NilsK

Moin, der Server hat gemerkt, dass diese IP-Adresse bereits im Netzwerk verwendet wird und nutzt sie daher nicht. Gruß, Nils

Moin, ein RODC würde in dem Szenario doch gar keinen Sicherheitsvorteil ergeben. Die User melden sich, wie du sagst, per VPN an. Das VPN ist also deine Sicherheitsgrenze. Ab da sind die User im Netzwerk. Ob sie also auf einen RODC oder einen echten DC zugreifen, macht keinen Unterschied. Danach greifen sie ja ohnehin vermutlich auf "alle" Ressourcen zu. RODCs wurden ursprünglich für genau einen Zweck entworfen: kleine Niederlassungen, die physisch nicht ausreichend gesichert sind, aber einen lokalen DC haben sollen. Der RODC steht dann also physisch in dieser Niederlassung. Wenn dort der DC gestohlen wird, soll nicht gleich das ganze Unternehmen kompromittiert sein. Außerhalb dieses einen Szenarios gibt es - nach meiner Ansicht - keinen sinnvollen Einsatzzweck für einen RODC. Verschiedentlich wird ein RODC für andere Zwecke in Konzepten genannt, aber wenn man sich das genauer ansieht, passt es eigentlich nie. Es gibt keinen Sicherheitsvorteil, es werden praxisferne Annahmen getroffen oder jemand hat das einfach nicht verstanden. Kein Angriff beabsichtigt, nur die Darstellung der Dinge aus meiner Sicht. Gruß, Nils

Moin, ich halte einen RODC fast nie für sinnvoll. Genau betrachtet, habe ich noch nicht ein einziges Mal ein Szenario beschrieben bekommen, in dem ich einen RODC für passend gehalten hätte. Warum würdest du denn meinen, sowas zu brauchen? Gruß, Nils

Moin, Computerkennwörter laufen nicht einfach ab. Wenn der Wechsel eines Computerkennworts ansteht, dann ist es der Client, der dies auslöst und durchführt, nicht der DC. Ist also ein Client lange Zeit ohne direkten Kontakt zur Domäne, dann steht er nicht plötzlich vor einem abgelaufenen Konto. Ich zitiere den guten Fabian, von dem ich schon zu lange nichts mehr gehört habe: [Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! | Microsoft Docs] https://docs.microsoft.com/de-de/archive/blogs/deds/wann-luft-ein-maschinenaccount-computerkonto-ab-gar-nicht EDIT: exchangekoala, du müsstest den Thread, den du zitierst, auch bitte ganz lesen. Gruß, Nils

Moin, könntest du bitte erst mal das Problem erklären, um das es eigentlich geht? Du hast hier bislang nur die Probleme eines Lösungswegs beschrieben. Gruß, Nils

Moin, genau diese Sorte Abfrage war früher (als ich in anderem Zusammenhang damit arbeitete) immer sehr langsam bzw. hat eine Verzögerung im zweistelligen Sekundenbereich verursacht. Ist das jetzt besser bzw. tritt das in dem Anwendungsfall nicht auf? Gruß, Nils

Moin, zumal es in der Praxis ausgesprochen wahrscheinlich ist, dass man eine andere Hardware als Ersatz hat. Dann bringt einem das Host-Restore nicht viel außer mehr Aufwand. Gruß, Nils

Moin, mir gehts gut, danke. Mit SCCM hab ich nix tu tun, kann da also leider auch keine Tipps geben. Gruß, Nils

Moin, <OT> genau betrachtet: ich weiß. </OT> Gruß, Nils

Moin, laut Eingangspost sprechen wir von acht (!) Nutzern. Da finde ich die Betrachtungen, die hier angestellt werden, größtenteils völlig überzogen. Ich rate dazu, einen kompetenten Berater hinzuzuziehen, der Kosten und Nutzen in einen sinnvollen Zusammenhang stellt, indem er die richtigen Fragen stellt und Erfahrung mit so einem Kundenumfeld einbringt. Gruß, Nils

Moin, Nein, das ist ganz sicher nicht der Grund. Und auch wenn der Chef was gegen Cloud hat - bei dem, was hier diskutiert wird, würde ich noch mal die Frage nach dem Aufwand stellen. Gruß, Nils

Moin, genau. Hat Dukel ja oben angegeben. Gruß, Nils

Moin, eine schöne Lösung würde ... oh, da war Dukel schneller ... jetzt schreib ich aber weiter: ... mit den Well-known SIDs arbeiten. Du wirst im Web Beispiele finden, wie man das implementiert. Die simpelste Lösung wäre, den String im Skriptcode zu ersetzen, wenn eine Sprache ausreicht. Eine ebenfalls simple Lösung würde, wie du schon andeutest, mehrere Strings prüfen. Gruß, Nils

