carnivore

Hallo,

das normale Betriebshandbuch gilt für normale Angestellte und das Betriebsführungshandbuch -wie der Name es ausdrückt- gilt für Führungskräfte.

carni

Unterhalten sich zwei Beamte, ob sie sich nicht ein Aquarium ins Büro stellen sollten. Meint der eine: Nee, lieber nicht, das bringt soviel Unruhe... ;)

@carnivore:

 

Wieviel verdient man denn da so (welche Region)?

ohne leitende Funktion: ca. 35.000€ bis 75.000€ / Jahr . Das Gros schätze ich um die 50.000€ ein.

- sehr stark abhängig von der Primärqualifikation (Studium Uni -> Studium FH -> Ausbildung). Daran entscheidet sich zu 95% in welche Gehaltsstufe man eingruppiert wird.

- stark abhängig, in welchem Jahr man eingestellt wurde

- abhängig von der vorher gemachten Tätigkeit und dem vorherigen Gehalt

- abhängig vom Verhandlungsgeschick bei der Bewerbung. Auch welchem Menschen von der Perso man gegenübersitzt. Es gibt knausrige und grosszügigere.

- abhängig, in welcher Region man eingestellt wurde. Wir haben deutschlandweit Standorte.

Die Neueinstellungen pro Jahr kann man leider momentan an einer Hand abzählen.

Hoffe, das hilft euch ein bischen weiter, zumindest euch zu orientieren

Gruss

carnivore

Hallo,

Mal meine bescheidene Meinung zu den letzten Posts bzgl. KnowHow, Stress, Verantwortung:

Ich arbeitete im IT-Haus, das einen Konzern verwaltet. Unser IT-Budget liegt bei ca. 600 Mio. € im Jahr, also wahrscheinlich eher am anderen Ende der Leiter :)

Bei uns hat man tatsächlich mit einem Schwerpunktthema zu tun, wie ActiveDirectory in einem ca. 7-Mann Team. Zum einen bringts einen unheimlich weiter, wenn man jede Idee und jedes Problem mit mindestens 2-3 Kollegen durchdiskutieren und weiterentwickeln kann.

Zum anderen holt man sich das "Allrounder-Wissen" in Projekten, wo man immer mit anderen Spezialisten zusammensitzt, deren Sichtweisen hört oder Projektpapiere Review liest. Bei den richtig knackigen Fragen sitzen dann auch die Hersteller mit ihrem exclusiven KnowHow mit am Tisch, so dass man sich nicht mit Consultants aus irgendwelchen schwindligen Systemhäusern auseinandersetzen muss.

Es geht mir bitte nicht darum zu argumentieren, wo Mitarbeiter das grössere KnowHow haben. Es gibt überall TopLeute und Vollpfosten.

Wollte eben nur mal die andere Welt, als die jetzt paarmal beschriebene 1-2 Mann IT-Abteilung, kurz darstellen

Gruss

carnivore

Hallo,

der Pfad kommt aus einem Zertifikat und soll -so die Idee- für ein paar hundert Domänen flexibel gelten. Man bräuchte dann nicht für jede Domäne ein eigenes Zertifikat und könnte leichter den Rollout automatisieren.

cn=configuration,dc=domain,dc=de ist ein Untercontainer der Root,

bzw. gebe ich den configurationcontainer als Startpunkt ein, durchsucht er diesen samt Untercontainer auch. Deswegen versteh ich nicht ganz, warum der cn=configuration nicht durchsucht wird.

Wenn's nicht geht, müssen wir uns was anderes überlegen

Merci

carni

Hallo,

Ich möchte einen LDAP-Search mit der Domänenroot als Base durchführen. Dabei wird leider die Configuration Partition nicht durchsucht, in der sich aber genau die Information (nämlich der CDP) befindet, die ich brauche.

Gibt man als BaseDN die Configuration Partition an, so wird das gewünschte Objekt sofort gefunden.

Kann man im AD konfigurieren, dass auch der Configuration Container in eine RootBase LDAP-Suche eingebunden wird?

Merci

carnivore

danke, den Artikel habe ich gebraucht!

Aufs Eventlog mußt du dann halt auch entsprechende Berechtigungen vergeben.

genau das ist mein Problem, wie?

Hallo,

Ich habe eine kleine Anwendung programmiert, die einige privilegierte User meiner Domäne mit erweiterten Rechten lokal am XP-Client ausführen können, um bestimmte AD-Eigenschaften von anderen Usern zu verwalten.

Jetzt möchte ich diese Aktionen im Eventlog des PDCe (z.b. Application oder auch ein selbst erstelltes EventProtokoll) ablegen. Hier hakts: Ich schaffs nicht, den privilegierten Usern das Recht zu geben, in ein Eventlog schreiben zu dürfen. Fehlermeldung:

Das Protokoll für die Quelle Test123 kann nicht geöffnet werden. Möglicherweise haben Sie keinen Schreibzugriff.

