NilsK

Moin, die Älteren unter uns werden sich noch erinnern ... da wäre ein Handkarren ja auch noch fast modern. Nein, auf Porsche bezog ich mich wegen des ursprünglichen Vergleichs hier im Thread. Der hinkt übrigens am meisten beim Blick auf die Geschwindigkeit: Der Grund, Batch zu nutzen statt PowerShell liegt durchaus oft darin, dass die PowerShell viel zu langsam ist und man bei einfachen Vorgängen mit Batch und dem Aufruf von Binärdateien erheblich schneller Ergebnisse bekommt. Gruß, Nils

Moin, Gerade in Vergleich zum Porsche. Gruß, Nils

Moin, Was ja auch völlig okay ist. Gruß, Nils

Moin, dem Blogartikel nach sollst du die Klassen ja auch nicht im Server löschen, sondern die Exportdatei bearbeiten. Das ist auch plausibel. Sorry, manchmal hilft es, richtig zu lesen. Also, andersrum: Ich würde einfach die Einträge, die einen Konflikt verursachen, aus dem Exportskript entfernen und das Nötige dann manuell nachkonfigurieren, So viel wird es ja nicht sein. Gruß, Nils

Moin, DFS lässt sich "Domain-integrated" installieren. Die Konfiguration ist dann im AD gespeichert. Dadurch kann man mehrere Namespace-Server einrichten. [Add Namespace Servers to a Domain-based DFS Namespace | Microsoft Docs] https://docs.microsoft.com/en-us/windows-server/storage/dfs-namespaces/add-namespace-servers-to-a-domain-based-dfs-namespace Im "Notfall" (kein Namespace-Server verfügbar) kann man die Shares auch noch separat über den "ursprünglichen" UNC-Pfad erreichen. DFS ist ja am Ende nur eine Weiterleitung. Gruß, Nils

Moin, es scheint da noch ein grundsätzliches Missverständnis zu geben. Die Einstellungen im Zweig "Benutzer" wirken sich nur (= ausschließlich) auf Benutzerkonten aus, egal auf welchem Rechner. Die im Zweig "Computer" wirken nur auf Computerkonten, unabhängig vom Benutzer. Das liegt daran, dass die Einstellungen auf unterschiedliche Bereiche der Registry wirken (nämlich auf das Benutzerprofil einerseits und auf die Computerkonfiguration andererseits). Deine Frage "Wie bekomme ich es in dieser Konstellation hin, das die Computer auch die Benutzereinstellung anwenden?" lässt sich also nur mit "gar nicht" beantworten. Vermutlich meinst du aber etwas anderes, daher wäre es sinnvoll, wenn du konkret wirst und genau beschreibst, was die Anforderung ist. Gruß, Nils

Moin, du solltest immer das eigentliche Ziel im Auge behalten. Wenn du nicht willst, dass das VPN für andere Zwecke als Remote-Administration genutzt wird, dann setze etwas um, das dies auch erreicht. Die Domänen-Anmeldung einzuschränken, hilft dann nicht. Mit Cached Credentials könnte man von einem "Leih-Notebook" trotzdem Ressourcen aus der Zentrale verwenden, die das WAN weit mehr auslasten als ein paar GPOs. Denk etwa an Gigabyte-Dateien von einem Fileshare. Für die Anforderung scheint mir Norberts Vorschlag besser zu passen. Ergänzen könnte man das noch um eine Begrenzung der zugelassenen IP-Adressen. Gruß, Nils

Moin, auch wenn aus irgendeinem für mich nicht nachvollziehbaren Grund alle LAPS ganz toll finden: Es ist kein Allheilmittel für solche Fragen. An dem Grundproblem, dass es ermöglicht, zusätzliche Admin-Accounts anzulegen oder sonst "alles" zu machen, ändert LAPS nichts. Daher ist es für solche Szenarien wie hier diskutiert nicht geeignet (und im Übrigen auch nicht dafür gedacht). Gruß, Nils

Moin, das hängt von der Anzahl der Drucker ab und davon, ob es da noch besondere Konfigs gibt. Meist reicht es aus, die Drucker auf dem neuen Printserver einfach neu einzurichten. Wichtiger ist i.d.R., dass die Clients die alten Verbindungen entfernen und neue einrichten müssen. Ich hab das zum Glück seit XP nicht mehr machen müssen. Damals ging das gut per Skript, aber die zugehörige Schnittstelle gibt es seit Vista nicht mehr (jedenfalls die, die ich damals verwendet habe). Gruß, Nils

