NilsK

Moin, nimm es mir nicht übel - aber es fehlen dir noch ein paar Grundlagen zum AD, die man für den Aufbau einer Berechtigungssteuerung haben sollte. Das ist nicht schlimm und lässt sich mit überschaubarem Aufwand erarbeiten, aber ohne geht es nicht. Daher noch mal der Vorschlag, dass du dir hier externe Beratung dazuholst. Stichworte, mit denen du dich beschäftigen solltest: Konzept der Ordner- und OU-Strukturen im AD Gruppenkonzept im AD Funktionsweise der Berechtigungssteuerung in Windows allgemein (ACL, SID, Access Token, Vererbung ...) und im AD speziell administrative Grundlagen des AD jenseits des Tagesgeschäfts: vordefinierte Adminkonten und -Gruppen, Zuweisen administrativer Rechte und dann aufbauend das Thema administrative Delegation und die Best Practices dazu Gruß, Nils

Moin, wobei in Wirklichkeit kein Mensch Nested Virtualization braucht ... Trotzdem bleibt es wahr: Gerade bei so systemnahen Dingen wie Virtualisierung kann man mit "der anderen" CPU-Plattform ärgerlich auf die Nase fallen. Gruß, Nils

Moin, Ja. Und es ist kein Problem, den Host in die Domäne aufzunehmen, die in einer VM läuft. Auch wenn es nicht schön ist und ein zweiter DC dringend nötig. Gruß, Nils

Moin, was mir bei der Beschreibung auffällt: Wenn man über die Windows-Aufgabenplanung einen Task baut, der Adminrechte braucht, dann funktionieren diese nur, wenn man das Häkchen setzt "Mit höchsten Rechten ausführen". Fehlt etwas in der Art evtl. bei der hier diskutierten Lösung? Timing-Probleme sind auszuschließen? Etwa in der Art, dass der CSV-Export-Task die Datei zu einem Moment zu öffnen versucht, in dem diese noch vom vorhergehenden Task geöffnet ist? Sonst fällt mir dazu leider nicht mehr viel ein. Gruß, Nils

Moin, noch zwei Ideen: Das Skript wird evtl. durch den Trigger mehrfach gestartet - die erste Instanz öffnet die Datei, die zweite kann sie nicht öffnen. Es scheint mir, als würde das Skript von einer Automatisierungslösung gestartet. Ist sichergestellt, dass diese das Skript im richtigen Userkontext ausführt? Gruß, Nils

Moin, und was möchtest du jetzt für eine Antwort? Gruß, Nils

Moin, füge mal in dem Skript vor der Zeile "set app = ..." folgenden Code ein: WScript.Echo "Excel-Datei: " & xlsfile WScript.Echo "CSV-Datei: " & csvfile WScript.Echo "Datei auffindbar: " & fso.FileExists(xlsfile) Was gibt das Skript aus, wenn du es ausführst? Werden die Dateinamen korrekt wiedergegeben? Falls die dritte Antwort "false" ist, dann findet das Skript die Excel-Datei gar nicht erst. Ist sie "true", dann liegt das Problem erst bei Excel. Gruß, Nils

Moin, nur um mich hier mal kurz unqualifiziert einzuklinken: Der oben zitierte Code funktioniert hier mit Windows 10, Excel 2019 (bzw. O365) und einer lokalen Datei anstandslos. Es wird also wohl doch was mit den lokalen Gegebenheiten auf dem Zielsystem zu tun haben. Gruß, Nils

Moin, Outlook nutzt Word als Editor, die Einstellung sollte also übergreifend wirken. Gruß, Nils

Moin, nein, du installierst nichts auf dem Host, nur Hyper-V. USB-Drucker bekommst du dann nicht an die Printserver-VM weitergeleitet, aber USB-Drucker sind für gemeinsame Nutzung auch schlicht ungeeignet. Gib im Zweifel 40 Euro für einen USB-Printserver aus. [Warum der Hyper-V-Host keine (!) weiteren Dienste ausführen sollte | faq-o-matic.net] https://www.faq-o-matic.net/2010/05/03/warum-der-hyper-v-host-keine-weiteren-dienste-ausfhren-sollte/ - in deinem Fall ist besonders der letzte Absatz relevant Dienste auf VMs aufzuteilen, ist als Grundprinzip gut. In so einem Heimsetup sind die Anforderungen aber typischerweise andere. In deinem Fall sehe ich keinen Sinn darin, überhaupt mit mehreren Windows-VMs zu arbeiten; weder die zu erwartende Last noch die vermutlich erforderliche Ausfallsicherheit geben das her. Die genannten Dienste wird man problemlos gemeinsam auf einer VM betreiben können und spart sich dadurch einiges an Aufwand und Overhead. Wie lizenzierst du das eigentlich? Eine Windows-Server-Lizenz plus CALs scheinen mir für das, was du da effektiv vorhast, ein ziemlich teurer Ansatz zu sein. Gruß, Nils

