Garant

Hey, zum ersten Punkt, ich habe eine Regel, die das versenden an externe unterbinden soll. Diese greift auf die selbe Gruppe zurück, dort funktioniert das Verhalten. zum zweiten Punkt, die beiden Regeln sind an oberster Stelle - hatte den Verdacht bzgl. "keine weiteren Regeln anwenden" auch erst vermutet. zum dritten Punkt, kann ich das irgendwie heruasfinden? Als "Kontakt" ist die E-Mailadresse nirgends angelegt.

Hallo, ich würde gerne Anwender, die Mitglied einer Benutzergruppe sind, den Empfang von externen E-Mails unterbinden. Dazu habe ich die folgende Regel erstellt und aktiviert. Leider greift diese nicht und ich kann dem Testaccount, der sich in der Gruppe befindet, weiterhin E-Mails zukommen lassen. Was habe ich übersehen?

Ahh, jetzt geht es. :) Danke. Allerdings klappt es nicht mit der Variablenliste, sondern nur beim Vergleichen, wenn ich ein Wert dahinterlege. Muss ich das ggf. anders aufbauen? $IT_Gruppe = @( 'Meyer', 'Schulze')

Ah, okay. Leider erstellt er weiterhin eine 0kb CSV. Import-Csv -Path $original_file -Delimiter ";" -Encoding UTF8 | ForEach-Object { if($_.sn -match $IT_Gruppe) {$_.company = 'Test'} } | Export-CSv $destination_file -NoTypeInformation

Bin schon weiter gekommen, hab dennoch ein Problem. Siehe Skript-Snippet unten. Er ersetzt den Inhalt einfach nicht, obwohl in der Spalte 'sn' die Nachnamen entsprechend geführt werden. Hab ich einen Denkfehler? $IT_Gruppe = @( 'Meyer', 'Schulze') (Get-Content $original_file) | Foreach-Object { if($_.sn -contains $IT_Gruppe) {$_.company = 'Test'} } | Set-Content $original_file

Guten Morgen, ich benötige einen kleinen Denkanstoß. Ein Skript zieht via PowerShell eine Benutzerliste aus dem Verzeichnisdienst und erzeugt eine CSV-Datei. Jetzt möchte ich über eine Vergleichstabelle Inhalte in der CSV-Datei anpassen (z.B. PagerNo 1 = Bremen, PagerNo2 = Hamburg, PagerNo3 = Düsseldorf). Habt ihr eine schnelle Idee, wie ich das am geschicktesten durchführe?

kurzer Nachtrag, ich habe die Migration auf DFS-R durchgeführt. Verlief wirklich problemlos - hat allerdings etwas Zeit in Anspruch genommen. Pro Schritt waren die Systeme ca. 3 - 4 Stunden beschäftigt. Gruß

Hallo, vielen Dank für die Unterstützung. Ich konnte das Problem über Starten der Dateireplikation im non-authorativen Mode lösen. Oftmals ist es auch eher keine technische Überwindung, sondern die Frage was nach dem Setzen solch eines Flags passiert, wenn man das noch nie gemacht hat. Da hilft meistens etwas Mut zu sprechen. Daher nochmal vielen Dank @NorbertFe und @daabm!

Das habe ich mir schon auf die Agenda gesetzt. Kann ich das mit dem Flag im laufenden Betrieb machen oder gibt das eine Störung größeren Ausmas? Trifft natürlich wieder den DC an einem größeren Standort. :|

Ich will eigentlich nur auf möglichst einfachen Weg den Fehler auf dem einen der fünf Domänen-Controller beheben und daher die Frage, wie ich mit den Werten umgehen soll, damit ich nicht noch einen größeren Schaden anstelle. Wenn ich den Link oben korrekt verstehe, würde ich auf dem 'defekten' DC das Flag 'D2' setzen (vorher Dienst gestoppt), dann den Dienst wieder starten und abwarten, bis eine eine Erfolgsmeldung in der Ereignisanzeige protokolliert wird. Alle anderen DCs würde ich nicht anfassen. Und vermutlich sollte ich dies nur in den Abendstunden und nicht dem Tagüber durchführen, oder?

Moin, also nicht mit dem aus der Ereignisanzeige angezeigten Wert/Flag arbeiten? In welchem Modus (D2 oder D4) sollte denn die Wiederherstellung gefahren werden und betrifft das dann nur den einen DC?

Hallo, ich habe blöderweise heute festgestellt, dass eine neue Gruppenrichtlinien zwischen den DCs nicht mehr repliziert werden. Es handelt sich dabei um 5 DCs, die alle unter Server 2016 betrieben werden. Auf einem DC habe ich nun folgenden Fehler gefunden: EventID 13568: Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. In der Ereignisanzeige wird ja auch die 'Lösung' beschrieben, indem ich den Wert 'Enable Journal Wrap Automatic Restore' konfiguriere. Meine Frage: Muss ich diesen Wert auf allen DCs konfigurieren oder nur auf dem einen DC? Vorgehensweise korrekt? Wert konfigurieren Dateireplikationsdienst neustarten Aufbau SYSVOL abwarten? Wert entfernen Gruß

Leider nicht. :-D

Das ist korrekt. Allerdings muss ich sagen, dass sich wirklich alle angemeldeten Benutzerkonten gesperrt haben auf einen Schlag. Wir haben eine Skript laufen, welches uns via E-Mail informiert, wenn ein Anwender zu oft das falsche Kennwort eingegeben hat und daraus resultierend gesperrt wird (fragt einfach ein Event ab). Nach der o.g. Konfiguration kamen innerhalb von Minuten die E-Mails auf einen Schlag und die Accounts waren zu. Ich werde wohl das Logging aktivieren müssen - kann/darf ich dies in einer sep. GPO machen, die ich auf Testkandidaten linke? Und darf innerhalb der GPO auch die o.g. Konfiguration gesetzt werden?

