Anubis2k

@Sunny61, yes das tut es. Aber es kann nur das dokumentieren wo es hinein schauen kann. Als ich vergangenes Jahr in das Unternehmen kam und man mich gebeten hatte mit einem Dienstleister aus unserer Ecke über Docusnap zu sprechen, erwähnte man auch das Docusnap die NTFS Berechtigungen richtig cool darstellen kann. Was echt cool ist, wenn es mal heißt "der neue XY braucht die gleichen rechte wie der alte YZ" Keine Frage, da gibt es bestimmt das eine oder andere Missverständnis was man beheben könnte. Ich meine, wir sind alle aus dem IT Bereich und keiner ist sofort mit jeglichem Wissen auf die Welt gekommen. Ich hab mir damals alles selbst beigebracht durch lesen (hier und da), selbst ausführen, selbst machen, Erfahrungen sammeln etc., aber auch das kann man immer optimieren Zumal jeder Ansatz anders ist (viele Wege führen nach Rom) und am Ende hat man dann eine Lösung für sich gefunden die vielleicht doch nicht so cool ist. Zum Thema "Dateien auf unserem Fileserver", Dateien zu Access Datenbanken hatte ich noch vergessen, oder andere Programme schreiben dort auch hin (z.B. Docusnap)

Gute Frage... ich könnte überall rein schauen, tue es aber nicht. Pauschal sage ich mal, Word und Excel Dateien, eventuell auch Images für eventuelle Projekte sowie PDF Dokumente. Wir sind halt ein Handelsunternehmen, begleiten aber auch Kunden von uns bei Projekten und eventuell könnten da auch bestimmte Verträge liegen. Da ich aber nun in meinem ersten Jahr seit dem ich dabei bin, gesehen habe wie langsam manche Mühlen mahlen, möchte ich jetzt ungern ein DMS einführen für etwas was bisher über Netzlaufwerke funktioniert hat und jeder kennt. Darüber hinaus kommt auch das Thema "Security" bei mir zutage sowie die Einarbeitung in andere Bereiche womit ich bisher noch keinen Kontakt hatte, es aber auch irgendwann mal können sollte. Somit möchte ich mir ungern das Thema "wir machen keine Netzlaufwerke mehr und machen jetzt ein DMS" ungern ans Bein binden. Zumal jeder in unserem Unternehmen geschult werden muss

Moin, wärst du bitte so lieb und spezifizierst die Frage genauer... Ist das eine Frage zum Unternehmen, zu den Mitarbeitern, zu den Dateien, zu den Berechtigungen etc.?

PRTG wäre schon mal ein Ansatz der schlecht wäre, denn das hab ich im April zum Monitoring rein gebracht. Dokumentarisierung machen wir mit Docusnap (mal schauen ob das auch geht) und dann müsste man weiter schauen. Das weiß mein Kumpel und Kollege besser, da er seit 10 Jahren im Unternehmen tätig ist. Wir haben z.B. ein Netzlaufwerk und seine Struktur als Transferlaufwerk um mal eben von Standort zu Standort oder Mitarbeiter zu Mitarbeiter etwas austauschen kann und dann haben wir auch ein Laufwerk wo abteilungsspezifische Daten drauf sind. Tabellen oder Dokumente vom Vertrieb, Produktmanagement etc., die damit aber auch arbeiten. Somit wäre ein DMS eventuell eine Option, hier wäre aber die Frage ob das finanziell Sinn macht, ob die Leute damit arbeiten etc. die Usability darf halt nicht drunter leiden und den Arbeitsfluss beeinträchtigen, sonst bekommen wir von allen das "mi mi mi", was dann zur Geschäftsleitung durch geht und wir bekommen eventuell am Ende auf den Kopf. Wenn ich Kumpel korrekt verstanden habe, werden wir wohl auch die oberste Ebene selbst strukturieren, vielleicht auch noch darunter in einer Ebene und den Rest sollen auch wieder die Abteilungen selbst machen. Einzig die Berechtigungen setzen wir für die. Der letzte Dienstleister meint, es gibt wohl auch eine Software mit der man Workflows erstellen kann, so dass Abteilungsleiter Sicherheitsgruppen anlegen oder auch die NTFS Berechtigungen setzen können darüber, aber da würden wir gerne noch selbst Hand anlegen, bevor wir wieder alles aus der Hand geben und man eventuell was "kaputt" macht

