Jump to content

dmetzger

Members
  • Content Count

    2,588
  • Joined

  • Last visited

Community Reputation

10 Neutral

4 Followers

About dmetzger

  • Rank
    Expert Member

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Wenn das Paket bereits vorbereitet ist und im "Updates"-Ordner der Installationsquelle eine Custom.msp existiert, genügt der Aufruf \\Installationsquelle\setup.exe zur Verteilung. Du kannst zuvor auch per if exist oder reg query prüfen, ob das Paket bereits installiert ist, so dass nicht mit jedem Computerstart eine Installation versucht wird.
  2. - Wie lautet die genaue Meldung? - Haben die Benutzer die Berechtigung, ihr Kennwort zu ändern (SELF/SELBST -> Zulassen -> Kennwort ändern)?
  3. Evt. defekte Netzwerkkarte oder Option "Energieverwaltung" aktiviert: "¨Computer kann Gerät ausschalten..."?
  4. http://blogs.technet.com/b/filecab/archive/2009/05/28/dfsrdiag-exe-replicationstate-what-s-dfsr-up-to.aspx http://technet.microsoft.com/en-us/library/cc754229.aspx http://blogs.technet.com/b/askds/archive/2011/07/13/how-to-determine-the-minimum-staging-area-dfsr-needs-for-a-replicated-folder.aspx
  5. Externe Clients können ohnehin nicht nach dem SCP in Active Directory suchen, es sei denn, sie sind per DirectAccess angebunden (was nach derzeitiger Abhörlage eher nicht der Fall sein sollte). Es bietet sich somit an, für jeden Standort zusätzlich eine Standort-spezifische Empfängeradresse für die Postfachbenutzer zu erstellen (akzeptierte Domäne, Adressrichtlinie). Externe Benutzer geben im Outlook-Einrichtungsassistenten die Standort-spezifische E-Mail-Adresse und ihr PW ein, und Outlook sucht an 3. Stelle automatisch nach der URL https://autodiscover.<Standort>.<Domäne>/Autodis
  6. Mir erschliesst sich der Inhalt des Bildes nicht, da zu klein. :( Aber eine Grundsatz-Aussage: Vermeide Deny-Einträge für GPO. Erstelle stattdessen eine Sicherheitsgruppe für die Benutzer oder Computer, für die ein GPO wirksam sein soll, und arbeite mit der Sicherheitsfilterung. Das funktioniert immer und ist die empfohlene Vorgehensweise.
  7. Mir sind sehr grosse AD-Infrastrukturen bekannt (80'000+ Benutzer), die sich über mehr als 80 Länder erstrecken. Die kommen mit einer einzigen Domäne bestens zurecht. Jede weitere Domäne verursacht weiteren Aufwand, wie Norbert bereits zu bedenken gegeben hat. Jede Domäne braucht nicht nur minimal zwei Domänencontroller, sondern eigene OU-Strukturen, eigene GPO, eigene Administratoren, es müssen Namens- und Verwaltungskonzepte festgelegt und durchgesetzt werden, Mitgliedschaften in wichtigen Sicherheitsgruppen kontrolliert werden (jede Domäne hat Domänenadmins... ;) ), die Dokumentation wird u
  8. Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013. Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen
  9. Zertifikatsanforderungen lassen sich GUI-basiert oder mit dem Kommandozeilenwerkzeug "certreq.exe" handhaben. Dokumentation gibt es bei Microsoft. http://technet.microsoft.com/en-us/library/cc754246.aspx http://technet.microsoft.com/library/cc725793.aspx
  10. GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> "Ausführliche im Vergleich zu normalen Meldungen" -> aktivieren
  11. Du solltest Dich eingehender mit den Grundlagen von DNS und speziell "Split-DNS" beschäftigen, z.B.: http://msdn.microsoft.com/en-us/library/ms954396.aspx -> "Using Split-Brain DNS" http://technet.microsoft.com/en-us/library/cc772774(v=ws.10).aspx
  12. Weil nicht jeder es schafft, konzentriert bis zum Ende durchzuziehen. ;) Bist Du sicher, dass es ein Empfänger- und nicht ein Absenderproblem ist? Vielleicht kommen die E-Mails verspätet an, weil sie verspätet ausgeliefert wurden?
  13. Es heisst übrigens Schemaerweiterung, nicht Schemaersetzung. ;) http://technet.microsoft.com/en-us/library/cc773309(v=ws.10).aspx "How the Active Directory Schema Works"
  14. Wahrscheinlich ja. Habe allerdings bei einem Kunden auch schon einen TMG als Domänenmitglied gesehen, auf dem E2K10 mit CAS/HT/MB installiert war. :shock:
  15. Gemäss Deinem Bildschirmfoto existiert die Partition; sie wird in der Datenträgerverwaltung korrekt und als "fehlerfrei" angezeigt. In der Auflistung der Laufwerke ist sie ebenfalls enthalten, allerdings ohne Darstellung des belegten Speicherplatzes. Das ist das übliche Verhalten, wenn der angemeldete Benutzer keine Zugriffsberechtigung hat. Wurden die Gruppe "Benutzer" aus der ACL des Laufwerks entfernt? Warum ist der Datenträger 2 in einen dynamischen konvertiert?
×
×
  • Create New...