andreas222

Da wir mit OU Delegation arbeiten, ist die GPO Verwaltung bzw. die Verantwortung aufgeteilt. Also Administration mit unterschiedlichen Windows 10 VMs machbar.

Hi zahni, noch kein akutes Problem. Falls alte Einstellungen weiter benötigt werden, dann kann man diese Einstellungen nicht mehr vollständig verwalten. Richtig ?

Hallo zusammen, früher haben wir einfach aktuelle ADMX Templates (ADML) Dateien im Central Store bereitgestellt und es war gut. Microsoft fügt wohl mit den OS-Updates nicht nur neue Einstellungen hinzu, sondern entfernt zunehmend auch welche. Schwierigkeiten können doch aber dann auftreten, wenn nicht bloß neue Optionen hinzukommen, sondern sich welche ändern oder ganz verschwinden ???? Wie geht ihr damit um ? Wie testet ihr ? Verzichtet ihr dann bei betroffenen Workstations ganz auf den Central Store bzw. verhindert diesen ? VG & Merci Andi

Hallo zusammen, gibt es schon die Windows 10 RSAT Tools ? Bisher finde ich nur die Windows 10 RSAT Tools Technical Preview... diese sollte man wohl nicht mehr installieren ? VG & Merci Andi

Hallo zusammen, welche managebare Enterprise Lösung für Windows 2012 R2 DC / RDSH und Clients könnt ihr empfehlen ? Welche Support taugt ? AVG ? Avira ? ... VG & Merci Andi

Hallo Roscoe, interessant. Wir haben möglicherweise eine ähnliche Anforderung. Bei uns wird dieser Schritt aber aller Vorraussicht nach über ein IDM gemacht werden. Entscheindend ist auch die benötigten Attribute vorher abzuklären, daß Ganze wird sich auf das Wesentliche reduzieren. :) Wir haben auch Linux (Samba) Server in AD (Likewise Open / PowerBroker Open) Tatsächlich kann Samba viel ist aber im Detail doch kein Windows und es hinkt halt doch. Bspw. haben wier auch NetAPP Maschinen als Member in AD. Deren Umsetzung ist allerdings wackelig. Würde für den Umzug natives Windows bevorzugen. Was man dann hinterher macht ist dann wieder Geschmacksache. VG Andi

Hallo zusammen, hallo Nils, hier gibt es ja schon ähnliche Fragen zum Thema LDAP/AD. Wie es aussieht ist es möglich mittels "ldapsearch" unter Linux und einem ungesicherten Login gegen AD, Informationen aus dem AD auszulesen. Es muss nur eine gültige AD UserID/Passwort Kombination bekannt sein. Im Testsystem habe ich auf den DCs zusätzlich Zertifikate hinterlegt. Eine gesicherte Verbindung über LDAPs TCP 636 funktioniert. (Getestet mit LDP). Da wohl die gleichen Infos auch über eine ungesicherte Verbindung gehen stellen sich Fragen. 1.) Muss oder kann man die DCs bzw. AD hier absichern ohne den AD Betrieb generell zu gefährden ? 2.) Ist das nun ein Problem oder eher Design ? 3.) Habt ihr selbst LDAP Anfragen gegen AD ? Wie geht ihr damit um ? Ein älterer Artikel zum Thema: http://unixwiz.net/techtips/security-ldap-ad.html So habe ich getestet, dabei werden die angeforderten Attribute geliefert. Damit kann ein AD User, Informationen auslesen. Gesicherte Abfrage: ldapsearch -ZZ -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname Ungesicherte Abfrage: ldapsearch -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname Hintergrund/Idee/Anforderung: Das Active Diretcory läuft unter Windows 2012 R2r R2. Dort gibt es eineT Domäne namens: contoso.local In dieser Domäne gibt es einen User "Hansi.Schmid" und eine Gruppe "Moderator". "Hansi.Schmid" ist Mitglied der Gruppe "Moderator". Diese Information möchten err gerne zu Authentifizierungszwecken in einer Anwendung verwenden. In der "Web-Anwendung" möchte er zum einen mit der passenden Username / Passwort Kombination authentifzieren und zum anderen möchten er die Information zur Gruppenzugehörigkeit ("Hansi.Schmid" ist Mitglied der Gruppe "Moderator") in der Anwendung mitbenutzen. VG & Merci Andi

Ok, im Prinzip hast Du die Antwort geliefert. Danke. Der lokale Hostname des Linux Clients kann sich (unschön) vom Hostnamen innerhalb AD unterscheiden, richtig ? Es hat keinerlei Auswirkung auf die Funktion. Wenn ich richtig informiert bin wird das Passwort des Computerkonto nach 30 Tagen geändert. Dann werden wir sehen ob es irgendwelche Probleme damit gibt. VG & Merci Andreas

