NilsK

Moin, das hängt von der Anzahl der Drucker ab und davon, ob es da noch besondere Konfigs gibt. Meist reicht es aus, die Drucker auf dem neuen Printserver einfach neu einzurichten. Wichtiger ist i.d.R., dass die Clients die alten Verbindungen entfernen und neue einrichten müssen. Ich hab das zum Glück seit XP nicht mehr machen müssen. Damals ging das gut per Skript, aber die zugehörige Schnittstelle gibt es seit Vista nicht mehr (jedenfalls die, die ich damals verwendet habe). Gruß, Nils

Moin, rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.) Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist. Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen. Gruß, Nils

Moin, dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam. Gruß, Nils

Moin, beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL. Gruß, Nils

Moin, ... und zwar so: [Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink] https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ [Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink] https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ Gruß, Nils

Moin, hm, das hatte ich übersehen. Vielleicht trotzdem eine gemeinsame Komponente im Spiel, die da reinfunken kann? Wir hatten mal mit USB-Dockingstations diverse Probleme, deren Grafiktreiber sind manchmal richtig schlimm. Gruß, Nils

Moin, Klingt nach einem Problem mit dem Grafik-Treiber. Gruß, Nils

Moin, Kommt drauf an, wie du das meinst. Je nach Lesart ist das genau das, wofür DFS da ist. Du hast Share1, Share2 und Share3. Bindest du die in einen DFS-Knoten ein, dann hast du \\dfs\root\Share1, \\dfs\root\Share2 und \\dfs\root\Share3. Gruß, Nils

Moin, man beachte dabei: AADDS ist nicht Azure AD, sondern ein separater Dienst. Und AADDS ist nicht AD, weswegen in dem Zitat schon richtig steht, dass es passen muss. Und das ist eben oft (bzw. meiner aktuellen Erfahrung nach: meist) nicht der Fall. Daher meine Aussage: "Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen." Gruß, Nils

Moin, die SQL-Logins werden in der master-Datenbank gespeichert. Ist die auch wiederhergestellt worden? Alternativ die Logins per T-SQL-Skript neu erzeugen und dann mappen. Bei dieser Sorte Account hängt ja nicht viel dahinter, da ist das meist ein gangbarer Weg. (In dem Link von Zahni scheint mir im Prinzip dasselbe zu geschehen.) Gruß, Nils

Moin, ich hätte mal einen Vorschlag: Wir lassen das hier bleiben und drehen uns nicht weiter im Kreis. Gruß, Nils

Moin, das wird nichts, wenn du nicht die Anforderungen klärst. Warum meinst du einen Cluster zu benötigen? Storage Spaces Direct wäre hier jedenfalls ein Irrweg. Gruß, Nils

Moin, vermutlich wäre dann ein Umstieg auf OneDrive/Sharepoint/Teams am sinnvollsten. Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen. Gruß, Nils

Moin, oder noch einen Schritt früher: Was sind denn die Anforderungen? Gruß, Nils

Moin, du könntest dir die Berechtigungen des Ordners mal mit SetACL Studio ansehen. Das hat einen Modus, in dem es die Berechtigungen auch dann anzeigen kann, wenn der ausführende Benutzer eigentlich keine Berechtigung hat (was hier der Fall zu sein scheint). Dazu muss der ausführende Benutzer lokaler Administrator sein (bzw. das Benutzerrecht "SeBackupPrivilege" besitzen). Gruß, Nils

Moin, wenn ich nach "delete bedata backup exec permission" suche, bekomme ich eine Reihe vielversprechender Artikel. Hast du die schon durch? Gruß, Nils

