Squire

Ich kann Dir sagen, wie wir das gelöst haben ... vor ein paar Jahren haben wir bei uns EnterpriseVault eingeführt. Wir archivieren jede Mail, die älter als 30 Tage ist, weg. In der Mailbox bleibt dann ein sog. Shortcut mit 1000 Zeichen Text aus der Email. Klickt ein Anwender doppelt auf eine archivierte Email, da schaut das Plugin zuerst im lokalen Archivcache auf dem Rechner (der hält bei uns 5GB Mails) und wenn die Mail da nicht ist, wird sie automatisch aus dem Archiv gezogen. Anders als bei Mailstore hast Du dann die geöffnete Email im Orginalzustand mit Anhängen etc. geöffnet. Alle Shortcuts in der Mailbox, die älter als 18 Monate sind, löschen wir raus. im Archiv sind mittlerweile mehrere Terrabyte Emails, die EV dedupliziert und komprimiert. Die Platzersparnis ist immens. Auf das Gesamtarchiv kann über die EV Suche (Volltext über die Mails inkl. Anhänge) zugegriffen werden. Im Archiv wird die Postfachstruktur für den Benutzer auch angezeigt/nachgezogen. Bei EnterpriseVault müssen nur die "WarmBoddies" lizenziert werden. Sprich Funktionspostfächer, SharedMailboxes kannst Du soviele haben wie du lustig bist). Bei uns läuft das mit über zwei Archivserver (einer für ein Tochterunternehmen und einer bei uns) für >2000 Mailboxen. Die Mailboxen sind bei uns auf 2GB limitiert - mehr ist durch die Archivierung auch nicht notwendig. Durchschnittliche Mailboxgröße liegt zwischen 250 und 400 MB. Meine Kollegen im Tochterunternehmen arbeiten auch im Automotive Bereich und müssen viele Sachen bis zu 20 Jahre aufheben. Aus historischen Gründen haben die auch Outlook als Projektablage verwenden und sind jetzt mit EnterpriseVault zufrieden (gerade, weil es die Ordnerstruktur abbildet und eine hervorragende und sauschnelle Suche hat.) Wie andere Kollegen schon geschrieben haben ... eigentlich sollte man für Projekte ein Dokumentenmanagementsystem einführen/verwenden. Wie auch immer - als Firma bist du archivierungspflichtig und musst rechtskonform archivieren ... und nein Outlook ist dafür nicht das Mittel der Wahl. Also wenn ihr noch kein Archivsystem habt, ist darüber nachzudenken, das Geforderte mit dem Praktischen und Nützlichem verbinden. PS: Sollten bei euch dann auch noch Leute mit PSTs unterwegs sein, dann kann man auch die problemlos ins Email Archiv importieren. Bei unserer Einführung sind da auch mindestens 2 TB PST Files reingewandert. Hier hat jetzt nieman mehr PSTs auf den Rechnern oder auf irgendwelchen Fileshares (macht auch Rechnertausch einfacher) ... Alles im Allen ... macht das Admin Leben sehr viel leichter!

als nach bisserl suchen und ausprobieren hab ich jetzt die Lösung ... Danke @mwiederkehr - das war der richtige Tipp. Da hatte ich die Extensions sogar schon drin. Allerdings im User Zweig und mit Update URL die aktuellen ADMX Files von Google und Microsoft für die Browser verwenden die Config muss im Computer Part der Policy gemacht werden, also: für Chrome: Computer Configuration/Policies/Administrative Templates/Google/Google Chrome/Extensions/Configure the list of Force-Installed apps and extensions für Edge: Computer Configuration/Policies/Administrative Templates/Microsoft Edge/Extensions/Control which extensions are installed silently Update URLs die bei den Chrome Extensions vorher nötig waren, müssen weg. Also nur die reine Extensions ID darf rein. Damit ist die Extension automatisch aktiv und das Abschalten ist ausgegraut. ... Schade ... hatte mich schon mit der Idee eines virtuellen Prangers angefreundet

@NorbertFe - ich würde ja Pranger wählen .... Wie gesagt ... bei 99% der User kein Problem ... aber dann hast Du halt Marketing ... Unverbesserliche und dann auch noch viele besserwisserische Praktikanten (saublöde Kombination) Ich bin ja geneigt, Deinen Vorschlag als Lösung zu akzeptieren ... @testperson - ausgerollt werden die Addons ja - die Aktivierungsfrage kommt ja nach der Installation der Erweiterung (sowohl im Chrome, Edge und Firefox) nur die Aktivierung kann man nicht erzwingen ... und dann hab ich halt - siehe Bemerkung zu Norbert ...

