Daim

Servus, das kannst du doch entweder über den Objektverwaltungsassistenten in der MMC "Active Directory-Benutzer und -Computer" oder in der Kommandozeile mit DSACLS an den OU-Admin delegieren. Wenn du im Assistenten den du auf der OU der Benutzer ausführst, einen benutzerdefinierten Task wählst, kannst du zuerst die "Benutzer-Objekte" und anschließend die Option "Lesen und Schreiben Gruppenmitgliedschaft" auswählen. Schau dich auf der folgenden Seite um: LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

Dieser ist natürlich der einzigste DC und es existiert kein Backup, zumindest nicht vom System State. :rolleyes: Du kannst dir mal UMOVE anschauen, aber das ist ebenfalls seitens Microsoft nicht supportet. UMove - Move or copy Active Directory for backup or recovery

Servus, du willst also von einer USB-Platte das NTDS Verzeichnis "eins zu eins" im Windows Explorer auf das produktive System kopieren. Das ist keine supportete Wiederherstellungsmethode! Was ist denn der Sinn dieser Übung?

Schau dir den folgenden und die dort weiterführenden Links an: LDAP://Yusufs.Directory.Blog/ - LDIFDE - LDAP Data Interchange Format Data Exchange Was die Attribute im Benutzerkonto anbetrifft, schau dir diese Seite an: LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen

Servus, versuche es mal damit : Ldifde -m -f C:\Export.txt -r "memberof=CN=SecureGruppe,CN=Users,DC=nwtraders,dc=com"

Servus, erstelle einen Hosteintrag A-Record "www" mit der externen IP Adresse eurer Webseite auf deinem internen DNS-Server. Das gleiche führst du für FTP, POP, Mail usw. oder was auch immer extern von intern erreicht werden soll.

Du möchtest dem neuen DC die IP-Adresse des alten DCs vergeben. Das kann man machen. Falls du dich aber dazu entscheidest, ändere die IP-Adresse erst dann, wenn er alte DC entfernt wurde oder er eine andere IP-Adresse hat. LDAP://Yusufs.Directory.Blog/ - Die IP - Adresse eines Domänencontrollers ändern Ich würde dem neuen DC eine neue IP-Adresse verpassen, auf den anderen Servern den neuen DC als DNS-Server konfigurieren und an die Clients per DHCP die neue IP-Adresse verteilen.

Dann versuche dich mal an einem DC --> LOKAL <-- anzumelden. ;) Du siehst es selbst, wenn du auf dem DC im Anmeldefenster das Feld "Anmelden an:" kontrollierst. Du kopierst nicht die FSMO-Rollen, sondern überträgst diese auf den neuen DC. Anschließend warte einige Zeit, bis die AD-Replikation abgeschlosen wurde und sich auch die DNS-Informationen auf dem neuen DC befinden. Danach konfigurierst du in den TCP/IP-Einstellungen des 2008er DCs ihn selbst als primären DNS-Server. Wenn dann alles soweit durch ist, schalte den 2003er DC erst einmal aus und warte ob von den Benutzern jemand aufschreit oder irgendein Dienst nicht funktioniert. Wenn ca. eine Woche alles rund lief, schalte den 2003er DC wieder an und stufe den DC mit DCPROMO zum Mitgliedsserver herunter.

Das alles hat nichts mit der Delegierungsmeldung zu tun.

Das steht alles in diesem Artikel: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus Ah.. ok, du hast einfach die Meldung worauf dich der Assistent hinweist abgeschrieben. Ja, die Meldung ignorieren und den Vorgang mit "Ja" fortsetzen.

Doch, dass hast du mit Sicherheit. Denn die folgende Meldung kommt nur dann, wenn die Option "RODC" aktiviert wurde: Du sollst die DNS-Delegierungsmeldung ignorieren. Die RODC-Meldung kannst du garnicht ignorieren, denn der Assistent bricht dann ab. Genau so ist es. Es gibt den Domänenfunktionsmodus und dann noch den Gesamtstrukturfunktionsmodus. Lies: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus

Servus, fein gemacht. ;) Scheinbar hast du an dieser Stelle auch die Option RODC aktiviert. Das funktioniert natürlich nicht. Ignoriere diese Meldung und klicke auf "Nein" das keine Delegierung erstellt werden soll. Du hast an der entsprechenden Stelle den RODC ausgewählt. Damit aber ein RODC in der Domäne installiert werden kann, muss sich bereits ein Windows Server 2008 DC in der Domäne befinden und der Gesamtstrukturfunktionsmodus muss sich mindestens auf "Windows Server 2003" befinden. Daher wähle diese Option wieder ab. Warum das denn? Wenn keine 2000er DCs sich mehr in der Domäne befinden, stufe den Domänen- respektive Gesamtstrukturfunktionsmodus auf Windows Server 2003. Dann musst du zusätzlich die FSMO-Rollen, den GC, Daten sowie alle Dienste die auf dem 2003er DC laufen auf den 2008er DC verschieben. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen Aber merke: Wenn möglich sollte in jeder Domäne mindestens zwei DCs wegen der Ausfallsicherheit betrieben werden!

