NorbertFe

KLar, aber empfehlen würde ich das nicht. Macht mehr Konfigurationsaufwand und verleitet dazu, dieses Zertifikat auf vielen verschiedenen Servern zu installieren. Warum musst du das unbedingt bei IONOS beziehen?

Du schreibst oben, dass es ca. 200GB in Summe sind. Das kann mein Notebook nebenbei handhaben. :/ Und wenn ich unsicher bin, was mein Server tut, dann warte ich nicht x Monate sondern hätte der GF schon lange den ein oder anderen Vorschlag vorgelegt. Und wenn das nur mit Downtime mangels Ressourcen gehen sollte, dann ist das eben so!

Naja Google wirst im Zweifel ja bedienen können, oder? https://www.altitude365.com/2014/11/19/powershell-script-auto-mapping-shared-mailboxes/

Und nu? Darf man ihm nicht sagen, dass das kein Problem ist?

Naja mit ein wenig scripting bekommt man das auch mit Gruppen hin. Muss man halt das passende Attribut mit den members füllen.

Und auf die Idee, einfach mal nen neuen Exchange hochzuziehen und zu migrieren bist du in den ganzen Monaten noch nicht gekommen? Die erwähnte Datei sagt mir nix und ich würde sagen, die gehört auch nicht zu Windows

Auf f$ darf nur ein lokaler Admin zugreifen. Wozu sollte ein lokaler Admin eines PCs auf einem Drucker hinterlegt werden? Geht es denn mit einer eigenen Freigabe? Vielleicht will dein Drucker ja unbedingt noch smb1 sprechen, was eklig wäre.

Dann definiere Vollzugriff eben ohne GUI sondern per Powershell mit -Automapping $false. https://docs.microsoft.com/de-de/outlook/troubleshoot/profiles-and-accounts/remove-automapping-for-shared-mailbox

Man könnte jetzt ja mal ausrechnen, dass 30mb zu wenig sind, aber vermutlich kommst du da auch allein drauf. ;)

Cool! Bestätigt sich die Aussage die ich gegenüber Kunden regelmäßig treffe: werfen sie die mitgelieferte cd ungeöffnet in die Tonne und suchen sie die driver only Variante. ;) schon heftig, wie lange der Kram ungeändert mitgeschleift wird - man könnte fast Vorsatz vermuten.

Danke. Ach ich glaub ja viel. :) Der Workaround behebt aber das Problem nicht, sondern schränkt das Problem auf die hoffentlich " noch eigenen Server" ;) Lustig, dass es "ähnlich" lautende Policies bzgl. der Servereinschränkungen gibt, die aber laut Explain Text nichts miteinander zu tun haben. Irgendwie brauch ich bald wieder so ein tolles Schaltbild wie oben. ;)

Nö, das ist ja die "alte" Lücke. Die neue hat noch keinen Workaround/Policy. Deswegen wärs vermutlich sinnvoller, die CVE in getrennten Threads zu beschreiben. ;)

Doch schon, aber wer will dazu schon troubleshooting betreiben. Vor allem, weil der Fehler ja nun eindeutig ist. Na wenn du den Fehler irgendwo siehst, vermutlich da!

Die Erkenntnis ist aber schon etwas älter. Gibts auch neuere Erkenntnisse? ;)

Link? :)

kurzfristig, wäre besser, weil dann der Kollege auch Mails bekommen würde. ;) Ja ich weiß, es gibt "Gründe".

Und wir erwähnen es zumindest: popconnectoren sind aus Prinzip ne Krücke, die man vermeiden sollte. Und nein: grundsätzlich haben wir keine Probleme zählt nicht als „Ausrede“. ;)

Also gilt: Ansonsten ja bleibt spannend. Wir brauchen bestimmt bald alle nen Cloud Abo, damit wir uns "sicher" mit unserem Drucker unterhalten können. Dann ist kein direkter Zugriff mehr erwünscht ;)

Dann schau dir mal an, wie die Haken in der Stellvertretung gesetzt sind.

Das hat aber nix mit den Cached Credentials zu tun, denn die kann man sich mit offline Zugriff auch direkt selbst anlegen. Für PtH sind die aber egal, da nicht verwendbar.

Sowas ähnliches hatten wir auch mal im Einsatz. War wie du sagst... Wer es unbedingt testen will: https://simple-help.com/

Noch ein Tipp... selbst wenn man nur mit einer ADFS VM startet, gewöhne dir gleich an, eine Farm aufzusetzen und mit einem generischen Namen zu arbeiten. Also sowas wie sso.deinedomain.tld oder sts.deinedomain.tld und nutze NICHT den Servernamen für die Zugriffe.

Was gibt denn ein whoami /groups für jeden dieser Accounts? bei einem sind sicherlich deutlich mehr Rechte vorhanden.

Du solltest ggf. deinen zweiten Screenshot nochmal editieren. ;) Ich würde vermuten, das eine ist auf einem DC und das andere auf einem Memberserver bzw. auf einem wo die GPMC installiert ist.

Vermutlich. :) Vielleicht waren die noch nicht so "modern" ;) Soll ja durchaus Anwendungen geben, die man auch hosten kann und da ist ADFS durchaus sinnvoller als ne LDAP Verbindung.