Hallo zusammen, gibt es eine Möglichkeit ein Addon/Plugin unter Google Chrome oder Edge Chromium die Aktivierung zu erzwingen? Ich habe das Browser Plugin unserer AV Software per Browser GPO verteilt. Soweit so gut. Beim ersten Start des Browsers kommt dann die Meldung, dass man das Addon aktivieren soll. Die normalen User aktivieren es auch bzw. lassen es aktiviert. Nun gibt es welche, die meinen, das Deaktivieren des schaltet auch den WebContentfilter aus (was es natürlich nicht tut), sondern nur die aussagekräftige Meldung des Filters wird nicht mehr angezeigt und nur eine failed to connect Seite wird angezeigt. Fiel letztens bei unseren Marketingleuten auf, die immer meinen, schlauer und innovativer als der Rest zu sein ... da haben die in der ganzen Abteilung das Addon deaktiviert. Das führt dann immer mal wieder zu Ticketrequests, die einfach unnötig sind ... Hat hier jemand nen Lösungsvorschlag?

dafür gibt es schließlich die "Progressbars"

Guck Dir mal das hier an ... ist von Veeam und kostenlos. Ich hatte das mal ganz kurz letztes Jahr angeschaut ... https://www.veeam.com/de/powered-network.html?ad=downloads was NCP angeht ... hatten wir in der alten Firma. War zuverlässig. Ich hab auf meinem Samsung den NCP Mobile Client wenn ich mal schnell auf meine Fritzbox will ... oh Mist ... nicht auf das Post-Datum geschaut ... Mai ist schon etwas länger her

Wenn VPN, dann nutz ich nur mein eigenes über meine Firewall. Fremdanbieter VPN nutze ich nicht ... die sind übrigens auch nicht wirklich anonym ...

Ja ich weiß - hab ich ja auch gelesen. Das ist aber für die Kollegen dort vor Ort höchst unbefriedigend ... die kommen dann immer mit irgendwelchen chinesischen Versionen/Diensten, die wir nicht wirklich auf den Rechnern haben wollen ...

Hallo Leute, hat hier jemand Niederlassungen in China und verwendet auch Teams mit einem globalen Tenant? SDWAN haben wir im Einsatz, läuft aber nicht wirklich perfekt ... Unsere chinesischen Kollegen beschweren sich über schlechte Performance und Audio Qualität ... Wobei die Internetverbindung dort im Büro schon sehr gut ist ... (Shanghai). Irgendjemand Tipps wo man vielleicht was drehen könnte? MS selbst macht mir ja nicht wirklich Hoffnung https://docs.microsoft.com/en-us/microsoft-365/enterprise/microsoft-365-networking-china?view=o365-worldwide

Das ist richtig - aber somit sieht man halt gleich, dass die Gruppe gemanaged wird ... bei unserer Gruppenanzahl absolut notwendig, sonst blickt niemand mehr durch. Unser Script macht jetzt was es soll und erspart uns einen Haufen Geklicke und verhindert auch Flüchtigkeitsfehler

Ich hab noch bisserl gesucht und ein Codeschnipsel gefunden und für mich angepasst # Verwaltungsrechte "Managed by" für die Managegroup setzen $group = Get-ADGroup -Identity $WriteGroup $manager = Get-ADGroup -Identity $Managegroup $NTPrincipal = New-Object System.Security.Principal.NTAccount $manager.samAccountName $objectGUID = New-Object GUID 'bf9679c0-0de6-11d0-a285-00aa003049e2' $acl = Get-ACL "AD:$($group.distinguishedName)" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $NTPrincipal,'WriteProperty','Allow',$objectGUID $acl.AddAccessRule($ace) Set-ACL -AclObject $acl -Path "AD:$($group.distinguishedName)" # damit es auch in der GUI mit angezeigt wird Set-ADGroup $WriteGroup -ManagedBy $Managegroup die ObjectGUID ist das ManageBy Feld damit wird das WriteMember gesetzt und damit funktioniert auch das Verwalten für die Managegroup. Allerdings wird in der AD GUI das ManageBy nicht angezeigt - das bleibt leer @testperson erst durch Deinen Hinweis mit dem SET-ADGroup wird es dann in der GUI mitangezeigt

@cj_berlin sprich es ist nur das "Write Member" Recht bei der entsprechenden Gruppe zu setzen? Mehr nicht?

Hallo zusammen, ich bin grad bisserl am Basteln (noch Urlaubszeit und noch wenig los). Wir haben uns ein PowershellScript gebaut, bei dem wir einen Verzeichnisowner und einen Verzeichnisnamen per Variable angeben. Das Script legt dann in unserem DFS ein Verzeichnis an, es werden zwei korrespondierende AD Gruppen (Read/Modify)generiert, der Ownereintrag wird im Bemerkungsfeld der Gruppen eingetragen. Die Verzeichnisrechte werden durch das Script auf die beiden Gruppen gesetzt. Zusätzlich legt das Script eine "Verwaltungsgruppe" an. (Diese wird bisher manuell bei den zwei Gruppen als verwaltungsberechtigt eingetragen) ... und hier hänge ich gerade. Wie setze ich per Script die Verwaltungsgruppe als Manager, der die beiden AD Gruppen verwalten kann? (Hintergrund: Ausgewählte Benutzer dürfen als Verzeichnisowner die Gruppenzugehörigkeiten selbst pflegen. (Nimmt uns viel Arbeit ab ) Jemand ne Idee?

sehr merkwürdiges Verhalten ... grenzwertig!

