Cryer

Danke, teste ich, wenn der Urlaub vorbei ist.

War ein HP Procurve 24 Port. Schätze knapp 10 Jahre alt. Modell weis ich grad nicht, bin nicht im Geschäft (Urlaub ) Auf Werkseinstellung zurück geht nicht, denn der Switch lässt keine Verbindungen mehr zu.

Wir hatten vor Weihnachten ein kleines Problem. Daraufhin habe ich unsere FritzBox neu gestartet (über die FritzBox-Oberfläche). Zeitgleich wurde die Verbindung zur Server (der im Haus steht) getrennt. Wie sich herausgestellt hat ging der Switch genau zu diesem Zeitpunkt kaputt. (Pfeift und zeigt Error an) Vom Strom trennen nutzte nichts. Ich habe dann einen Ersatzswitch hingehängt, aber kann es wirklich sein, dass ein Neustart des Routers den Switch killt? An einen Zufall möchte ich irgendwie nicht glauben, allerdings sehe ich den logischen Zusammenhang nicht. Die FritzBox steht in einem anderen Raum als Server / Switch.

Welche Möglichkeiten habe ich sonnst externe Nutzer auf den RDS zu lassen die nicht Teil der Domäne sind?

Die Leute verbinden sich mittels OpenVPN ins Netzwerk und benutzen dann Remotedesktop um sich auf den RDS zu verbinden. Der RDS befindet sich bei uns im Gebäude, die Benutzer sind außerhalb, also beispielsweise in einer anderen Dienststelle oder zu Hause. Die Clients sind nicht Teil der Domäne. Auf dem RDS befinden sich folgende Dienste: - Remotedesktoplizenzierung - Reotedesktop-Sitzungshost - Remotedesktop-Verbindungsbroker - Web Access für Remotedesktop (Ist aber nur intern erreichbar (nicht vom externen Clients, trotz VPN) und wird auch nicht benutzt)

Na das ist ja genau der Punkt Norbert. Ohne Anmeldung keine Kennwortänderung, ohne Kennwortänderung keine Anmeldung. Ich habe den entsprechenden Haken jetzt erstmal rausgenommen und den Benutzer (der sich via VPN von woanders anmeldet) gebeten das Passwort zu ändern. Finde das aber eine äußerst unsaubere Methode darauf vertrauen zu müssen. Deutlich geschickter wäre es, wenn sich der Benutzer via RDP anmelden will und dann das Passwort ändern muss, ohne dass da in einer Datei rumgefummelt werden muss. Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren?

Wie meinen?

Trotzdem total schwachsinnig. Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat.

Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!) Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken) Sowas bescheuertes.

Wir betreiben hier einen RDS2019. Nun habe ich eingestellt, dass Benutzer das Passwort bei der nächsten Anmeldungändern müssen. Tja, doof nur, dass die Verbindung unter genau diesem Hinweis von Anfang an abgelehnt wird und der Benutzer gar nicht die Chance bekommt das Passwort zu ändern. Was kann getan werden?

Du meinst wie viele Benutzer? An dem Standort zur Zeit ~15-20 Benutzer bei 10-15 Ordnern. Ist jetzt nicht viel. Hängt damit zusammen, dass wir an einer übergeordneten Organisation angegliedert sind und daher das meiste über eine Citrix-Farm (die ich nicht betreue) läuft. Nur sehr wenig wird noch lokal gemacht. Man weiß aber nie was die Zukunft bringt und deswegen will ich es jetzt gleich richtig aufziehen bzw. umgestalten. Kann ja sein, dass wir uns irgendwann von der übergeordneten Organisation lösen und dann alles selber machen. Dann sind das auf einen Schlag 150 Leute bei was weis ich viel vielen Ordnern und Berechtigungsstufen (schreiben, nur lesen). Daher auch meine anderen Threads. Einen kleinen Teil (der auf unserem RDS arbeitet) ist bereits losgelöst und kann nicht am Citrix-Programm der übergeordneten Organisation teilnehmen. Für meine kleine Umgebung spielt das meiste keine Rolle, aber ich wills eben richtig machen und nicht so "Hauptsache es funktioniert".

Also das Prinzip von AGDLP habe ich schon verstanden (denke / hoffe ich). Es hapert vielmehr an der Umsetzung im AD. Hier mal ein Teilscreenshot aus dem Video. Kann man das so machen oder ist das schon falsch? Er hat eine OU für die Domain Locals und eine OU für die Globals erstellt und packt die dort dann alle entsprechend rein. Wenn das falsch ist, wie sieht es richtig aus? Es geht mir hier rein um die richtige Abbildung im AD.

Danke euch. Ich habe mir direkt ein Video dazu angeguckt. Was haltet ihr davon? Zumindest die ersten 18 Minuten scheinen mir sehr plausibel. Ist das so richtig und stimmt die Struktur im Active Directory so?

Bislang war die Sache ganz einfach. Ich habe eine OU die nennt sich "Firma1" und eine "Firma2". Darin jeweils die Benutzer und die Globale- und Domäne-Lokale Gruppen. Dann die Ordner entsprechend berechtigen. Fertig. Nun aber gibt es die Situation, dass es eben nicht mehr die Ordner gibt die nur für "Firma1" und "Firma2" relevant sind sondern diverse Teilbereiche. Also muss das Rechtemanagement grundlegend überarbeitet werden. Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. In diesem Beispiel nehmen wir jetzt einfach mal folgende Ordner - Verwaltung - Alle Mitarbeiter lesenden Zugriff, ausgewählte Mitarbeiter schreibend - Buchhaltung - Nur die Leute der Buchhaltung haben lesenden Zugriff, der Rest keinen Zugriff - Personal - Nur die Leute vom Personal haben lesenden Zugriff, der Rest keinen Zugriff - Temp - Alle haben lesenden und schreibenden Zugriff Die Leute sollen aber jeweils in der OU ihrer Firma bleiben, sofern das überhaupt möglich ist, da jeder Firma gewisse Gruppenrichtlinien zugewiesen sind Ich habe irgendwie absolut keine Idee, wie das Active Directory nun auszusehen hat, damit das vernünftig verwaltet werden kann.

