olc

Add features - Microsoft Windows Zeitlich begrenzt bis Anfang 2013, im unteren Drittel der Seite kostenfrei zu bestellen. :) Viel Spaß olc

Hallo Hannes, grundsätzlich sind solche Projekte fast immer zu begrüßen, also mach weiter, auch wenn ich sage, daß es eine Funktion built-in gibt, die im Kern zumindest den aktuellen Anforderungskatalog von Dir erfüllt. ;) Leg Dir einen Ordner an, in den Du die Links zu Deinen gewünschten Programmen legst. Dann einfach "Rechtsklick" auf die Start-Leiste --> Toolbars --> Deinen Ordner wählen. Ist zwar ein anderer Ansatz, von der Zielerreichung aber aus meiner Sicht in etwa das, was Du da beschreibst oder? Shortcuts lassen sich dafür auch festlegen, wenn ich mich nicht irre. Viele Grüße olc

Hi, wie gesagt - schau, ob Du das wirklich vom Gruppennamen abhängig machen möchtest. Warum möchtest Du die Domänen der Firmen trennen? Gibt es dafür einen bestimmten Grund? Ja, die NetBIOS Namen müssen sich unterscheiden. Ja, Exchange kannst Du in einer Gesamtstruktur betreiben. Bitte nicht falsch verstehen - aber hat es vielleicht Sinn, hier einen in diesem Bereich erfahrenen Dienstleister mit ins Boot zu holen? ;) Viele Grüße olc

Hi, es ist immer schwer, solche Fragen zu beantworten. Es stellen sich zu viele Seitenfragen, ohne die eine sinnvolle Betrachtung kaum möglich ist. Sofern es Dir tatsächlich ausschließlich um die Betrachtung der ".local" Adresse geht, würde ich davon abraten. Das Suffix ".local" wird von Multicast DNS genutzt, siehe dazu Zeroconf . Insgesamt empfehle ich persönlich fast immer die Delegierung einer Subzone im eigenen, offiziellen und "gemieteten" DNS Namensraum, also etwa "intranet.firmengruppe.tld". Das kann zwar problematisch sein, wenn sich der Unternehmensgruppenname einmal ändert - aber ich finde das weniger problematisch, also TLDs zu nutzen, die seit neuestem über die IANA registriert werden können. Alternativ eine Domain registrieren, die nichts mit der Firma oder der Unternehmensgruppe namenstechnisch zu tun hat ("intern.x89345.de"). Dann sind Kollisionen mit "politischen" AD-Fragen eher ausgeschlossen. Aber dazu gibt es verschiedene Meinungen. Viele Grüße olc

Hi, Ok, das mit dem "einen" DC habe ich überlesen. Das macht es jedoch nicht besser. In einer Domäne sollten aus Redundanzgründen immer mindestens 2 DCs betrieben werden. Aber vermutlich wirst Du mit "Kosten" kontern, also spare ich mir weitere Ausführungen dazu. ;) Nicht alles, was man technisch tun kann, sollte man auch tun. Eine Wiederherstellung eines Systems auf anderer Hardware ist nicht supported. Alles, was Du in dem Bereich also tust (insbesondere mit Images), ist also eine tickende Zeitbombe. Wenn Du das Risiko gehen möchtest, kannst Du das natürlich tun. Ich würde es im Gegensatz dazu nicht nehmen. Ich kann mich nur wiederholen und auf oben verweisen. Du arbeitest da mit tickenden Zeitbomben. Du nutzt die Bordmittel, die der Hersteller als "Dreingabe" zur Verfügung stellt. Alle "anderen" Backup Programme bieten solche Funktionen, kosten aber Geld. Da letzteres in dem von Dir beschriebenen Umfeld scheinbar das größere Problem darstellt, bezahlen die Schulen letztendlich dann doch - mit Deinen Dienstleisterkosten und ggf. Platten / DVDs / Storage allgemein. Viele Grüße olc

Hi, Oh - mein - Gott. ;) Das ist zumindest bis Windows Server 2012 so ziemlich das Schlechteste, was Du machen kann (neben der Option *kein* Backup zu haben). Die Suchmaschine Deiner Wahl hat hier genügend Material bei Verwendung des Suchbegriffs "Domain Controller Image" oder "USN Rollback". Ich gehöre zu denen, die erst ein wenig lesen, bevor sie solche Fragen stellen. ;) Soll heißen: Du wirst damit ganz einfach keine Wiederherstellung durchführen können. Und vermutlich wirst Du es nirgendwo explizit beschrieben finden - da nur die durch Microsoft Wege dokumentiert sind. Und eine Kopie der NTDS.DIT gehört nicht dazu. Ab Windows 2008 R2 gibt es wieder inkrementelle Backups. Unter 2008 meines Wissens leider nicht. Hatte ich nicht vor. Obwohl ich dann vermutlich "normalen" Storage bevorzugen würde. DVDs haben eine arg geringe Lebensdauer und eine geringe Fehlertoleranz. Außerdem schwirren die schnell "irgendwo" herum, was direkt Fragestellungen zur Sicherheit der Daten nach sich zieht. Viele Grüße olc