Aloha, du kannst versuchen auf dem geimageten DC mit DCPROMO /FORCEREMOVAL (also eine erzwungene Herabstufung) die AD-Daten LOKAL auf dem DC zu entfernen. Im zweiten Schritt musst du dann noch die Metadaten des AD bereinigen das bedeutet, du entfernst mit NTDSUTIL die DC-Informationen des geimageten DCs aus dem AD. Dabei kannst du dich an diesem Artikel halten und lass dich von dem Titel nicht irritieren, es geht darin auch um Windows Server 2003. LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Es gibt keine "primären" DCs mehr wie unter Windows NT. Wenn der geimagete DC der FSMO-Rolleninhaber war, müssen diese nun "mit Gewalt" von einem anderen DC übernommen werden. LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben Gleichzeitig solltest du auf allen DCs den GC aktivieren. Es ist auch empfehlenswert auf jedem DC das DNS zu installieren, wobei die Forward Lookup Zone AD-integriert gespeichert sein solte. Im Prinzip ist es egal welche Reihenfolge, jedoch solltest du zuerst die "Leiche" entfernen.

Ich kenne zumindest kein Unternehmen (was nichts heißen soll). Ab Windows Server 2008 hat sich das auch erübrigt, denn ab dem Gesamtstrukturfunktionsmodus "Windows Server 2008" wird das SYSVOL-Verzeichnis durch das DFS-R repliziert. Genauer: Round-Robin. ;)

Bonjour, es gibt aber eine Grenze, dass auf einem Objekt aus Performancegründen nicht mehr als 999 GPOs wirken können. Wenn es 1.000 GPOs wären, wäre das auch eindeutig zu viel des Guten gewesen. ;) LDAP://Yusufs.Directory.Blog/ - Die Grenzen des Active Directory

Also Tom macht das mit Sicherheit. Aber spätestens dann würde ich die Bühne verlassen. :cool:

Na z.B. FTP, POP, Mail oder was auch immer extern von intern erreicht werden soll. Siehe: http://www.mcseboard.de/windows-forum-allgemein-28/erstellung-domaenen-154665.html#post951112

Servus, es ist kein Fehler in dem Sinne, dass es so nicht funktionieren würde. Das kann man so machen. Man muss dann aber im internen DNS mehr "konfigurieren". Trage im internen DNS eine A-Record "www" mit der externen IP-Adresse der Webseite ein. Das gleiche für alle anderen Dienste. Im Übrigen empfehle ich nicht die Endung LOCAL zu nehmen sondern etwas anderes.

gnoovy, Sorry, aber ich habe keine Lust weiter zu antworten, wenn du zusätzlich noch in zwei anderen Bords die exakt gleiche Frage stellst. Das macht man einfach nicht. Entscheide dich für ein Bord in dem du deine Frage stellst und nicht in mehreren.

"Ruhm und Ehre" sind dir jetzt schon sicher. ;) Die Menge wird toben, schreien, sich ausziehen... :cool:

Hallo AD-Freunde, wie erwartet hat es nicht lange gedauert, bis das erste kostenlose Tool für den AD-Papierkorb im Windows Server 2008 R2 im Internet erscheint. LDAP://Yusufs.Directory.Blog/ - Der Active Directory-Papierkorb im Windows Server 2008 R2 Mit Bordmittel lässt sich der AD-Papierkorb nur über die AD-Powershell oder mit LDP herstellen. Ein weiteres Tool neben ADRestore und ADRestore.NET ist das Tool ADRecycleBin. ADRecycleBin Have Fun!

Dann beherzige meine zweite Antwort. Das kann man so machen. Aber es kommt auf die Anforderung des Kunden an und in den allermeisten Fällen ist ein "Ein - Domänenmodell" das bessere Design.

Was das Domänenmodell anbetrifft, ist es in vielen Umgebungen sinnvoll lediglich eine Domäne (Single-Domänen Forest) zu erstellen. Aber das kommt eben auf die Anforderung an. Denn der Nachteil bei mehreren Domänen wäre: - Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte. - Dadurch entstehen höhere Hardware- sowie Lizenzkosten. - Jeder DC sollte/muss vor Ort physikalisch geschützt sein. - Jede Domäne muss gesichert werden (Backup). Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei sich die Admins der Subdomäne "ganz schnell" mit krimineller Energie, höherwertige Rechte erschleichen können. Mit mehreren Domänen kann man bis Windows Server 2003 unterschiedliche Kennwortrichtlinien anwenden. Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Des Weiteren gibt es bei der Wahl des Domänennamens mehrere Varianten: 1. Der Active Directory-Name lautet so wie die Internetdomain. 2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt. Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". Diese Variante, wäre auch meine empfohlene. 3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.intern usw. Denn es wäre denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.). 4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net. Dabei sollten natürlich beide Domains beim ISP registriert werden. 5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ. ISO 3166 ? Wikipedia 6. Einen abstrakten AD-Domänennamen, unabhängig vom Firmennamen. Das hat den Vorteil, wenn sich die Firma umbenennt, muss nicht sofort die AD-Domäne wegen einem Namen unbenannt werden. Vor der Anwendungsebene muss natürlich das Routing funktionieren.

Servus, was ist denn der Sinn dieser ganzen Übung? Handelt es sich um eine produktive oder Testumgebung?

Servus, naja, der OP tauscht die Hardware aus und die HDDs sind einer der kritischeren Hardwarekomponenten. Wenn die HDDs ebenfalls ihr entsprechendes Alter haben, sollten die HDDs eher nicht in den neuen Server eingebaut werden.