kaineanung

Hallo Leute, wir haben hier eine Situation die nicht alltäglich ist und ich dafür eine Lösung suche. Vielleicht bin ich auf dem falschen Dampfer und jemand belehrt mich wie es richtig geht oder aber es gibt keine andere Lösung als das von mir angedachte. Folgende Situation: Die Firma A hat eine kleine Firma B aufgekauft und beide haben eine Windows 2016 Domäne die für sich seperat arbeiten. Jede Firma hat seinen eigenen Windows-Dateiserver. Wir haben eine Standleitung zwischen den Firmen A und B und Firma A hat eine große Firewall und Firma B nur einen kleinen Satellit welcher an die große Firewall der Firma A angebunden ist (permanentes VPN) und den Datenverkehr regelt. So, Firma A hat nun auch eine RDS-Farm für beide Firmen (getrennte RDS-Sammlungen) und Homeoffice- und Aussendienstmitarbeiter verbinden sich ausschliesslich zu Firma A und dann auf die RDS-Farm. User der Firma B haben eigene AD-Konten in der Domäne der Firma A. So weit so gut und funktioniert prima. Jetzt aber wollen wir Laufwerksmappings anbieten für die User der Firma B, welche sich per VPN auf die RDS-Sammlung der Firma B in der Domäne der Firma A angemeldet haben. Ich weiß das die Domänen miteinander nichts zu tun haben und daher auch eine separate Authentifizierung stattfinden muss so daß jeder USer, der sich mit sienen Credentials authentifiziert hat, entsprechend Zugriff auf den Fileserver in der Firma B hat. Ich wollte ein Laufwerk auf die Freigabe des Fileserver in der Firma B machen welches aber 'durchgestichen' ist im Windows-Explorer. Wenn sich der User dann entschliesst darauf zuzugreifen, muss es einmalig für die aktuelle Sitzung seine Zugangsdaten der Domäne in der Firma B angeben. Frage 1: geht das überhaupt und wenn ja wie? Frage 2: was wäre der richtige Weg das zu bewerkstelligen? Ich habe so ein Gefühl das es auch einen besseren Weg dafür gibt, oder? Ich würde mich freuen wenn mir hier jemand zu diesem Thema was sagen und helfen könnte. Nochmals in Kurzform: - 2 Domänen miteinander per Standleitung verbunden - RDS-/Terminalserver-Farm ist in der Hauptfirma - User der zweiten Firma haben zusätzlich (zu ihren eigenen Domänenkonten in ihrer Firma) eigene Domänenkonten in der Hauptfirma - Nach der Anmeldung auf dem RDS-Server (Hauptfirma) soll per SMBv3 ein Laufwerk auf den Fileserver der anderen Firma gemappt werden und zwar ohne Credentials und somit noch 'inaktiv'. Bei klick auf den Laufwerksbuchstaben soll das Anmeldefenster kommen. - Laufwerksmappings sind also ähnlich zu den permanent manuell gemappten Laufwerken die mit anderen Benutzeranmeldungen gemappt werden wobei die Credentials nicht gespeichert werden sollen -> bei der nächsten Sitzung sind die Laufwerke rot durchkreuzt und man muss die Credentials beim ersten benutzen manuell eingeben.

@testperson Nochmal: 2FA verlangt die Versicherung bis Ende des Monats. Ich schaffe es nicht mit meiner eigenen PKI und alles richtig und korrekt und vor allem sicher zu machen. Ich führe die jetzige Lösung nur, und das habe ich zum wiederholten mal gesagt, vorübergehend ein um der Versicherung zu genügen. Da muss ich dann nicht bis ins letzte Detail alles bombensicher machen (das kommt ja dann noch im Nachgang) und ich verstehe nicht das ihr das nicht versteht. Und das ist auch erstmal egal ob ihr das verstehen wollt oder nicht. Ihr habt die technische Grundlage und könnt jetzt leicht reden. Ihr habt entweder mega Glück gehabt das ihr bei all den IT-Themen niemals Zeitdruck hattet um diese zu erledigen oder ihr habt es vergessen wie das ist. Ich lache nun auch über die Domänenmigration wobei ich das hier vor 2 Jahren von vorne bis hinten durchgekaut hatte und mich angestellt hatte als ob das ein Unding ist. Auch damals hiess es hier: hol dir einen externen Dienstleister. Jetzt lache ich auch darüber weil es easy-peasy ist. Aber wenn man es nicht weiß dann ist es eben alles andere als easy-peasy......Ich vergesse sowas aber nicht und erkläre unseren Auszubildenden alles bis ins Detail und kann mich hineinversetzen und notfalls auch bildlich erklären mit 'viel bunt'.... Wie dem auch sei: ist egal jetzt. Der Rest ist dagegen und blockt ab und du hast mir 2 Links geschickt um die ich hier ersucht habe und dafür Danke ich dir sehr. Ich lese sie mir durch und schaue mal weiter.... Danke an euch alle, auch für die 'Sicherheitsbedenken'....

Ich entscheide was ich an Sicherheit haben will oder nicht. Verstehe nicht das mich MS mit dieser Politik bevormundet. Ich will der 2FA bis ende des Monates genügen und mich vom Zeitdruck befreien damit ich es danach mit eigener PKI und allem drum und dran richtig machen kann.. Ich wollte genau diese Diskussion hier vermeiden... Daher nochmal: welche Möglichkeit bleibt mir diese Zertifikate nun an unsere Clients zu verteilen? Geht das vielleicht per Anmeldescript o.ä.?

@NilsK Nicht zu vorschnell. Der DL ist gut und hilft mir mit dieser alternative, unter Vorbehalt und eindringlichem Appell es schnell 'richtig' zu machen mit meiner PKI. Aber ich habe eine Deadline einzuhalten und muss nun nach einer Alternative suchen. Diese hat er mir zähneknirschend vorgeschlagen... @All Wieso geht das mit der GPO eigentlich nicht? 1. In meiner Testumgebung habe ich dieses Zertifikat tatsächlich per GPO verteilt, leider nur in den Benutzer-Zertifikatsspeicher unter 'Vertrauenswürdige Personen'. 2. Mache ich es manuell mit dem Wizard, kann ich auswählen dass das Zertifikat automatisch in das entsprechenden abgelegt wird und dort landet er korrekterweise im 'Eigene Zertifikate'-Ordner. So, ich bräuchte doch nur lediglich Punkt 1 mit Punkt 2 in Kombination. Leider ist das Feld 'Automatisch Zertifikatsspeicher wählen' (oder so ähnlich) ausgegraut beim GPO-Erstellen....

