NorbertFe

Link? :)

kurzfristig, wäre besser, weil dann der Kollege auch Mails bekommen würde. ;) Ja ich weiß, es gibt "Gründe".

Und wir erwähnen es zumindest: popconnectoren sind aus Prinzip ne Krücke, die man vermeiden sollte. Und nein: grundsätzlich haben wir keine Probleme zählt nicht als „Ausrede“. ;)

Also gilt: Ansonsten ja bleibt spannend. Wir brauchen bestimmt bald alle nen Cloud Abo, damit wir uns "sicher" mit unserem Drucker unterhalten können. Dann ist kein direkter Zugriff mehr erwünscht ;)

Dann schau dir mal an, wie die Haken in der Stellvertretung gesetzt sind.

Das hat aber nix mit den Cached Credentials zu tun, denn die kann man sich mit offline Zugriff auch direkt selbst anlegen. Für PtH sind die aber egal, da nicht verwendbar.

Sowas ähnliches hatten wir auch mal im Einsatz. War wie du sagst... Wer es unbedingt testen will: https://simple-help.com/

Noch ein Tipp... selbst wenn man nur mit einer ADFS VM startet, gewöhne dir gleich an, eine Farm aufzusetzen und mit einem generischen Namen zu arbeiten. Also sowas wie sso.deinedomain.tld oder sts.deinedomain.tld und nutze NICHT den Servernamen für die Zugriffe.

Was gibt denn ein whoami /groups für jeden dieser Accounts? bei einem sind sicherlich deutlich mehr Rechte vorhanden.

Du solltest ggf. deinen zweiten Screenshot nochmal editieren. ;) Ich würde vermuten, das eine ist auf einem DC und das andere auf einem Memberserver bzw. auf einem wo die GPMC installiert ist.

Vermutlich. :) Vielleicht waren die noch nicht so "modern" ;) Soll ja durchaus Anwendungen geben, die man auch hosten kann und da ist ADFS durchaus sinnvoller als ne LDAP Verbindung.

Naja nicht unbedingt, so ungewöhnlich ist SAML nun auch wieder nicht.

Keine gute Idee. DC=DC=DC und nicht ADFS. Das machts nur unnötig kompliziert, wenn ihr mal einen DC ersetzen wollt. Da du auf DCs keinen ADFS installierst, wird man den nicht auf 4 DCs installieren. Abgesehen davon ist ADFS eine "Webapplikation" und damit sollten dann entsprechende Maßnahmen die nicht Round Robin heißen greifen. Sprich du brauchst dann einen Loadbalancer (NLB würde ich erst recht nicht nutzen und schon 3x nicht auf DCs installieren). Bei 4 DCs gehe ich mal davon aus, dass wir hier nicht über eine 10 Mannbude reden, sondern über eine Unternehmung/Institution, die sich wohl noch 2 VMs leisten kann. :) Bye Norbert

Hmm auch nicht unbedingt, aber dazu muss der to was sagen.

Gegen Einwurf kleiner Münzen bekommt man sogar fertige Produkte. ;) ansonsten… bei 8 Leuten… naja so hoch wird der Aufwand dann auch nicht sein. Wie wurde das denn bisher gelöst? Wieso musst du das? Wenn autodiscover korrekt funktioniert muss der User maximal beim ersten Mal Mailadresse und Kennwort eingeben. Wenn „hosted“ evtl. O365 ist, gehts sogar noch einfacher evtl.

Und wo ist das Problem? Hyper-v neu installieren. Zwei vms hochziehen: 1. neuer dc neuer Name alte ip 2. neuer fileserver, alter Name Neue ip mit ein wenig Planung… Sache von ca. Einem Arbeitstag würd ich sagen.

Gehts denn, wenn du eine Mailbox nachträglich wandelst? Set-Mailbox abc -type shared?

Kannst du ja gar nicht, weil überall der Printspooler deaktiviert ist. ;)

Du missverstehst meinen "Einwurf" glaube ich. Ich rede von "Daten" und die führen sich nicht einfach aus, auch wenn die da rumliegen. WEnns natürlich ein Makro oder Skript ist, was hinterher durch irgendwelche User oder Prozesse ausgeführt wird ist schlecht. Passiert innerhalb einer ERP Datenbank eher selten, wäre meine Vermutung.

Dann wird sicherlich nicht die Datenbank einfach weiterhacken, denn das System wirst du ja wohl in einem neuen AD nicht wiederherstellen, sondern nur die Daten. (ohne ;-

ok )

Man darf wirklich seine neuen DCs auch wieder so nennen, wie der NT-PDC hieß ;)

Bei solchen Kunden gibts im Allgemeinen sowieso keine Berechtigungen. Da hat fast jeder überall aufm Fileserver usw. Berechtigungen und der Rest is meist egal.

War zu erwarten. :/ Drucken wird in meinen Augen auch überbewertet. ;) Für die, die nicht über Heise zur Info kommen möchten: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481

Das kapierte von den Kunden sowieso nie jemand. ;) Also dafür würde ich den Dienst derzeit jedenfalls nicht wieder einschalten. ;)