NilsK

Moin, ohne das Skript zu kennen, werden wir hier kaum sinnvolle Hinweise geben können. Gruß, Nils

Moin, Ja, und? Gruß, Nils

Moin, Oder auch nicht - als Dienstleister kann es einem recht sein. Es ist eine Frage der Aufrichtigkeit, ob man solche Kunden einfach machen lässt und kassiert oder ob man noch den Versuch einer Beratung macht. Gruß, Nils

Moin, danke dir. Und danke an alle hier im Board. Gruß, Nils

Moin, und, was sagt das Eventlog zu dem Thema? Was sagen eure IT-Admins? Besteht das Problem nur bei diesem Account auf diesem Rechner? Hier haben sich schon mehrere Personen engagiert, da wäre ein bisschen mehr Mitwirkung beim Troubleshooting möglicherweise hilfreich. Gruß, Nils

Moin, um mal Daumen in den Ring zu werfen: Bei solchen Projekten reden wir schnell von Laufzeiten von vielen Monaten und von externen Kosten im deutlich fünfstelligen oder sechsstelligen Bereich - bei mittelständischen Unternehmen. Kann man alles machen, aber wenn kein technischer Vorteil entsteht, darf man als Dienstleister schon so deutlich die Sinnfrage stellen, wie es Norbert hier tut. Gruß, Nils

Moin, hinter der Eigenschaft verbergen sich zwei Berechtigungseinträge. Die muss man also setzen können. [“Objekt vor zufälligem Löschen schützen” per Skript setzen | faq-o-matic.net] https://www.faq-o-matic.net/2010/05/21/objekt-vor-zuflligem-lschen-schtzen-per-skript-setzen/ Tatsächlich ist das aber auch eher ein Versteckspiel, den Effekt könnte man auch einfacher erreichen. Nur dann ist er eben nicht über das Häkchen im GUI sichtbar. Um zu prüfen, wie die Berechtigungen im AD tatsächlich aussehen, ist immer noch LIZA ein gutes Hilfsmittel: http://ldapexplorer.com/en/liza.htm Gruß, Nils

Moin, also, ich würde das Verhalten genau so erwarten, wie du es beschreibst. Dass es früher anders gewesen sein soll, erstaunt mich. Ist aber am Ende auch egal - wenn du den Vorgang regelmäßig durführst, warum automatisierst du ihn dann nicht einfach mit einem Skript? Dann hast du keine Klickerei und musst auch keine Dateinamen korrigieren. Gruß, Nils

Moin, ihr habt wahrscheinlich ein neues Profil angelegt, keinen neuen User. Wie gesagt, der Unterschied ist wichtig. Wenn ihr eine IT-Abteilung habt, dann wäre die doch sicher die richtige Ansprechpartnerin, oder? Sowas müssen Anwender ja nun nicht auf eigene Faust lösen. Ich würde jetzt als nächstes im Eventlog schauen, denn sicher gibt es dort Hinweise, was beim Zugriff auf das Profil das Problem ist. Damit sollte sich das dann durch die IT-Administration lösen lassen. Gruß, Nils

Moin, Nicht dein Benutzerkonto ist weg, sondern das Profil. Das ist ein großer Unterschied. Sowas passiert normalerweise, wenn man ein servergespeichertes Profil konfiguriert hat und der Client dies aus irgendeinem Grund nicht laden kann oder wenn der Client die lokale Kopie nicht überschreiben kann. Abhilfe: nimm den Eintrag mit dem servergespeicherten Profil aus dem Konto im AD raus und arbeite mit einem lokalen Profil. Servergespeicherte Profile machen nur Probleme. Und: solange ein temporäres Profil aktiv ist, speichere dort nichts. Es wird danach auf jeden Fall weg sein. Gruß, Nils

Moin, was ist der Grund für bzw. was meinst du mit: "unter anderem"? Was hast du denn da vor? Verschiedene Techniken parallel einsetzen? Es ist nicht ohne Grund seit Jahrzehnten Best Practice, das RAID-Management auf der Hardware-Ebene zu machen, also über einen RAID-Controller. Die Techniken, die die OS (nicht nur Windows, das gilt auch für Linux) dafür anbieten, sind eher Krücken. Für einen einfachen Dateiserver ist es auch nicht sinnvoll, mit Software Defined Storage zu arbeiten - worunter man kein RAID mit Stripesets usw. versteht, sondern komplexe Konstrukte, die üblicherweise eine größere Zahl an Servern umfassen. Bei dem, was du beschreibst, würde ich sehr klassisch vorgehen, das ist bewährt und stabil. Was die Netzwerkkarten betrifft - bei der Ausstattung läuft natürlich alles über den 10-GbE-Port. Den 1-GbE-Port würde ich ganz unbenutzt lassen, höchstens für Lights-out-Management nutzen oder so. Und wenn du mit DFS arbeitest, sind Laufwerksmappings i.d.R. völlig unnötig. Gruß, Nils

Moin, dazu gibt es ja widersprüchliche Angaben vom TO ... aber klar, das wäre natürlich erst mal zu prüfen. Vielleicht bekommt man die VM damit wieder zum Laufen und kann sie dann in Ruhe ordentlich bearbeiten. Gruß, Nils

Moin, möglicherweise bekommt man da was hingebastelt. Da es hier aber anscheinend um Systeme geht, die sehr kritisch sind, würde ich das auf keinen Fall mit Vermutungen oder Anleitungen aus einem Forum machen. Sowas muss man mit ausreichend Kenntnissen direkt am System machen. Da es hier keine Möglichkeit dazu gibt, kann ich dir leider keine Tipps dazu geben. Hier ist jetzt der Punkt, wo ich als zweitbesten Weg die VM abschreiben und aus einem Backup wiederherstellen würde. Gruß, Nils