Hallo Leute, ich habe ein kleines Problem bei dem ich wenig Hoffnung habe es gelöst zu bekommen. Es gibt aber ab und an doch irgendwen der irgendein guten Trick kennt scheinbar unlösbare Probleme doch zu lösen. Vielleicht in diesem meinem Fall ja auch? Ich probiere es einfach mal und stelle meine Frage: Ich habe ein "Eigenes Zertifikat" mit privatem Schlüssel welches ich in der Domäne verteilen muss. Leider ist so ein Zertifikat mit privatem Schlüssel ja nicht dafür vorgesehen per GPO verteilt werden zu können. Es ist ja auch per Passwort geschützt und MS geht sicherlich davon aus das dies dann individuell von jedem User per Wizard importiert wird und daß die User das passwort kennen und eintippen müssen. Hintergrund: Bei uns verzögert sich das Aufbauen der PKI. Daher hat unser FW-Dienstleister kurzerhand auf der FW eine CA erstellt die an die Benutzer als 'Vertrauenswürdiger Stammzertifizierungsstelle" per GPO verteilt werden soll. Dieser Teil klappt auch wunderbar. Der andere Teil, das "Eigene Zertifikat" (P12-Datei) mit Passwort, habe ich auch vom Dienstleister bekommen und es soll, als vorübergehende Lösung, an alle verteilt werden damit wir auf der FW die 2FA aktivieren können für den VPN-Zugang. Dieses Zertifikat ist nicht individuell (so wie ich mir das Vorstelle eine Art Wildcard-Zertifizierung bei dem die Domänenzugehörigkeit der User bestätigt wird. Ist aber lediglich MEINE Vorstellung davon) und kann somit an alle verteilt werden. Das klappt so natürlich nicht per GPO. Die Frage ist aber: gibt es doch irgendeine Lösung für das Verteilen an alle in der Domäne, in eine bestimmte OU oder an eine Gruppe mit bestimmter AD-Sicherheitsgruppenzugehörigkeit o.ä.? Schon einmal im Voraus besten Dank für jegliche Hilfe / Informationen oder auch die finale Bestätigung das dies überhaupt nicht geht ausser manuell verteilen (z.B. per TeamViewer dann beim User importieren).

Eine PKI auf zu setzen scheint mir relativ einfach und schnell zu gehen. Ein Standard-Webzertifikat mit SAN-Attributen ging auch relativ einfach. Wahrscheinlich sind die vielen Probleme einfach im Detail versteckt und ehrlich gesagt habe ich schon große Sorge das ich nicht irgendwas 'zusammenfusche'. Wenn ich es aber nicht ausprobiere, dann werde ich es nie lernen und wenn es ein DL macht der wird ein Teufel tun um es mir vollumfänglich beizubringen denn niemand sägt an seinem Ast auf dem er sitzt... Daher werde ich mir auf jeden Fall das empfohlene Buch kaufen und es durchlesen. Ich muss jedoch in meiner Testumgebung irgendwas liefern damit man hier sieht das es möglich ist eigene Zertifikate zu erzeugen, domänenweit die vertrauenswürdigen Stammzertifikatsstellen an die Clients zu verteilen und z.B. die 2FA für den VPN-Zugang zu implementieren (das macht dann ein Dienstleister). Das es aber SO schlimm ist das gestandene und erfahrene DL ein Bogen um das Thema Zertifikate machen, macht mir ehrlich gesagt große Sorgen. Ich sehe die Probleme sicherlich noch nicht weil ich gerade an der Oberfläche 'kratze'. Ich hoffe das es nicht so schlimm wird. Bisher scheint es jedenfalls nicht zu kompliziert zu sein mit RootCA, SubCA erstellen, domänenweit bekannt machen und Webserverzertifkate zu erstellen... Mein nächster Schritt ist die Erstellung der Computerzertifikate. Ich hoffe das dies auch nicht anders ist als die Webserver-Zertifikate und das es der gleiche Vorgang ist... Die Webserver-Zertifikatsanfrage habe ich ja auf dem Webserver im IIS-Manager unter 'Zertifikate' erstellet um es dann auf der SubCA zu signieren und ein fertiges Zertifikat zum 'binden' zu erhalten. Die Frage die sich mir nun stellt ist: wo finde ich nun die Möglichkeit das Zertifikat (-Rrequest) für Computer ODER User zu erstellen?

@NorbertFe Das macht mir, ehrlich gesagt, große Sorgen. Ich wüsste aber nicht wie ich denn sonst anfangen könnte als mich erstmal durchzubeissen, durchzuarbeiten und so Schritt-für-Schritt zu erfahren wie das alles funktioniert. Vielleicht irgendein Tipp für mich was am allerhäufigsten falsch gemacht wird am Anfang? @all Übrigens: meine Zertifikate mit SAN funktionieren nun einwandfrei mit IE, FF (per GPO und FF-Vorlage eingestellt daß der Windows-eigene Zertifikatsspeicher mitverwendet werden soll), EDGE und Chrome. Ich musste allerdings manuell ein Zertifikat erstellen, manuell auf dem Webinterface das Zertifikat signieren lassen (vom CA) und dann das Zertifikat auf dem IIS installieren und binden. Davor (also als ich nur das Standard-Zertifikat ohne SAN-Parameter erstellt habe) musste ich im IIS lediglich 'Domänenzertifikat erstellen' anklicken, die FQDN ODER NetBIOS-Name eingeben und schwups wurde alles con der CA erledigt und ich konnte es gleich direkt 'binden'. Jetzt muss ich die ganzen Schritte dazwischen manuell machen. Schade. Aber ok, die Zertifikate für unsere APs, Switche usw. muss ich sicherlich auch so erstellen da diese ja sowieso nicht in der Domäne sind. Jedenfalls bis hierhin: vielen Dank für eure Hilfe ;) Jetzt lese ich mich in das Thema 'Computerzertifikate' ein. Irgendwer irgendwelche Tips wo ich anfangen kann? Hat wer gute Anleitungen dafür? Schon einmal im voraus Danke dafür.

