andreas222

Hallo zusammen, wir haben auf dem Campus ein Identity Management System welches User und Gruppen in unser Testsetup AD Windows 2012 R2 provisioniert. Nun gibt es den Fall, dass einige Gruppen mehr als 5000 Member haben Bisher hatten wir noch keine so große Anzahl User in einer Gruppe und sind daher erst jetzt auf diesen Sachverhalt gestoßen. Kennt jemand diesen Sachverhalt ? Warum darf dann die Built In Group "Domain Users " viel mehr Member enthalten ? Bzw. schaut man sich mit dem Attribut Editor "Domain Users" ist das Attribut Member leer ? Bei eigenen Gruppen ist das Attribut mit Member gefüllt ? MS schreibt hier max 5000 User pro Gruppe. http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx#BKMK_LDAP P.S Die Anzahl 20000 lässt sich dagegen in ein Open LDAP provisionieren. Verstehe ich nicht. Vielen Dank für Info Andi

Hallo zusammen, also die Lösung sieht so aus: 1. TCPIP Drucker auf Server installieren und freigeben (NICHT per Druckerverwaltung GPO veröffentlichen !!!) 2. GPO auf OU in welcher sich Benutzer befinden => Benutzer Preference bearbeiten. 3. Neu => Löschen => Zuerst löschen wir alle TCPIP Drucker. 4. Neu => Aktualisieren => in Abhängigkeit der Benutzergruppe wird ein Drucker als installiert u. als Standard festgelegt. (Item Level Targeting auf Benutzergruppe) System: AD alle Server Windows 2008 R2 und Windows 7 Clients

Hi Sunny61, damit meinst Du die Veröffentlichung am Fileserver, richtig ? Das Gefühl das hier zwei völlig unterschiedliche Dinge stattfinden hat sich also bestätigt. Merci. D.h 1. TCPIP Printer installieren und freigeben 2. Per Preferences den Drucker verteilen OK soweit. Gibt es auch eine Idee wie man Drucker im Wechsel nach Gruppenangehörigkeit Mappt bzw. entfernt ? Das ist wegen der Abrechnung. Siehe oben. VG & Merci Andreas

Hallo zusammen, wir haben die Aufgabe Drucker abhängig der Benutzergruppe automatisch zu Mappen / zu verteilen. Bsp. UserA in BenutzergruppeA erhält nur NetzwerkdruckerA, DruckerB muss weg sein, UserB in BenutzerGruppeB erhält NetzwerkdruckerB, DruckerA muss weg sein. Das Anlegen per GPO Prefernces funktioniert. Das Anlegen eines Druckers in Gruppenabhängigkeit funktioniert, das Löschen mal, mal nicht. Auf dem Fileserver haben wir die Printerrolle installiert und den Drucker über die GPO bereitgestellt. Hier ist uns das Zusammenspiel etwas unklar... die Bereitstellung am Printserver per GPO ist das für die Treiber gedacht ? Muss man das immer tun oder reicht eine Druckerfreigabe ? Wie können wir das mit GPO und oder den Preferences lösen oder müssen wir Skripten ? Habt ihr uns einen Tipp ? Unser System Windows 2008 R2 und Windows 7. Grüsse& Merci Andreas

Hi, OK, wie kann ich den CN eines Users in einer Variablen unterbringen, damit ich diese Variable später auswerten kann ? Also gibt es keine Info wer oder was festlegt was in %username% zu stehen hat ? Gruesse & Merci Andreas

Hallo zusammen, ein Beispiel wäre die automatisierte Erstellung von Homedirectories aufgrund von %username%. Schön wäre wenn es zusätzlich für den CN eine Variable gäbe ? Bei uns sind UserPrincipalName, sAMAccountName eben unterschiedlich. Beim Scripten wären weitere Variablen für das Benutzermanagement interessant. Gruesse & Merci Andreas

Hallo zusammen, lässt sich die Systemvariable %username% in Active Dirctory auch auf andere AD Attribute verbiegen ? Die Variable %username% wird per default mit dem sAMAccountName gebildet. Soweit OK. Lässt sich diese Zuordnung im AD irgendwo ändern ? Wo ist definiert bzw. festgelegt welcher Wert/welches Attribut in %username% liegen soll ? Gruesse & Merci Andreas