Naja, das mit dem Brain.exe finde ich nicht sehr hilfreich als Antwort. Man hat es mit diversen Nutzergruppen zu tun. Die einen können eher mit Technik, bei anderen muss man froh sein, wenn sie den PC einschalten können. Man muss seine Systeme entsprechend schützen. Von daher wäre mir an sinnvollen Antworten und den Vorgehensweisen der hier aktiven Admins schon gelegen. Wenn dann mal das System verseucht ist hilft es wenig die Schuld den Anwendern zuzuschieben. Als Administrator bin schlussendlich ich für die Sicherheit der Systeme zuständig und muss im Zweifel Rechenschaft ablegen.

Also das Video ist echt super gemacht und er erklärt auch was zu tun ist, wenn etwas nicht sofort klappt. Ich denke nicht, dass es unnötig gestreckt wurde. Ich bin da ohne Fallstricke durchgekommen. Ich nutze gerne Videotutorials, da ich nur ungerne viel lese. Hängt aber vielleicht auch mit meiner Sehbehinderung zusammen. Bin auch großer Fan von LinkedIn Learning, früher Video2Brain, dass ich regelmäßig mal abonniere.

Mithilfe des Videos habe ich das "Upgrade" problemlos hinbekommen und es funktioniert scheinbar alles bestens. Zumindest was ich aus der Ferne alles testen konnte. Näheres erfahre ich wohl ab Montag. Den Printserver habe ich auf eine eigene VM ausgelagert. Den Fileserver aber nicht.

Ich habe im Netzwerk folgende Server: Windows Server 2019 als DC und Fileserver Windows Server 2016 als RDS Windows Server 2019 als Printserver Windows Server 2019 als "Datenbankserver" (Es kommt SQL Express im Rahmen von SFirm 4 drauf) Auf welchen Servern ist ein AV-Programm notwendig? Ist heutzutage überhaupt noch ein AV-Programm notwendig oder reicht der Defender? Welches AV-Programm würdet ihr empfehlen? Auf dem alten DC nutzten wir Eset File Server Security.

Ja, ich bin mir in gewissen Dingen unsicher, deswegen frage ich hier um Rat. Natürlich könnte ich das Ganze auch an eine IT-Fachfirma geben, aber dagegen spricht, dass ich eigentlich der Admin im Haus bin. Außerdem wäre der Lerneffekt gleich Null, wenn ich das jemand anderen machen lasse. Ich bin in der glücklichen Lage mich ausprobieren zu können und das will ich auch entsprechend nutzen.

Nochmal zurück zu meinen letzten Fragen. Die sind glaub etwas untergegangen. Könnt ihr Bitte darauf nochmal eingehen? Wozu LTSC? Was spricht gegen die "normalen" Versionen, bzw. welche Probleme sind zu erwarten? Was haltet ihr diesem Video von Haiko Hertes? Lohnt ein eigener Printserver wegen nur zwei physikalischen Druckern?

Nur den Profilordner zu löschen reicht seit Windows 7 (vielleicht auch schon seit Vista) nicht mehr. Du musst dann manuell in der Registry noch den entsprechenden Benutzereintrag entfernen. Möglich das Windows darüber stolpert. Den Benutzer findest du im Schlüssel Oder halt den Benutzer gleich über die Systemsteuerung entfernen.

Doch

Zum Thema Upgrade habe ich dieses Video von Haiko Hertes gefunden. Was meint ihr? Das Thema FRS auf DFS kann ich wohl überspringen, weil ja der DC bereits auf Server 2012 R2 basiert und der Befehl "dfsrmig /getglobalstate" bereits "Aktueller globaler DFSR-Status: "Entfernt"" ausgibt. Des Weiteren überlege ich, ob ich bei der Gelegenheit den Printserver auf eine eigene VM auslagere wie ihr es mir ja immer wieder empfehlt, aber mal ganz ehrlich: Wegen 2 physikalischen Druckern? Andererseits beziehen wir als gemeinnützige Einrichtung unsere Lizenzen bei Stifter-Helfen. Auf eine VM mehr oder weniger kommt es da nicht an. Trotzdem möchte ich auch nicht überdrehen. Ist es ein Problem die jetzige Build (im VLSC gibt es eine vom September 2020) zu verwenden und dann regelmäßig das Feature-Upgrade zu machen?

Ich habe an den Standorten unterschiedliche IP-Adressbereiche. Was bei gleichen Rechner-/Servernamen passiert ist klar, aber ob der Domänename gleich sein muss, damit es ggf. mal verbunden werden kann ist die Frage.

Danke schonmal für die Antwort. Wir haben ja 13 Dienststellen, die komplett unabhängig voneinander agieren. Zwei davon sind etwas größer und haben jeweils DC-Server, sind aber nicht miteinander verbunden. Man weis aber nie was in Zukunft einmal sein wird. Macht es daher Sinn vorausschauend Domänen wie ad1.firma.de, ad2.firma.de zu nehmen oder reicht schlichtweg ad.firma.de, das ich immer verwende?