Hi Thomas, ja - der KB beschreibt nur das Löschen der DomainDNSZone, danach ist noch die Subdomäne dran. Danke für die Rückmeldung und Gruß olc

Hi, es ist in den allermeisten Fällen sinnvoll, auch ein zumindest regelmäßig erstelltes vollständiges Serverbackup von 2 DCs pro Domain anzufertigen. Im Disaster Recovery Fall benötigst Du, je nachdem auf welchen Maschinen Du das Backup wiederherstellen möchtest, ggf. das Full Server Backup inkl. BMR Option. Das nur nebenbei. Nur die AD-DB zu kopieren ist ein "no go" und bringt Dich nicht weiter. Die "SYSTEMSTATE" Sicherung ist das geringste, was Du neben den "Funktionsbackups" wie GPMC Backups (und weiteren) ziehen kannst. Viele Grüße olc

Hi Alith, mit der Meldung sollte sich doch etwas anfangen lassen... ;) Let me Bing that for you! :p Viele Grüße olc

Hi, wie genau lautet die Meldung, wenn Du die Subdomain löschen möchtest. Poste bitte einmal den NTDSUTIL als Text hier (am besten mit dem gesamten Weg dorthin von Dir in NTDSUTIL). Viele Grüße olc

Hi, Du hast einen Servernamen zu viel im DN. :) Versuch es einmal mit: dsquery * "CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=mydomäne,DC=local" P.S.: dsquery ist nicht explizit ein PowerShell Programm / CMDlet, sondern eine normale CMD *.exe. Viele Grüße olc

Hi, der alte Schlüssel wird immer die geringe Schlüssellänge haben, nur ein neuer Schlüssel kann eine höhere Bitzahl (2048 Bit etwa) haben. Wie von Norbert auch schon beschrieben: Renewing a certification authority: Public Key bzw. Renew a root certification authority: Public Key Ggf. hat es Sinn, Dich vorher noch etwas in die Materie einzulesen, bevor Du "Fehler" wiederholst. Vielleicht hat es ja Sinn, eine neue PKI Struktur zu etablieren, um heute gängige Standards (offline Root CA, physische Sicherheit, Prozesse um die PKI usw.) zu gewährleisten. Viele Grüße olc

Rechts-klick auf die "Administrative Templates" --> Filter. Viele Grüße olc

Um dann alle 2 Wochen ein Update zu fahren, mit dem Regeln nachgerüstet werden? Egal, Deine Einstellungen hast Du ja gefunden. P.S.: Du hast ab 2008 eine Suchfunktion in dem Gruppenrichtlinien Editor. Sofern Dir das nicht ausreicht, wirst Du weiterhin Deinen Webbrowser oder die GPS Windows Phone App nutzen müssen. Viele Grüße olc

Hi, Du hast geschrieben, daß das Webserver Zertifikat erneuert wurde. Warum sollte ein Webserver Zertifikat als "CA" erkannt werden? ;) Oder geht es Dir um den Import des Zertifikats der Root CA bzw. einer Zwischenzertifizierungsstelle? Viele Grüße olc

Die Group Policy Search ist von Microsoft... :suspect: Viele Grüße olc

Die Aussage und das Argument ist ganz einfach: Du *weisst* schlichtweg nicht, was kaputt gegangen sein kann oder ob es Konsistenzprobleme gibt, die in Zukunft zu Problemen führen können. Genau aus diesem Grund brauchst Du externe Unterstützung. Ok, von meiner Seite ist alles relevante gesagt. Ich bin dann mal raus. :) Viele Grüße olc

Hi lefg, es handelt sich nicht um ein Problem aktueller "Fehler", sondern um das, was langfristig / logisch passiert. Viele Grüße olc