Hallo zusammen, nun wird eine etwas andere Konstruktion bei uns diskutiert. Dabei würde für den sAMAccountName und den UPN unterschiedliche Namen/ID's verwendet. Bisher bin ich immer davon ausgegangen beide Namen möglichst gleich zu belassen. UPN: Mustermann@domain.de sAMAccontName: Mustermann Login dann mit: Mustermann@domain.de oder domain\Mustermann Nun ist die Idee es so zu machen: UPN: Mustermann@domain.de sAMAccontName: NumberID Der Vorteil soll sein später mit %username% eine eindeutige ID u.a. für das Homedirectory zu erhalten. Damit soll bei Namensänderung der Namen des Homedirectories beibehalten werden können. Was haltet ihr davon ? Habt ihr als Login-Namen Vornamen.Nachname im Einsatz oder eher eine eindeutige ID ? Viele Gruesse & Merci für Hilfe und Tipps Andreas

Hi NorbertFe, was meinst Du mit alles andere muesste man dann auch ändern ? Noch haben wir kein Exchange im Einsatz. Evtl. kommt das noch. Ich beziehe das auf den Homedirectory-Namen welcher dann immer die EindeutigeID waere, auch bei Namensänderung. Also so bspw. \\Server\Users$\Usr00111 und NICHT \\Server\Users$\Vorname.Nachname Merci für Tipps. Gruesse Andi

Hallo zusammen, bei uns existiert der Wunsch sich mit "Vorname.Nachnamen" einloggen zu können. (Email-Adresse) Unerwünscht ist -> den kompletten UPN eintippen zu müssen. (Das Suffix @domain.de per default anzuhängen geht nicht ? ) Wir AD-Leute sehen "Vorname.Nachname" eher kritsich zwecks Namensänderungen. Wir benötigen unbedingt eine weitere eindeutige ID damit zumindest das Homedirectory immer eindeutig bleibt. Bspw. \\Server\Users$\Usr00111 und NICHT \\Server\Users$\Vorname.Nachname Daher wäre eine Idee: o sAMACCount und UPN Längere Namen müssten durch die sAMACount-Beschränkung auf 20 Zeichen automatisch gekürzt werden. Bspw.: Hans.EinGanzLangerNachname@ad.Domain.com Idee: Domänenname: AD (NetBIOS) ad.Domain.com (DNS) sAMAccountName: Hans.EinGanzLangerNa (gekürzt 20char) NetBIOS-Anmeldename: AD\Hans.EinGanzLangerNa userPrincialName: Hans.EinGanzLangerNachname@ad.Domain.com CN = IdentitätsID (eine eindeutige ID u.a. zur Bildung des Homedirectories) daraus leitet sich der DN ab. Bspw. CN=Usr00111,ou=people,dc=ad,dc=ad.Domain,dc=com Vielen herzlichen Dank für einen kurze Info. Andi

Hallo zusammen, wir sollen uns für eine neue W2k8R2 AD an Organsisations-Strukturen der Uni orientieren. Unsere Uni betreibt diverse LDAP Server, dort ist as Feld "OU" ein MultiValue Feld. Aufgrund der OU-Mitgliedschaft wollen die LDAP-Kollegen Berechtigungen etc. für Services ableiten. Auf AD Seite sind wir der Meinung das nur über Gruppen abbilden zu können. Da auf AD Seite ein Benutzer nur immer in einem Container Mitglied sein kann. Die Frage ist nun welchen Weg wir einschlagen sollten ? 1.) Wir bilden die Orgastruktur mit Gruppen ab. Später Anwendung der AGDLP Regel. Die Information Orgastruktur legen wir bspw. in dem Attribut "Description" ab ???? 2.) Wir bauen uns einen Reiter bzw. eine AD Schema-Erweiterung Sprich ein MultiValue Feld für OUs. ???? Denke das erfordert eine Menge Vor-Planung u. C++ Kenntnisse. 3.) Evtl. gibt es im W2k8R2 Schema bereits etwas ohne daran zu fummeln. Wenn ja wie kann man darauf zugreifen bestenfalls in AD User & Computer anzeigen oder sonst wie auslesen ? Wie löst ihr so etwas ? Viele Gruesse & Merci für Tipps. Andi