phatair

Ok, dann habe ich das falsch interpretiert. Wäre irgendwie auch zu schön gewesen ;) Danke Dir!

Hi Dukel, die Antwort verstehe ich nicht so wirklich. Ich spreche hier nicht von lokalen Windows Benutzern, sondern von Benutzern die in der Software direkt angelegt werden. Ich kann also in der Web Applikation (die auf IIS und MSSQL basiert) die User anlegen. Damit werden die User in der MSSQL DB angelegt und sie können sich an der Webseite anmelden. Ich kann aber auch die User in der AD anlegen, in eine AD Gruppe packen und diese in der Software hinterlegen. Dann können sich die User an der Web Oberfläche mit dem AD User anmelden. Somit wird der AD User nicht für einen Zugriff auf einen File Server, Windows Anmeldung oder sonst was verwendet, sondern nur für die Anmeldung an der Webseite. Ich habe es bisher immer so verstanden, dass CALs notwendig werden, wenn man damit auf Ressourcen (also z.B. File Server, Exchange, usw. zugreift). Das wäre ja in dem Fall nicht der Fall. Für einen reinen AD USer wird erstmal keine CAL benötigt, so lange dieser eben nicht für genannte Zugriffe genutzt wird. Ist das komplett falsch?

Moin zusammen, wir setzen bei uns eine Software ein, die nur über eine Webseite genutzt wird (darunter läuft ein IIS). Jetzt ist die Überlegung, ob man die User lokal in der Software anlegt oder ob man diese User in der AD anlegt. Die AD User würden in einer Gruppen zusammengefasst und diese Gruppe in der Software zum anmelden berechtigt. Die User würde nichts anderes machen, als sich damit in der Software (also auf der Webseite) anzumelden. Für die Windows Anmeldung wird ein anderer (globaler) User genutzt. Werden für diese AD User CALs oder andere Lizenzen notwendig oder können diese "kostenlos" angelegt werden? Vielen Dank schon mal. Gruß, Steffen

Hallo zusammen, wir haben einige Schulungs AD Accounts, die nur an den entsprechenden Schulungs-Notebooks genutzt werden sollen. Die Geräte und User liegen in einer eigenen OU. Ich hätte jetzt die User in eine Gruppe gepackt, eine GPO erstellt und in dieser der Gruppe per "Zuweisen von Benutzerrechten" das lokale anmelden verboten. Die GPO würde dann für unsere OU mit den "normalen" PCs gelten. Oder sollte man lieber den Schulungs AD Usern im Tab "Konto" unter "Anmelden an..." die entsprechenden DNS Namen der PCs eintragen? Die GPO finde ich eigentlich übersichtlicher und einfacher zu managen, da ich nur eine Gruppe pflegen muss. Oder gibts noch eine ganz andere Lösung? Danke und Gruß, Steffen

Lizenz war da und ich habe unsere VLSC ISO genommen. Aktivierung läuft über den KMS.

Also es gibt noch 1 konkrete Frage. Vielleicht kann mir hier noch jemand einen Tipp geben. Wie realisiere ich am besten einen Kalender, der bestimmte Ereignisse/Besprechungen beinhaltet? Bei uns werden z.B. Reisen auch in den öffentlichen Ordner eingetragen. Nun könnte ich doch hergehen und für Reisen ein Ressourcenpostfach erstellen. Dieses füge ich als optionalen Teilnehmer bei Reisen hinzu. Somit habe ich weiterhin eine Übersicht über alle Reisen. Mitarbeiter die diese Info benötigen können sich den Kalender dann anschauen. Das gleiche könnte man für andere Ereignisse machen. Wäre das ein komplett falscher Weg?

Hallo zusammen, ich habe eine kurze Frage zu Windows Server CALs. Eine Windows Server User CAL berechtigt den entsprechenden User auf alle Windows Server im Netzwerk zuzugreifen (Voraussetzung ist nur, dass die Server Version stimmt). Habe ich eine 2012R2 User CAL, darf der entsprechende User auf alle unsere 2012R2 (und 2012R2 -2 Versionen) Server zugreifen. Haben wir einen weiteren Server der aber 2016 ist - müsste eine 2016er CAL gekauft werden, diese würde dann aber auch für die anderen 2012R2 Server gelten. Das gleiche gilt dann auch für Device CALs. 1 CAL erlaubt einem Gerät auf alle entsprechenden Server zuzugreifen. Das ist doch soweit korrekt oder?