Du übersieht ein wichtiges Stichwort: Rechtssichere und rechtskonforme Archivierung. Und nein, wir akquirieren hier nicht (danke für die Unterstellung) Frag einen, der sich mit den rechtlichen und steuerrechtlichen Vorschriften und Gesetzen auskennt. Kannst ja mal beim Finanzamt nachfragen, was du mit Rechnungen per Email bei einer Steuerprüfung ohne rechtssicheres Archiv machen sollst... Und nein Ausdrucken reicht nicht

Wie Norbert oben schon geschrieben hat. Entweder 3rd Party oder eben live with it. 3rd Party EnterpriseVault (komplex) oder im kleineren Umfeld Mailstore. Beide Produkte können öffentliche Ordner, haben ein Outlook Plugin und ebenfalls Web Zugriff auf die Emails. Schnelle und umfachreiche Volltextsuche, Dedup und Kompression der Mails ... Sie bieten rechtskonforme Archivierung (wie handhabst Du das eigentlich mit einem "nackigen" Exchange ohne Archivierung? Oder wird der Exchange nicht für geschäftliche Korrespondenz verwendet (inkl. Lieferscheine, Rechnungen per Email etc.) sondern nur als Hobby System?

Direkte Buchung in der Ressource gehen nur, wenn Du auf den Kalender Vollzugriff hast

Kleiner Tipp noch ... ich würde Gruppen für die Postfachzugriffe verwenden. Macht das tägliche Leben leichter

:D Drum machen wir sowas auch selbst Aber wie gesagt bei 3rd. Party ist das immer sehr schwierig ... Sehr prägnantes Beispiel ist bei Siemens NX und Teamcenter ... Vom DL kamen die Standardsprüche bzgl. SSL, von wegen braucht es nicht, umständlich, kompliziert ... wir haben dann ein Zert erzeugt, selbst eingebunden ... Thema war in 5min erledigt und wir hatten einen geknickten und verduzten DL "... aber meine Kollegen sagen immer, dass das so kompliziert und umständlich sein" ... Problem ist halt oft, dass viele "Scheuklappen-DLs" unterwegs sind oder andere Bezeichnung gerne auch "Fach***en", die ihr Produkt gut kennen, aber keine 5mm weit über den Tellerrand gucken können, geschweige dem was davon verstehen, was auf OS Ebene außerhalb ihrer Anwendung vor sich geht.

Wo bei das durchaus schwierig sein kann, einen DL zu finden, der sich mit PKI und CA Design auskennt. Für viele DLs is so was Teufelszeug. Nebenbei, es ist erstaunlich, wie vielen DLs für 3rd. Party Software versuchen einen riesengroßen Bogen um das Thema zu machen ... wäre ja alles so kompliziert und bis man dann ein Zertifikat hätte ... und das sei doch alles nicht nötig ...

Blöde Frage - ihr habt doch sicherlich eine Firewall im Einsatz. Kannst Du nicht darüber ein VPN machen? Solltet ihr keine dezidierte FW verwenden ... Installier Dir in einer VM oder auf Hardware eine Sophos Firewall (selbst in der kostenlosen Basisvariante ist ein VPN mit dabei). Auf den Clients dann den Sophos VPN Client und fertig

@kaineanung - ich glaub du verdehst da was. Wenn Du für 2FA Gerätezertifikate benötigst, dann sind das Clientzertifikate. Diese müssen kein SAN Zertifikat sein, Du rufst ja die PCs nicht im Browser auf. Bei Serverzertifikaten (sprich, alles was Du per Website aufrufst (Gerätemanagement, Webserver, etc. brauchst Du ein SAN Zertifikat. Ich müsste mich jetzt sehr täuschen, dass man für das SAN Zertifikat nicht automatisch Parameter aus dem AD mitgeben könnte. (Allgemeiner Name, DNS Name, UPN ...) Du musst halt ggf. die Zertifikatsvorlage anpassen bzw. eine neue erstellen. Aber wie gesagt, ich denk mal, Du redest von Computerzertifikaten für 2FA - da brauchst Du keine SAN Zertifikate

ihr habt doch sicher einen "Fileserver" oder sonstige zentrale Ablage. Was spricht dagegen, diesen als Printserver zu verwenden?

nö ... Chrome und Edge nützen den Windows Zertifikatsspeicher. Anders bei Firefox, dem muss man das erst in der Konfig beibringen!

wenn es nur für zu Hause und zum Spielen ist ... probier die 6.7 - die könnte noch gehen. Ansonsten würde ich bei Hyper V bleiben. VMware ist da rigoroser was die HCL angeht ...