Moin, mach was du willst ... wozu auch immer, das erschließt sich mir nicht. Muss es ja auch nicht. (Veeam in so einer Umgebung?!) Trotzdem könnte es sinnvoll sein, ein wenig Planung und ein paar Gedanken in die Umgebung zu stecken. Ein altes Notebook ist nun mal ein altes Notebook, auch wenn du noch ein paar GB RAM reinbekommst (was vermutlich stark begrenzt sein dürfte, bei 16 GB ist mit Sicherheit Schluss). Ich habe, wie gesagt, keine Ahnung, wozu du die VMs brauchst. In einer Heimumgebung schätze ich bei oberflächlicher Betrachtung aber mal, dass insgesamt zwei oder drei VMs ausreichen. Bei etwa 28 GB RAM, die du verteilen kannst, ist das dicke genug. Gruß, Nils

Moin, ähm - was willst du mit einem 6-GB-Rechner als Host? Da bekommst du mit Glück eine VM ordentlich ans Laufen, hast aber immer noch nur ein altes Notebook drunter. Lass das weg und besorg dir lieber noch 32 GB für den Server. Dann fällt wahrscheinlich auch das Gehampel weg. Wenn du Windows-Server-VMs betreibst, brauchst du ja ohnehin Lizenzen dafür. Dann entfällt der Grund, den kostenlosen Hyper-V-Server einzusetzen. Richte den Host mit einem richtigen Windows-Server-OS ein (das du ja sowieso lizenzieren musst) und verwalte den Host bequem über das lokale GUI. Dann brauchst du auch keine Domäne und keinen Remotezugriff auf den Host. Gruß, Nils

Moin, nun gibt es auch eine Agenda. Noch mit ein paar kleinen Fehlern (ist bekannt und in Arbeit), aber sieht nach einem guten Programm aus: https://cim-lingen.de/community-day/ Details zum "Business Day" am Freitag soll es dann Anfang der Woche geben. Gruß, Nils

Moin, Hyper-V-Hosts remote zu verwalten, ist in deinem Aufbau eine holprige Angelegenheit. Einfacher wäre es, wenn du für den Zweck eine AD-Domäne einrichten würdest. Vielleicht würde es auch schon helfen, mit festen IP-Adressen und internem DNS zu arbeiten, aber dann wäre eben eine Domäne auch kaum noch Mehraufwand. Was sollen denn für VMs laufen und wozu dient das Ganze? Vielleicht stellt sich ja heraus, dass du ohnehin eine Domäne brauchst, dann kann man sich das ganze Gebastel vorab schenken. Gruß, Nils

Moin, Wie soll das Setup denn mal aussehen? Ist das ein Heimnetz ohne Domäne? Oder was Professionelles? Gruß, Nils

Moin, leider skalieren viele Applikationen einfach ihr GUI nicht gut. Das liegt daran, wie die GUIs gebaut sind. Die Windows-eigenen Workarounds helfen manchmal, aber leider eher selten. Es kann durchaus sein, dass sich das nicht lösen lässt. Vielleicht hilft es, den Hersteller anzusprechen. Gruß, Nils

Moin, die Gruppe "Konten-Operatoren" will und sollte man nicht benutzen. Sie ist insgesamt viel zu hoch berechtigt. @Bosco: was du suchst, nennt sich "administrative Delegation". Wenn du keine Erfahrung damit hast, ist externe Beratung sicher sinnvoll, denn sowas wird auch in kleineren Umgebungen schnell komplex. Und es ist natürlich sensibel in Bezug auf die Sicherheit. Im ersten Schritt solltet ihr genau (!) definieren, was die Rolle denn tun bzw. können soll. Auf der Basis kann man dann prüfen, wo welche Berechtigungen nötig sind. Ob man dafür dann separate Tools braucht, lässt sich auch nur auf Basis der exakten Anforderungen bewerten. Gruß, Nils

Moin, was genau meinst du? Cached Credentials, Szenario Notebook? Die laufen meines Wissens nicht ab und werden nur genutzt, wenn kein DC erreichbar ist. Gruß, Nils

Moin, dann aber vermutlich nicht richtig ... oder nicht den richtigen Account. Um was für ein Gerät handelt es sich denn? Aber es geht schon um Unternehmensdaten? Dann sollte die Umsetzung auch Hand und Fuß haben. Gruß, Nils

