Daim

Um zwischen Gesamtstrukturen auf Daten zuzugreifen, ist die idealste Lösung - die Gesamtstrukturvertrauensstellung. Eine andere Alternative wäre, mit einer externen HDD zu hantieren, aber das möchte natürlich auch keiner ;-)

was bedeutet "nur Vertrauensstellung"? Um auf die Daten der anderen Gesamtstruktur darauf zuzugreifen, brauch man eine Vertrauensstellung und diese setzt eine Namensauflösung voraus. Im idealen Fall, sind beide Gesamtstrukturen "Windows Server 2003" Forests und der Gesamtstrukturfunktionsmodus sollte jeweils "Windows Server 2003" sein, damit Du die Vorteile einer Gesamtstruktur-Vertrauensstellung nutzen kannst. Du könntest auch einen externen Trust konfigurieren, aber wenn möglich und falls die Vorraussetzungen stimmen, ist eine Gesamtstruktur-Vertrauensstellung vorzuziehen. Yusuf`s Directory - Blog - Vertrauensstellung zwischen zwei Gesamtstrukturen

Aloha, ja, dass ist so. Die Ziel-Domäne muss sich im einheitlichen Modus befinden. Das ist zwingend notwendig für die SID-History denn ohne die, macht das migrieiren keinen Sinn. Das hättest Du Dir sparen können, denn der Domänenfunktionsmodus, respektive Gesamtstrukturfunktionsmodus Windows Server 2003 sollte ohnehin eingesetzt werden, sofern nichts dagegen spricht (wie z.B. ältere DCs in der Domäne/Forest). Eine Gesamtstruktur die in den Modus „Windows Server 2003“ gestuft werden soll, setzt voraus, das alle Domänen die sich in der Gesamtstruktur befinden, auf dem Domänenfunktionsmodus „Windows Server 2003“ befinden. Ein Zurückstufen der Ebenen, sei es der Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus ist im Nachhinein nicht mehr möglich! Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN), wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ herauf gestuft werden kann. Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen. Siehe auch: How to raise domain and forest functional levels in Windows Server 2003

Servus, was die Änderung der IP-Adresse auf einem DC anbelangt, siehe: Yusuf`s Directory - Blog - Die IP - Adresse eines Domänencontrollers ändern

Aloha, ich kann Dir zwar Deine Frage nicht beantworten, aber bekanntlich führen viele Wege zum Ziel. In dem von Dir verlinkten Artikel ist ein kleiner Fehler, dort steht das LastLogonTimeStamp alle 14 Tage repliziert werden würde, es sind aber 7 Tage. Um das Attribut LastLogonTimeStamp zu nutzen, muss sich die Domäne in dem Domänenfunktionsmodus "Windows Server 2003" befinden. Das Verhalten von LastLogonTimeStamp kann im Attribut msDS-LogonTimeSyncInterval gesteuert werden. Du kannst z.B. dsquery nutzen (wobei dsquery ebenfalls LastLogonTimeStamp nutzt): http://www.faq-o-matic.net/content/view/154/45/ Oder z.B.: http://www.faq-o-matic.net/content/view/27/45/ Entfernen kannst Du die Computerkonten, entweder mit diesem Skript: How to detect and remove inactive machine accounts Oder mit dem Tool OldCmp: OldCmp oder mit diesem Skript: Move Old Computers

Servus, siehe selbst ;) Yusuf`s Directory - Blog - Profile (lokal/servergespeichert)

Servus, USERS ist nicht nur ein Typ "CN", sondern ist bloß ein Container und keine OU ;)

Servus, damit dieser als zweiter/weiterer Domänencontroller fungiert - nein. Deine Forward Lookup Zone sollte idealerweise AD-integriert gespeichert sein und nur sichere Updates zulassen. Dann kannst Du folgendermaßen Vorgehen: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Möchtest Du z.B. DHCP "ausfallsicher" gestalten, dann könntest Du es als "Standby" Variante lösen: Wie kann man einen DHCP-Server unter Windows ausfallsicher gestalten? - faq-o-matic.net

Aloha, hier wird Dir geholfen ;-) : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7685

Auf sowas habe ich gewartet... Natürlich habe ich es gelesen, denn die Webseite wurde samt Tools und den Texten von Microsoft TechNet: Windows Sysinternals - eins zu eins übernommen. Aber die Möglichkeit besteht, dass Microsoft mitlerweile Newsid getestet hat (oder am testen ist) und die Seite eben noch nicht aktualisiert wurde. Das wäre nicht das erstemal.

