Vállalati O365-be lépnék be és az fogad rendszeresen, hogy még van 14 nap és kötelező lesz a többfaktoros authentikáció. Még továbbléphetek, de ha lejár a 14 nap, nem fogok tudni belépni. Hol lehet ezt kikapcsolni?
Admin centerben minden felhasználónál le van tiltva az MFA.
Ennyi volt, kötelező elfogadni, hogy letolja mindenki torkán az MS az MFA-t? Nincs valami backdoor, ahol ki lehetne kapcsolni?
Amúgy csak annyi bajom van vele, hogy csak és kizárólag az MS authenticator appal működik. Se SMS, se Gugli authenticator, semmi más. Van olyan felhasználó, akinek még okostelefonja sincs. Mégis hogy fog ezek után belépni?
Ez így nagyon gáz...
Ötletek?

Nem ez volt a kerdes, de hogy engedheti meg maganak barmilyen vallalat, hogy MFA nelkul is be lehessen jelentkezni? Egyelore egyebkent mukodik a TOTP, SMS, stb., 2025-tol vezeti ki ezeket a Microsoft.

Akinek nincs telefonja annak tudtok adni hardware token-t, van pár fajta. Azért 2024-ben ne legyen már élet-idegen egy MFA azonosítás.

Úgy, hogy ez eléggé ZS kategóriás

"Egyelore egyebkent mukodik a TOTP, SMS, stb." akkor miért nem dobja fel? Csak és kizárólag MS authenticatort engedi, de ha nem hiszed, mutathatok screenshotot, de amúgy mind1, nem éri meg az erőfeszítést

Krix az plusz beruházás és most semmire sincs pénz.

Hát akkor marad ez, nincs mit tenni.

EDIT: bocs a bénázásért; azt hittem nincs átjárás a gugli authenticator és MS között, de fel tudtam venni a guglisba és még működik is

Az admin centerben az Entra-ban (Identitás) a kezdőlapon a tulajdonság fül alatt találsz egy ilyet, hogy "Javasolt biztonsági beállítások kezelése", na itt tudod szervezeti szinten kikapcsolni / bekapcsolni.

Köszönöm, megvan, de erősen elgondolkoztam a fentiek kapcsán, hogy ne nyúljak hozzá.
Basszus, tényleg 2024 van

Sziasztok

Egy kis segítséget, megerősítést szeretnék kérni.

(full windows környzet + netapp network storage)
Adott 2 db redundáns WSUS szerver, teszt környezetben.

Mind a 2-nél jelenleg lokálisan van tárolva a WSUS folder content.
Át kell helyezni ezt a WSUS foldert egy shared network folderbe.

A shared folder már kész, a két szervert is hozzáadtam a jogosultsági beállításoknál.

A tervem az innentől, hogy admin cmd-ből indítok egy 'wsusutil.exe movecontent' parancsot mind a két szerveren, majd ha ez kész, akkor leellenőrzöm 3 helyen is, hogy az új location rögzült-e. (registry-ben, IIS-ben és egy query-t lefuttatván a SUSDB-ben is.)

Mit hagytam ki? Hol hibádzik az elképzelés?

Sziasztok!
Nincsennek tartományba léptetve a gépek. Betudok állítani a gpedit.msc -vel sok dolgot pl: témát hátteret cserélni nem lehet, és egyszerűen nem lehet babrálni a windowst. DE nem tudom, miképpen lehetne a google chromot és firefoxot is rendszabályozni. Ne tárolja előzményeket jelszavakat, ne lessen változtatni nyitóképernyőt,parancsikonokat ne tudjanak létrehozni. Ez utóbbi jó lenne mert a chrommal rendszeresen létrehoznak profilokat.

Crome-nál nekem is ez volt a problémám, erre jutottam:
letöltöd ezekek policy templates bemásolod a megfelelő helyre és azonnal megjelenik a Chrome a Helyi csoportházirend szerkesztőben és mindent lehet állítani (témák, szinek, bejelentkezés, beállítások, stb..)
Feltételezem Firefox-al is ugyanez a helyzet.

[ Szerkesztve ]

Szia!
Köszönöm a válaszodat..

Közben megtaláltam a Firefoxhoz is.
ADMX templates should be added to the X:\Windows\PolicyDefinitions directory.

Hállás köszönetet.....
Már ismerkedtek is velük, virtuális gépen....

Üdv!

Mivel privátban mondtad, hogy még aktuális a kérdés, itt válaszolok. Sajnos hiába teszed fel pl a chrome GPO-ját, nincs benne ilyen beállítás, ugyanis Windows 7-től felfelé már nincs joguk a programoknak, hogy beállítsák magukat alapértelmezettnek, csak rákérdezhetnek/figyelmeztethetnek/stb. Szóval sajnos leginkább ez a kicsit furcsa megoldás van hivatalosan.