@Squire Keine Sorge, ich verwechsle die 2 Themen nicht. Ich weiß daß ich für die 2FA Computerzertifikate (oder alternativ Benutzerzertifikate, tendiere aber auf die Computerzertifikate) benötige. Ich arbeite mich zum allerersten mal in das Thema 'Zertifikate', CA und PKI ein. Da dies eine große Infrastruktur ist und eben mehrere Bereiche abdeckt, will ich alles, was für uns (Firma) relevant ist 'abarbeiten' bzw. mir aneignen. Bevor ich in das noch schwierigere Thema 2FA einsteige, will ich erst sicherstellen das ich PKI / CAs korrekt installiert und konfiguriert habe und erstmal, weil es einfacher ist umzusetzen und es auch gleich testen kann, schauen möchte ob das einfachere 'SSL für Webserver' (also HTTPS) überhaupt funktioniert. Steht dieser Teil kann ich mich dann auf Computerzertifikate 'stürzen' und dann unseren Dienstleister mit unseren Computerzertifikaten beliefern damit er diese in unsere FW (für VPN für die 2FA) einspielen kann. Ich hoffe ich bin mit der Vorgehensweise nicht ganz auf dem Holzweg. Vor ein paar Tagen habe ich PKI und CA nur am Rande mal von gehört. Jetzt habe ich eine PKI am laufen und versorge die Webserver damit. Jetzt dann bald kann ich mich um das eigentliche Thmea (2FA) kümmern.

Ja, mein Fehler das ich gleich 2 Themen in ein Thema hier rein gepackt hatte. Ich habe in meiner Testumgebung eine PKI erstellt weil ich den primären Auftrag habe Gerätezertifikate im Unternehmen einzuführen zwecks 2-Faktor-Authentifizierung. Ich arbeite mich jedoch gerade erstmal in das Thema SSL & CA allgemein ein und um sofort meine Errungenschaften testen zu können, habe ich mich auf das Webzertifikat für den IIS konzentriert. Dies ist auch mein sekunderäs Thema was ich einfach mal vorweg genommen habe. Also um es nochmals zu reproduzieren was ich hier heraus gelesen habe: 1. IE nutzt den Windows-eigenen Zertifikatsspeicher und benötigt keiner weiteren konfiguration. 2. FF nutzt seinen eigenen Zertifikatsspeicher, kann aber konfiguriert werden damit er auch den Windows-eigenen Zertifikasspeicher mit benutzt (das habe ich bereits umgesetzt und es funktioniert in meiner Testumgebung) 3. EDGE und Chrome nutzen zwar den Windows-eigenen Zertifikatsspeicher, benötigt aber noch weitere Einträge in der SAN des Zertifikates. b***d ist das ich somit immer ein manuell erstelltes Zertifikat mit erweiterten Einstellungen erstellen muss um SAN (und eventuell weitere Einstellungen) konfigurieren zu können und nicht 'einfach' auf dem IIS den Punkt 'Domänenzertifikat erstellen...' (im Bereich Serverzertifikate) klicken und den Wizard 'Zertifikat erstellen' nutzen kann denn dadurch wird ein Standard-Zertifikat mit nur rudimentären Einstellungen erstellt. So, wie mache ich am besten (und einfachsten) ein eigenes Zertifikat mit diesen erweiterten Einstellmöglichkeiten (z.B. SAN) für den IIS und was muss ich da genau eingeben? Ich habe das Thema bereits ein wenig 'angekratzt' weil ich für den Webserver ein Zertifikat erstellen möchte welches für das 'ansrufen' der Webseite mit dem NetBIOS-Namen als auch FQDN erstellen möchte. Dies geht wohl auch nur wenn ich dies mit erweiterten Informationen in der SAN mache. Habt ihr mir vielleicht eine gute deutsche Anleitung/HowTo wie ich das machen kann? Wenn das Thema erledigt ist, werde ich mich 2 weiteren Themen widmen: Wie erstelle ich ein Zertifikat (mit SAN) für andere Webserver / Webinterfaces (Apache2, APs, Switche, Firewall, usw.) und wie erstelle ich Gerätezertifikate damit man diese in FW für die 2-faktor-Authentifizierung per VPN nutzen kann. Aber erstmal Schritt für Schritt. Jetzt geht es um die SAN mit der ich NetBIOS und FQDN nutzen kann für ein und den selben Server UND EDGE und Chrome überhaupt diese Zertifikate auch akzeptiert (damit würde ich ja gleich beide Themen 'abhaken').

