NorbertFe

vor 2 Minuten schrieb cj_berlin:

Diese Arbeitszeit gilt aber nicht für Service- und Computer-Accounts  

Ach hör doch auf  Natürlich auch die brauchen mal Feierabend.

vor 11 Minuten schrieb cj_berlin:

10 Stunden und eine Minute, sofern die TGT-Lebensdauer nicht vom Default weg verändert wurde. 

vor 57 Minuten schrieb NorbertFe:

Ja, aber ich ging dabei davon aus, dass üblicherweise eine Arbeitszeit von 8h in Deutschland gilt. ;) Ansonsten hast du natürlich Recht.

vor 11 Minuten schrieb cj_berlin:

Aber der Vorgang an sich ist in der Tat unkritisch.

Aber auch von 2012 aus ist es im Allgemeinen "eher unkritisch". Oder an welcher STelle ist dir das mal auf die Füße gefallen.

vor 1 Minute schrieb roccomarcy:

Ich habe Exchange 2016 mit aktuellstem CU im Einsatz.

Dann musst du es manuell aktivieren:

https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/

Hätte dir das HealthCheckerscript auch verraten.

vor 6 Minuten schrieb roccomarcy:

Kann ich auf dem Exchange nachvollziehen, ob EP aktiv ist? Ich weiß, dass das mit einem Update reingekommen ist - habe hier aber manuell nichts aktiviert.

 

Wenn du Exchange 2019 mit CU14 betreibst, wurde es normalerweise selbständig aktiviert. Wenn du nachschauen willst:

https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/

vor 3 Minuten schrieb testperson:

Das Remote Desktop Gateway bzw. der NPS funktioniert dann erstmal nicht mehr, bis man das Computerkonto in die Gruppe aufnimmt

ADFS hat da auch ein paar Probleme, soweit ich mich erinnere. Muss mal nachschauen.

edit: Ja korrekt mein Group Managed Service Account für die ADFS Farm hat auch die erwähnte Gruppenmitgliedschaft. ;) 

vor 7 Minuten schrieb roccomarcy:

• administrative Konten in Protected Group hinzufügen (Tier0-Administratoren)

Das wird in den wenigstens Fällen sinnvoll funktionieren, wenn man nicht vorher schon eine saubere Admin Trennung umgesetzt hat. 

1. Unkritisch

2. "normalerweise" unkritisch in der Umsetzung und aus Security Gründen definitiv schnellstmöglich umzusetzen. Und zwar nicht nur auf den Domänencontrollern, sondern auf ALLEN Systemen (Client, Member, DC und Drucker usw.)

3. Wenn Exchange mit Extended Protection im Einsatz sein sollte, dürfte sowieso kein LM mehr eingesetzt werden, so dass man das im Allgemeinen heutzutage problemlos auf 3 oder 4 konfigurieren kann.

4. Ja aktivieren. Jedes moderne System ab Vista kommt damit klar. Alle anderen Systeme auch, wenn sie nicht total veraltete Varianten nutzen. Aber das merkst du dann schon ;)

5. Siehe oben.

6. Ja kannst du mit entsprechender Vorlaufzeit (innerhalb von 8h problemlos _2x_ ändern.

7. WEnn man nicht ganz viele LDAP Abfragen stellt die bestimmte sonst nicht lesbare Attribute benötigen, kann man das relativ easy abschalten. Ich lass mich aber gern belehren.

8. Kann man "relativ" unkritisch auf die modernen Varianten umstellen/einschränken.

Bye

Norbert

Wenn’s nicht eine der beiden default policies ist, dann hilft der Befehl aber auch nix. Oder meinst du den Hinweis einfach ein neues gpo anzulegen?

Macht man heute so, wenn man KI Eingaben gewöhnt ist ;)

Nein, der steht da nur, wenn das System ursprünglich mal FRS lief. Bei neu installierten Systemen die nie FRS haben, ist es immer direkt sysvol (ohne _dfrs).

vor 1 Stunde schrieb pischel:

Ist das ein muss,

Ja.

vor 11 Minuten schrieb pischel:

Finde es aber gerade nicht.

Es gibt wirklich Leute, die sich sowas als Video antun? Viel Gelaber und die wichtigsten Dinge kommen am Ende oder gar nicht vor? ;)

scnr

norbert

Wenn du händisch die recipient Details im Sync anpasst, sollte man schon genau wissen was und wann und warum man das tut. Da jetzt den genauen Grund rauszufinden wird im Forum schwierig.

vor 54 Minuten schrieb Morik:

Migrien ging nicht, da es vermutlich schon migriert war. (War vermutlich schon mal in exo vorhanden). 

Das hätte man aber bereinigen können und jetzt nicht so einen Zustand. ;)

vor 5 Minuten schrieb Morik:

Habe da paar Änderungen durchgenommen. Attribute etc. 

was für Änderungen denn, und mit welchem Ziel?

vor 5 Minuten schrieb Morik:

Nun ist das Postfach auch in Exchange Online vorhanden. Wie gewünscht.

Nach den Änderungen oder wie? Warum hast du das Postfach nicht einfach migriert?

vor 2 Stunden schrieb Samoth:

Seit jeher hat sich meine Mom dagegen entschieden mehr als die öffentlich-rechtlichen Sender (ARD, ZDF,...) zu empfangen und separat dafür zu bezahlen.

Naja dann ändert sich ja nichts. Wenn es weg sein sollte ab 1.7. kostet jede andere Lösung Geld. Ich schau ja auch nicht soviel fern, aber nur die öffentlichen wär mir dann doch zu (ach lassen wir das). ;)

vor 1 Stunde schrieb Nobbyaushb:

Telekom z.B. hat die MS-Cloud in eigenen Rechenzentren, so mein Kenntnisstand

Aber da nehmen sie keine neuen Kunden mehr auf. https://www.heise.de/news/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html Und das was aktuell angeboten wird ist am Ende dasselbe als würde man es direkt bei ms beziehen. Man möge mich bitte ggf. korrigieren.