Ich habe unter windir\system32\config\ der AppEvent.evt dem User Vollzugriff gegeben, trotzdem kommt die obige Meldung weiter. Muss ich dem User auf dem ganzen Dateipfad zur *.evt"Schreibrechte" geben, was ich am DC eher ungern machen würde? Oder kann ich den Pfad der *.evt Dateien eines eigenen Logs woanders hinlegen als unterm config-Ordner?

Mit Domänen Administratorrechten funktioniert der schreibende Zugriff natürlich problemlos.

Für den Zugriff benutze ich die .Net eventlog Klasse

EventLog-Klasse (System.Diagnostics)

Herzlichen Dank

carnivore

Hallo,

Wenn ich es richtig in vager Erinnerung habe, werden Änderungen (OU-Anlage/ Gruppenänderungen etc.) im AD zuerst in die edb-Dateien im NTDS-Ordner geschrieben und erst nach einer gewissen Zeit tatsächlich in die ntds.dit geschrieben. Beim Skripten passiert es, dass man mit einer eben im Skript angelegten Gruppe weiterarbeitet, um diese z.b. in eine GPO zu verlinken. Das Skript läuft fehlerfrei durch, aber auf die GPO kann ich anschliessend nicht mehr zugreifen. ("wrong parameter" beim Doppelklick).

Ich vermute, dass mein Problem an diesem Zeitproblem liegt, weil die Daten aus der edb noch nicht in der ntds.dit gelandet sind. Baut man genügend lange Pausen (10-20 Minuten) in das Skript ein, tritt der Fehler nämlich nicht auf. Jedesmal 10 Minuten zu warten, macht das Skript allerdings recht unkomfortabel.

Ich glaube nicht, dass es ein Replikationsproblem zwischen DCs ist, da ich den Effekt auch in einer Testumgebung bestehend aus einem einzigen DC beobachte

Frage(n):

- gibt es ein Kommando, die edb-Daten in die ntds.dit zu zwingen?

- wielange ist die Delaytime, bis die Daten von selbst rübergeschoben werden?

- gibt es eine Beschreibung, wie der edb->ntds.dit Mechanismus genau funktioniert?

Meine DCs laufen noch unter w2k3 (native mode)

Merci

carnivore

Hallo Arnd,

Das sieht nachdem aus, was ich suche.

Vielen Dank

carnivore

Hallo,

Ich installiere häufig neue Server und Clients in einer Testumgebung per WDS. Die Updates kommen anschliessend von einem WSUS 2K3R2 (könnte ich bei Bedarf updaten).

Um die neuen Rechner möglichst rasch mit allen Updates zu versorgen, muss ich den ersten Tag immer wieder die Updateinstallationen auf den Clients manuell anschubsen, damit die Updates installiert werden.

Sonst würde der Client mit der Installation warten, bis der in der GPO definierte Installationszeitpunkt (einmal täglich) gekommen ist. Wenn in der Updateorgie beispielsweise vier Reboots des Clients notwendig sind, dauert die komplette Versorgung ohne manuellen Eingriff dann vier Tage.

Frage: kann man einen client in eine Art automatischen WSUS-Express Modus setzen, in dem er sich sofort Updates saugen soll und booten kann, wann immer es für die Versorgung notwendig ist.

Es gibt die Policy "Automatische Updates sofort installieren", die aber nur für Updates gilt, die keinen Reboot benötigen.

Merci

carnivore

Hallo,

Weiss jemand, in welche Richtung es beim Office Programmieren geht? Bleibt es beim vom VBS ähnlichen VBA, oder wird auch mal auf Powershell umgestellt?

Merci

carnivore

Zusatzsoftware braucht man für die Aufgabe nicht:

How can I prevent users from connecting to a USB storage device?

aus eigener leidvoller Erfahrung ein Tipp: Vorsicht und besonders umfangreiches Testing, wenn du Symantecprodukte für produktive Systeme einsetzt!

Gruss

carni

Ich hatte Damians Seite auch schon gefunden, aber offenbar nicht richtig hingeschaut. Steht ja alles genau drinnen :)

Vielen Dank

carni

Hallo,

Es gibt die WMI-Klasse "MSAcpi_ThermalZoneTemperature", um sich etliche Temperaturwerte seines Rechners anzeigen zu lassen

get-wmiobject -query "select * from MSAcpi_ThermalZoneTemperature" -namespace "root/wmi"

#Ausgabe auf meinem Notebook gekürzt
                      "
CriticalTripPoint    : 3732
CurrentTemperature   : 3202
InstanceName         : ACPI\ThermalZone\THM1_0
PassiveTripPoint     : 3687
Reserved             : 3
SamplingPeriod       : 600
ThermalConstant1     : 5
ThermalConstant2     : 4
ThermalStamp         : 6
ThermalConstant2     : 4
ThermalStamp         : 6

Kann sich jemand erklären, welche Bedeutung z.B. CriticalTripPoint oder ein PassiveTripPoint haben und welche Einheit z.B. 3687 ist.