Hallo Leute, ich lerne mich gerade in das Thema 'PKI', RootCA und IntermediateCA ein. Wir wollen eine eigene Domänen-integrierte CA betreiben um Geräte-Zertifikate für die 2-Faktor-Authentifizierung zu erstellen und nebenbei auch noch alle unsere https-Webinterfaces vertrauenswürdig zu machen. In meiner Testumgebung habe ich ein IIS (eigentlich ein RDS mit IIS), eine PKI (RootCA standalone, SubCA als AD-betriebene CA), natürlich ein DC und ein Windows 10 Client mit IE, Edge, FF und Chrome. Domänenweit wird in dem Zertifikatsspeicher 'vertrauenswürdige Stammzertifizierungsstellen' mein RootCA und in 'Zwischenzertifizierungsstellen' mein SubCA aufgelistet. Die Verteilung in der Domäne funktioniert also wie es soll. Ich habe ein Zertifikat für meinen IIS erfolgreich erstellt und diesen auch erfolgreich gebunden. Mein erster Test mit dem IE vom Client hat wunderbar funktioniert. Dann habe ich ein Test mit dem FF gemacht und es hat nicht funktioniert. Nach kurzer recherche ist mir wieder eingefallen das FF ja mit seinem eigenen Zertifikatsspeicher daherkommt und auch gleich eine Lösung gefunden: per GPO (Mozilla/Firefox-Template) kann man FF anweisen den Windowseigenen Zertifikatespeicher additional mitzubenutzen. Der nächste Test war dann auch erfolgreich. So weit so gut. Jetzt ist der Edge dran mit testen und komischerweise funktioniert es mit diesem nicht? Ich hätte gedacht das Microsoft EDGE natürlich den Windows-Zertifikatsspeicher mitbenutzt. Nach kurzer (oberflächlicher) Recherche habe ich irgendwo aufgegriffen daß der EDGE nun im Kern den Chromekern verwendet. Chrome kommt angeblich auch mit seinem eigenen Zertifikatsspeicher daher (nutze kein Chrome und kenne mich mit diesem überhaupt nicht aus). So, meine Fragen sind wie folgt: 1. Stimmt das das Edge den gleichen Kern wie Chrome nutzt? 2. Nutzt Edge einen eigenen Zertifikatsspeicher und nicht automatisch den Windows-eigenen Zertifikatsspeicher? 3. Kann ich Edge dazu überreden den Windows-eigenen Zertifikatsspeicher zu nutzen und wenn ja vorzugsweise per GPO? Wenn ja, kann mir vielleicht jemand sagen wie und wo oder auch eine Anleitung nennen? Ich bedanke mich schon einmal für eure Mühe (und wenn es nur das Lesen bis hierher ist).

Habe ich auch gleich gedacht. Aber wenn ich alle GPO (damit meine ich wirklich ALLE) vorrübergehend deaktiviere, sollten die Probleme ja verschwinden. Tun sie aber leider nicht. Somit hängt es nicht an irgendwelchen Scripten bei der Anmeldung bzw. gar nicht an irgendwelchen GPOs. @all Liege ich damit richtig daß die Warnung mit dem Fehlercode 1534 nichts mit meinem Problem zu tun hat?

Hallo Leute, ich habe ein Problem bei dem ich alleine nicht mehr weiterkomme und hoffe hier Hilfe zu finden. Das ist was wir hier haben / einsetzen: Die RDS-Farm: 1x Connectionbroker / Lizenzierungsserver / WebAccess-Server 3 RDS-Hosts (2 sind in einer Sammlung und einer in einer anderen Sammlung) 1x Fileserver als UPD-Server (Userprofile) Alle Server laufen auf Microsoft Windows Server 2016 STD. Jeden Monat auf den neusten Stand aktualisiert (Standard-Update). Die komplette RDS-Farm ist Virtualisiert und läuft auf folgenden Hostern: ESXi vSphere 6.7.0-HP-Customized-Maschine (ProLiant DL380 G7 12 CPUs Intel Xeon X5690 3.47 Ghz mit 60 GB RAM (-> RDS-Server (CB, WA & Lizenzierungsserver), Fileserver (UPD) und 1x SessionHostServer) ESXi vSphere 6.7.0 in einem vCenter mit SAN (ThinkSystem SR650, Intel(R) Xeon(R) Gold 6136 CPU mit 24 echten CPUs bzw. 48 logische CPUs @ 3.00GHz und 500 GB RAM Das Problem: User melden bei der 'Hauptsammlung' (2x SessionHosts-Server -> ca. 50 User allerdings gleichzeitig max. 15-20) immer öfter daß die Anmeldung teilweise 10-20 Minuten dauert und sie während dessen einen schwarzen Bildschirm bekommen. Dies tritt gleich nachdem der Standard-Anmeldebildschirm verschwunden ist (Anmeldung wurde verifiziert, Gruppenrichtlinien wurden geladen, und nun soll der Desktop angezeigt werden -> schwarzer Bildschirm kommt stattdessen). Es ist nicht immer so, bei 2 Test-Usern hat es mal 20 Sekunden gedauert und dann aber auch mal 2 Minuten (dies jedoch dann beim ersten Anmelden nach einem Neustart) und bei einem dann auch 40 Sekunden. Bei keinem war es wie gewohnt daß der Desktop schon nach 2-3 Sekunden 'Blackscreen' da war. Ich habe natürlich recherchiert zu diesem Fehler und bereits ein paar Ansätze gefunden und ausprobiert. Leider war keine Lösung dabei. Erfolglose Dinge dich ich also bereits getan habe sind: audiodg.exe beenden Diverse Dienste beendet und auf Deaktiviert gestellt was Audio angeht -> habe sowieso keine Soundkarte am Server und wird aktuell nicht benötigt Powerschell-Skript ausgeführt welches die "Firewall-Regeln", die sich mit der Zeit ansammeln, löscht. War bei diesem Server ca. 53K und hat ca. 1-2 Stunden gedauert. In der Ereignisanzeige habe ich keine Fehler, jedoch ein paar sporadische Warnungen. Hier eine die wahrscheinlich mit der RDS zu tun hat (aber wohl nichts mit meinem Problem zu tun hat): Protokollname: Application Quelle: Microsoft-Windows-User Profiles Service Datum: 10.09.2021 11:44:08 Ereignis-ID: 1534 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter: Benutzer: SYSTEM Computer: srv-rdsh01.XXXX.local Beschreibung: Die Beschreibung für die Ereignis-ID "1534" aus der Quelle "Microsoft-Windows-User Profiles Service" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren. Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden. Die folgenden Informationen wurden mit dem Ereignis gespeichert: Delete {709E2729-F883-441e-A877-ED3CEFC975E6} Das System kann die angegebene Datei nicht finden. Das Handle ist ungültig So, jetzt meine Frage und meine Hoffnung: Kennt jemand das Problem und hat eine Lösung dafür? Ich verzweifle mit den Dingen und bin kurz davor die 2 Session-Hosts neu aufzusetzen. Kann aber sein daß nach einer Neuinstallation in ein paar Monaten das gleiche Problem wieder auftritt.. daher wäre mir eine Lösung lieber. Übrigens: an dem dritten Session-Host-Server, welcher alleinig in einer Sammlung steht, habe ich das Problem nicht. Diese Umgebung ist aber relativ neu und wird nur von 3-5 Usern verwendet.