Hi, ich hatte am gestrigen Donnerstag die Konfiguration einmal gesetzt. Nur NTLMv2-Antworten senden, LM & NTLM verweigern in der Default Domain Policy. Leider hatte das dann den Effekt, dass sich auf einen Schlag alle Konten der Benutzer gesperrt haben. Habe ich etwas übersehen? Oder den Eintrag an falscher Stelle konfiguriert?

Gute Idee, soweit ich in den Docs gefunden habe, gibt es drei Richtlinien? Network security: Restrict NTLM: Audit Incoming NTLM Traffic Network security: Restrict NTLM: Audit NTLM authentication in this domain Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers Die Erste für Domain Controller (verteilen via Default Domain Controller Policy?) und die anderen beiden für die restlichen Systeme. Aber was heißt das? Nur Server oder auch Clients - vmtl. nur Ersteres, oder?

Hallo, heute ist Tag der Fragen. :) Im Zuge eines anderen Problems ist mir aufgefallen, dass wir (aus der Vergangenheit?) in der "Default Domain Policy" die folgende Konfiguration verteilen. Meine Frage ist, dass ist doch nicht mehr aktuell und sollte durch die Einstellung Nur NTLMv2-Antworten senden, LM & NTLM verweigern ersetzt werden oder wie handhabt Ihr das in euren Umgebungen? Bis auf einen NetServer auf mehreren System i5-Systemen verfügen wir nur über Windows Server 2012 und höher sowie Windows 10. Grüße

Hi Jan, ich danke dir - das hat mir die nötigen Hinweise gegeben um mein Vorhaben umzusetzen. Schönes Wochenende!

Guten Morgen, mir ist leider kein "sprechenderer Titel" eingefallen, ich bitte daher schon einmal um Entschuldigung. Unsere Systeme im Active-Directory sind nach der Vorlage von Frankysweb und dem "Tier-Modell" abgeschirmt. Via Gruppenrichtlinie ist konfiguriert, dass sich nur Mitglieder der Gruppe "Server-Administratoren" (Name wurde geändert) via RDP anmelden dürfen. Diese Gruppe beinhaltet diverse Zweitkonten der Administratoren. Nun möchte ich auf einem einzelnen Server realisieren, dass sich dort ein lokaler Benutzer (mit administrativen Rechten) via RDP anmelden darf. Leider steh ich hier etwas auf dem Schlauch. Könnt Ihr mir den entsprechenden Tip geben?

Cache ist idR an. Kann ich das dennoch irgendwie forcieren?

Die GAL und das AutoVerstollständigen unter Outlook.

Hallo, eine Firmierung inkl. der Mitarbeiter sind in eine neue Domäne inkl. Exchange gewandert. Die alten Benutzerkonten habe ich deaktiviert und die Postfächer getrennt. Allerdings versucht Outlook die E-Mails immer noch an die alten Benutzer zuzustellen. Gibt es eine elegante Bereinigung für dieses Problem?

Guten Morgen, wir verwenden hier durchgehend das Tier-Modell für personalisierte, administrative Zugänge auf den verschiedenen Ebenen (AD/Server/Clients). Diese erlaubt eine bestimmte Benutzergruppe die Anmeldung via Terminaldienste ("Anmeldung über Terminaldienste zulassen") und verbietet den restlichen, administraten Gruppen die Anmeldung ("Anmeldung über Terminaldienste verweigern"). Diese Richtlinie würde ich nun gerne auch auf die Terminalserver legen, habe aber die Befürchtung, dass ich die Endanwender durch o.g. Regeln aussperre. Wie würdet Ihr das Thema handhaben?

Guten Morgen, wie oder wohin lasst Ihr eure Microsoft-Systeme protokollieren? Belasst Ihr diese auf den jeweiligen Servern oder exportiert Ihr die Logs automatisch auf einen Logserver? Mir geht es um Logs vom Active-Directory, Exchange, usw. Logs könnten bei einem "Befall" ja gelöscht werden und wenn die Logs auf einem ext. System liegen, wäre es sicherlich eine größere Hürde für denjenigen. Für Netzwerkkomponenten habe ich einen Syslog-Server, das funktioniert sehr gut.

Hallo, ich habe für die lokalen Administratoren auf Client-Arbeitsplätzen die Beschreibung von Franky's Web bzgl. der Tier2Admins umgesetzt. Nun gibt es die Anforderung, dass ein Mitarbeiter aus einer spez. Abteilung auf bestimmten Client-Arbeitsplätzen auch einen lokalen Admin benötigt. Ich könnte nun eine zusätzliche Gruppenrichtlinie bauen, wo ich den (neuen) Tier2-Benutzer in die lokale Administratorengruppe verfrachte und über Zielgruppenadressierung die Zielsysteme auswerte. Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen. Was würde aus eurer Sicht mehr Sinn machen? Gruß