Stephan Betken

...sondern auch in Exchange, SQL, ... (und da liegt dann ein wesentlicher Grund, überhaupt SIDhistory zu verwenden).

Okay, dann sollte man aber nicht Fileserver schreiben.

Aber wenn mit der SIDhistory gearbeitet wird, macht es meistens keinen Sinn, die ACL´s in der Zieldomäne zu erweitern. Ersetzen ist da meist die bessere Wahl. Vor dem Ersetzen erfolgt der Zugriff über die SIDhistory, danach über die neue SID (heisst es nicht eigentlich den neuen SID?).

Wenn sich die Einträge einer ohnehin schon überladenen ACL verdoppeln, kann so ein Fileserver doch schon mal sehr, sehr, sehr langsam werden. Von daher am Besten nur nutzen, wenn es notwendig ist. Aber wenn mit der SIDhistory gearbeitet wird, dann ist es das meistens nicht.

Aber eine kurze Frage hab ich noch: was ist denn jetzt eigentlich das Problem? ;) :D

Nach der Migration mit ADMT ist es auch möglich, die alten Berechtigungen durch den Sicherheitskonvertierungsassistenten entfernen zu lassen. Die entsprechenden SIDs stehen eigentlich in der Datenbank.

Wenn die Datenbank noch da ist, dann kann man einfach den Sicherheitskonvertierungsassistenten bemühen.

Aber ich bin mir fast sicher, dass SUBINACL mit dem Parameter CHANGEDOMAIN ebenfalls die alten Einträge aus den ACL´s entfernt.

Notfalls könnte man die Einträge ja auch mit SUBINACL /SUPRESSSID entfernen. Dann rödelt SUBINACL aber für jeden Benutzer einzeln einmal über die Platte.

Das Skript solltest Du als VBS-Datei speichern. Diese VBS-Datei kann man dann zum Beispiel als Herunterfahren-Skript in einem GPO angeben (Computerkonfiguration).

Ich persönlich würde aber behaupten, dass es keinen Sinn macht bei jedem Herunterfahren ein Defrag zu starten. Macht bestimmt keinen Spass, wenn der PC nur mal kurz neu starten soll.

Könnte eventuell ein Moderator bitte diesen Thread(-ersteller) löschen.

Ürgs,

SIDhistory. Nutzt man sowas denn wirklich noch? Bei der Migration, na ja, okay. Aber danach?

Nach der Migration mit ADMT ist es auch möglich, die alten Berechtigungen durch den Sicherheitskonvertierungsassistenten entfernen zu lassen. Die entsprechenden SIDs stehen eigentlich in der Datenbank. Von daher klappt das entfernen auch noch, wenn die alte Domain bereits down ist.

Subinacl macht aber eigentlich nichts anderes.

Mit "subinacl /subdirectories \\Server\freigabe\*.* /changedomain=olddomain=newdomain" (durch /changedomain werden die vorhandenen Berechtigungen ersetzt, /migratetodomain würde die Berechtigungen erweitern) sollte man die vorhandenen Berechtigungen ersetzen. Damit das funktioniert muss die alte Domain aber erreichbar sein. Alternativ hilft ein SID-mapping-File (alte SID=neue SID).

Die SIDhistory sollte man aber eh entfernen, wenn denn alle Berechtigungen geändert sind. How To Use Visual Basic Script to Clear SidHistory

Danach den von Nils geposteten Artikel und schon ist eigentlich alles sauber.

Bei /cleandeletedsidsfrom werden die Einträge aus der ACL gelöscht, die nicht zur Domäne gehören. (SIDhistory=zur Domäne gehörend)

Über Taskplaner geht nicht? Seit wann das denn nicht mehr?

Einfach eine kleine Batch mit defrag c: & defrag d: & defrag e: usw.

Okay, es geht auch professioneller (auch mit 2000). Sollte auch als Herunterfahren-Skript lauffähig sein.

'defrag_all.vbs - Defrags all hard disks - Can be run as a Scheduled Task
'© Doug Knox - 3/29/2002

Set WshShell = WScript.CreateObject("WScript.Shell")

  Dim fso, d, dc
  Set fso = CreateObject("Scripting.FileSystemObject")
  Set dc = fso.Drives
  For Each d in dc
     If d.DriveType = 2 Then
Return = WshShell.Run("defrag " & d & " -f", 1, TRUE)
     End If
  Next

Set WshShell = Nothing

Alle meine Server bzw. die Server der Kunden haben am ersten Samstag im Monat in der Nacht was zu tun.

Das meinst Du nur.