@Dukel Ich habe mich vielleicht nicht verständlich genug ausgedrückt: es geht gar nicht um die Migration, denn für die habe ich Scripte mit Robocopy erstellt und das funktioniert wunderbar (ich mache Gruppe um Gruppe damit ich kein Zeitdruck habe. 75% sind aber schon umgezogen). Es geht darum das die User, die früher Dateien nur in ihrem "Tree" verschieben konnten, nun auswärts verschieben können und dies auch tun. Auswärts: nicht mehr innerhalb ihres Teamordners sondern z.B. in ein Projektordner wo sich auch Benutzer aus anderen Teams tummeln. Diese sehen nun die Daten nicht die Benutzer A in den Projektornder verschoben hat. Ich weiß das dies schon immer so war das MS ACLs unterschiedlich behandelt beim Verschieben im Vergleich zum Kopieren. Die Frage ist aber: kann man das auch anders handhaben/einstellen/konfigurieren/"workarounden" auf dem Fileserver?

Hallo Leute, ich hätte da mal wieder ein Problemchen. Wir sind nach vielen vielen Jahren auf einem W2K3-Server (DC, DNS, DHCP und Fileserver) nun auf eine neue W2K16 Domäne, separatem Fileserver und der Gleichen migriert. Bisher hatten wir auf dem alten Server auch mühselig unser Firmen-Organigram abgebildet was nun, danke euch, entfallen ist. So weit so gut. Wir haben auf dem neuen Fileserver nun auch ein Projekte-Ordner auf dem sich verschiedene Team übergreifende Ordner befinden die jeweils in der AD abgebildet sind (RO- und RW-Sicherheitsgruppe und dort dann die Mitglieder die darauf Zugriff haben sollen). Nun haben wir aber zum ersten mal die Probleme daß MS die Eigenart hat bei verschobenen Daten die ACL mitzunehmen und keine vom übergeordneten Zielordner vererbt zu bekommen. Die Leute rufen dann an und sagen "mein Kollege sieht die Daten nicht, ich sehe sie jedoch". Da ist mir sofort eben diese Eigenart von MS eingefallen. Ich habe nun ein Testuser "Max Mustermann" angelegt welcher Domänen-Benutzer ist, Mitglied in einem bestimmten Team und Mitglied einer Projektgruppe ist. Mit diesem User habe ich nun eine Datei von seinem Basis-Gruppenlaufwerk zu einem Projektordner, in welchem dieser RW-Zugriff hat, kopiert und einmal verschoben. Es ist tatsächlich so: beim Kopieren bekommt die Datei die Berechtigung vererbt und ist gleich wie alle anderen in diesem Ordner. Beim Verschieben nimmt er alle Berechtigungen von der Quelle mit und bekommen keine vererbt. Somit sehen alle anderen Mitglieder des Projektes, welche nicht gleichzeitig zum gleichen Team gehören, die Daten nicht. Also, die Frage ist nun: was kann ich machen damit die Leute Dateien in den Projekt-Ordnern kopieren und verschieben können so daß die Daten aber immer die Berechtigung vererbt bekommen? Ich bedanke mich schon einmal im Voraus für eure Hilfe!

Meinst du wozu ich das nun so haben will und es verändere? Wir haben bisher unseres Firmen-Organigramm auf dem Fileserver abgebildet gehabt und jede Gruppe hat ihre Vorlagen gehabt. Nun strukturieren wir es um und es wird nur noch in der AD durch die Sicherheitsgruppen-Verkettung / Verschachtelung das Organigram abgebildet und nicht mehr in der Verzeichnisstruktur. Dort führen wird mehr auf flache Ordnerstrukturen hingearbeitet und weg von Gruppen- und hin zu Projekt-Ordnern. Durch diese Umstellung will ich auch für alle ein Vorlagen-Root-Ordner haben so daß ich auch per GPO Office so steuern kann das jeder diesen Root-Ordner als Vorlage gesetzt bekommt. Dadurch bekomme ich meine GPO auch noch übersichtlicher so daß ich nur für alle Domänenmitglieder eine Einstellung habe und nicht jedem Hans sein Vorlagenpfad hinterlegen muss. Da wir aber neben den allgemeinen Vorlagen dennoch auch gruppenbezogene Vorlagen haben, will ich das irgendwie steuern. Da bietet sich ja das ABE geradezu an. Die Unterordner haben verschiedene Zugriffsberechtigungen und ABE kümmert sich darum das nur die gesehen werden die einen auch was angehen. Office bietet auch nur diese dann an. Das gute an dem ganzen ist nun auch das die gruppenbezogenen Vorlagen in jeweilige Reiter zusammengefasst werden (zumindest bei uns im Office 2010). Es wird für uns einfacher zu administrieren, die Daten-Redundanz verschwindet und für jeden Benutzer ist der Pfad der Gleiche.

Scherzkeks.... so kennt man dich ja gar nicht. Ja, ich habe vergessen ABE einzuschalten weil ich, warum auch immer, davon ausgegangen bin das dies für den ganzen Server gilt wenn man es einmal aktiviert. Da es eine neue Freigabe ist muss ich aber auch dort ABE aktivieren. Jetzt funktioniert das auch. Danke für die Mühe!