Moin, wenn das NAS nicht in der Domäne ist, kannst du doch den Service Accounts eines anderen Servers gar keine Berechtigungen geben. Eine Möglichkeit wäre, dass du auf dem NAS einen User anlegst, der genauso heißt und dasselbe Kennwort hat wie der Service Account auf dem SQL Server. Ich halte es aber für fraglich, dass du mit dem Konstrukt glücklich wirst. Eine 30-TB-Datenbank will man nicht per SMB 2 oder gar SMB 1 auf einem NAS ansprechen. Wenn das NAS tatsächlich nur für diesen Zweck da ist, sollte man es als Storage nutzen und per iSCSI anbinden. Bietet das Gerät diese Möglichkeit? Und: Von was für einer Nutzung sprechen wir hier? Ist das was Unternehmenskritisches? Gruß, Nils

Moin, ja, ein Netzwerkkabel wird schon im Spiel sein - aber darum geht es nicht, sondern um das Protokoll, was für den Zugriff verwendet wird. Ich nehme einfach mal an, dass das NAS wie ein NAS angesprochen wird, also wie ein Dateiserver. Das ist dann das Protokoll SMB. Vorsicht aber, manche einfachen NAS verwenden immer noch SMB 1.0, und das ist noch weniger für diese Art des Zugriffs geeignet. Mit "das NAS wird anders genutzt" meine ich, ob es parallel auch noch normale Dateizugriffe darauf gibt. Die erzeugen natürlich zusätzliche Last, was tendenziell den Datenbankzugriff weniger zuverlässig macht. Das würde man bei einer "ernsthaft" produktiv genutzten Datenbank vermeiden wollen. Wenn du die Datenbank also auf diese Weise anbinden willst, dann wählst du im SQL Server Management Studio per Rechtsklick auf den Eintrag "Datenbanken" den Befehl "Anfügen", dann den Button "Hinzufügen" und gibst dann oben den UNC-Pfad zur .mdf-Datei an: \\server\share\ordner\datei.mdf. So sollte die Datenbank sich einbinden lassen. Gruß, Nils

Moin, normalerweise arbeitet SQL Server (wie die meisten Datenbanksysteme) mit Blockstorage, d.h. mit lokalen Platten oder Volumes, die mit einem Blockprotokoll wie Fibre Channel oder iSCSI eingebunden sind. Seit einigen Jahren ist dafür auch ein Zugriff auf SMB-Dateifreigaben möglich (ab SMB 2.0). Da diese Art des Zugriffs aber eine Reihe von Einschränkungen hat, steht das unter gewissen Grenzen. Um eine Datenbank von einer Dateifreigabe einzubinden, muss man diese mit einem UNC-Pfad ansprechen. Per Laufwerksbuchstaben eingebundene "Netzlaufwerke" werden nicht unterstützt, weil diese Einbindung immer benutzerspezifisch ist. Wenn die Datenbank produktiv genutzt werden soll, ist eher davon abzuraten, dass diese auf einem NAS liegt, wenn dieses NAS auch noch anders genutzt wird. Gruß, Nils

Moin, naja, in dem Fall reicht es ja aus, alles nur bedarfsweise zu tun. Sichere die DB als "Full Backup", wenn es relevante Änderungen gab. Indizes optimieren und ähnliche Wartungsdinge dürften überflüssig sein, es sei denn, du willst das Prinzip daran nachvollziehen. Gruß, Nils

Moin, eigentlich ist das kein Workaround, sondern die empfohlene Methode. Man steuert das üblicherweise per GPO, indem man genau das von dir genannte Recht verwaltet. Die Gruppe "Benutzer" hingegen ändert man normalerweise nicht. Sie hat auch gar nicht die Aufgabe, Anmeldeberechtigungen zu vergeben. Gruß, Nils

Moin, verabschiede dich bei Datenbanken von der Denke "das muss man tun". Dafür sind Datenbanken in ihrer Nutzung zu unterschiedlich. Was für Datenbank A unabdingbar ist, kann für Datenbank B sinnlos oder sogar hinderlich sein. Die Index-Fragmentierung kann ein Thema sein, wenn eine Datenbank in großem Umfang verändert wird. Selbst dann sind Pauschalregeln aber (leider) selten zielführend. Wenn dein ERP-Dienstleister gut ist, kann er dir Empfehlungen geben, denn ohne Kenntnis der Applikation sind Optimierungen ein weitgehend aussichtsloses Unterfangen. Gruß, Nils