A fájltársítást ez a cikk alapján csináltam https://techcommunity.microsoft.com/t5/ask-the-performance-team/how-to-configure-file-associations-for-it-pros/ba-p/1313151

A jegyzeteimből a lényeg: egy gépen megcsinálod, hogy mit mi nyisson meg, lehetőleg W10-en, mert a 11-ben már ezt is elcseszték és hiányzik az egyszerű alapértelmezett alkalmazások megadása, helyette sokkal hosszabban lehet csak hozzárendelni.
Utána Powershellben a beállított társítások mentése beállításfájlba:
Dism /Online /Export-DefaultAppAssociations:\\myshare\defaultassociations.xml

Házirendben a mentett társítások kényszerítése: Számítógép konfigurációja -> Felügyeleti sablonok -> Windows-összetevők -> Fájlkezelő -> Alapértelmezett társítások konfigurációs fájljának beállítása
Ugyanitt engedélyezni: Az „Új alkalmazás telepítve" értesítés megjelenítésének mellőzése

Tehát egyszerre tudod beállítani az összes társítást, nem külön a böngészőt, szóval ne legyen olyan program beállítva, ami a célgépeken nincs rajta. A legenerált xml fájlból nem szabad kézzel kitörölni ami nem kell, mert ha valamit nem talál, akkor mindent visszaállít az alapértelmezett programokra. Tesztjeim szerint W11-nél is működik és mindegy, hogy sima chrome vagy enterprise van telepítve, az xml fájlban mindkettőnek ugyanaz a megnevezése. Csak megnevezéseket tesz bele, útvonalat, vagy verziót nem. Viszont a 32 vagy 64 bit sok programnak benne van a megnevezésébe, ezért ilyen váltásnál újra kell generálni fájlt (ill. megnevezést kézzel is szabad átírni benne, de nem árt legenerálni, hogy biztos úgy írd, ahogy ő hívja.

Ha böngészőnek nem az Edge lesz, akkor ezeket is ajánlom az Edge GPO-jában:
Microsoft Edge\A(z) Microsoft Edge beállítása alapértelmezett böngészőként -> letiltva
Microsoft Edge\Engedélyezi az alapértelmezett böngészőbeállítási kampányokat -> letiltva

Szia!
Köszönöm a kimerítő választ!

Saját WSUS-on kívül van valami működő eljárás Windows frissítés teljes mértékben manuálissá tételére? (= csak és kizárólag akkor frissít, amikor az admin kattint, hogy frissíteni akar)
Van pár PC isten háta mögötti helyen 1 Mbps linken és jó lenne ha inkább tudna termelési adatot küldeni/fogadni, mint hogy frissítések letöltésével viszi el a sávszélességet, vagy újraindul, de baszik bármit is elindítani, mert kell neki 3 kattintás a frissítés befejezéséhez.

TinyWall
Van konkrét checkbox a beállításain belül, ahol lehet tiltani/engedélyezni a windows updatet.

[ Szerkesztve ]

Valami megoldást szeretnék reklámszűrésre céges vonalon, router támogat DOH-ot (Mikrotik RB3011). 30-40 eszköz csak. Tesztek beállítottam az adguard https dns-ét de biztos hogy nem férek bele az ingyenes limitbe (300k query)
Esetleg valami alternatíva? Vagy ki hogyan oldja meg?

Csinálj egy Pi-Hole-t, de amúgy van pár címem adguard mellett bespájzolva:

5.9.164.112 (Digitalcourage)
194.150.168.168 (AS250.NET)
204.152.184.76 - ISC (USA)
AdGuard: 94.140.14.14 , 94.140.15.15
Mullvad: 194.242.2.4

AdGuard: 94.140.14.14 , 94.140.15.15 ezt beállítottam most de pont szerintem ez is limites 300k-ra vagy ha nem akkor marad ez.
Pi hole jó ötlet.

[ Szerkesztve ]

Beszart a regi olaj-pumpas HDD vagonk, kollega vett egy asztali 6 tonnas kezi presgepet, eleg szepen csapat,
csinaltam rola egy videot: [YT]

Nalunk 7 es 20 dollar / HDD aron daraljak le az adathordozokat, ugy hogy gyakorlatilag 10 hdd/ssd eseten mar meg is terult a bekerulesi koltseg.

Nezem a magyar arakat az argepen... 2 X, 3X annyit mint itt Amazonrol

Ha sok nagymeretu szerver vinyo van akkor a 10 vagy 12 Tonnas verziot vennem. Ha 6-8 lemez van a HHD-be akkor a 6 Tonnas nem szemved sokat, de azert megerzed, a nagyobb meret jobb lenne.

[ Szerkesztve ]

Pedig beszél is arról a videóban, hogy bejött a titkosítás is a képbe, szóval már nincs sok értelme fizikailag megsemmisíteni a meghajtókat.
Amúgy jó volt végignézni, köszi