Mag

Also unsere Erfahrungen mit diesen Problem auf "irgendwelchen" Android Versionen mit "irgendwelchen" Mailapps lautet: Konto löschen und neu einrichten auf dem Smartphone -> geht. Ist vielleicht nicht das Beste, aber hier fehlt die Zeit um jede Privatwunsch zu erfüllen, da es bei uns dann eher darum geht "Ach mit meinem Smartphone würd ich aber auch gern Mails abrufen". Grüße Mag

Hailo alle, ich bin gerade dabei mich mit unserem neuen Fileserver Cluster zu beschäftigen und bin von den vielen Neuerung im Dateiserver / SMB 3.0 Bereich überwältig, die ich scheinbar alle verpasst habe. Und nun tun sich natürlich ein Paar Fragen auf, die ich noch nicht alle klären konnte. Idee: Die beiden neuen Server (2x 10GbE + 2x 1GbE + 2x 8Gb FC) sollen nun einen Windows Server 2012 Cluster werden und ich muss gerade mühsam entscheiden, welche der Features (ReFS, DeDub, ScaleOut, etc.) wir denn am ehesten brauchen. Ich hätte mich nun schon wie folgt entschieden (andere Meinungen natürlich erwünscht) Normaler Fileserver Cluster (ScaleOut scheint ja noch nicht für EndUser zu sein) mit NTFS, Kontingenten, Dedub, und Multichannel SMB. Die beiden 10GbE sollen LAN werden und eine 1GbE soll den Heartbeat machen. Nun habe ich gelesen, dass ich für die IP Adressen aus veschiedenen Subnets benötige. Ich hätte den Artikel nun soweit verstanden, dass damit die Cluster IP Adresse gemeint ist. Frage: Node 1 10GbE NIC1: 10.10.1.1 10GbE NIC2: 10.10.1.10 Heartbeat: 192.168.1.1 Node 2 10GbE NIC1: 10.10.1.2 10GbE NIC2: 10.10.1.20 Heartbeat: 192.168.1.2 FS-Cluster.firma.local: 10.10.1.100 Und nun die Ressourcen jeweils mit 2 verschiedenen Subnetzen FS-Ressource-1 IP1: 10.10.1.2 IP2: 10.10.2.2 FS-Ressource-2 IP1: 10.10.1.3 IP2: 10.10.2.3 Müssen die 10GbE NICs auch in verschiedenen Subnets sein oder reicht es, wenn die Ressourcen in verschiedenen Subnets sind? UND ist es schlimm, falls die 2 Subnets bei uns logisch das gleiche VLAN sind? Dazu sei noch gesagt, dass ich mir überlegt, damit beide Nodes (im Normalfall) immer arbeiten, dass die FS-Ressource-1 quasi immer auf Node1 läuft und 2 auf 2. Ich bin auf alle Kommentare gespannt. Schonmal vielen Dank! Viele Grüße Mag

Hallo samsam, vielen Dank, ich habe es verstanden ;) In die Richtung UserAccountControl habe ich auch schon geforscht und gehofft, dass es das nicht ist. Dieses Recht habe ich nämlich auch schon delegiert und mich gefragt, warum da so viele verschiedene Rechte dran hängen. Dazu hat Yusuf auch einen kleinen Blogbeitrag gepostet. Auf der MS Seite steht eine Warnung an genau dem Punkt "ADS_UF_PASSWD_CANT_CHANGE = 0x40" und ich muss mir noch einen Überblick über alle Konsequenzen davon machen, wenn ich diese Option ändere. Danke und Grüße Mag