Mea culpa... ich vergas und korrigiere... es geht um Sicherheitsgruppen für die NTFS Berechtigungen :)

Alles klar, dann ist das mit den Ebenen einfach so... Es hätte ja sein können, dass ihr da jetzt irgend einen coolen Trick kennt, den ich noch nicht kenne bei dem man dann irgendwie in der entsprechenden Ebene das Lese / Schreibrecht (oder was auch immer) vergibt und dann kann man das "easy" mit den darüber liegenden Ordnern lösen Habt ihr eigentlich der Sicherheitsgruppe für die Freigaben ein Prefix oder Postfix verpasst? Als man mich im Sommer mal darauf angesprochen hatte, habe ich zwei Gruppen für einen Ordner erstellt... - OrdnerXY_R - OrdnerXY_RW Bezüglich der Programme, ich frage ihn morgen mal ob er ein Beispiel hat. Vielleicht ist das auch nur eine historische Geschichte und mittlerweile hat sich das auch geklärt.

Hab eben mal eine kleine Besprechung mit meinem Kollegen gehabt... er findet das Prinzip auch gut, dann hab ich das falsch verstanden. Das einzige was ihn gestört hatte ist, es gibt Anwendungen / Programme die damit nicht zurecht kommen und das wäre doof, aber für unseren Fileserver können wir das gerne so in Angriff nehmen, meint er Wir wollen dann auch die Tiefe der Ordner kürzen, denn aktuell ist es so dass wir (so machen es zumindest die Kollegen wenn Freigaben erstellt werden) in der tiefsten Ebene anfangen, dort (wenn benötigt) Schreibrechte geben und dann nach oben durch gehen und jedem Ordner nur das Leserecht geben, damit die Kolleginnen und Kollegen dann dort hin "surfen" können. Bei ein / zwei oder drei Ordnerebenen mag das noch Spaß machen, aber wenn man fünf oder mehr Ordner im Ordner hat, ist das auch schon echt fies. Es sei denn man baut dieses wieder mit Nested Groups korrekt auf... dann könnte man das vielleicht cool lösen

Zum Thema GPO selbst, als wir das eine oder andere Gespräch mit einem Dienstleister zwecks Tiering hatten, haben wir auch erst einmal aufgeräumt. Alle GPOs mit "zzz_" versehen von denen wir glauben die können weg und deaktiviert. Nach ein paar Wochen (oder sogar 1,5 Monate) dann weg gelöscht was wir nicht mehr brauchen. Netzlaufwerke werden wir auch weiterhin behalten, da sowohl wir IT'ler als auch die Kolleginnen und Kollegen ja Menschen mit Gewohnheiten sind. Es kommen noch genug Dinge auf sie zu, die denen nicht gefallen werden, aufgrund Sicherheitskonzepte etc., wobei wir vom IT Team auch schon einiges auf unserem Plan haben womit wir uns schwer tun werden, aber es nichts nützt. Aber ich nehme folgende Erkenntnis mit, Netzlaufwerke auf dem Fileserver einfach ignorieren, auch wenn es für den einen oder anderen nicht schön aussehen mag. Somit muss ich mir dann auch nicht all zu sehr bezüglich meiner Standard GPO und ob ich da Ausnahmen hinein bekomme Und in dem faq-o-matic Artikel wird ein "A-G-DL-P-Prinzip" erwähnt... das ist lustig, denn mein Kollege sagte letztens dass er nested Groups irgendwie doof findet, weil man da leicht den Überblick verlieren kann Aber anhand der Grafik hier im Thread und auf der Seite (ist ja die gleiche) kann man damit doch recht gute und logische Aufteilungen durchführen. Ich bedanke mich aber schon mal für die Ansätze bis hierher. Ich selbst werde auch noch mal ein wenig recherchieren, vielleicht hab ich ja auch noch die eine oder andere Frage, bevor ich blind in die Ideen eines (oder mehrerer) Dienstleister stürze und hinterher sind die Ideen nicht so gut gewesen. Was ja auch verständlich wäre, da jeder nur mit Wasser kocht

Moin, ich hab vergessen über das Wochenende zu antworten. Als ich Samstag Morgen noch mal geschaut hatte, war alles gut und im Foxit stand auch drin dass er die Standard Anwendung wäre. Ich hab dann gesagt, dass er die "Dateizuordnung wiederherstellen" soll und danach hab ich nochmal gesagt, dass er das Standardprogramm für die PDF Anzeige sein soll. Anschließend hatte alles gut ausgesehen. Heute Morgen (ich weiß leider nicht wann) wollte ich ein PDF öffnen und da ging dann wieder der EDGE hoch. Ich kann also nicht mal sagen dass er mir sofort die Standard-App verstellt, wenn ich den Windows Explorer öffne oder irgend etwas anderes mache Sobald ich aber hier etwas genaueres herausgefunden habe, gibt es ein Feedback.