...auf dem 2008er Standard werden keine Lizenzen installiert.

Oder andersrum: es gibt keine Lizenzen zum installieren. Nur Papier. Keine Product-Keys oder ähnliches.

Aber das, was Du vor hast, kannst Du mit einem SBS-Netzwerk auch verwirklichen. Musst Du ja nicht. Ich zwinge Dich nicht.

Hallo Schlappenhauer,

hast Du Dir denn mal den Post von Lukas oder blub angeschaut?

Hallo Markus,

auf dem 2008er Standard werden keine Lizenzen installiert.

Du kannst auch ruhig den von mir geposteten Link anklicken. Beim SBS2008 Premium ist bereits eine zusätzliche Windows Server 2008 Standard-Lizenz enthalten. Microsoft Windows Small Business Server 2008

(Falls es eine Nummer grösser sein darf, dann gibt es auch noch den EBS2008. Microsoft Windows Essential Business Server 2008

Aber den wirst Du wohl nicht brauchen.)

–

ürgs,

schon wieder die Hälfte vergessen. Beim SBS2003 Premium mit SA gibt es noch eine zusätzliche Windows Server 2003R2-Lizenz dabei. Ist eigentlich für den ISA-Server, der normalerweise beim SBS2008 nicht mehr inklusive ist. Ist also wirklich nur für SBS2003-Kunden mit Software Assurance. (Funktioniert aber trotzdem prima als Fileserver.) http://blogs.technet.com/sbs/archive/2008/06/30/software-assurance-entitlement-for-sbs-2003-customers-upgrading-to-sbs-2008.aspx

Für einige ist das ein Grund, jetzt noch schnell den SBS2003 Premium inkl. SA zu kaufen, denn günstiger geht´s wirklich nicht mehr.

–

Bei einem Händler hier vor Ort ist man für den SBS2003 Premium inkl. 5 CAL und SA ca. 1400€ brutto los (plus jeweils ca. 600€ brutto für 5 CAL´s inkl. SA). Für 3 Serverlizenzen inkl. Exchange 2007, Outlook 2007 (Outlook gehört eigentlich nicht mehr zum Lieferumfang von Exchange 2007), ISA 2006 und ein paar Kleinigkeiten schon okay.

Mit Standard-Lizenzen wird es eigentlich erheblich teurer.

Na, das sollte mit den PsTools doch realisierbar sein.

Aber per GPO sollte eigentlich auch nicht das grosse Problem sein (Startskript in der Computerkonfiguration oder selbstgebautes MSI-Paket).

Hört sich nicht wirklich gut an. Kann es aber gerade leider auch nicht testen.

werden die cals grundsätzlich fällig...

Ja.

(dh. am 31.5. verweigert der Server 2008 seinen Dienst), oder werden die cals nur dann fällig, wenn ich ab dem 31.5.09 einen Server 2008 kaufe/aufsetze?

Zweimal nein. Der Server verweigert zwar nicht seinen Dienst, aber eindeutig ein Lizenzverstoss. Für Windows 2008 in einem SBS2003-Netzwerk werden ab dem 31.05. unabhängig vom Anschaffungsdatum grundsätzlich Lizenzen benötigt.

Ich möchte eigentlich von dem SBS wegkommen und die Dienste aufteilen.

Aufteilen kannst Du ja auch mit dem SBS 2008. Den SBS als Exchange, den SQL (Lizenzen bei Premium soweit enthalten) und einen zusätzlichen Fileserver.

Microsoft Windows Small Business Server 2008

Was meinst du mit 2 Server? Lizenztechnisch?

Ja.

Für Raid 10 benötigst Du aber mindestens 4 HDD´s. Wenn ein RAID0 aus 2 HDD´s gespiegelt werden soll, dann muss der Spiegel natürlich identisch sein.

Hallo Markus,

ab 31.05.09 werden zusätzliche CAL´s fällig (wie Günther ja bereits geschrieben hat).

Vielleicht macht es für Dich eher Sinn, auf den SBS 2008 zu warten und den vorhandenen SBS 2003 gegen einen Windows Server Standard auszutauschen.

Beim SBS 2008 Premium hast Du zwei Server. Den einen nimmst Du für SQL, den anderen für die Standardfunktionen und Exchange.

Den jetzigen SBS2003 kannst Du danach ja notfalls als Fileserver nehmen (benötigst dafür aber noch eine Windows Server-Lizenz).

Bei 3 HDD´s würde ich bei SQL und Exchange eigentlich RAID 1 einsetzen. Und die dritte HDD als Global-Hot-Spare.