Moin, gibt es eigentlich einen Grund, dass du hier so rumstänkerst? Gruß, Nils

Moin, in solchen Fällen kann es tatsächlich ein Ausweg zu sein, die Authentifizierung über ein separates System zu steuern. Obacht aber, dann darf natürlich auch die SAML-Komponente nicht auf einem Windows-Server laufen ... Und: Eine der eingangs genannten Anforderungen war Einfachheit. In dem jetzt diskutierten Konstrukt hätte man aber mindestens zwei Authentisierungsquellen. Einfach wird das dann nicht mehr sein. Und da kommt dann eine Kostenbetrachtung ins Spiel, zumindest rate ich entschieden dazu. Gruß, Nils

Moin DocData, äh - merkste selber, ne? Gruß, Nils

Moin, Office 365 oder OneDrive sind keine Alternative? Damit könntest du einfach immer auf die aktuelle Fassung zugreifen, unabhängig vom Gerät. Gerade für MS-Office-Dateien ist das eine komfortable Lösung, wenn einsetzbar. Gruß, Nils

Moin, Äpfel und Birnen. Für die genannten Zwecke ist eine RAM-Disk schon sinnvoll. Gruß, Nils

Moin, das ganze Konstrukt ist unsinnig. Auch eine technische Lösung, wie sie dir vorschwebt, wird nicht mehr Verlässlichkeit bringen, denn wie du schon richtig sagst: Wenn ihr jemandem Adminrechte gebt, kann er seine Spuren verwischen, wenn er es drauf anlegt. Wenn ihr also bei dem "Notfall-Admin"-Verfahren bleibt, werdet ihr mit einer Unschärfe leben müssen. Das Problem liegt nicht in der Umsetzung, sondern in dem Verfahren selbst. Gruß, Nils

Moin, ich empfehle noch mal nachdrücklich, jemanden hinzuzuholen, der sich damit auskennt. Das Vorhaben ist umfangreicher, als du denkst. Und man kann durchaus so viel falsch machen, dass man sehr viel Arbeit hat, die Anwender am Arbeiten hindert oder Datenverluste und Sicherheitsprobleme erzeugt. Gruß, Nils

Moin, dann wäre es schön, wenn du künftig auf solche Umstände hinweist. Ist ja schon ein Unterschied, ob das produktiv-kritisch ist oder nicht. Wie Norbert auch schon andeutete (der eine, bestätigt vom anderen ), werden "Altlasten" oft überbewertet. So magisch ist das AD nun auch wieder nicht, dass man es nicht aufgeräumt oder repariert bekäme. Ein AD, das nicht ordentlich läuft, lässt sich so gut wie immer korrigieren. Das ist am Ende eine Frage des Aufwands. Um hier aber am richtigen Ende anzusetzen: Was genau heißt "Teststatus"? Ist das eine produktive Umgebung oder nicht? Wäre es evtl. effizienter, das AD neu einzurichten, weil es ohnehin nicht ernsthaft verwendet wird? Oder müsste man sich darauf konzentrieren, das Vorhandene geradezubiegen? Falls Letzteres, gehe ich stark davon aus, dass die Installation eines zweiten DCs in der Domäne die Stabilität des ADs herstellen würde. Dann könnte man den "alten" DC in Ruhe reparieren oder ersetzen. Es klingt für mich bis hierhin so, als läge auf der Maschine ein lokales Problem vor. Um das richtig einzuschätzen, könnte aber kompetente Unterstützung hilfreich sein, wie Norbert (der andere) auch vorschlägt. Gruß, Nils

Moin, der DC ist ja auch nicht überlastet. Einen überlasteten DC habe ich in 20 Jahren noch nie gesehen, auch nicht in Großunternehmen. Da ist was anderes im Busch. Einen weiteren DC empfehlen wir nicht wegen Leistungsgrenzen, sondern wegen der Redundanz. Wie du ja merkst, hängt ein Windows-Netzwerk von Active Directory ab, da ist es sehr hinderlich, wenn dieses nur auf einem Server läuft und dieser nicht richtig funktioniert. Die Ausgabe von dcdiag gibt leider nichts her. Im Eventlog müsste sich was finden lassen. Das Verhalten ist jedenfalls nicht normal. Gruß, Nils