Moin und vielen Dank für das Feedback... die vielen Netzlaufwerke will mein Kollege auch weg haben, wir wollen dies halbieren. Aktuell sind es acht Netzlaufwerke die wir einbinden und mit ABE wird auch gearbeitet, damit in dem was man jetzt schon sieht nicht alles im Blick hat :) Diverse Ansätze hab ich mir bei faq-o-matic.net auch schon angeschaut als ich gesucht hatte was man so machen könnte, aber da streiten sich ja dann auch die Geister, dann gibt es hier was, dann gibt es da was etc. und in den "Basics" wurde halt auch immer von Vollzugriff gesprochen, wobei ich das halt schon sehr gefährlich finde. Meine Kollegen aus dem First Level haben schon das eine oder andere mal einen Anruf gehabt, man solle mal die alte Version wiederherstellen und dann haben die keine Berechtigung. Dann gucken wir vom Infrastruktur Team nach, auch keine Berechtigung. Wenn wir uns dann auf den PC der Person schalten, die dort bitten hin zu gehen, ist die Vererbung aufgebrochen und Zugriff hat nur noch die eine Person. Somit kam dann auch für die Zukunft der Gedanke, nie mehr Vollzugriff zu gewähren, sondern nur noch "Ändern", damit Vererbungen nicht mehr aufgebrochen werden (auch wenn es nur versehentlich ist) und das IT Team nicht mehr dran kommt. Denn selbst mit erhöhten rechten direkt auf dem Fileserver kommen wir als Admins an einige Dateien nicht mehr dran. Natürlich können wir uns die Berechtigung erzwingen, aber schön ist auch anders :) OK, dann ist es eher ein Schönheitsproblem und "jammern auf hohem Niveau" oder so Persönlich finde ich das auch immer komisch, wenn ich auf dem Server bin und neben den Partitionen auch die Netzlaufwerke sehe. Generell wird das Thema für 2023 ein spannendes Ding... Ich darf bei unseren Dienstleistern anfragen, dann schauen wir ob einer von denen Infrage kommt, oder ein ganz anderer / neuer und mit den ganzen Abteilungen muss geregelt werden, dass da nichts verloren geht etc. Nachtrag: Gefolgt von Audit für z.B. Dateien / Ordner der Personalabteilung und Geschäftsleitung...

