NorbertFe

MS hat das Problem inzwischen bestätigt:

https://support.microsoft.com/de-de/topic/windows-11-version-24h2-update-history-0929c747-1815-4543-8461-0160d16f15e5

Zitat

Dieses Problem tritt wahrscheinlicher auf, wenn Ihr Gerät über DirectAccess eine Remoteverbindung mit einem Unternehmensintranet herstellt. Heimbenutzer von Windows, die Home- oder Pro-Editionen verwenden, werden wahrscheinlich nicht mit diesem Problem konfrontiert, da DirectAccess in Unternehmensumgebungen häufiger verwendet wird.

Ich frag mich nur, warum es mit Home und Pro keine Probleme geben soll. ;) Könnte es daran liegen, dass DirectAccess nur in Enterprise Editionen verfügbar ist? Man man man

vor einer Stunde schrieb RealUnreal:

Ich dachte bei der Verschlüsselung der Systempartition ist das User Passwort gleichzeitig das Verschlüsselungskennwort.

Wie soll das gehen, wenn sich mehrere User am pc anmelden?

externe platten kann man mit bitlocker to Go verschlüsseln. Aber auch da ist es nicht das userkennwort.

vor 1 Minute schrieb NilsK:

Das wird auch für höhere Sicherheitsansprüche empfohlen

Hmm, eigentlich würde ich es immer empfehlen, wenn es sich um ein Gerät handelt, welches grundsätzlich mobil ist und somit das Gebäude verlassen kann und nicht ein pc, der seine Zeit unterm Schreibtisch verbringt. ;)

vor einer Stunde schrieb RealUnreal:

unabhängig vom User Passwort.

Mein bitlocker hat nix mit meinem User Passwort zu tun. Oder hab ich dich falsch verstanden?

vor 15 Minuten schrieb wznutzer:

Ich frage mich aber immer, wie kommt man an solche Informationen ?

Lesen, probieren und regelmäßig mit den Fehlern konfrontiert werden. ;)

Dann hat sich die Woche ja schon gelohnt. 😂
und ob es dann so released wird? Die Beta von 2019 lief auch die ganze Zeit unter Windows 2016 und war dann nur unter 2019 installierbar als es veröffentlicht wurde. Ich bezweifle aber, dass sie sich das jetzt mit dem Release von se auch trauen.

Gerade eben schrieb testperson:

Der Exchange SE wird AFAIK nicht auf Server 2019 unterstützt

Doch wird er. Nur fehlt dann schon die erste Erweiterung mit Tls 1.3

Zitat

The hardware and operating system requirements for Exchange Server SE are the same as Exchange 2019 CU15, which adds support for Windows Server 2025.

vor 3 Minuten schrieb testperson:

WTF? Warum zur Hölle denn das?

😂 weil… wegen gründen.

vor 3 Stunden schrieb DorinatorHR:

Die Server 2019 Lizenz für den neuen DC wurde dann ja leider für das Inplace "verbraten", d.h. der alte DC – so wurde mir mitgeteilt – soll/muß daher bleiben

Ich seh da den Grund nicht.

vor 3 Stunden schrieb DorinatorHR:

Dachte mir ok, wenn der alte DC bleiben muß

Ich würde das noch mal hinterfragen. 
 

Exchange org mit adsiedit löschen und schauen, ob sich der Exchange 2019 installieren lässt. Ich vermute, dass du im laufe der Zeit noch diverse Altlasten im ad beseitigen darfst.

import ner pst kann auch diverse Nebeneffekte haben. Aber die merkst du bzw. der Kunde dann schon. ;)

Und selbst wenn findet man genug, um sich die Mühe eben nicht selbst machen zu müssen. Ehe ich da mit scripten anfange hätte ich einfach das am Anfang erwähnte Tool verwendet. Alternativ wie wär’s hiermit:

https://deployhappiness.com/importing-photos-active-directory-outlook-powershell/

vor 9 Stunden schrieb DorinatorHR:

Exchange 2013 SP1

👍 dass es insgesamt 23 CU (sp1 war eigentlich cu1) gibt/gab ist offensichtlich in 10jahren betrieb am Betreiber des Servers vorbeigegangen. Und dann fragt man sich immer, wo die 100.000 ungepatchten Server herkommen.

und dann noch inplace mit Exchange 😉 das ist schon kein dienstleistungspreis mehr, sondern Schmerzensgeld.

Ich würde sagen man versucht sauber zu retten was zu retten ist. Und das sind maximal noch das ad und die diversen Daten (Exchange, Datev)

evgenij hat das schon ganz gut beschrieben. Ob man sich ggf. Jemanden, der sich mit solchen verzwickten Situationen besser auskennt, dazu holt, wäre zu überlegen.

bye

Norbert

vor 23 Minuten schrieb wznutzer:

Aber die GPOs der OUs können dann ja noch immer das "überschreiben".

