NorbertFe

Dafür gäbe es ja dann "löschen". ;) Also eure Arbeitsweise würde ich mir dann an der Stelle überlegen.

Gar nicht. Es sei denn sie werden im ad angelegt. Das will man üblicherweise aber nicht.

Man könnte natürlich auch einfach in die "gesendeten Objekte" schauen. :)

Und warum änderst du dann nicht das, anstatt den Refresh zu deaktivieren?

Der Displayname und der DN sind aber nicht identisch. :) Man kann die beide getrennt befüllen.

Das ist dann aber sicher :)

Domänenadmins auf PCs sind falsch konfiguriert. Will nur keiner hören.

Ja!

Und wenn das PCs sein sollten entferne die Domänenadmins.

das sind ca. 440€ brutto pro Woche. Wär das viel oder wenig für dich?

Na und? Hardware kann man auch einfach abschalten und in die Ecke stellen.

Ich würde mir wahrscheinlich eine Serverhardware sparen, anstatt da jetzt auf biegen und brechen die VMs irgendwie zu nutzen. Die Lizenz des dritten Servers kannst du evtl. ja auch einfach der neuen Hardware zuweisen, dann hast du immer noch die Option 4 VMs auf der neuen Hardware zu betreiben.

Du kannst LDAP nicht verbieten, denn dann wird dein AD an sich nicht mehr so rund laufen. Denn auf Port 389 wird zumindest auch die Verwendung von LDAPs und LDAP/TLS annonciert. Evtl. hilft dir das hier weiter: https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/ und wie man sowas "ausliest" ;) https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/ Bye Norbert

Aber das wäre ja die Lösung für ein Problem, welches gar nicht existiert ;)

Einen der beiden. Deswegen konfiguriert man ja auch einen dritten Namen, auf den die beiden scps konfiguriert werden und dann per round Robin (besser loadbalancer) angesprochen werden.

Nein das ist definitiv falsch. Ein gpupdate führt zur Anwendung der gpos auf dem lokalen Computer (in deinem Fall auf dem dc) und hat nichts mit der Verschiebung von computerkonten in ous usw. Zu tun.

Und wozu willst du das am dc ausführen? Den interessiert das softwaredeployment der Clients doch überhaupt nicht.

Sollte man in seinem Job schon ein bisschen einschätzen können. Ansonsten bin ich da bei @Squire such dir einen Dienstleister dem du verrtrauensvoll solche Aufgaben übergeben kannst. Und ja, auch der will im Allgemeinen Geld mit seinen Dienstleistungen verdienen. Willst du dann auch jedesmal vorher 4 Tage diskutieren ob alles stimmt? Dadurch wirds für dich nicht billiger, oder kostet deine Zeit nix?

Und erst recht, wieso ein /force? Gehts einem damit dann besser? ;)

Zu Old-School für einige, die noch nie ein Tapemanagement benötigten. :) Und ja es gab Zeiten, da war BE echt mistig, aber seit einigen Versionen kann ich das auch sagen, es läuft einfach.

Das dürfte auf Dauer zu klein sein. Ja. Fehlen nur noch die CALs

Echt? :) Naja gibt halt viele die 2013 gekauft haben, aber nie migriert haben, weil Exchange 2013 anfangs ja doch recht buggy war.

Dann hast du einen Vertrag. ;)

Welche sollte es dort geben?

Nein das wird er da auch nicht sehen afair. Dürfte wohl ähnlich sein: https://www.ryanjadams.com/2009/10/dns-suffix/