Hi, Es geht ja nicht darum, Dich "mundtot" zu machen. Es geht vielmehr darum zu verstehen, daß Du Dich ggf. in einer kritischen Situation befindest und ein Forum an dieser Stelle nicht der richtige Anlaufpunkt ist. Hol Dir Hilfe, bevor es wirklich zu größeren Problemen kommt (egal welcher Art). Die Zeigen sich ab und an erst viel später. Wir meinen es nur gut mit Dir... ;) Viele Grüße olc

Moin, Genau. :) Falls das "nicht so einfach" geht, mußt Du den Nutzen einer Kontensperrung gegen das Risiko bewerten. Und ggf. ein IPS System und entsprechende Auditierung implementieren. Rein technisch kann man das Problem nur "managen", nicht jedoch vollständig lösen. :D :jau: Viele Grüße olc

Hi, ich habe Dir oben einige Hinweise gegeben, was mit hoher Wahrscheinlichkeit problematisch sein wird. Und wie schon geschrieben läßt sich da meines Erachtens keine andere sinnvolle(re) Einschätzung geben. Gerade, weil hier einige erfahrene Leute unterwegs sind. Tipp: Hol Dir einen erfahrenen(!) Dienstleister ins Haus um zu entscheiden, ob ein Forest Recovery sinnvoll ist oder ob und wie groß die Beschädigung bzw. Inkonsistenz Deiner Umgebung ist. P.S.: Bitte jetzt nicht panisch versuchen ein Forest Recovery durchzuführen - es muß erst bewertet werden, ob das sinnvoll und notwendig ist. Viele Grüße olc

Hi, mögliche Änderungen zu suchen, ist wie die Nadel im Heuhaufen zu finden. Neben anderen Punkten ist genau das der Grund dafür, daß von solchen Cloning Vorgängen absolut abzuraten ist. Zumindest wenn man keine Vorkehrungen trifft, solche "Zusammenkünfte" von Test- und Produktionsumgebung zu verhindern. Wir wissen nicht, welche Änderungen Du an der Testumgebung gemacht hast, daher ist keine sinnvolle oder belastbare Aussage möglich. In jedem Fall sind je nach Teststufe bei Dir ggf. Schema, ACLs auf den Naming Contexts als auch GPO Sicherheitseinstellungen ebenso Kandidaten für ungewollte Änderungen wie auch Kennwörter von AD-Objekten oder alles, was in der Testumgebung oder auch Produktion auch im Hintergrund ohne Dein direktes einwirken geändert wurde. Die Bewertung wirst Du wohl oder übel selbst vornehmen müssen. Viele Grüße olc

Ergänzend: Hinweise zur Einführung bzw. Aktivierung von Kennwortrichtlinien - Aktives Verzeichnis Blog - Site Home - TechNet Blogs Viele Grüße olc

Guten Abend, Du hast Recht. Ich wollte diese Fragestellung nicht auch noch öffnen. Genau, "0" heißt "keine automatische Entsperrung": Nils stellt die vermutlich entscheidende Frage: Wenn Du es mit dem RID 500 Admin versuchst, wird dieser zumindest standardmäßig nicht gesperrt. Probiere es mit einem normalen Benutzer. +1 Das bezieht sich nur auf die Konstellation, wenn eine "lockout duration" >0 definiert ist. Viele Grüße olc

Hi, also noch einmal der Reihe nach: 1. Du erstellst eine GPO auf einem DC. Hinweis dazu: Das ist auch nicht optimal - besser einen administrativen TS verwenden. Am DC muß man sich in der Regel nicht anmelden. 2. Du führst auf dem DC ein "gpupdate /force" aus. Das ist zwar unnötig, aber Du machst es dennoch. ;) 3. Nun sollst Du seit neuestem vom DC abgemeldet werden, obwohl die GPO dort gar nicht greifen sollte. Korrekt? Nun meine Annahme: Du hast die Richtlinie wie oben beschrieben erst verlinkt, dann per Item-Level Targeting jedoch eingeschränkt. Ab diesem Moment wird auch auf dem DC eine GPP History angelegt - sofern die entsprechende GPO / GPP zu diesem zeitpunkt für den Admin oder den DC freigegeben war. Später hast Du dann die Sicherheitsfilterung auf GPO Basis verwendet, so daß die Richtlinie weder für den Benutzer noch für den DC greifen dürfte. Jedoch war zu diesem Zeitpunkt schon einmal die GPP mit Item-Level Targeting auf dem DC "angewendet" - somit bleibt die GPP History bestehen. Der Link von mir oben zeigt den Speicherort der GPP History - diese solltest Du testweise auf dem DC einmal löschen und prüfen, ob es danach weiterhin zu der Aufforderung kommt, den Benutzer abzumelden. Viele Grüße olc