Natürlich habe ich es schon getestet und das Ergebnis war leider negativ. ABER: da ich ja erst nach und nach in die Administration von moderner Domäne und Dateiserver rutsche, gehe ich immer davon aus daß ich irgendwo einen Fehler gemacht habe, etwas übersehen habe oder einfach die richtigen Schritte nicht kenne um das Vorhaben umzusetzen. So auch hier: ich deaktiviere die Vererbung, entziehe alle Rechte ausser die vom SYSTEM und dem Administrator und trotzdem ist die Datei sichtbar -> ABE wird wohl nicht auch Dateieben funktionieren. ausser natürlich jemand von den Profis hier sagt: du hast Dies und Jenes vergessen und musst das so und so machen damit es funktioniert. Darum frage ich euch: ABE funktioniert nur auf Ordnerebene oder auch auf Dateiebene? Und hat jemand gute Alternativen? Nur als Denkanstoß - das macht im Zweifel die damit erzeugten Dokumente abhängig von der Verfügbarkeit des Fileservers. Für mobile Clients (Notebooks auf Reisen) könnte das ein Problem werden. Wir haben hier die Vorlagen sowieso auf dem Fileserver. Auf dem alten FS liegen die Vorlagen in den einzelnen Gruppen-Ordnern. Dies wollen wir auf dem neuen FS nun zentralisieren. In beiden Fällen sind wir vom FS abhängig. Unserer Aussendienst-Kollegen arbeiten auf dem Terminalserver, also somit eigentlich wieder intern. Wenn es nicht anders geht, dann überlegen wir uns auch das Kopieren der Dateien auf die Clients. Aber ich will erstmal den ersten Lösungsansatz verfolgen wenn es denn geht.

Hallo Leute, ich habe ein spezielles Anliegen bei dem ihr mir sicherlich helfen könnt. Wir haben hier viele unterschiedliche Abteilungen und jede Abteilung hat seine eigenen Word-Vorlagen. Wir würden gerne alle in ein zentralen Ordner bzw. Freigabe namens 'Vorlage' auf dem Fileserver ablegen. Alle Wordvorlagen, die sich in diesem Ordner befinden, werden beim Öffnen eines neuen Dokumentes als Vorlage angeboten. Soweit so normal. Jetzt möchte ich aber das Abteilung A nur die Vorlagen angeboten bekommt welche für sie gedacht ist und nicht die Vorlage B oder C usw. Ich dachte mir daß ich das ähnlich wie auf dem Fileserver mit ABE funktioniert: Die Dateien haben unterschiedliche Rechte und ABE blendet nur die ein die einen was angehen (über Die AD-sicherheitsgruppenmitgleidschaft). Was meint ihr dazu? Bin ich mit dieser Idee auf dem Holzweg? Wenn ja, was ist die Alternative? Ich möchte einen Vorlagenpfad für alle haben wenn es geht und daher ist mir nur diese Idee eingefallen. Wenn es geht: irgendwie bekomme ich es nicht ganz hin. Funktniert ABE überhaupt auf Dateiebene oder doch nur auf Ordnerebene? Ich Danke euch für eure Mühe schon einmal im Voraus. Und wenn es nur für das Lesen bis hierhin ist.

Ja, habe ich recherchiert. Alte NT-Zeiten bezüglich Kompabilität zu Unix-Systemen und deren Derivate. Meine Frage war aber ob sich das irgendwo negativ auswirkt wenn ich das so vorübergehend nutze? Denn mit diesem Haken hat es so funktioniert wie gewünscht. Nachdem ich aber deinen Tip und deinen Link gelesen habe und ausprobiert habe, war das Ergebnis ebenfalls richtig. Also habe ich im entsprechender GPP alles so umgesetzt ohne SID sondern nur Name eingegeben und es scheint zu funktionieren. Würde mich nur interessieren ob das nun ein Bug ist oder nicht? Und wenn ja: nutze ich diesen jetzt aus (nur Name eingeben ohne den Assistenen zu nutzen (-> [...])) oder war die vorherige Vorgehensweise der Auflösung der Verschachtelung/Verkettung das unerwünschte Ergebnis durch den Bug? Wie dem auch sei: bald komme ich mit der Frage um die Ecke wie ich das nochmals mit dem umgestalten der AD-Gruppen machen soll damit es richtig funktioniert ohne diese Tricks... weil ich hatte es zu Letzt nicht wirklich verstanden gehabt... leider..

Hallo, kann mir zu diesem Thema nochmal jemand genauer erklären warum der Haken 'Primäre Gruppe' bei der Zielgruppenadressierung -> 'Benutzer ist Mitglied der Sicherheitsgruppe' NICHT genutzt werden soll? Ich habe nämlich bei der Laufwerkszuordnung wieder Probleme bei den Vorgesetzten. Diese bekommen statt der eigenen Laufwerke die von 'untergebenen' Gruppen zugewiesen obwohl die über 2 Gruppen mit der eigenen Sicherheitsgruppe verschachtelt sind. Setze ich bei allen Testweise 'Primäre Gruppe' scheint es zu funktionieren. Ich traue mich aber nicht weil irgendwer mal behauptet hat (in diesem Forum, anderer Thread) ich solle die 'Primäre Gruppe'-Option schnell mal wieder vergessen. Ich würde sehr gerne wissen warum ich das nicht benutzen darf in der Zielgruppenadressierung? Alternativ möchte ich die Gruppen umgestalten, dafür fehlt mir aber jetzt die Zeit. Wir migrieren Teamweise (jedes Team hat mehrere Abteilungen) und erst wenn das aktualle Team abgeschlossen ist habe ich wieder Luft um da zu tüfteln (ausser es geht gar nicht anderes, dann muss ich eben nochmals Nachtschichten schieben). Dazu muss ich mir das umgestalten der Gruppen aber nochmals erklären lassen. Darum jetzt die Bitte: erklärt mir mal einer warum der Haken 'Primäre Gruppe' bei der 'Zielgruppenadressierung -> Mitglied von Sicherheitsgruppe' nicht genutzt werden soll? Oder habe ich es lediglich falsch verstanden und es ist ein legitimes Mittel und das richtige Werkzeug für mein Anliegen?

Datenträger hat man ja von bestehenden Servern. Wenn nicht kann man sich auch die Evaluation-ISOs herunterladen, richtig? Der Key ist aber ein Problem: ich benutze ja nicht einen Key der schon im Einsatz ist (oder habe ich da was falsch verstanden?) und um einen neuen zu haben muss man eine Lizenz kaufen. Dann hat man ja schon eine 2016er Lizenz und muss die 2019 nicht downgraden.... Also gehe ich davon aus das ich einfach dumm bin und es nicht verstanden habe denn so macht es ja keinen Sinn.... Und das Downgrade-Kir kostet im Regelfall wie viel? Spätestens jetzt verstehe ich nur noch Bahnhof? Ganz neues Thema für mich -> ich weiß nicht einmal was die Software Assurance ist?