Moin, einmal hätte gereicht. Gruß, Nils

Moin, sicher? Weiterbetrieb nach 24 Stunden ist faktisch High-End. Verträgt euer Business wirklich nicht mehr als einen Tag Ausfall? Dann wird es, wie die Kollegen schon sagen, mit einem Einzelsystem auf keinen Fall gehen. Dann reden wir von einem richtigen IT-Budget. Mag sein, dass das so ist. Ich glaube allerdings eher, dass es nach 24 Stunden "unbequem" wird. Das ist aber nicht der Punkt. "Unbequem" kann es auch nach 15 Minuten werden. Hier wäre also noch mal realistisch zu prüfen, was denn wirklich die Anforderung ist - und für welche Teile des Unternehmens das gilt. Warum eigentlich nicht in die Cloud? In der Gesamtbetrachtung würde ich mir, hätte ich ein Kleinunternehmen, eine eigene IT heute kaum noch antun wollen. Gruß, Nils

Moin, das ist mit sehr großer Sicherheit keine Frage der Grafikkarte oder sonstiger Hardware, sondern der Netzwerkbandbreite. Das ganze Internet in Europa ächzt derzeit unter der Last. Es wäre daher auch von dir nett, wenn du in den nächsten Wochen gar nicht erst versuchst, mit höchster Qualität zu gucken, sondern dich gleich auf etwas Schonendes beschränkst. Ähnlich wie bei de exponentiellen Wachstum der Infektionszahlen erzeugt auch ein Videostream überproportional mehr Last, wenn man die Qualität erhöht. Das muss für "Glotzen" ja nicht sein. Danke für dein Verständnis. Gruß, Nils

Moin, und ich ziehe hiermit mal das ganze Verfahren in Zweifel. Du willst kein Skript erzeugen, das einen User mit vorgegebenem Kennwort auf mehreren Rechnern automatisiert anlegt. Gruß, Nils

Moin, was ist denn das Ziel des Ganzen? Vielleicht gibt es da einfachere Wege. Gruß, Nils

Moin, der Haupteinwand, der genannt wurde: this thing is running in the context of LSA so you want to make dead sure it behaves well. Und da war dann jedes Mal Ende. Gruß, Nils

Moin, naja, da gibt es ja mit der Passfilt-Schnittstelle einen intelligenteren Weg. Nur traut sich an die keiner ran - ich habe in den vergangenen 15 Jahren mehrfach erfolglos versucht, ein Community-Projekt dafür anzustoßen. Gruß, Nils

Moin, das Ändern der Längenvorgabe wird erst beim nächsten Kennwortwechsel wirksam. Da Windows das Kennwort nicht speichert, weiß es auch nicht, wie lang es ist. Hatten wir vor Kurzem erst hier, da gibt es noch eine Falle: Gruß, Nils

Moin, wenn man Kennwortsätze verwendet, sind die eigentlich schon von selbst "komplex" im Sinne der Regel. Bei uns soll jeder seine Meinung sagen. Und wenn es das letzte ist, was er in dieser Firma tut. Gruß, Nils

Moin, Microsoft hat die kostenfreie Version aufgebohrt. Sie entspricht meines Wissens (vorübergehend) dem E1-Plan, bis Januar 2021 kostenlos. https://news.microsoft.com/de-de/engagement-fuer-kunden-covid-19/ Man kann das durchaus ad hoc einführen, sollte sich aber bewusst sein, dass Teams eben viel mehr als nur Videokonferenz ist und dass eine Schnelleinführung leicht zu einem gewissen Ablagechaos führen kann. Das kriegt man hinterher zwar wieder in den Griff, aber das braucht dann ein wenig Pflege. Mehr dazu: https://www.michael-wessel.de/blog/podcast/home-office-jetzt-aber-schnell/ Gruß, Nils

Moin, bestehende Kennwörter müssen nicht neu gesetzt werden. Das AD prüft sie gegen die maximale Dauer anhand des Werts in "pwdLastSet" und meldet sich nur dann, wenn das Kennwort abläuft bzw. abgelaufen ist. Die Maßnahme halte ich übrigens für unsinnig. Wovor wollt ihr euch mit so einem Intervall schützen? Da mittlerweile sich die Erkenntnis durchgesetzt hat, dass pauschale Zeitbeschränkungen nicht mehr, sondern weniger Sicherheit erzeugen, würde ich von der Einstellung gänzlich Abstand nehmen. Ein Jahr wäre jedenfalls ziemlich sinnfrei: Wenn ein Kennwort erraten wurde, muss man es sofort ändern und nicht erst nach Monaten. Gruß, Nils ... dessen AD-Kennwort mit fast 30 Zeichen jetzt im siebten Jahr gültig ist, genau wie seine Firmenzugehörigkeit ...

Moin, nur der Spitzfindigkeit halber: Ich habe einen Glasfaseranschluss und einen Speedport daran. Das schließt sich ja nun nicht aus. (Ist aber auch keine Firma.) Gruß, Nils