Hallo zusammen, ich hoffe mal das ich hier im AD Bereich richtig bin, da GPOs ja eher ein AD Thema sind. Für das kommende Jahr wollte ich gerne die diversen netlogon Skripte weg haben, die bei uns die ganzen Netzlaufwerke einbinden. Netzlaufwerke via GPO einrichten, kenne ich und hab ich schon oft bei Kunden, meinem ehemaligen Arbeitgeber sowie Freunden und Bekannten gemacht. Im Internet hab ich dann mal so nach "best practice" Ansätzen geschaut, wobei es ja immer wieder sonderlocken gibt. Einer meiner Kollegen ist ein Fan von Loopback Verarbeitungen bei den GPOs, doch auch darüber lässt sich dann z.B. streiten, und nun bin ich hier und wollte mal horchen wie ihr das gelöst habt. Vermutlich ist das ganze super einfach, im Kopf mache ich es mir nur zu komplex. Nun streitet man sich auch was sinniger ist, "eine GPO mit vielen Regeln" oder "für jede Regel eine GPO" und schon stehe ich vor einer kniffeligen Frage. Wenn ich nun aber eine "Default" Regel baue, welche unsere Laufwerke einbindet und diese auf alle Benutzerkonten ausrolle, kommen weitere Dinge in den Kopf... - Computerkonfigurationseinstellung deaktiviert (ist wohl gut für die Performance sein) - kein Loop Back (ebenfalls gut für die Performance, würde aber auch aufgrund der erwähnten Deaktivierung nicht greifen) - Zielgruppenadressierung (eventuell soll nicht jede Sicherheitsgruppe auch jedes Laufwerk) Jetzt kommt aber der spannenden Punkt, meine Default GPO soll z.B. für alle Benutzer greifen, doch auf dem Fileserver nicht. Auf gruppenrichtlinien.de hab ich gesehen, wenn ich "Authentifizierte-Benutzer" oder "Domänencomputer" für die GPO komplett weg lasse, nur die Benutzerkonten über eine Sicherheitsgruppe und die Computerkonten über eine Sicherheitsgruppe hinterlege, würde das gehen. Klingt erst einmal gut, pauschal würde ich aber sagen "das macht ja mehr Arbeit für die Kollegen"... Nun führen auch viele Wege nach Rom, ich könnte mir da mit Sicherheit was zusammen bauen, aber bevor ich etwas baue und (ich glaube sein Name ist Nils) er eine geile Idee hat und mich fragt warum ich so eine doofe Idee hatte, frage ich euch einmal Wie habt ihr denn eine GPO zum verbinden von Netzlaufwerken gebaut, aber verhindert dass ein Admin der sich auf dem Fileserver anmeldet, diese nicht ebenfalls eingebunden bekommt? Gruß, Dominik p.s. Nur zur Info, falls einer fragt... Wenn die Strukturierung des Fileservers ansteht, werden wir wohl auch einen Dienstleister hinzuziehen (in der Hoffnung, dass der besser ist als die bisherigen), da wir echt viele NTFS Berechtigungen so gerade ziehen wollen das die Leute nicht versehentlich wieder Vererbungen aufbrechen oder gar uns Admins komplett raus kicken, was im Supportfall nicht so cool ist. Haben da nämlich das eine oder andere Verzeichnis wo "Vollzugriff" vergeben wurde und dann die Berechtigungen kaputt sind Pauschal würde ich sagen "maximal Ändern, dass reicht" aber auch da lasse ich mich dann beraten.

Moin... ich kam eben von der Arbeit, habe meinen PC gestartet und es ist was ganz wildes passiert... er hat meinen Foxit PDF Editor als Standard behalten. Ich hab eine Idee, weiß aber nicht ob es das wirklich war. Ich habe ja sonst immer ein PDF via rechtsklick ausgewählt, eine andere App ausgewählt und dann auf "immer" gedrückt. Gestern hab ich den Wert aber mal über die Einstellungen -> Standard-Apps (siehe Anhang im ersten Post) geändert und heute steht noch der Foxit drin. Wenn es dass jetzt war, dann ist dass die Magie des ganzen. Ich halte euch aber auf dem laufenden Nachtrag: OK, eben gerade ein PDF geöffnet, zack ging EDGE auf... Standard Apps geprüft, bei "PDF" ist wieder Edge hinterlegt.

@daabm, dass ist auch meine Erfahrung... sowohl beim durchlesen diverse Newsfeeds oder aus allen anderen Foren in denen ich noch aktiv bin. Daher liegt meine Vermutung auch erst einmal bei Windows selbst und nicht beim Foxit oder ESET, auch wenn man gerne Drittanbieter AV's verpönen möchte.

Da ich Support Partner von ESET bin, schreibe ich die mal an ob die da schon mal was gehört haben und die vom Foxit schreibe ich auch mal an. Ist ja nicht auszuschließen... Wald vor lauter Bäumen etc. @Sunny61, das mit DISM kommt mir vertraut vor... ich glaube so habe ich mal eine Vorlage eines Windows 10 Startmenüs gebaut und bei einem meiner Kunden über den Windows 2012 oder 2016 Essentials via GPO ausgerollt. Zumindest wäre es eine Idee. Ist halt nur ärgerlich, dass so nach knapp 5 - 6 Monaten das Phänomen wieder kommt, was ich im Frühjahr schon mal hatte. Daher kam nun der Gedanke "vielleicht haben die Spezies hier eine Idee oder kenne dieses Verhalten" Gruß, Dominik

Moin, da ich das Problem auch mit meinem ACDsee (Bildbetrachter) habe (aktuell nicht, aber im Frühjahr schon), schließe ich Foxit aus. Hier wäre nämlich die Frage, warum Foxit von sich weg auf eine andere Software schalten sollte. Das wäre ja so als würde ein Automechaniker sagen "geh mal nach drüben, der andere Mechaniker macht das schon" ESET Endpoint Antivirus hab ich auf meinem System drauf.

