Lokaler und Domänen-Benutzer gleich benannt

Dies ist mir bereits vor einiger Zeit mal passiert: Ein Benutzer ließ sich trotz aller entsprechenden Rechte einfach nicht auf einem Terminalserver anmelden. Der Sonderfall war allerdings, dass der Rechner, von dem aus der Zugriff stattfinden sollte, nicht Mitglied der Domäne gewesen ist und die Anmeldeinformationen für die RDP-Sitzungen dort vom entsprechenden Benutzer gespeichert wurden. Dann bekam der Nutzer einen neuen Rechner und plötzlich kam er nicht mehr auf den Terminalserver.

Weiterlesen

Powershell-Skript als Benutzer-Anmeldeskript in einer Domäne nutzen?

Dass man mit der Powershell wesentlich komfortabler programmieren und Aufgaben erledigen kann, als mit der guten alten Kommandozeile bzw. Batch-Dateien, dürfte seit langem kein Geheimnis mehr sein. Daher ist es naheliegend, insbesondere wenn die entsprechenden Aufgaben sonst nicht gut umsetzbar sind, auch für ein Benutzer-Anmeldeskript innerhalb einer Windows-Domäne auf die Powershell zurückzugreifen. Dies geht allerdings nicht ohne einen kleinen Trick.

Weiterlesen

Domain-Admin hat keine Rechte für control.exe und mmc.exe unter Windows Server 2019

Ein unschöner Fehler hat sich im Windows Server 2019 eingeschlichen. Nach der Installation funktioniert dieser an sich ohne Einschränkungen. Die Probleme beginnen, nach dem man diesen einer Domäne hinzugefügt hat und dann mit dem Domain-Admin Änderungen an der Netzwerkkonfiguration vornehmen möchte. Hier hat Microsoft anscheinend bei den Berechtigungen irgendetwas versaut.

Weiterlesen

Windows 10: Standorttyp des Netzwerks ändern

Je nach Sicherheitseinstellungen sind bestimmte Dinge, z. B. aufgrund der Portfreigaben nur für ein „privates“ oder ein Domänen-Netzwerk, konfiguriert worden. Dass macht durchaus Sinn, wenn bestimmte kritische Dienste nicht in einem öffentlichen Netzwerk genutzt werden sollen. Nervig ist es allerdings, wenn Windows das den Standorttyp des Netzwerks falsch erkannt hat und dadurch Dinge nicht funktionieren, die es aufgrund des eigentlichen sicheren Netzwerks sollten.

Weiterlesen

Keine Verbindung zur Domäne

Wenn ein Rechner längere Zeit nicht mit der Domäne verbunden ist, dann bekommt er keine Updates mehr vom Domain-Controller. Logischerweise bekommt er also auch Änderungen betreffend der Benutzer nicht mit, wenn diese normalerweise an einem anderen Computer in der Firma arbeiten. Ärgerlich, wenn dann jemand im Home-Office arbeiten muss, der ein Notebook, das in der Domäne registriert ist, mit nach Hause nimmt nachdem es mehrere Wochen ungenutzt herum stand.

Weiterlesen

Zugriffsrechte für Ordner-Freigaben für Branchensoftware einschränken

Wenn spezielle Branchensoftware zum Einsatz kommt, wird diese im Idealfall auf einem eigenen (virtuellen) Server, der nur für diese Software betrieben wird, installiert. Im Normalfall benötigt diese ab einem gewissen Punkt immer irgendwelche Ordnerfreigaben, damit andere Benutzer diese nutzen können oder für Schnittstellen mit anderen sauteuren Branchenlösungen, die manchmal so aussehen als ob ein Praktikant diese in seiner ersten Woche von Stackoverflow zusammenkopiert hat, damit diese dann irgendwelche XML-Dateien einlesen können. Bei den Kundenbetreuern steht bei der Installation nicht die Sicherheit des Netzwerks der Kunden im Fokus, sondern die Gesamtlösung zum Laufen zu bringen. Deshalb werden leider meistens sehr weitreichende Rechte vergeben. Was man stattdessen machen sollte, zeige ich in diesem Artikel.

Weiterlesen

Nötige Ports für Domänen-Kommunikation

Für manche Setups macht es Sinn einen Server, der grundsätzlich Mitglied der Domäne sein soll, in ein gesondertes Netzwerk hinter der Firewall zu stellen. Dies kann beispielsweise ein Management-Netzwerk sein, wo nur Server und Maschinen stehen (z. B. Produktionsmaschinen mit Netzwerkzugang) zu denen der „normale“ Anwender keinen Zugang benötigt. Dadurch minimiert man auch die potenzielle Gefahr, dass jemand oder ein Schad-Tool zu leicht an die Geräte dran kommt. Darum soll es hier aber nicht gehen. Sondern darum wie man den Zugriff auf die Domäne gewehrt. Natürlich könnte man auch zur Absicherung eines einzelnen Intranets auf dem Domänencontroller die Firewallregeln auf die wirklich „nötigen“ Ports einschränken.

Weiterlesen