Hallo zusammen, unsere Kollegen aus der Informatik nehmen ihre Linux Clients mittels Pbis Open in unser Test Active Directory mit auf. Der FQDN in AD lautet dann bspw. "inf-Stern01.subd.domain.com" Nun haben die Kollegen den Linux-Hostnamen lokal auf "Stern01.subd.domain.com" geändert. Weil dieser Rechner im offiziellen DNS auch als "Stern01.subd.domain.com" eingetragen ist. Auf AD Seite wollten wir aus Orga-Gründen ein Fachbereichs-Kürzel voranstellen. Funktioniert dann das Aktualisieren des Computer-Kontos über Kerberos noch einwandfrei ? Anderst, wann wird das Ticket eines Computerkontos aktualisiert ? Kann man herauslesen wann ein Ticket für das Computerkonto aktualisiert wird ? (Evtl. gibt es Authentifizierungsfehler mit dem Computerkonto ?) Eigentlich wird doch jedes Objekt (User oder Computer) AD intern über die GUID verwaltet. Klar das mit dem DNS ist unsauber. Kommt natürlcih auch auf die Sichtweise an. VG & Merci Andreas

Hi Nils, ja klar.... hätte ich richtig lesen sollen ...es ging um ADAC nicht um ADUC. Freut mich wenn ich trotzdem Input liefern konnte. VG & Merci Andreas

Hallo zusammen, möglicherweise geht die Info am Ziel vorbei. Wir hatten die Anforderung weitere Emailadressen im Test AD unterzubringen und das Feld in ADUC sichtbar zu machen. In Powershell geht es meine ich... Daten herauslesen mit get-ADObject, in eine Variable zwischenspeichern, 2 Werte addieren und abspeichern mit Set-ADObject... Von Hand... Wir haben das Attribt/Feld "proxyAddresses" für weitere Mail verwendet und weitere Spalte in ADUC sichtbar eingefügt. Beispiel: hier einpflegen (US/English-locale): CN=default-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=Test,DC=contoso,DC=com und hier (deutsches Locale): CN=default-Display,CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=Test,DC=contoso,DC=com Hier die Anleitung: Add extra columns to Active Directory Users and Computers display per GUI: http://pberblog.com/post/2009/06/21/Add-extra-columns-to-Active-Directory-Users-and-Computers-display.aspx 1) Load ADSIEDIT 2) Connect to the Configuration naming context. 3) Navigate to CN=DisplaySpecifiers 4) Navigate to CN=409 (This setting changes as per your locale setting. 409 is for english) 5) Edit: CN=default-Display object's extraColumns attribute or Edit: CN=user-Display object's extraColumns attribute (normally empty) per script: http://support.microsoft.com/kb/884402 Evtl passt das. VG Andreas

Hallo hat jemand UE- V im Einsatz ? Wir sind am überlegen ob uns UE-V bei unserem geplanten RDSH Setup hilfreich sein kann ? Einer der Ansätze geht Richtung Mandatory Profiles und Ordnerumleitung. Ziel soll sein, den RDSH Usern ein funktionierendes Profil und den Admins gute Werkzeuge an die Hand zu geben. Wie sind eure Erfahrungen ? Wer hat Immidio Flex Profiles im Einsatz und was kann es leisten ? VG & Merci Andi

Hi daabm, Ok evtl. hab ich mich auch etwas falsch ausgedrückt. Zum einen geht es auch um Sicherheit im allgemeinen, da hab ich zu wenig Erfahrung mit dem SCM. Wobei ich einem Wizard wenig vertraue, meist verbiegen die Wizards mehr als einem lieb ist. Mandatory um Ladezeiten gering zu halten, gibt es etwas Besseres ? Laufwerke und Bibiotheken Zeug ausblenden, um User mit zuviel Elemente im Explorer Fenster nicht zu verwirren. User soll nur Homedir, Groupshare und USB Stick wenn vorhanden sehen. Gut das letzte TS Setup bei uns basiert auf Windows 2003. Denke mit Windows 2012 R2 hat sich viel getan. Welche dieser Neuerungen nun auch wirklich in der Praxis Bestand haben ist mir noch nicht geläufig. User Profile Disks sind bisher kein Thema. Wenn Mandatory TS Profiles verwendet werden, ist dann Ordnerumleitung überhaupt noch sinnvoll bzw. kann man das kombinieren ? Also im Prinzip ist eine Art best practices für RDS gesucht ? Euer aktuelles Buch zum Thema GPO besitze ich ... prima geschrieben. VG & Merci Andi

Hallo zusammen, Wir werden eine Serverfarm betreiben und Anwendungen veröffentlichen. Nun stellt sich die Frage wie man die RDS Host relativ sauber und vor UserManipulation schützt ? Wir dachten an: 1. Lokale Laufwerke ausblenden 2. Maschinen in eigene OU und Loopback. Unklar: Einsatz von Mandatory TS Profiles Folder Redirection Hat irgendjemand ähnliche Anforderungen umgesetzt ? VG & Merci Andi

Hallo Nils, hallo zusammen, vielen Dank die LDAP Infos auf FAQmatic kenne ich und schätze diese sehr. Du sprichst es an ... die GUi ist bei großen Objekt-Zahlen überfordert. In ADUC ist zum Glück eine Anzahl von 20000 über die Advanced Setting ( Filter) einstellbar. Danke für den MS Link. Wenn ich mich nicht irre hatte ich den Link schon an unsere IDM Entwickler weitergegeben. Inwiefern sie mit den Informationen etwas anfangen können... wir werden sehen. VG & Merci Andi