Hallo samsam, danke für die Antwort, aber das passt nicht zu meiner Problemstellung. Ich möchte eben doch einige Rechte delegieren. Beim Besuch der oben genannten Webseiten wird es evtl. klarer. Stelle dir vor, ich bin in deiner AD ein "kleiner Admin" und du möchtest mir keine Domänen Administrator Rechte geben, sondern nur so viele, dass ich nichts kaputt machen kann. Dazu erlaubst du mir dann Benutzer anzulegen und zu löschen. Zusätzlich darf ich noch die Passwörter meiner Benutzer, für die ich zuständig bin, ändern. Und nun willst du auch, dass ich bei allen Benutzern in meinem Bereich in Active Directory Benutzer und Computer auf dem Reiter Konto den Haken "Benutzer kann Kennwort nicht ändern" setzen darf! Es geht nicht darum, ob ich den Haken über die GUI oder über die Powershell aktiviere oder deaktiviere, sondern über das hierzu notwendige Recht diese Einstellung zu ändern. Grüße Mag

Darf man aus der cmd die Powershell starten oder widerspricht das den Regeln ;)

Hallo zusammen, ich habe ein Problem das Recht zu delegieren, dass man einem AD User einstellen kann, dass er sein Passwort nicht ändern darf. Zur Situation: Ich möchte die Rechte bei uns im AD schon sehr lange granularer verteilen, da mir die Standard-Vorlagen (delegwiz.inf) nicht gefallen. Z.B. war mir anfangs nicht bewusst, dass mit "Erstellt, entfernt und verwaltet Benutzerkonten" Vollzugriff auf Benutzer gewährt wird und somit auch das Exchange Recht "Senden als" übertragen wird. Soviel zum Hintergrund. Nun baue ich nach langer Unterbrechung wieder an einer besseren Vorlage und ich habe ein Problem mit dem Punkt "Benutzer kann Kennwort nicht ändern" im Reiter Konto beim AD User (bzw. inetOrgPerson, sollte aber mal keinen Unterschied machen). Wenn ich es richtig verstanden habe, handelt es sich dabei eigentlich garnicht um ein Recht, sondern ein Verbot auf "Change Password" und ich befürchte es geht garnicht, hoffe aber das jemand eine Lösung hat. Es gibt dazu natürlich einen guten Blog Beitrag ;) mit einem Link zu MS und 70 Templates, in denen meine Frage sogar enthalten ist, aber .... leider auskommentiert und nicht funktional. Kennt jemand das Problem und hat eine Lösung? Ich konnte bisher nichts finden :/ Danke und Grüße Mag UPDATE: Ich könnte dieses Template natürlich auch gleich hier posten: ;--------------------------------------------------------- ;[template60] ;AppliesToClasses=domainDNS,organizationalUnit,container ;Description = "Set User cannot change password for a user account" ;ObjectTypes = user ;[template60.user] ;CONTROLRIGHT= "Change Password" ;----------------------------------------------------------

Hallo zusammen, ich kann zwar leider nicht wirklich zur einer komfortablen Lösung beitragen, aber ich wollte auf jeden Fall hinzufügen, dass das Problem bei mir nun erstmals aufgetaucht ist auf Exchange 2007 SP3 Ru5. Mit der Original Mail inkl. PDF Anhang kann der Fehler leicht rekonstruiert werden. Ein Speichern des Anhangs und Versenden in einer neuen E-Mail war der Workaround. Grüße Mag

Update: Hab das mit der Funktion falsch verstanden. Ich dachte ich müsste jedesmal die 3 Zeilen hinter dem echo "Fehlermeldung". War natürlich quatsch. Habs nun testen können, klappt wunderbar. Danke ! $logpath = "c:\temp\log.txt" $script = {Out-File $logpath -append } $scriptblock = [scriptblock]::Create($script) 'Ganz viele Fehler und noch mehr' | Invoke-Command -ScriptBlock $scriptblock

Hi Dukel, vielen Dank für die fixe Antwort. Hmmm, okay. Mit Funktionen hab ich gestern das erste mal angefangen, ich werde das mir dann mal anschauen. Das besagte Script hat nun auch ein Paar Funktionen, aber wenn ich eine neue funktion aufrufe, verlässt er mir dann nicht den abarbeitungsweg und springt nur zu der out-file funktion?! Scheint aber sehr aufwendig zu sein, für nur das out-file ... Aber danke, ich werde mir das mal zu Gemüte führen. Der Tip mit dem Apache muss ich später mal genauer schauen, merci! Grüße Mag

