourcenteilung mit den bereits vorhandenen Diensten zulässt. Ist der Anbieterwechsel noch teurer als jedes Mietangebot (bei ERP durchaus vorstellbar), würde ich schauen, ob man Teile der Leistung, beispielsweise die Datenbank, in PaaS-Angebote auslagern kann. Das macht die verbleibende IaaS-Leistung erschwinglicher und nimmt Dir Administrationsaufwand ab.

Würmer.

so isses.

...aber nur, wenn Du Exchange-Attribute tatsächlich von on-prem in die Cloud synchronisierst,

Nein. Der Sinn ist, dass der User von außerhalb die Anwendung X mit ihren spezifischen Ein- und Ausgaben erreichen kann, nicht, dass seine Maschine SMB und RPC zu Domain Controllern machen kann, nachdem sie im MSHEIMNETZ herumgelegen ist.

Zwei Punkte, und das sind nur die wichtigsten: Maschinen, die zuvor in einem fremden Netz waren, kommen in das eigene. VPN ist meistens TCP, moderne Application Delivery ist meistens UDP. UDP in TCP zu verpacken, bedeutet alle Vorteile von UDP zu verlieren.

Das stellst Du jetzt einfach mal als gegeben hin. Stimmt aber so nicht. In meiner Praxis verfügen nahezu 100% der Umgebungen, auch kleinere (was immer das in meiner Praxis bedeutet), über eine eigene oder eine extern gemanagte PKI... Ob jeder dieser PKIs so gepflegt und gehärtet ist, wie sie sollte, steht auf einem anderen Blatt. Ich vermag halt einfach nicht zu erkennen, wo bei alldem die Schuld von Microsoft oder von jedem anderen Hersteller ist. Bei einem Produkt hat Microsoft es versucht, die Defaults auf Sicherheit zu trimmen: Vista. Was war das Gejammer groß! SCT war nur ein Beispiel. Du hast Dich beschwert, dass der Hersteller keine leicht zu bedienenden Mittel zur Verfügung stellt, Compatibility-bound Defaults in Security-bound Defaults umzuschalten. Das ist die Antwort darauf. Das, ASR und WDAC bringen schon eine ganze Menge. Der Rest ist Aufgabe der Admins. Was wäre denn sonst ihre Aufgabe? Schöne Namen aus dem Disney-Kanon für die Server aussuchen?

...wobei das bei Anwälten noch einmal besonders ist. Wenn sie eine e-Mail-Adresse veröffentlichen, kann jedes Organ der Rechtspflege an diese Adresse zustellen (wurde mir von einem Kunden, selbst RA und Notar, erklärt, als ich für die Kanzlei die Briefvorlage anpassen sollte und fragte, warum die Mail-Adresse nicht drauf ist).

SCT? Verständlicher geht's ja wohl kaum - Backup der GPO einspielen, verknüpfen, fertig. Ach, die 16-Bit-Applikation aus 1998 funktioniert nicht mehr? Nun, Du wolltest "sicher"

Ganz ehrlich? Lass das mit dem VPN sein. VPN war gestern schon Mist. Terminalserver Remote Desktop Gateway Clients, die nicht 100% der Zeit im Office auf dem Tisch sind, kommen gar nicht erst ins LAN und müssen auch nicht in die Domäne. Warum wollt ihr Exchange on-prem bauen? Habt ihr jemanden mit genug Know-How, um das jahrelang zu betreiben? Habt ihr ihn/sie gefragt, ob er/sie das auch möchte? Holt euch Microsoft 365, dann habt ihr, je nach Tarif, Exchange, Teams, SharePoint *und* Management für die Clients, ohne dass sie dafür in die Domäne müssen. Habt ihr mehr davon.

...wobei Zoom im Vergleich zu Teams oder Webex ja noch geht... Dennoch kein Vergleich zu TeamViewer oder AnyDesk.

Korrekt. Und er kann und darf per PowerShell (oder GUI) angepasst werden, nur nicht über AD-*, sondern über Exchange-*.

Moin, mailNickname ist der Alias. Dieser darf on-prem (übrigens: es heißt on premiseS) bei mehreren Empfängern den gleichen Wert haben, in Exchange Online hingegen nicht). Beide Attribute dürfen nicht per ADSIEdit oder AD-PowerShell bearbeitet werden, sondern nur durch Exchange.