Hallo zusammen, ich habe ein Problem, welches ich im Frühjahr schon mal hatte. Und zwar stellt sich die Standard App in meinem Windows 11 immer wieder um (siehe Anhang). Ich besitze einen bezahlten Foxit PDF Editor, mit dem ich auch .pdf Dateien anschaue und eben nicht nur bearbeite. Als ich das Problem im Frühjahr schon mal hatte, musste ich Windows 11 neu machen, denn es ging nicht weg und im Internet hab ich dazu keine Lösung gefunden. Viel nerviger war auch noch, dass es sich dann auch noch auf .jpg Dateien ausgeweitet hatte, was dann wirklich zu einer Neuinstallation geführt hatte. Jetzt besteht das Problem (seit ein paar Tagen) schon wieder. Ich würde behaupten, seit zwei / drei Tagen, ob es schon länger ist, kann ich nicht sagen da ich nicht jeden Tag PDF Dateien habe. Nun meine Frage an die Microsoft Spezies hier unter uns, kann man das beheben und die Frage wäre, wie?! Gestern hab ich ein PDF geöffnet, zack es ging im EDGE auf. Dann das PDF nochmal ausgewählt, öffnen mit, andere App auswählen, Foxit PDF ausgewählt und auf "immer" gedrückt. Die Symbole änderten sich, weil die Zuordnung neu hinterlegt war, fertig. Heute komme ich von der Arbeit, starte den PC, hab eine Rechnung per PDF bekommen, es öffnet sich wieder EDGE... und die Einstellungen sind wieder verstellt. Es kann doch nicht sein, dass sich diese Einstellung immer wieder bei einem Neustart des PCs zurücksetzt. Auf meinem Windows 10 Notebook ist das ja auch nicht so. Vielleicht kennt ja jemand dieses Phänomen und kann mir sagen wie ich dieses beheben kann Gruß, Dominik p.s. Mit fällt ein, im Frühjahr fing das mit Bilddateien (JPG) an, ging zu PDF und war dann sogar so penetrant, dass die Standard-App nach grob 30 - 60 Minuten (ohne Neustart) sogar schon verstellt war. p.p.s Dass mit dem großen Bild war nicht meine Absicht, ich dachte die Forensoftware macht ein Thumbnail in den Post

Thema CALs und "es reicht ein Server" war der Grund, wieso ich recht oft die Essentials Systeme für meine kleinen Kunden oder auch Bekannte genommen habe, die ich betreue. Klar, so ein "Standard" ist schon toll, weil man (wenn ich das richtig gelesen habe bei z.B. Thomas Krenn) ihn zwei mal installieren kann. Einmal als DC und einmal als FS, wodurch man es schön trennen kann, aber hier kommen dann die CALs die man benötigt. Gerade wenn man 7 oder 8 Mitarbeiter in der Firma hat, das Unternehmen auch mal 12 und dann wieder nur 8 hat, fand ich den Essentials mit den "bis zu" 25 ganz schick

Genau so hatte Kollege das auch gemeint... Nimm doch nen Hyper-V und schau ob du nen "Windows Server Standard" für ihn organisieren kannst, dann kannst du den DC und Fileserver trennen. Veeam haben wir bei uns in der Firma ebenfalls im Einsatz, somit wären am Ende diverse Berührungspunkte identisch. Der Mensch ist ja am Ende auch nur ein Gewohnheitstier und wenn man z.B. eine Grundstruktur (Arbeit und Bekannter) hat die identisch ist, macht es das Analysieren hinterher einfacher, weil man sowieso in der Materie drin ist. Wie gesagt, ich gucke nachher mal... hab noch einen älteren PC hier zuhause herumstehen. Da installiere ich mal den Hyper-V drauf und schaue mir das an. Wobei ich den Umgang mit dem Hyper-V von der Firma kenne, aber hab ihn halt noch nie von null auf installiert.

Ich suche mir mal das Installationsmedium für den Hyper-V sowie einen PC raus und probiere den mal hier zuhause aus. Auf der Arbeit verwenden wir ebenfalls Hyper-V mit Failover-Cluster und dass ganze steuere ich über die mmc Snap-in von einem meiner Systeme, was wirklich sehr angenehm ist. Kollege meinte nämlich auch "wieso denn Proxmox, nimm doch nen Hyper-V" und bei mir ist es halt die Erfahrung mit Proxmox und zu wenig Erfahrungen mit dem Hyper-V. Für Backups im Proxmox hab ich ein selbst gebautes Skript welches täglich als Cronjob ausgeführt wird.