Da wir keine Lizenz für das vMotion haben, müssten wir dabei die VMs herunterfahren. Also wegen Lastenausgleich machen wir das nicht und war auch nicht notwendig da alles ziemlich gut geplant war und gut verteilt war. Wenn ich es dann doch machen müsste, müssen VMs heruntergefahren werden um verschieben zu können. Dann kann ich aber auch gleich die Wartung vornehmen und wieder neu starten. Wenn das länger dauern würde dann verschieben und dort eben neu starten: aber dann kann ich später die VMs, die nicht verschoben wurden zurückschieben und so schiebe ich keine VMs innerhalb von 90 Tagen mehr als einmal. Ausserdem war es bisher nur einmal erforderlich eine VM zu verschieben und die befindet sich immer noch an der gleichen Stelle. Wir nutzen die SAN mti dem ESX-Cluster schon bestimmt 3 Jahre. Kann ich dann davon ausgehen das ich dann nicht jede VM 3x mit der maximalen Anzahl der Kerne lizenzieren muss wenn ich bei MS Server Standard bleibe? Danke! Genau das wollte ich wissen! Dann bin ich hier wohl überlizenziert da bei uns jeder Server sein eigene Lizenz hat. Wie gesagt: wir ziehen aber nach und nach auf die SAN und das ist noch nicht schlimm. Jetzt kann ich weitere Server migrieren (von 2012 auf 2016, dies gleich als VM) und muss keine Lizenz kaufen. Ich bin eine loyale Seele... ich übertreibe nicht wie die Japaner aber solange es keinen triftigen Grund gibt würde ich meinem Chef nie in den Rücken fallen.... Selber Schuld, ich weiß... Ich denke aber auch nicht das tatsächlich viele Firmen sagen das Geld keine Rolle spielt. Ist sicherlich auch so das die Jahresziele auch vorgeben das Materialkosten gespart werden müssen und Investitionen optimiert sein sollten... Und Linux ist nicht in jedem Fall die beste Alternative. Keine Frage. Ich habe mich versucht mit Samba in unsere AD zu implemnetieren und habe es eher schlecht als recht geschafft. Aber viele Bereiche sind für mich doch einfacher unter Linux zu betreiben. Wenn ich mir alleine das unüberschaubare IIS im Vergleich zu Apache anschaue. Auch unsere DNS und DHCP-Server sind unter Linux und läuft wunderbar mit AD und allem Drum und Drann. Ich verteufle gundsätzlich erstmal nichts und will das beste/leichteste/günstigste aus allen Welten. Windows Server IST in vielen Fällen einfach das Bessere Produkt, technisch gesehen. Kaufmännisch gesehen ist das Abzocke! Ich bezahle GERNE eine Windows-Lizenz. Auch noch zähneknirschend mehr Kerne lizenzieren als genutzt wird (in meiner VM als Beispiel 8 Kerne genutzt und TEUER 24 Lizenziert). Aber das ich dies dann noch so oft wiederholen muss wie viele Nodes ich im Cluster habe ist dann Abzocke und mindestens deswegen weil ich niemals ein und die selbe VM parallel betreiben kann. Dann gibt es diese für mich ominöse Software Assurance die ich auch nicht verstehe was die da anbieten und eigentlich von mir wollen. Dann, zu allem Überfluss, kommt noch dazu daß ich die Server-Dienste im Netzwerk ja gar nicht anbieten darf, obwohl ja für mittlere bis hohe 5-Stellige Beträge an Lizenzen dafür ausgegeben wurden, wenn ich keine CALS habe. Ok, dann kaufen wir halt die verdammten CALS für 12.000 EUR und nutzen unsere Server nach belieben! Aber nein, will man auf einen neuen Server zugreifen, muss man die ganzen CALLS nochmals kaufen, und wer dann jede Generation an MS Server mitmacht der hat sie nicht mehr alle... Ok, bleibtm an dann bei seinen alten Servern, dafür darf man ja alle Dienste frei nutzuen jetzt endlich! Denkste! RDS -> nochmals CALS kaufen die 3x teurer sind. Dann SQL -> nochmals CALS kaufen usw.. Alles keine technischen Probleme oder der Gleichen, aber die kaufmännische Schiene von MS ist einfach nicht schön und manche sagen dazu Abzocke. Darum schaue ich das ich günstige Lizenzen und CALS kaufe und die nächsten 15 Jahre auf MS Server 2016 bleibe... Jedenfalls: wir sind angehalten die Kosten zu senken und wenn ihr das nicht müsst, geniesst euer Glück. Ich muss nach günstigen Lizenzen schauen und 700 EUR ist besser als 1000 oder 1400 EUR. Aber dieser Calculator und die neue Erkenntnis über Datacenter und die Erkentniss das ich auch auf VMWare für 2 VMs eine Lizenz vergeben darf hilft da schon eine Menge. Danke dafür! Nein, denn das wäre falsch. Ja dann halt andersherum sagen: egal ob du Hyper-V oder VMWare nutzt: eine Lizenz für 2 virtuelle Server ist erlaubt? Aber mittlerweile habei ch es begriffen: das ist erlaubt und das ist gut so ;) Mach doch. Wir suchen immer fähige Leute. Naja, ich habe nie behauptet ich sei fähig.... meinen Fragen nach zu urteilen wahrscheinlich gar nicht... aber ok, ein Einäugiger ist unter Blinden ja bekanntlich ein König. Vielleicht sind nur blinde bei mir in der Umgebung? Heheh