Schönen guten Morgen, ich hab da ein Anliegen und ich hoffe, ihr könnt mir helfen. Ich habe ein altes batch script, dass ich nun durch powershell ablösen möchte. Dort fand ich es früher ganz angenehm, dass ich in den 1. Zeilen folgendes griffbereit zum späteren Anpassen hatte: set mailokay = c:\tools\blat.exe -server ....-to user1 ... set mailerror = c:\tools\blat.exe -server ....-to user1, user2.... Im Code weiter unten konnte ich dann einfach darauf verweisen. mit %mailerror% usw. Das ganze konnte ich nun Abbilden in Powershell wie folgt: $mailokay = { Send-MailMessage ...-Attechment $logfile ....} Und rufe es dann später auf mit $mailokay.invoke() Das konnte ich gestern im Web finden. Nun möchte ich das gleiche hiermit machen, aber das klappt nicht. $logging = {out-file -filepath $log -append } sodass ich später bei jeder Ausgabe eines Fehlertextes, mir den in die logdatei schreiben lassen kann in der Art: echo "Dies ginbg nun mal in die Hose" | $logging.invoke() Wenn ich out-file an die stelle schreibe gehts, ich wollte mir das aber gerne zentral erhalten, um es bei einer Änderung nur einmal tun zu müssen. Fehlermeldung besagt "Ausdrücke sind nur als erstes Element einer Pipeline zulässig." Muss ich das anders lösen? Vielen Dank schonmal. Grüße Mag

Hallo, danke für den Tip, ich les ihn mir gerade durch. Die Schleife ist um diese Zeile. Ich habe nicht alles gepostet, da ich gerade erst beginne und das alles noch so unvollständig ist. Es war so: foreach ($person in $userliste) { foreach ($abt in $abtliste) { ($($abt + '-liste') = Get-ADUser $person -Properties Enabled, CanonicalName, EmailAddress, DistinguishedName, SAMAccountName, Company, ProfilePath, HomeDirectory | where { $_.CanonicalName -like ($abt + '*') } | Tee-Object -FilePath ('c:\test\' + $abt + '.txt') } } JA in dem Code sind Fehler. Das soll nur meine Frage verdeutlichen, was ich ungefähr vor hatte mit dieser dynamischen Variable (z.B. $einkauf-liste, $personal-liste,... ) Grundgedanke war, ich habe eine Userliste mit ausgeschiedenen Mitarbeitern und eine Liste aller Abteilungen. Die genaue Herkunft der User anhand des AD Objektes kann ich eigentlich nur am canonicalname festmachen, daher diese vorgehensweise. Habe es nun etwas umgestellt, dass ich die AD nur einmal abfrage (damit die nicht unnötig penetriert wird). Ich arbeite dann weiter mit einer export-csv Datei, aber mein Problem bleibt irgendwie ;) Ich würde gern den gefunden User aufgrund seiner Abteilung mit allen dieser Abteilung in eine textdatei schreiben. Habe es nun so: % { Get-ADUser $_ -Properties Enabled, CanonicalName, DistinguishedName, SAMAccountName, Company, ProfilePath, HomeDirectory, Name, EmailAddress, homeMDB } | select Enabled, CanonicalName, DistinguishedName, SAMAccountName, Company, ProfilePath, HomeDirectory, Name, EmailAddress, homeMDB | export-csv "c:\test\ausgabe.txt" -NoTypeInformation Und nun mache ich einen import-csv und will dann mit den daten weiterarbeiten.