Das mit dem Einwand für den Proxmox nehme ich nur Kenntnis, aber was definierst du als "exotisch"? Für mich ist der nicht exotisch. Verwende den jetzt seit zwei Jahren und das sehr problemlos. Davor hab ich immer mit VMware ESXi gearbeitet und mit Hyper-V hab ich erst Kontakt seit meinem neuen Arbeitgeber (Hauptberuf), da fehlen mir aber momentan generell Erfahrungen. Und da ich aus der Linux Welt komme, ist der Proxmox für mich halt ein gewisse Stück Heimat Die acht Schritte die da zusammengefasst wurden, sehen erst einmal übersichtlich aus, dass probiere ich mal in einer separaten VM aus die ich hier irgendwo habe und bedanke mich Gruß, Dominik

Hallo zusammen, da man mir vor ein paar Tagen sehr gut weiterhelfen konnte mit dem einen oder anderen Tipp und das wirklich ein Segen war, hätte ich da noch ein kleines Anliegen. Bei einem Bekannten von mir steht in seinem Büro ein Windows Server 2016 Essentials, der nicht virtualisiert sondern ganz normal auf dem System installiert ist. Nun ist irgendwo der Wurm drin, bei einem Neustart des Systems, startet Windows nicht. Macht man einen Neustart, fährt es herunter, und fertig. Als hätte man den PC ATX mäßig deaktiviert, was aber nicht der Fall ist. Da ja nun vor ein paar Tagen versehentlich diverse Server neu gestartet wurden, war das schon minimal doof. Klar, Power Knopf drücken, Server aus, Power Knopf drücken, Server an und schon geht alles wieder. Vor ein paar Jahren bin ich dann auf die Idee gekommen, mittels Proxmox (ich mag das System!) einen Unterbau zu schaffen, darauf dann den Windows Server und eventuell noch andere Dinge, fertig ist. Dieses habe ich nun bei meinem Bekannten auch auf der Agenda, ich würde aber gerne die Domäne übernehmen so dass wir seine paar PCs nicht alle erst aus der alten Domäne ab- und in der neuen Domäne anmelden müssen. Ich hatte ein wenig geguckt, bin über ADMT, einer PowerShell Lösung und easeus gestoßen. Anhand der Anleitungen, interpretiere ich dieses aber so dass beide Server (alter PDC und neuer PDC) parallel in Betrieb sein müssen. Gibt es eventuell Windows seitig so etwas wie "Backup der AD" in ein bestimmtes Dateiformat etc. und anschließend ein Restore aus dieser Datei, oder führt kein Weg daran vorbei und ich muss einen Parallelbetrieb der beiden Server machen um eine AD zu "migrieren"? Ich hatte sogar schon den Gedanken wie bei meinem Arbeitgeber, den DC vom File Server zu trennen, aber dann müsste ich zwei Essentials Lizenzen kaufen. Somit bleibt es bei einer virtuellen Windows Server Maschine die DC + Fileserver macht. Vielen Dank für die Aufmerksamkeit und noch einen charmanten Mittwoch. Gruß, Dominik