Ja, es gibt so einiges zu tun bei uns :) Unsere Raumpostfächer sind schon in einer Raumliste zusammengefasst. Die User können somit über die Raumsuche die Raumliste auswählen und sehen alle Besprechungszimmer. Soweit ich den momentanen öffentlichen Ordner "Termine" verstehe, geht es nur darum eine Übersicht über alle vorhandenen Termine zu haben (ohne das man jetzt aktiv einen Raum benötigt). Diese Übersicht habe ich ja, wenn ich mir alle Räume in meinem Outlook hinzufüge und dann übereinander lege. Wie meinst du das mit dem Abteilungskalender? Ist das dann ein öffentlicher Kalender und dort werden solche Besuche eingetragen oder wie muss ich mir das vorstellen? Über unser ERP System möchte ich nicht so viele Worte verlieren.... es ist kein SAP, MS Dynamics, Infor oder ähnliches und was Anbindungen angeht sehr eingeschränkt... Im ERP werden keine Termine oder ähnliches geplant - das läuft alles über Outlook/Exchange. Im ERP wird nur das Zeitmanagement geführt und somit auch Urlaub, Dienstreisen usw. gebucht. Diese Info hätte ich dann eben gerne im persönlichen Kalender, damit das auch dort korrekt gebucht und geblockt ist.

So 3. DC läuft und Lizenz passt auch Danke euch!

Hallo zusammen, wir nutzen noch einen Exchange 2010SP3 und bisher gibt es einige gewachsene Strukturen was öffentliche Kalender angeht. Kurz zusammengefasst: - Termine werden in Räumen gebucht, werden danach aber noch in einen öffentlichen Kalender "Termine" kopiert (um eine globale Übersicht aller Termine zu haben). Organisator, Betreff und Infos sind für alle sichtbar - Abwesenheiten werden ebenso in einem öffentlichen Ordner eingetragen, dies passiert automatisch über unser ERP System in dem Urlaub usw. gebucht wird. Sie sind aber nicht im eigenen Kalender enthalten - daher ist der persönliche Kalender oft nicht richtig gepflegt und somit laufen Einladungen ins leere, weil der Kalender zwar frei anzeigt aber der Kollege doch einen Termin hat Mir gefällt das alles nicht so wirklich und würde daher gerne eine saubere Struktur aufbauen. Ich habe mir jetzt folgendes überlegt und würde gerne eure Meinung dazu wissen der öffentlichen Ordner Termine wird abgeschafft. Besprechungen die in Besprechungszimmer stattfinden werden mit den Räumen gebucht. Will man eine Übersicht aller Besprechungen, lege ich mir die Räume Kalender einfach übereinander Die Kalender werden mit -DeleteSubject $True -AddOrganizerToSubject $True so konfiguriert, dass nur noch der Organisator für alle sichtbar ist Wenn eine Bewirtung in der Besprechung benötigt wird, muss ein User "Catering" für die Besprechung mit eingeladen werden (damit das Catering eine Übersicht hat, wer alles an der Besprechung teilnimmt und die Bewirtung einschätzen kann FRAGE: Bisher werden in den öffentlichen Kalender auch Termine eingetragen, die keinem Raum zugeordnet sind (z.B. Kunde XY ist im Haus oder befindet sich in Halle 2). Habt ihr eine Idee wie man solche "Termine" eintragen/managen könnte? der Ordner Abwesenheiten soll laut der Geschäftsführung weiterhin bestehen bleiben. FRAGE: ich würde aber gerne die Einträge auch in die persönlichen Kalender bekommen. Dazu bräuchte ich doch nur einen User der die Berechtigung hat in alle persönlichen Kalender zu schreiben. Dann könnte das ERP System auch die entsprechende Abwesenheit in den persönlichen Kalender schreiben, oder? Vielen Dank schon mal. Gruß, Steffen

Im Moment haben wir nur 2012R2 Lizenzen (sowohl die Standard als auch die Datacenter Lizenzen) - wir nutzen also kein Downgrade Recht von einer 2016er Lizenz.

Hm... steht jetzt hier Aussage gegen Aussage? :) Oder sprichst du von Server 2016 Franz? Alle unsere Server sind 2012R2 (virtuell sowieso physikalisch). Für die physikalischen haben wir immer 1 Standard Lizenz gekauft (ohne irgendwelche Cores zu berücksichtigen). Für unsere 3 ESX Server haben wir je eine Datacenter Lizenz (auch hier ohne irgendwelche Cores zu berücksichtigen). Laut Norbert wäre das dann ja richtig - laut Franz wäre das falsch lizenziert. Für eine kurze Auflösung wäre ich sehr dankbar :) Ich glaube ich werde bei unserem externen Dienstleister mal einen Lizenzprofi anfragen, um unsere Lizenzierung zu überprüfen.

