NorbertFe 2.074 Geschrieben 29. Dezember 2024 Melden Teilen Geschrieben 29. Dezember 2024 vor 14 Minuten schrieb CoNtAcT2000: Normalerweise war da ein Autologon konfiguriert für den Domänen Admin - wegen Dienste/Tools starten und so. Und du machst dir Sorgen wegen Pingcastle? SCNR Zitieren Link zu diesem Kommentar
CoNtAcT2000 15 Geschrieben 29. Dezember 2024 Autor Melden Teilen Geschrieben 29. Dezember 2024 Danke Norbert Das hilft mir grad nicht weiter. In einer kleinen Firma hat man noch viiiiiele ander Dinge die nicht stimmen und nicht passen oder besser sein könnten. Aber aktuell ist es halt Stand der Dinge. Zitieren Link zu diesem Kommentar
testperson 1.721 Geschrieben 29. Dezember 2024 Melden Teilen Geschrieben 29. Dezember 2024 Was hast du denn in der neuen GPO (und möglicherweise auch ansonsten noch) konfiguriert? Ist es möglicherweise einfacher / schneller, das letzte Backup wiederherzustellen? Zitieren Link zu diesem Kommentar
CoNtAcT2000 15 Geschrieben 29. Dezember 2024 Autor Melden Teilen Geschrieben 29. Dezember 2024 Ich hab vorhin versucht das Acronis Backup zurück zu spielen - und wie soll es schon sein, wenn man eh schon kein Glück hat! Das Backup lässt sich NICHT zurückspielen und hagelt Fehlermeldungen. Ich könnt so k otzen..... Also die letzen Änderungen waren, - die Admins in die Protected Users Guppe zu werfen (wurde ja schon rückgängig gemacht und sogar ein neuer Domain Admin angelegt der da nicht drin ist/war) - kein Erfolg. - Dann hatte ich an dem NTLM und Kerberos einstellungen gedreht, ich vermute das ist dann auch was den Fehler verursacht: - Und die Authifizierten User aus der Gruppe PreWin2000 entfernt Zitieren Link zu diesem Kommentar
testperson 1.721 Geschrieben 30. Dezember 2024 Melden Teilen Geschrieben 30. Dezember 2024 Moin, dann bist du beim Domain Controller vermutlich auch nach dem Motto "Ganz oder gar nicht" vorgegangen und hast "The safest setting" aus dem Ping Castle Report umgesetzt und "Ungeschützte Authentifizierungsanfragen ablehnen / Fail unarmored authentication requests" konfiguriert? Theoretisch solltest du noch von einem Client mit der Gruppenrichtlinienverwaltung die Policy für die DCs bearbeiten und "GPS: Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz" auf "Unterstützt" bzw. 1 konfigurieren können. Alternativ die GPO unlinken / deaktivieren. Dann musst du aber am Domain Controller noch die Registry bearbeiten und unter "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters" "CbacAndArmorLevel" auf 1 setzen. Möglicherweise klappt das per PowerShell von einem Client mit angemeldetem Domain Admin: Enter-PSSession SERVER $dcc = (Get-ADDomain).DomainControllersContainer # Notfalls mit "Get-GPO -All" die GPO suchen Remove-GPLink -Name "<Hier der Name der erstellten GPO>" -Target $dcc Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters -Name CbacAndArmorLevel -Value 1 HTH Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.