Wie bereits beschrieben, habe ich zuerst "adminCount" weg gemacht... $OU = "DC=xxxx,DC=local" Get-ADObject -Filter {admincount -eq 1} -Properties samaccountname,admincount -SearchBase $OU | Set-ADObject -clear admincount -PassThru Man kann mit "Get-ADUser" arbeiten, aber ich arbeite auch gerne mit "Get-ADObject" und filtere was ich suche und gebe gerne auch eine "SearchBase" mit an, so kann ich das genauer eingrenzen wo ich mein Skript ausführen möchte. Als nächstes dann ich ja dann das "protected" mit folgendem Skript weg gemacht... $OU = "DC=xxxx,DC=local" Get-ADObject -Filter {(objectClass -eq "user") -or (objectClass -eq "group")} -SearchBase $OU | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru Anhand der "objectClass" hab ich sowohl Benutzerkonten, Computerkonten und Sicherheitsgruppen erwischt. Die OUs hab ich hierbei unberührt gelassen! Zum Schluss dann noch mit einem gefundenen und minimal angepassten Skript die Vererbung wieder herstellen... # Set Organization Unit $OU = "DC=xxxx,DC=local" # Some Varibales [bool]$isProtected = $false [bool]$PreserveInheritance = $true # Get Users or something $Users = Get-ADObject -Filter {(objectClass -eq "user") -and (objectCategory -eq "user")} -SearchBase $OU # Do the Magic if($Users -ne $null) { foreach($Entry in $Users) { [string]$dn = (Get-ADUser $Entry).DistinguishedName $user = [ADSI]”LDAP://$dn” $acl = $user.objectSecurity Write-Host “Set Permissions for User:”(Get-ADUser $Entry).SamAccountName if($acl.AreAccessRulesProtected) { $acl.SetAccessRuleProtection($isProtected,$PreserveInheritance) $inherited = $acl.AreAccessRulesProtected $user.commitchanges() } } } else {Write-Host “No User found”} Wie erwähnt, anschießend habe ich dann mit "dsacls" erst einmal die Delegierungen die via GUI erstellt wurden entfernt und anschließend mit "dsacls" dann die OUs einzeln gewählt und die Berechtigungen hinterlegt. Die "Permissionen" sind eventuell für die Erfahreneren hier sehr simple und einfach, ich muss da erst noch durchsteigen, aber eigentlich sind unsere Anforderungen jetzt nicht BSI mäßig angesiedelt. Gruß, Dominik

Alles klar, vielen Dank. An sich finde ich es über ein Skript auch gar nicht schlecht. Man hat (wie ihr ja schon gesagt habt) eine Doku und man kann selbst hinein schreiben was der User (oder die Gruppe) darf und was nicht. Auf der einen Seite von faq-o-matic waren sogar die LDAP Felder mit bei, so könnte man sich zumindest schon mal was zusammen bauen. Spannend wäre jetzt nur ein Tool gewesen womit man eventuell sagen kann "ich brauche Schreibrechte für XY" und der nennt einem die Parameter die man anschließend in das Skript rein schreibt. Aber anhand diverser Seiten etc., scheine ich so langsam voran zu kommen und versuche gerade die Berechtigungen gerade zu ziehen. Da AdminSDHolder auch Nested Groups berücksichtigt, gucke ich gerade wo noch ein adminCount gesetzt ist, wo noch "Protect" drin sein könnte damit ich dann in Ruhe die Delegierungen durchführen kann Nachtrag: Ich bin nicht immer der schnellste (Legasthenie, Verständnis etc.) aber ich hab (denke ich) dass gefunden und geschafft was ich wollte. Mit drei PowerShell Skripten habe ich mich durch gekämpft. Ich habe als erstes bei allen Sicherheitsgruppen und Benutzerkonten den "adminCount" gelöscht. Danach habe ich noch einmal mit einem weiteren Skript "ProtectedFromAccidentalDeletion" deaktiviert und zum Schluss mit dem dritten Skript die Vererbung wiederhergestellt. Jetzt zum Schluss hab ich mir zwei Batch Skripte gebaut, einmal remove ich mittels "dsacls" die Berechtigungen und dann setze ich sie neu mittels "/I:S /G", wobei ich trotz Anleitung noch leichte Verständnis und Logik Probleme habe, aber dass ist cool und tut was ich möchte :) Soll ich meine drei kleinen PowerShell Skripte hier mal Posten?? Interessiert vielleicht auch andere...