(Ich gehe mal davon aus, dass das RAID 10 mit drei Platten einen Schreibfehler darstellt.)

Der Eintrag muss schon beim Computer gesetzt werden, der diese Daten auch verschiebt.

Da sollte man vielleicht doch ein GPO bemühen.

Hallo Jing,

ein Windows Server ab Version 2003R2 darf, wenn er virtualisiert wird, ein weiteres Mal zum Hosten dieser virtuellen Maschine installiert werden. Von daher hat ein Linux-Host keinen Kostenvorteil. Da ein DC und ein TS benötigt werden, gibt es erst mal auch keinen Vorteil, was den Ressourcenbedarf angeht, da der Linux-Host dann ja 2 virtuelle Maschinen hosten müsste (anstatt Windows-Host und einer virtuellen Maschine).

Okay, ein ganz klarer und nicht zu unterschätzender Vorteil wäre, dass man bei entsprechender Hardware jeder virtuellen Maschine 4 GB RAM zuweisen könnte.

Aber man darf ja auch nicht vergessen, dass man die eingesetzte Lösung ja auch supporten muss. Von daher kann man eigentlich nur abraten, ein System einzusetzen, mit dem man sich nicht auskennt.

Stimmt, WDS wird als Update aufgeführt.

Ich hatte aber bereits mehrere Male das Problem, dass dort der Eintrag fehlte. Eine Neuinstallation oder drüberinstallieren war ebenfalls nicht möglich.

Hier also noch ein Weg, der eigentlich immer funktioniert:

The way to uninstall Windows Desktop Search 3.01 - MSDN Forums

Okay, dass sollte man natürlich auch bedenken. Hier aber noch ein Whitepaper, welches eigentlich für den SBS 2003 gilt, aber auch für 2003 Standard hilfreich ist.

Download details: Installing Virtual Server on Windows SBS

Das ist dann aber eher eine grundsätzliche Frage.

Aber auch bei virtualisierten Maschinen kann durchaus der DC ausfallen. Und ein Ausfall bedeutet nicht immer gleich, dass das AD wiederhergestellt werden muss.

Den TS auf dem DC direkt so zu installieren oder auf dem DC den VMWare-Server und hier den TS.

Hallo manuel-33,

ist natürlich beides nicht optimal, aber den TS auf dem DC zu virtualisieren ist zumindest die bessere Wahl.

Die Komponente, die den Store auf Viren prüft.

Obwohl ich anderes bevorzuge trotzdem der Link zu Norman Virus Control v5 für MS Exchange: :: NORMAN :: Antivirus | Firewall | Network security

–

Ein Exchange ohne VSAPI-Scanner ist eigentlich schon Vorsatz.

Ja, den von mir geposteten Link anklicken und lesen.

You can modify how Windows Explorer handles permissions when objects are moved in the same NTFS volume. As mentioned, when an object is moved within the same volume, the object preserves its permissions by default. However, if you want to modify this behavior so that the object inherits the permissions from the parent folder, modify the registry as follows:

1. Click Start, click Run, type regedit, and then press ENTER.

2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

3. On the Edit menu, click Add Value, and then add the following registry value:

 

Value name: MoveSecurityAttributes

Data type: DWORD

Value data: 0

4. Exit Registry Editor.

5. Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account.

Ich kann dir immernoch nicht folgen warum DFS auf einer Maschine besser sein soll als die Liste der Shares auf dem Zielcomputer..

Mit einem Wort: Übersichtlichkeit.

Es wurde nach der Möglichkeit und nicht nach dem Sinn gefragt. Wenn nicht alle einen Sinn darin sehen ist es okay, es wird ja niemand gezwungen, das einzusetzen.

Kopieren -> Datei erhält Berechtigung des Zielordners

Verschieben -> Datei behält Berechtigungen

Hmm, nicht ganz korrekt. Die Berechtigungen beim Verschieben werden nur beibehalten, wenn die Objekte innerhalb desselben Volumes verschoben werden.

–

Aber auch hier gibt es Aunahmen (nach manueller Änderung).

How permissions are handled when you copy and move files and folders

Hm ...

 

... du hast aber auch immer Einwände ...

Nee, so würde ich das auch nicht sagen.

–

@matzeho

Freut mich, dass es jetzt klappt.

Hi Nils,

bei ADPREP auf einem 2003er UAC? Hmmm...

Ich bin vor ein paar Tagen in einer Demo vor 70 Leuten auch drauf reingefallen ...

Aber das war ja auch wirklich ein 2008er. :D