Merci

carnivore

Hallo goscho,

Danke für die Info. Dann brauch ich erstmal nicht weitersuchen.

Gruss

carnivore

Hallo,

Ich arbeite gerne mit dem Firefox Version 3.6 (aber die ist egal). Im Firefox werden nur leider Links auf die MSDN nicht richtig dargestellt, d.h. die Baumstruktur geht hier im Gegensatz zu einer Darstellung im IE verloren.

z.B. __InstanceDeletionEvent Class (Windows)

Gibts da evtl. ein AddOn etc um die Darstellung MS-kompatibel zu schalten?

Merci

carnivore

Hallo,

Ich habe bei unserer Umgebung mit gut 100.000 Usern letztens auch nen grösseren Schemaupdate geplant und durchgeführt. Auch wenn's viele belächeln, ich bin da 3-mal vorsichtig.

- Ich habe mir sogar eine temporäre eigene Site eingerichtet, in die ich den Schemamaster und einen weiteren DC verschoben habe

- sitereplikation unterbrochen

- Schemaupdate durchgeführt

- Replikation zwischen den beiden DCs in der Temp-Site abgewartet

- dann die intersitereplication wieder eingeschaltet

- dann die DCs wieder in ihre alten Sites zurückgeschoben.

dann das ganze Verfahren in einen Ablaufplan gepackt und in einer Testumgebung verprobt. Die auftretenden Fehlermeldungen, wenn die Replikation unterbrochen ist, dokumentiert man dann und kommt während dem produktiven Update nicht unnötig ins Schwitzen.

Der Aufwand hatte auch nichts mit Langeweile zu tun, sondern ich hätte von unserem Changemanagement ohne diese sorgfältige Planung incl. Risikoabschätzung keine Freigabe für den Schemaupdate erhalten

gruss

carnivore

Grössere Firmen haben natürlich genügend Inhouse-Kompetenz um alles selber zu machen.

Ich war bisher in 3 grösseren (bzw. grossen) Firmen in der IT tätig. Dort ist es immer ein hin- und her: 2-3 Jahre lautet die geniale Devise, alle externen Dienstleister raus weil zu teuer und wir alles selbst können. Dann der 180Grad-Schwenk, möglichst viel Dienstleister ins Haus holen, weil billiger und flexibler blabla... und dann nach 2-3 Jahren gehts wieder von vorne los das Ganze

So geht das jetzt bald 20 Jahre :( :)

Hallo,

Kann mir jemand die Syntax nennen, die ich z.b. in Win7 oder einer W2k8-GPO eingeben muss um einen "Zertifikatsregistrierungs-RichtlinienServer" anzusprechen

Die URI wird oft erwähnt, aber ich finde keine korrekte Syntax

Verwalten der Zertifikatregistrierungsrichtlinie mithilfe von Gruppenrichtlinien

Danke

carnivore

Hallo,

Wie macht ihr denn das, wenn ihr in Eurem AD Zertifikate z.B. mit Smartcards verwendet? Bekommen nur leibhaftige User ein Zertifikat ausgestellt oder auch solche Benutzerkonten, die z.B. für Dienste oder Anwendungen verwendet werden? Solche "technischen" UserKonten sind oft höher privilegiert, als normale Dödeluserkonten, und damit sicher auch schützenswert. Oder haben diese Konten einfach ein komplexes Passwort mit 25 Zeichen und "never expires"

Merci

carnivore

Hallo,

Die UAC war es tatsächlich!

Herzlichen Dank

Carni

Hallo,

Ich versuche in meiner Testumgebung (1 DC mit 2008 R2 , Domänenfunktionslevel 2008 R2) eine PSO mit den Einstellungen aus diesem Artikel unten mit ADSIEdit.msc zu erstellen

Schritt 1: Erstellen eines PSO

Klicke ich am Ende auf "Fertigstellen" bekomme ich diesen Fehler.

---------------------------

ADSIEdit

---------------------------

Fehler bei Vorgang. Fehlercode: 0x20e7

Die Änderung war aus Sicherheitsgründen nicht erlaubt.

 

 

000020E7: SvcErr: DSID-030506C3, problem 5003 (WILL_NOT_PERFORM), data 0

 

---------------------------

OK

---------------------------

 

[/Quote]

 

DomainAdmin bzw. Organisationsadmin bin ich

Hat jemand eine Idee.

 

Merci

Carnivore

Passwörter werden bei uns jetzt generell als nicht mehr ausreichend sicher eingestuft, sowohl was Netzwerkangriffe mit Wörterbüchern, Ausspähmöglichkeiten oder bewusste Weitergabe angeht.

Daher wird der ganze Konzern auf Smartcardanmeldung mit Zertifkaten umgestellt.

carnivore