SandyB 9 Geschrieben 3. Februar 2020 Melden Teilen Geschrieben 3. Februar 2020 Hi, Kann man in einer AD-Domäne NTLM komplett disablen? "Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Doch, kann er. Für den Join braucht's kein NTLM. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 6. Februar 2020 Autor Melden Teilen Geschrieben 6. Februar 2020 Echt nicht? Welches Protokoll dann? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 vor 12 Minuten schrieb SandyB: Echt nicht? Welches Protokoll dann? Meines Wissens Kerberos Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 6. Februar 2020 Autor Melden Teilen Geschrieben 6. Februar 2020 Jetzt bringt ihr mein Windows Bild vollkommen zum Einsturz Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 (bearbeitet) Moin Wozu soll das gut sein? bearbeitet 6. Februar 2020 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 vor 22 Minuten schrieb SandyB: Jetzt bringt ihr mein Windows Bild vollkommen zum Einsturz Womit? :) Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 6. Februar 2020 Autor Melden Teilen Geschrieben 6. Februar 2020 Dass eine Domänenaufnahme mit Kerberos und nicht mit NTLM abgesichert wird. Es würde mir eine Reihe von Problemen lösen, wenn dem so ist. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Klar ist das Kerberos. Mit dem Admin-Kennwort, das Du beim Join eingibst (oder dem Offline-Join-File bei Prestaging) hat der Computer ein Secret, um einen Secure Channel aufzubauen, und dann geht auch Kerberos. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 Ich bin bis jetzt davon ausgegangen, dass eine Domain Membership Voraussetzung für den Austausch von Kerberostickets ist. Ich werde versuchen, mich besser einzulesen. Zitieren Link zu diesem Kommentar
Beste Lösung falkebo 21 Geschrieben 7. Februar 2020 Beste Lösung Melden Teilen Geschrieben 7. Februar 2020 Am 3.2.2020 um 22:02 schrieb SandyB: Hi, Kann man in einer AD-Domäne NTLM komplett disablen? "Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding). Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 7. Februar 2020 Autor Melden Teilen Geschrieben 7. Februar 2020 Ich war felsenfest überzeugt, dass für eine Kerberos Authentication sowohl ein Computer- als auch ein Userkonto vorhanden sein müssen. So kann man sich irren. Danke! Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN (Immer noch einer der besten Grundlagen-Artikel dazu) Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 8. Februar 2020 Autor Melden Teilen Geschrieben 8. Februar 2020 (bearbeitet) vor 11 Stunden schrieb daabm: Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein, - bekommt der Client keine Policies (u.a. .\System\Kerberos) - fehlen dem Client die notwendigen SPNs für Kerberos - gibt es keine mutual authentication -> No Kerberos on non-domain clients. Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren. bearbeitet 8. Februar 2020 von SandyB Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 8. Februar 2020 Melden Teilen Geschrieben 8. Februar 2020 Moin, Da scheinst du ein paar Dinge durcheinander zu bringen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.