Moin, Was kann denn auf einem DC vollgeschrieben werden? Ich würde da kurzen Prozess machen, den DC aus den AD entfernen und einen neuen aufsetzen. Sollte es auf der virtuellen Festplatte irgendwas von Belang geben, kann man die ja irgendwo mounten und die Daten weg kopieren. Gruß, Nils

Moin, Die Host-Fehlermeldung war vor dem Neustart des Hosts, richtig? Dann ist die hier weniger interessant. Meldet der Host nach dem Neustart noch Fehler? Gruß, Nils

Moin, um es noch mal ganz deutlich zu sagen: Das ist kein Thema für Policies, sondern für Automatisierung, sprich Skripte. Gruß, Nils

Moin, wenn das Hotel verkauft wird und eine eigene IT-Umgebung braucht, dann baut man für dieses Hotel eine eigene (separate) IT-Umgebung auf, die dann mit verkauft wird. In dem Fall könnt ihr sogar Dinge automatisieren und habt ein Konzept, das ihr dem Broker-Unternehmen als maßgeschneiderte Dienstleistung verkaufen könnt, die dann bei jedem neuen Hotel angewendet wird. Siehste, hier kriegst du sogar Business Consulting kostenlos dazu. Sag noch einer was über böse Dienstleister. Gruß, Nils

Moin, auf ein ordentliches AD-Backup. Das ist was anderes, als eine VM zu sichern. Letzteres kannst du auch tun, aber immer nur ergänzend. Falls das jemandem bekannt vorkommt: Ja, ich habe gerade in Erfurt darüber gesprochen. https://www.it-p.de/experts-live-germany-die-relevanz-von-active-directory-ad-im-cloud-zeitalter/ (hier Seite 53) Gruß, Nils

Moin, kurz und knapp: Das ist nicht so. Du kannst zwei Domänen, die zu einem Tree gehören, nicht nachträglich trennen. Der Tree bringt dir keinen Vorteil. Das wird daran liegen, dass eine Multi-Domänen-Umgebung eben einiges an Besonderheiten mitbringt, mit denen man umgehen muss. Dazu gehört die Frage, welche Objekte sich in welcher der Domänen befindet. Auch DNS muss passend eingerichtet sein. Eine solche Umgebung erschwert die Administration, bringt aber weder für die Sicherheit noch für den Betrieb Vorteile. Deshalb macht man das nicht (mehr). [Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net] https://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/ Heute würde ich den Artikel noch wesentlich schärfer formulieren und deutlich sagen, dass ein Multi-Domänen-Konzept fast immer die falsche Wahl ist. Gruß, Nils

Moin, na, wenn du das sagst ... dann muss ich das wohl seit 25 Jahren irgendwie falsch verstanden haben. Gruß, Nils

Moin, warum ein Tree? Das macht man eigentlich schon lang nicht mehr. Da es nur sehr wenige Gründe dafür gibt - welcher ist es hier? Zudem wäre es nett, wenn du dein Problem deutlich benennst und es nicht in so einem langen Text versteckst. Gruß, Nils

Moin, falscher Dampfer. Die autorisierende Wiederherstellung braucht man, um einzelne gelöschte Objekte in einem laufenden AD wiederherzustellen. Wenn man einen einzelnen DC in einem nicht laufenden AD wiederherstellt, dann gibt es ja kein laufendes AD. Dann braucht man auch keine autorisierende Wiederherstellung, die würde nur das USN-Gefüge durcheinanderbringen (was aber meist auch kein echtes Problem darstellt). Das Problem mit Netlogon usw. wird ein Detailproblem sein, das sich auf dem betreffenden DC beheben lassen sollte. FSMO-Rollen sind hier uninteressant. Clients können während des Restores laufen oder nicht, das hat für den Restore-Vorgang keine Auswirkung. Je nachdem, was da im Detail kaputtgegangen ist und wie vorher gesichert wurde, ist es mit dem Restore eines DCs halt nicht getan. Zusätzliche Arbeit wird man immer haben. [Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net] https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/ Gruß, Nils

Moin, Prima, Glück gehabt. Danke für die Rückmeldung. Dann empfehle ich als nächstes ein Recovery-Konzept (ein Backup-Konzept folgt daraus). Gruß, Nils

Moin, das Flag "nicht exportierbar" ist nur ein Versteckspiel. Die Windows-MMC hält sich daran, das müsste sie aber nicht tun. Es gibt Clients, mit denen man den Key trotzdem exportieren kann. Ist auch kein Wunder, denn um ihn nutzen zu können, muss man ihn ja lesen, und das ist bei Computern gleichbedeutend mit Kopieren. Gruß, Nils PS. nein, ich kann keinen Client nennen, mangels Bedarf. Kann aber keine riesige Hürde sein.

Moin, System Engineer ist keine geschützte Berufsbezeichnung. Am Ende versteht jede etwas anderes darunter. Meist handelt es sich dabei um "Praktiker", die Konzepte erarbeiten und auch umsetzen. Ein Studium ist zumindest nicht generell Voraussetzung. Von den SEs, mit denen ich in den letzten 25 Jahren gearbeitet habe, hatte schätzungsweise weniger als die Hälfte studiert - und von diesen hatte schätzungsweise weniger als die Hälfte ein IT-Studium. Ähnlich ist das mit der Bezeichnung "IT-Consultant", auch die ist nicht geschützt und lässt keinen Rückschluss auf den Bildungsweg oder die Berufserfahrung zu. Das Zitat, das du da anführst, ist nicht aussagekräftig. Gruß, Nils (vom Ausbildungsweg her Literaturwissenschaftler)