Grundsätzlich ja, es sei denn man setzt auf der DDP den Haken bei erzwingen. Aber meinen Kunden sage ich meist: Wer "erzwingen" setzen muss hat das Konstrukt nicht verstanden. ;)

Lustig ich hatte die zweite Bedeutung im Hirn:

Zitat

auf großen Flächen, aber mit verhältnismäßig geringem Aufwand betrieben

vor 32 Minuten schrieb wznutzer:

Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein.

Also machst du es eher gar nicht? Oder exzessiv/intensiv?

Grundsätzlich kann man sagen, alles was die Sicherheit erhöht ist nicht übers Ziel hinaus. ;)

vor 3 Minuten schrieb wznutzer:

Warum oberhalb

In der Abarbeitungsreihenfolge. Damit deine wirkt und nicht irgendwas, was irgendwer mal in die DDP schreibt.

vor 4 Minuten schrieb wznutzer:

warum meinst du Settings zu Accounts und Kerberos kommen in die DDP

Weils da einige Besonderheiten mit der DDP gibt.

vor 5 Minuten schrieb wznutzer:

Warum sollte man nichts in die DDP packen?

Weils die DDP ist und die ist halt nicht dafür gedacht, dass man sie filtert oder ähnliches. Denn sie soll ja für alle gelten und je mehr du da reinpackst, umso eher wirst du etwas finden, was du da besser nicht reingepackt hättest. Und genau deswegen packt man da mit der oben erwähnten Ausnahme am besten gar nichts rein.

vor 6 Minuten schrieb wznutzer:

Gibt es ein Limit oder "best practice", dass man nicht mehr als X GPOs haben sollte?

Nein, das hängt vor allem von deiner Arbeitsweise und Organisation deiner OUs usw. ab.

vor 6 Minuten schrieb wznutzer:

Was für Settings zu Accounts und Kerberos meinst Du?

 

Password Richtlinie und Kerberostickets.

vor 7 Minuten schrieb wznutzer:

Scheint tatsächlich kein Problem zu sein :-).

Manchmal ist es so einfach.

Das ist "normalerweise" kein Problem. Und wenn doch, siehst du das ja dann ;)

Das erklärt die ganzen Abkürzungen bei der Bundeswehr. ;) Die haben das bestimmt immer noch so.

vor 7 Minuten schrieb Gu4rdi4n:

Das ist portabel und keine Lizenz Verletzung

Bei Device Lizenzierung wäre das ok meines Wissens.

vor 3 Minuten schrieb helpodbc:

Geht nicht

vor einer Stunde schrieb helpodbc:

funktioniert aber nicht

Erwartest du, dass deine Antworten andere motivieren dir zu helfen?

vor 3 Minuten schrieb goat82:

Warum es nicht erlaubt sein sollte dies über einen virtuellen Jumphost zu realisieren verstehe ich nicht.

Steht der User denn vor diesem virtuellen Jumphost und meldet sich dort direkt an? Vermutlich nicht. Also musst du das Gerät lizenzieren mit welchem er sich am Jumphost anmeldet um von dort zum Terminalserver zu kommen. Eigentlich ganz einfach. ;) Dieselbe Diskussion gabs und gibts jedesmal beim Thema Office Devicelizenzierung und Terminalserver. (Ist ja nur ein Gerät auf dem Office installiert wird = der Terminalserver). Wichtig ist aber eben, dass der User nur etwas nutzt, was auf sein Gerät lizenziert wurde und er demzufolge die Erlaubnis hat Office auch auf seinem lokalen Gerät zu nutzen (auch wenn das ein Linux oder Raspi oder sonstwas ist).

Vielleicht gehts ja hiermit schneller. ;)

https://github.com/Tristanic1/Set-MailboxFolderPermissionsGUI

vor 3 Minuten schrieb helpodbc:

Mit dem Befehl <Get-MailboxFolderPermission -Identity "UserPrincipalName:\Kalender"> kann ich ein Ordner auslesen.

_einen_ Ordner. 

wirst du wohl eine Schleife basteln müssen. Evtl. einen Blick wert:

https://witit.blog/exchange-get-all-mailbox-folder-permissions/

musst du nur noch die Ebene reinbasteln.

Manchmal hilft auch den PRTG Server bzw. die Sonde zu booten.

vor 12 Stunden schrieb Damian:

Selbstdiagnose oder zweite Meinung?

Also ich finde mich da schon ganz umgänglich. 😉

Doch, ab 9 bin ich schon ganz umgänglich 😁

Das einzige was sie abgekupfert hatten war damals das erste ABE Symbol in Windows 2003 R2 ;)