Servus, aus diesem Buch: Windows Server 2003 - Die Expertentipps - faq-o-matic.net findest Du folgendes Skript: ' ************************************************************ ' getNameBySID.vbs ' Ermittelt den Namen eines per SID wählbaren Benuzerkontos ' Achtung: Es dauert einen Moment, bis das Ergebnis erscheint! ' ' Von Nils dot Kaczenski at mvps dot org ' Keine Gewähr, Einsatz auf eigene Gefahr! ' ************************************************************ strSearch = InputBox("Zu welchem SID wird der Name gesucht?", "getNameBySID", "S-1-5-32-544") Set objWMI = GetObject("winmgmts:") strWQL = "select Name from win32_account where SID='" & strSearch & "'" Set objResult = objWMI.ExecQuery(strWQL) For Each objAcc In objResult strResult = objAcc.Name Next InputBox "Der Name zu " & strSearch & " lautet: ", , strResult

Oder Du wartest auf den Longhorn Server. Dort kann man mit NAP (Network Access Protection) diverses einschränken.

Hallo, mit den Tools EventComb und BLAT, lassen sich die gewünschten Einträge zumailen: Verwalten von Ereignisprotokollen mit EventComb MT - faq-o-matic.net happy mailing : Blat online

Servus, da kann ich lefg nur zustimmen. Sicherheit im Netzwerk, erreicht man nicht durch DHCP.

@ITHome - Ich halte ihn fest und Du darfst machen was Du wilst - oder wir machen es umgekehrt :p Es konnte nur ein kleiner Fehler sein, alels andere hätte mich gewundert. Dann hast Du wieder etwas gelernt ;) Have Fun beim dsget`en :cool:

Dann ist bei dem Verfahren etwas schief gelaufen, was leider des öfteren bei genau den Computerkonten vorkommt. Nach dem verschieben mit ADMT, sind die Computerkonten ordnungsgemäß auch in der neuen Domäne und ein nach bearbeiten (so wie Du es vor hast) ist nicht notwendig. Ist der Domänen-Administrator mit dem Du das ADMT durchführst, in der lokalen Administratoren Gruppe auf den Clients eingetragen? Denn das ADMT muss auf dem Client einen Agenten installieren, der die ganzen Berechtigungen ändert und das geht nur mit Admin-Rechten. Wenn das alles zutrifft, kann es auch sein, dass Du den Vorgang mit dem verschieben, zwei bis dreimal wiederholen musst bis es dann letztenendes dann funktioniert. Fazit: Du brauchst nur ADMT und kein Skript.

Aloha, das musst Du mir nochmal genauer erläutern. Mit ADMT verschiebt man doch schon die Computerkonten, in Deinem Fall, von der NT-Domäne in die 2003er Domäne. Willst Du die Computerkonten jetzt wieder von der 2003er Domäne (wohin) verschieben?

In der EDV immer wieder, gerade im samACcountname und dieverse andere Attribute haben damit ihre Probleme. Ob jetzt speziel DSGET damit ein Problem hat, kann ich zwar nicht beschwören, würde es aber stark vermuten. Umlaute sollten eben in der EDV vermieden werden, um eben div. Probleme schon im vornherein zu umgehen. Davon gehe ich aus, deshalb hatte ich bisher die Umlaute nicht angesprochen.

Nur damit wir uns verstehen, Du führst das aber schon auf einem Windows Server 2003 und nicht Windows Server 2000 aus bzw. Du hast eine 2003er Domäne? Bzw. Windows 2000 SP3 mit gesetztem Reg-Key (wegen dsmod zur LDAP-Verschlüsselung).

Dann kann ich mir nur noch vorstellen, dass DSGET ein Problem mit der OU-Tiefe hat. Führe mal zum testen, den DSGET Befehl auf dem Server mit einer Test-Gruppe aus, die aber diemal in einer höheren OU liegt. Also, z.B. so: Testdomäne.de OU Standort CN ExcelAnwender DSGET GROUP "cn=excelanwender,OU=Standort,DC=Testdomäne,DC=de" -MEMBERS -EXPAND > C:\Dsget.txt

Servus, ließt Du auch, was andere schreiben? @tott Dann führe doch den DSGET Befehl mal direkt auf dem Server aus, dass muss funktionieren.

Hallo, dann versuche doch zuerst mal den Vorschlägen bei eventid.net nachzugehen und kontrolliere ob etwas davon hilft: EventID.Net

Servus, ändert sich etwas, wenn Du hinter "-members" noch den Schalter "-expand" hinzufügst" ? Yusuf`s Directory - Blog - Active Directory - Abfrage

Das stimmt(e) bisher. Seit dem aber die Sysinternal-Tools nun Microsoft-Tools sind, bin ich mir nicht sicher, ob nun nicht auch "newsid" supportet wird. NewSID v4.10

Servus, das geht z.B. folgendermaßen (alles in einer Zeile): dsquery * domainroot -filter "(&(objectCategory=Person)(objectClass=User))" -attr sAMAccountName Mail -Limit 0 > C:\Dsquery.txt Wenn aber Exchange existiert, könnte das noch relevant sein: Alle Mailadressen anzeigen - faq-o-matic.net