Hmm, es wäre ja nicht willkürlich dynamisch, sondern eine begrenzte menge, die ich kenne. Es geht insgesamt um ausgeschiedene Benutzer. Ich möchte verschiedene Daten aus dem AD sammeln und mir die später pro Abteilung ausgeben lassen, damit ich die Verantworltichen informieren kann. Nach dieser Schleife dachte ich mir dann, könnte ich prima auf die Inhalte der Variablen zugreifen. Alternativ kann ich ja auch dynamisch ein out-file oder export erstellen lassen und die dann wieder einlesen.

Hallo Leute, leider komme ich mit der Suche im Netz nicht wirklich zu einer Hilfestellung. Ich als powershell anfänger versuche gerade ein script aufzubauen mit einer schleife. Ich habe eine Liste an abteilungen (personal, einkauf, techn. service usw.) in einer varibale $abt-liste. nun möchte in der for schleife pro $abt aus $abt-liste eine abfrage generieren. Das ergebnis dieser abfrage würde ich gerne in eine variable schreiben die z.b. dann heisst $einkauf. Nun dachte sich mein wirres Hirn, das könnte in der Art gehen: $($abt) = get-ADUser $person -Properties ....(was hier hin soll ist auch noch nicht ganz fertig) Es gibt 2 Probleme. Das mit den Klammern geht nicht. Welche Zeichen muss ich da verwenden, dass er mir erst die variable abt ausgibt und dann das $ davor packt? Das Zweite. Ja ich habe z.b. leerzeichen in verschiedenen Ausgaben von $abt, das wollte ich mit einem .replace.... in den Griff kriegen. Falls jemand für mich nen Lösungsansatz hätte, wäre ich sehr dankbar ;) Grüße Mag

Also wenn du den Platz dafür hast, würde ich zum Testen alle 3 als virtuellen Clone einrichten. Das geht mit dem neuen vmware Converter sehr bequem und man kann auch ein abschließendes Syncen durchführen, zu einem Zeitpunkt, damit auch alle DCs zur gleichen Uhrzeit gecloned wurden. (Ich konnte bei meinem Test 4 DCs aus 2 Domänen erfolgreich duplizieren.) Ich hab mich mißverständlich ausgedrückt, ich wollte die Fehlermeldung erfragen, die beim Anlegen von Benutzer oder Computern auftauchen bei deinem psrv18 Clone. Grüße Mag

Sau gut! Danke ;)

Gibt es denn eine Fehlermeldung beim Anlegen von Usern oder Computern wie oben beschrieben?

Also wenn auf dem verbleibenden DC wirklich alle Betriebsmaster laufen und keine Fehlermeldungen auftauchen ... puuuuh. Ich würde es wohl mal mit einer Clone des DC versuchen und nicht die Sicherung bemühen. Geht ja auch im Betrieb ohne Ausfall.

Hi, also ich hab auch gerade wieder eine Testumgebung erstellt. Für alle Sicherheitsfreunde, natürlich sind alle PWs geändert und es kann zu keinem Mißbrauch kommen. Ich weiß ja nicht genau wie groß/komplex dein Forest ist, aber ich hab meine Testumgebung wieder mit dem vmware vcenter converter erstellt. Das funktioniert tadellos. Hier http://www.mcseboard.de/active-directory-forum-79/ad-testumgebung-clonen-166411.html hatten wir darüber schonmal diskutiert. Für dein Problem bräuchten die Fachleute hier wohl noch ne Fehlermeldung, dcdiag oder dergleichen. UPDATE: Ah da ist ja nun eine Fehlermeldung ... Die Meldung zu NCSecDesc ist nicht schlimm, das kommt nur wenn man keinen Read Only DC in der Domäne hat, da gibts nen Beitrag zu von Yusuf Dikmenoglu