Na das ist doch ein toller Plan. Los! Ich spüre da etwas negatives 'mitschwingen', kann das sein? Was mich angeht bleibe ich gerne bei MS auch wenn ich den Laden immer mehr als Abzockladen erkenne. Das mit diesen max. Kernen lizenzieren obwohl man diese gar nicht nutzt ist ja schon der Hammer. Dann aber auch noch an den Node des Cluster orientieren der die meisten Kerne hat obwohl die VM auf einem anderen Node mit weniger Kernen (nochmals: mit viel weniger zugewiesenen Kernen) läuft. Und jetzt auch noch alles in Allem 3x weil es 3 Nodes sind (als ob eine VM auf allen gleichzeitig laufen würde). Na wenn das keine Abzocke ist dann weiß ich auch nicht.... Ich muss es aber nicht bezahlen sondern nur auf meine Erfolgsbeteiligung der Firma verzichten und 2 Leute werden weniger eingestellt.. Trifft mich nicht also ist alles ok... Man müßte die gegebenen Antworten nur mal lesen! Man müsste die Antwort auch verständlich schreiben. Ich finde mich nicht als super intelligent aber auch nicht als sonderlich b***d. Ich erkenne aber immer noch keine gerade gezogene rote Linie hier. Kannst du mir nicht einfach sagen: nein, wenn auf dem Hardware nicht Hyper-V sondern VMWare ESX läuft, dann muss du eine Windows-Server-Lizenz pro VM verbraten. Nutzt du den Hyper-V als VM-Server auf der Hardware dann darfst du eine Windows-Server-Lizenz füreben den Server und dann noch die gleiche Lizenz für 2 VM darunter nutzen? Hört auf zu heulen und migriert auf Linux. ;) Oder ich bewerbe mich bei deiner Firma? Die scheinen ja nicht auf Geld zu achten weil im Überfluss vorhanden? Schade das ich nie so ein Glück hatte den richtigen Arbeitgeber zu erwischen.... Wozu hat man dann einen Cluster? Wenn es einen Ausfall gibt dann verschieben wir. Hatten noch keinen Ausfall und warum sollten wir Ping-Pong mit den Instanzen spielen? Ich habe auch eine Lebensversicherung. Bisher hat meine Frau die nicht ziehen müssen.... Gott sei dank (wie ich finde)... Und die Antwort bleibt gleich! Niemand hier wird die die Rechtmäßigkeit oder die Seriosität irgendwelcher Händler/Distributoren usw. bestätigen. Aber der Eine oder Andere hat mir schon ganz brauchbare Links dazu geschickt. Ein Segen brauche ich ja gar nicht... den bekomme ich ab und an in der Kirche ;)

So wie ich das sehe werden wir das wohl machen müssen.... oder ganz auf Linux setzen höre ich meinen IT-Leiter schon sagen.... :( Ich werde mir deine Links mal anschauen, vielleicht wird mir da ja einiges klar? Ich höre immer wieder 2VMs pro Lizenz, erkenne aber immer noch nicht ob das nur für Hyper-V gilt oder auch für VMWare? Im Schnitt haut es hin mit den 7-8 Jahren. DCs und Fileserver werden bei uns älter, ERP-Software und andere Systeme von Drittherstellern wechseln dafür schon nach 5-6 Jahren. Wie dem auch sei: wir reden nur von der Ersparnis von 6000 EUR wenn ich nach günstigen Angeboten suche. Muss ich alle Nodes im Cluster mehrfach lizenzieren dann sind es ja 18000 EUR. Das ist ja fast mein Jahresgehalt ;) Das würde sich einrichten lassen... wenn ich also alle VMs eines Nodes aufgrund Wartungszwecken verschiebe, dann müsste ich lediglich die vorher verschobenen auf dem neuen Node belassen und dafür die Anderen zurückschieben? Wie gesagt: wir nutzen das Verschieben gar nicht und das ist alles noch recht theoretisch. Wenn es sogar so bleiben sollte auch in Zukunft dann muss ich mir diesbezüglich ja gar keine Sorgen machen. Reicht in diesem Fall dann nur die eine (VM) Lizenzierungs EINES Nodes? Nichts desto trotz bin ich nun schon etwas 'getriggert' was DataCenter angeht. Muss ich mir mal alels ausrechnen und daher befolgei ch erstmal deinen Rat und schau mir die Online-Kalkulatoren an. Danke dafür! Aber auch Datacenter-Versionen gibt es günstiger (und trotzdem nicht offensichtlich zu billig) bei lizenzgo, lizenzfuchs usw. Daher bleibt meine Eingangsfrage dennoch bestehen.

Ihr habt noch 20 physische Server? Schon mal drüber nachgedacht das zu konsolidieren, oder was für ein Betriebsmodell steckt dahinter, dass man 20 Server mit Standard Edition betreibt anstatt sowas zu virtualisieren und dann mit Datacenter zu lizenzieren? Nein, das habe ich nicht gesagt das die alle physisch sind. Wir steigen mehr und mehr auf VM um. Ausserdem sind es mehr als 20 Server, nur ca. 20 davon sind mit MS Server ausgestattet, der Rest mit Linux. Und das wächst mit der Zeit, wir haben vor einigen Jahren kein VM-Server gekauft und gesagt: alles konvertieren zu VM. Aber das ist trotzdem ein sehr guter Einwand von dir! Kannst du mich da mal aufklären was genau du damit gemeint hast? Eine MS Server 2016 DataCenter-Lizenz kostet ja relativ viel. Was hätte ich dann davon sowas einzusetzen auf einem VMWare ESX-Cluster? Ich weiß z.B. das wenn man Hyper-V einsetzen würde, man mit einer MS Server Standard-Lizenz 3 Server betreiben darf: einmal den physikalischen Server und 2x virtuelle Hyper-V-Hosts. 1. darf man das auch auf einem VMWare ESX-Server so machen daß man 2 virtuelle MS Server mit einer Lizenz betreiben darf? Sonst ist das Kartellamt doch immer hinterher solche Zwänge zu verbieten... 2. Wie schaut das ganze mit diesem Datacenter aus? Voraussetzung bleibt: kein Hyper-V sondern VMWare-ESX-Server. Deshalb kauft man an der Stelle mind. 3 x Datacenter und ist fertig lizenziert. Ja ist das so daß man dann eine VM nicht nur mit der max. Anzahl der Kerne (auch wenn nur ein Bruchteil zugewiesen ist und genutzt wird) lizenzieren muss sondern auch ZUSÄTZLICH so oft wie man Nodes in dem Cluster hat?