Hallo Nils, vielen Dank für das Feedback. Ich muss sagen, den einen oder anderen Link kannte ich sogar schon. Gerade den mit der OU Struktur, da ich selbst noch keine gute Idee für eine Struktur hatte. Wir hatten dann den Dienstleister gefragt der uns dabei begleitet hat und da kamen dann Aussagen wie "ja, dass könnte man so machen" oder "es gibt auch die Option XY", und am Ende sind wir noch zu keiner passenden Lösung gekommen. Der Gedanke unserer OU Struktur ist leicht am Unternehmen angeknüpft, dass liegt aber daran dass wir den Baum kleiner haben wollten (er war vorher viel unübersichtlicher und größer), dazu wollten wir dann noch eine Möglichkeit haben unsere First Level Leute relativ einfach delegieren zu können und dann kam noch der Gedanke, wie verfahren wir mit GPO... viele OUs wenig Sicherheitsgruppen, wenig OUs und mehr Sicherheitsgruppen. Wir hatten vorher sogar OUs für Marketing, Einkauf und diverse andere Bereiche, diese sind gebündelt in der Zentrale gelandet. Genauso wie ich alle Benutzer innerhalb der Zentrale in eine OU gepackt habe, dass gleiche mit Computerkonten und Sicherheitsgruppen. Hab da ein Beispiel gefunden, mit meinem Kollegen haben wir das erste Testweise aufgebaut, im Team besprochen und man fand die Idee gut uns übersichtlich. Thema Tiering, hab ich mich hieran und anderen Beispielen orientiert, mit dem Dienstleister durch geschaut, dann die entsprechenden GPOs gebaut und auch da meinte er dann "sieht gut aus!", zumal diese Basis jetzt gerade Mitte Oktober an alle anderen Kollegen durch gereicht und Dokumentiert wurde. Das alles war jetzt auch kein zwei Monats Ding, Anfangen hatte das alles ende Januar und fertiggestellt, Anfang Oktober und dann an alle anderen aus der IT mitgeteilt. Wenn das natürlich jetzt alles für den Hintern war, ist dass das klassische Beispiel, wieso ich seit Jahren gerne an die Decke gehe, wenn jemand in einem Forum um Hilfe bittet und man immer wieder auf Systemhäuser verweist. Hier wäre dann nämlich der Fall "hätte man sich mal mit mehreren ausgetauscht", auch wenn viele Köche den Brei verderben ;) Lange Rede (war nicht meine Absicht), aber die Tipps sind schon mal gut, ich gehe das mit dem "dsacls" mal durch und versuche das in einer Test OU so hin zu biegen wie wir es gerne hätten (oder ungefähr). Frage hierzu, generell keine GUI verwenden, oder am besten die Windows GUI weg lassen? Sonst wäre hier die Frage, gibt es eine Software (GUI) die man empfehlen könnte? :) Gruß, Dominik p.s. Vielleicht kommt jetzt eine böse Aussage, aber als Linux Admin, finde ich einige Dinge ohne GUI auch interessanter. Hab mal bemerkt, dass solche Dinge gut und gerne viele Dinge drum herum machen, die NICHT gemacht werden sollten. Nachtrag: LIZA schaue ich mir gleich mal genauer an (wollte ich eben noch schreiben), dann sehe ich ja welcher User nicht mehr wo etwas tun darf in der AD. Gibt es eventuell auch ein GUI gesteuertes Tool, womit ich mir für "dsacls" die Attribute zusammenbauen kann?

So hatte ich das allerdings nicht gemeint. Ich wollte erst die Vererbungen korrigieren und dann die Berechtigungen gerade ziehen :) Dass anhand der deaktivierten Vererbung mein Vorhaben nicht geklappt hätte, war mir schon bewusst. Hab heute übrigens mal geschaut, es scheint AdminSDHolder zu sein, was hier zwischen schlägt. Da diverse Benutzerkonten oder auch die Sicherheitsgruppen wo einer der Benutzer drin war "geschützt" waren, wird auch die Vererbung deaktiviert. Mit diesem Befehl hab ich erst einmal das "Protected" für alle Benutzer und Gruppen deaktiviert, die OUs selbst sind unangetastet... Get-ADObject -Filter {(objectClass -eq "user") -or (objectClass -eq "group")} -SearchBase $OU | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru Und mit dem folgenden Skript (welches ich auch nur gefunden habe, Quelle), hab ich die Vererbungen wieder aktiviert... # Some Varibales [bool]$isProtected = $false [bool]$PreserveInheritance = $true # Get Users $Users = Get-ADObject -Filter {(objectClass -eq "user") -and (objectCategory -eq "user")} -SearchBase $OU # Do the Magic if($Users -ne $null) { foreach($Entry in $Users) { [string]$dn = (Get-ADUser $Entry).DistinguishedName $user = [ADSI]”LDAP://$dn” $acl = $user.objectSecurity Write-Host “Set Permissions for User:”(Get-ADUser $Entry).SamAccountName if($acl.AreAccessRulesProtected) { $acl.SetAccessRuleProtection($isProtected,$PreserveInheritance) $inherited = $acl.AreAccessRulesProtected $user.commitchanges() } } } else {Write-Host “No User found”} Allerdings muss ich jetzt noch sicherstellen, dass AdminSDHolder nicht wieder bei einigen die Einträge rückgängig macht. Wenn ich mich jetzt nicht irre, stand nämlich auf einer der diversen Seiten, wenn ein User einmal "protected" war, wird das vermerkt und AdminSDHolder stellt den User dennoch wieder um.