Danke Franz, Puh... wird immer komplexer. Das mit den Cores wusste ich nicht. Heißt, wenn ich bei unserem neuen physikalischen Server 1 CPU mit 8 Cores habe, will MS 16 lizenziert haben. Aber heißt das, ich muss 16 server 2012R2 Lizenzen kaufen? Wohl eher nicht oder? Wie lizenziere ich den Cores? Ich habe das noch nirgends irgendwo stehen sehen Stehe wohl auf dem Schlauch

Ich kann es mir denken :) Es ist und bleibt ein Wahnsinn mit diesen MS Lizenzen. Aber gut - ich lasse es jetzt mal gut sein. Danke euch für die Hilfe!

Was meinst du mit CORE_Anzahl 1x - meinst du die CPU Cores?? Wenn ich deine Aussage richtig verstehe, muss ich dann ja immer Open Versionen kaufen, da ich sonst die ISO aus dem VLSC nicht verwenden darf. Wir haben uns diesmal für die eine Lizenz für eine gebrauchte Lizenz entschieden (UsedSoft). Viel diskutiert aber bitte jetzt keine Grundsatzdiskussion darüber anfangen :) Diese Frage betrifft ja jeglichen Kauf außerhalb vom OPEN Vertrag. Wir haben also eine 2012R2 Standard Lizenz gekauft (UsedSoft). Im VLSC haben wir 1 2012R2 Standard Lizenz, 3 2012R2 Datacenter Lizenzen. Darf ich jetzt das ISO aus dem VLSC verwenden oder nicht?

Ich hätte jetzt folgendes gemacht. Wir haben diesmal keine VL Lizenz gekauft, haben aber einen KMS und Zugriff auf das VLSC. Ich hätte jetzt also eine ISO aus dem VLSC genommen, installiert und über den KMS aktivert. Die Lizenz für die 2012R2 habe ich dann im Schrank. Wahrscheinlich sagt dann MS - ich hätte die ISO aus dem VLSC gar nicht nehmen dürfen und somit Lizenzverstoß... Die Einzelhandelversion kann ich gar nicht über den KMS aktivieren - habe ich das richtig verstanden? Also bleibt mir nix anderes übrig als auf die Einzelhandelsversion zu warten und diese dann mit dem entsprechenden Key zu installieren. Das ist immer ein Rumgeeiere mit diesen Lizenzen

Nein und deswegen habe ich mir auch nicht ins Hemd gemacht Es ging mir um die grundsätzliche Frage - darf ich mit einem KMS nur Systeme aktivieren, für die ich Volumenlizenzen gekauft habe oder kann ich damit auch Systeme aktivieren für die ich z.B. Lizenzen aus dem Einzelhandel erworben habe. Den KMS Key (also den Key um den KMS Server zu aktivieren, nicht den generischen KMS Key den ich bei MS online für jedes System einsehen kann) bekomme ich ja nur, wenn ich eine Volumenlizenz gekauft habe und somit ein VLSC Konto besitze. Es könnte dann ja sein, das MS nur erlaubt Systeme mit dem KMS zu aktivieren, für die ich eine Volumenlizenz erworben habe.

Naja bestellt ist sie, aber sie liegt noch nicht im Schrank. Werde einfach den kms nutzen und die Lizenz ist am Mittwoch oder Donnerstag ja da.

Normalerweise beziehen wir die Microsoft Lizenzen über unser VLSC und den OPEN Vertrag. Für Server (da virtualisiert) benötigen wir im Normalfall keine weiteren Lizenzen, da diese über unsere Datacenter Lizenzen abgedeckt sind. Nun handelt es sich ja um einen physikalischen Server und somit benötigen wir hier eine extra Lizenz. Diese haben wir jetzt aber nicht über das OPEN Programm bezogen. Wir aktivieren unsere Server alle über einen KMS - kann ich diesen auch für unseren neuen DC verwenden oder dürfen mit dem KMS nur Geräte aktiviert werden, für die man OPEN Lizenzen besitzt? Wir haben für den neuen Server ja eine Lizenz - sie liegt dann halt im Schrank und nicht im VLSC.