Hi Leute, ich bereite gerade unsere Domäne vor für den baldigen Einsatz von System Center Configuration Manager. In einem Test habe ich nun das Schema erweitert und muss nun noch den System Management Container anlegen. In der Anleitung von MS Prepare the Windows Environment for Configuration Manager steht nun ich soll in jeder Domäne in der ein Configuration Manager Primary Site Server enthalten ist, einen System Management Container anlegen und Rechte verteilen. Dazu hätte ich folgende Frage... In unserer Umgebung sieht es so aus, dass wir Server in dc=contoso,dc=com haben und alle Clients in dc=sub,dc=contoso,dc=com haben. Die Gründe hierfür sind historischer Natur, als wir noch mehrere subdomains hatten. Egal. Ein CM Primary Site Server kann ja einen ganzen Forest bedienen, d.h. wir brauchen nur einen in der übergeordneten Domäne. Die Clients die er verwalten soll sind in der Subdomain. Lege ich nun den System Management Container in beiden Domänen an oder reicht die übergeordnete? Was werden dort für Daten abgelegt? Wenn ihr dazu Infos hättet, wäre das Klasse. Danke & Grüße Mag

Hi, die Info hab ich vom Händler. Bei der Miete gehts ja nur um die Clients. OS, Office und einige CALs. Bei dem Serversstemen kann ich wählen, ob ich kaufe (Select Plus) oder Miete. Bei Server 2008 R2 würde es sich rechnen, wenn ich nun Miete (1 Jahr) und dann bald bei Release von Server 8 diesen dann kaufe. Aber wenn ich gezwungen werde den Server länger zu mieten, dann kauf ich lieber.

Hallo Spezialisten, ich hätte eine Rückfrage zur Thematik Lizenzen mieten. Aktuell befinden wir uns in einem Mietvertrag (Campus Agreement) und haben evtl. vor z.B. Serverprodukten ebenfalls zu mieten. Nun ist die Laufzeit bei dem CA 3 Jahre. Wenn ich nun z.B. Server 2008 R2 Datacenter Edition anfrage, hat man mir gesagt, dass ich das nicht nur 1 Jahr mieten kann, sondern im 2. Jahr mindestens die Menge aus dem 1. Jahr bestellen muss. Stimmt das? Gibt es diesen Zwang? Grüße Mag

Okay, hatte deine Aussage: falsch verstanden, als wäre es nur beim nächsten mal übertragbar und dann nicht mehr. Danke :cool:

Nur einmal wiederverwendbar. Okay! Das ist ja wichtig bei der Kalkulation. Ah, SB ist Systembuilder?! Hatte mich in anderen Posts schon gefragt was das ist :)

Hmmm, okay. Was das vorher für eine Lizenz gewesen sein soll, diese Basis-bla kann das einer kommentieren? Gabs denn vorher mehr Varianten? Das mit der System Builder ist ne gute Option, danke. Kann die Übernahme beliebig oft erfolgen? Dann wäre ich ja mit der Miete und immer einer aktuellen SA und der System Builder die nächste Zeit versorgt. Ist ein Rechenbeispiel, ab wann sich dass dann amortisiert. Danke schonmal!

@zahni Danke. Der Termin mit dem Händler steht auch schon fest, ich möchte nur nicht uninformiert sein. Was mir noch unklar ist, was das vorher für ein Weg war. In dem Shop hieß die in der Tat "Windows Basisbetriebssystzemlizenz" und warum es die nun nicht mehr gibt. @Dr.Melzer Aktuell ist es Ziel für die neue PC Bestellung und die vorhandenen Volumenlizenzen (Campus Vertrag/Miete) für die neuen PCs ein qualifiziertes Basis Betriebssystem zu finden und zwar das günstigste. Der alte Weg (wie oben beschrieben) geht nun nicht mehr. Die Frage heißt also, welche Möglichkeiten gibt es. Was ich gelesen habe ist z.b OEM OS, FFP oder System Builder Lizenzen. Weil das für mich im Moment einfach nur böhmische Dörfer sind, suche ich jemanden mit Gesamtüberblick und einer Empfehlung wie man es machen könnte.