Und google bringt dazu keine Vorschläge?

https://stackoverflow.com/questions/313622/powershell-script-to-change-service-account

vor 32 Minuten schrieb Quirk18231:

Wie kann ich schnell und einfach, externe IMAP-Postfächer 1zu1 (alle Ordner) nach Exchange importieren?

 

Mit Outlook oder Exchange Online und dann per Hybrid wieder nach On-Prem verschieben. OK ist weder schnell noch einfach, aber naja. Exchange selbst hat keine IMAP Importer (Exchange On-Prem. ExO hat das). Du könntest entsprechende Tools verwenden wie bspw.:

https://www.codetwo.com/exchange-migration/

vor 21 Minuten schrieb Weingeist:

Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck*

Ja, ich wußte, dass dieses Argument kommt. Aber eine eigene AD Struktur wird sich ein normaler "mittelgroßer" Betrieb selten leisten (hab ich bisher nicht gesehen afair) und ohne AD ist bspw. der Betrieb eines Hyper-V Clusters nicht so richtig "praktikabel". Und ja, ich weiß dass es bei ESX und Konsorten auch ohne AD geht. ;)

vor 38 Minuten schrieb Quirk18231:

1.) lege ich dort eine neue an oder ändere ich die default?

Im Idealfall arbeitet man NICHT mit der Default Policy. Also leg eine neue an.

vor 38 Minuten schrieb Quirk18231:

2.) was passiert wenn ich dort 2 hinterlege?

Dann hast du zwei Adressrichtlinien. Für einen user kann aber immer nur eine gelten. Also first match. Die Default Policy ist _immer_ last match (alles was keine andere Richtlinie trifft, übernimmt sie).

vor 39 Minuten schrieb Quirk18231:

bekommt dann jeder Nutzer 2 Emails?

Nur wenn du in deine neue Policy beide reinschreiben würdest. Das ist aber Blödsinn, weil bestehende Nutzer nur die neue hinzugefügt bekommen (die alte Adresse bleibt bestehen) und neue Nutzer sollen ja wohl nicht mehr die alten Adressen erhalten.

vor 40 Minuten schrieb Quirk18231:

Die Standardmail (in der Antwortmail benannt) kann ich per Reiter definieren - richtig?

Das definierst du in der Adressrichtlinie.

Und außerdem solltest du prüfen, ob es Nutzer gibt, bei denen die automatische Adressvergabe deaktiviert wurde.

Bye

Norbert

vor 7 Minuten schrieb firebb:

Das stimmt auch wieder. Aber dann wäre es ja praktisch unmöglich die Vorgabe der Versicherung so umzusetzen.

Natürlich. Sie gibt dir vor, dass "die für die Administration genutzten Accounts abzusichern sind". Der lokale Account wird mit einem Passwort versehen, dass niemand kennt und im Safe verwahrt und gut ist. LAPS wäre für den Hyper-V Host keine so gute Idee, weil du ohne DC nicht an das Kennwort kämest und dann per Offline Boot das lokale Adminkennwort zurücksetzen müsstest. Kann man zwar machen, ist aber eben im Fall der Fälle erstens stressig und zweitens dauert es auch Zeit, die man ggf. für andere Sachen besser nutzen könnte.

vor 8 Minuten schrieb firebb:

Also meiner Meinung beißt sich da die Katze in den Schwanz...

Du denkst schon wieder falsch imho.

Du denkst "zuviel" an der Stelle. ;)

Gerade eben schrieb firebb:

Sodass dann eine Anmeldung am Hyper-V Host gar nicht mehr möglich wird.

Die wär ja IMMER möglich mit dem lokalen Admin (denn der hat ja kein MFA).

Gerade eben schrieb firebb:

Naja, der DC läuft als VM auf dem besagten Hyper-V Server.

 

Na und?

Gerade eben schrieb firebb:

Daher weiß ich gar nicht, ob es so sinnvoll ist die Host Maschine in diese Domäne zu hängen.

 

Schon, oder wo siehst du Probleme? Mal von den Anforderungen deiner Versicherung abgesehen, die dir das ja mehr oder weniger jetzt "befiehlt" ;)

Gerade eben schrieb firebb:

Administrator Benutzer der Hyper-V Host Maschine, welche sich in keiner Domäne befindet.

Wäre ja die Frage, warum man die nicht einfach in die Domäne steckt. Es sei denn es gibt irgendwelche organisatorischen Gründe die dagegen sprechen. Am Ende hast du auf jedem Server (mal vom DC abgesehen) lokale Konten. Es gibt halt immer nen "Glass break Account", der am Ende irgendwie genutzt werden können muss, auch wenn die MFA Lösung grad kaputt ist.

Hast du es denn inzwischen als SET konfiguriert? Falls nein, dann leb halt damit, wenn du den Fehler nicht ausschließen willst.

vor 21 Minuten schrieb Dutch_OnE:

Zieht er sich die Daten dann lokal hin

Nur wenn er ein lokales bereits auf dem PC liegen hat. Ansonsten weiß er ja nicht, dass es mal ein servergespeichertes Profil gab. ;)

Kommt darauf an, ob er sich dann an einem Gerät anmeldet, an dem er schon ein Profil (lokal) liegen hat. Falls ja, wird das einfach genutzt. Kann sein, dass man evtl. Manuell einmal von servergespeichert auf lokal am pc umkonfigurieren muss.