Moin, rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.) Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist. Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen. Gruß, Nils

Moin, dann erzeuge pro PC einen Admin-Account im AD, den du z.B. nach obigem Verfahren der lokalen Admingruppe zuweist. Dieser Account ist im Normalbetrieb deaktiviert und wird nur Bei Bedarf aktiviert und dann wieder abgeschaltet. Behalte dabei aber im Kopf, dass während dieser Zeit mit dem Account eben auch "alles" auf dem PC geht. Ein User könnte sich dann also einfach einen separaten Admin-Account erzeugen oder das System sonstwie kompromittieren. Einen Administrator in Windows kann man immer nur scheinbar einschränken, aber nicht wirksam. Gruß, Nils

Moin, beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL. Gruß, Nils

Moin, ... und zwar so: [Verwaltung der lokalen Administratoren - Gruppenrichtlinien by Mark Heitbrink] https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ [Zentrale Vergabe lokaler Berechtigungen - Gruppenrichtlinien by Mark Heitbrink] https://www.gruppenrichtlinien.de/artikel/zentrale-vergabe-lokaler-berechtigungen/ Gruß, Nils

Moin, hm, das hatte ich übersehen. Vielleicht trotzdem eine gemeinsame Komponente im Spiel, die da reinfunken kann? Wir hatten mal mit USB-Dockingstations diverse Probleme, deren Grafiktreiber sind manchmal richtig schlimm. Gruß, Nils

Moin, Klingt nach einem Problem mit dem Grafik-Treiber. Gruß, Nils

Moin, Kommt drauf an, wie du das meinst. Je nach Lesart ist das genau das, wofür DFS da ist. Du hast Share1, Share2 und Share3. Bindest du die in einen DFS-Knoten ein, dann hast du \\dfs\root\Share1, \\dfs\root\Share2 und \\dfs\root\Share3. Gruß, Nils

Moin, man beachte dabei: AADDS ist nicht Azure AD, sondern ein separater Dienst. Und AADDS ist nicht AD, weswegen in dem Zitat schon richtig steht, dass es passen muss. Und das ist eben oft (bzw. meiner aktuellen Erfahrung nach: meist) nicht der Fall. Daher meine Aussage: "Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen." Gruß, Nils

Moin, die SQL-Logins werden in der master-Datenbank gespeichert. Ist die auch wiederhergestellt worden? Alternativ die Logins per T-SQL-Skript neu erzeugen und dann mappen. Bei dieser Sorte Account hängt ja nicht viel dahinter, da ist das meist ein gangbarer Weg. (In dem Link von Zahni scheint mir im Prinzip dasselbe zu geschehen.) Gruß, Nils

Moin, ich hätte mal einen Vorschlag: Wir lassen das hier bleiben und drehen uns nicht weiter im Kreis. Gruß, Nils

Moin, das wird nichts, wenn du nicht die Anforderungen klärst. Warum meinst du einen Cluster zu benötigen? Storage Spaces Direct wäre hier jedenfalls ein Irrweg. Gruß, Nils

Moin, vermutlich wäre dann ein Umstieg auf OneDrive/Sharepoint/Teams am sinnvollsten. Ohne eine lokale AD-Instanz wird das sonst nicht oder nicht sinnvoll gehen. Gruß, Nils

Moin, oder noch einen Schritt früher: Was sind denn die Anforderungen? Gruß, Nils

Moin, du könntest dir die Berechtigungen des Ordners mal mit SetACL Studio ansehen. Das hat einen Modus, in dem es die Berechtigungen auch dann anzeigen kann, wenn der ausführende Benutzer eigentlich keine Berechtigung hat (was hier der Fall zu sein scheint). Dazu muss der ausführende Benutzer lokaler Administrator sein (bzw. das Benutzerrecht "SeBackupPrivilege" besitzen). Gruß, Nils

Moin, wenn ich nach "delete bedata backup exec permission" suche, bekomme ich eine Reihe vielversprechender Artikel. Hast du die schon durch? Gruß, Nils

Moin, gibt es eigentlich einen Grund, dass du hier so rumstänkerst? Gruß, Nils