Wir haben uns jetzt für einen DELL R330 entschieden. Unser Systemhaus hat uns hier einen guten Preis gemacht :) Auch wenn es etwas OffTopic ist, vielleicht könnt ihr mir das kurz bestätigen. Ich würde dann eine Win Server 2012R2 Evaluation Version installieren, da unsere Lizenz erst in ein paar Tagen kommt. Die Eval Version kann ich dann ja einfach in eine vollwertige 2012R2 Standard Version umwandeln, oder?

Danke Martin, jap, da hast du Recht. Weiß auch nicht wie ich auf die Idee gekommen bin eine Bullet List zu erstellen Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort? Ich werde das aber einfach mal bei nächster Gelegenheit testen :)

Hallo zusammen, wir haben bei uns bisher "Service Accounts" so definiert, dass es normale AD User waren die einen bestimmten Namensschema gefolgt sind. Diese hatten die Option "Passwort läuft nicht ab" und "User kann Passwort nicht ändern" aktiviert. Diese Accounts wurden nur für eine festgelegte Aufgabe verwendet. Nun gibt es ja auch die Möglichkeit Managend Service Accounts (ab 2008R2) und Group Managend Service Account (ab 2012) zu verwenden. Das wären dann "richtige" Service Accounts. Ich hätte dazu ein paar Fragen und vielleicht kann mir diese jemand beantworten: Benötige ich für MSA auch einen KdsRootKey oder wird das nur für die gMSA benötigt? Kann man für einen MSA Accounts auch NTFS Berechtigungen vergeben (wir haben z.B. eine Software die läuft als Dienst (hier würde ich einen MSA erstellen) und dieser muss aber auch gleichzeitig auf eine Freigabe zugreifen können. Der MSA wird einmal auf dem DC erstellt und einem Computer zugewiesen und zusätzlich muss auf diesem zugewiesen Computer auch noch ein Befehl ausgeführt werden, damit dieser MSA verwendet werden kann - ist das richtig? Wird der MSA User auf dem zugewiesenen Server automatisch für "logon as service" User eingetragen oder muss das manuell gemacht werden? Macht ein MSA nur bei Diensten/Tasks Sinn oder kann man das auch in jeder anderen Software verwenden, die dann einen Dienst mit einem named User ausführt? Vielen Dank. Gruß

Die Idee hatte ich auch schon - einfach noch einen physikalischen DC hinzufügen. Reicht da so ein kleines Ding wie ein Intel NUC aus? Muss ja eigentlich nicht viel machen und könnte tatsächlich im Falle eines Ausfalles einiges an Arbeit ersparen. Aber nicht bei einem kompletten Ausfall der DCs. :)

Danke für den Link, Nils. Mir geht es im Moment um das Szenario "Disaster Recovery" - z.B. komplettes Storage ausgefallen (wir haben im Moment nur eines, zweites wird gerade realisiert). Das bisherige Konzept sieht vor, die wichtigsten VMs über Veeam Instant Recovery auf einer eigens dafür vorgesehenen LUN auf einem NAS zu starten und dann später auf das wieder funktionierende Storage zu migrieren. Das würde eben auch bedeuten, dass ich einen unserer DCs im Non-Authoritative Mode wiederherstellen muss. Hier würde ich das Systemstate Backup ja eigentlich nicht brauchen, da ich ja ein komplettes Backup über Veeam habe. Das Systemstate Backup wäre dann eher für den Fall, ich habe mehrere AD Objekte gelöscht und muss im laufenden Betrieb ein Restore durchführen. Habe auch noch diese Info gefunden - finde Sie sehr interessant. Vielleicht hilft Sie auch anderen, auch wenn es vieles aus deinem Link beinhaltet. https://www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.2.pdf

Naja, war vielleicht ein etwas schlechter Witz - war halt auf den Zeitpunkt bezogen - da die tägliche Sicherung 3 Stunden später sowieso gelaufen wäre und die meisten Leute dann "komisch" schauen. Danke - das ist ein guter Tipp, daran habe ich noch gar nicht gedacht. Der Systemstate reicht für die AD Sicherung so aus, oder? Sicherst du das dann auf ein Netzlaufwerk (mit dem Nachteil das es immer wieder überschrieben wird) oder lässt du es auf die lokale Platte sichern, da diese dann ja mit Veeam auch täglich gesichert wird? Hier könnte ich das Backup ja jederzeit "rausholen". Würde mir dann zum wiederherstellen der AD das Systemstate Backup ausreichen (mit F8 beim booten des DCs), oder benötige ich dann ein passendes Boot Iso um das Backup einzuspielen?