NilsK

Moin, der Win-10-Rechner hat das Recht, die Policy zu lesen? Gruß, Nils

Moin, ich hab grad noch mal selbst auf Seite 24 gesehen ... meine obige Darstellung war nur vom Prinzip her richtig, im Detail aber leider nicht. Entscheidend ist nicht Bit 9 (Dezimalwert 512, "NORMAL_ACCOUNT"), sondern Bit 1. Wenn dieses NICHT gesetzt ist, ist der Account aktiv. In der Praxis kann aber eben durchaus auch 66048 dort stehen, was auch ein aktiver Account ist. Gruß, Nils

Moin, der Fehler ist der numerische Wert für userAccountControl. Es handelt sich dabei um ein Bitmap-Feld. Das zehnte Bit mit dem Dezimalwert 512 gibt an, dass ein Konto aktiviert ist. Der numerische Wert 512 steht aber nur dann in dem Feld, wenn kein anderes Flag gesetzt ist. Der (fiktive) Wert 513 etwa könnte auch angeben, dass das Konto aktiviert ist, weil die 512 ja gesetzt ist. Dein Filter auf 512 enthielte diesen Datensatz aber nicht. Du müsstest hier also mit einem Bitfilter arbeiten. [Whitepaper: LDAP-Filter für Active Directory | faq-o-matic.net] https://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/ In dem PDF auf Seite 24 erklärt. Gruß, Nils

Moin, sowas ähnliches hat ein Member neulich auf die Schnelle hier gebaut: Gruß, Nils

Moin, wie magheinz schon richtig sagt: Sowas macht man normalerweise beim Anlegen des Users. Das kann man aus dem AD-Verwaltungsprogramm gleich direkt tun über die Registerkarte "Profil", dort "Basisordner". Da gehört ein UNC-Pfad rein à la \\NAS\Homeshare\%username% - so legt Windows dann in dem Share den passenden Ordner an und setzt auch gleich die Berechtigungen. Man könnte sowas auch beim Anmelden über ein Logonskript tun, aber das wäre a) unüblich, b) abhängig von Berechtigungen auf der Share-Ebene, die man so eigentlich nicht setzen will und c) mit unnötig aufwändiger Logik im Skript verbunden. Gruß, Nils

Moin, wenn die User kein Adminkonto bzw. -kennwort haben, kann ja nichts passieren. Die Funktion abzuschalten, hieße, dass auch ein berechtigter Admin keine Möglichkeit hätte, einen Task mit erhöhten Rechten innerhalb einer bestehenden Usersession auszuführen. Mir wäre auch keine Möglichkeit bekannt, das abzuschalten (was nicht automatisch heißt, dass es nicht geht). Möglicherweise reicht es, den Dienst "Sekundäre Anmeldung" zu deaktivieren, ist aber ungetestet. Gruß, Nils

Moin, das geht nicht. Entweder man ist Admin oder nicht. Und einen Admin kann man nicht wirksam einschränken. Gruß, Nils

Moin, du suchst den SQL-Befehl "RESTORE DATABASE" mit der "AS"-Klausel, die einen neuen Namen für die wiederhergestellte Datenbank vergibt. Den Datumsstring kannst du dir mit SQL-Mitteln zusammenbauen oder, falls du das Restore von außen triggerst, mit den Mitteln der dort verwendeten Skriptsprache. Um die nicht mehr benötigten Datenbankkopien zu entfernen, nutzt du "DROP DATABASE". Die Logik drumrum ist nicht ganz trivial, aber durchaus zu handhaben. Du solltest dir überlegen, wie du den Task automatisieren willst - mit dem SQL Server Agent oder z.B. von außen über den Taskplaner. Im ersten Fall solltest du die Logik mit SQL-Anweisungen aufbauen, im zweiten käme PowerShell in Frage. Beides hat seine Vor- und Nachteile, am Ende entscheidet, mit welcher Technik du dich wohler fühlst. Gruß, Nils

Moin, schön, danke für die Rückmeldung. Ein Vorschlag: Unterscheide Szenarien, in denen eine Wiederherstellung wichtig ist. "Disaster Recovery" ist kein Oberbegriff, sondern eine seltene Ausnahme - dass wirklich eine Katastrophe im Stil von "alles weg" eintritt, ist weit exotischer, als viele annehmen. Viel wichtiger ist, Handlungsweisen für "kleine" Ausfälle zu haben und dann zu wissen, was man in welcher Qualität wiederherstellen muss. Gruß, Nils

Moin, es führt aber nicht weiter und ist genau deshalb in diesem Board nicht erwünscht. Gruß, Nils

Moin, wenn die DCs nur DCs sind, ergibt es überhaupt keinen Sinn, einen von mehreren DCs per Restore wiederherzustellen. Was Acronis da macht, ist prinzipiell schon in Ordnung. Ein Restore, das vom AD weiß, setzt ein Flag, durch das der DC weiß, dass er wiederhergestellt wurde. Dasselbe passiert auch beim Restore des Systemstate mit Bordmitteln. Ob man das Verfahren braucht, steht auf einem anderen Blatt. Gruß, Nils

Moin, lass mich raten - du hast den Beitrag auf Englisch geschrieben und automatisch übersetzen lassen? *SCNR* Gruß, Nils

Moin, fein, aber Dukels Hinweis im ersten Satz ist zutreffend und bedarf keiner inhaltlichen Ergänzung. Gruß, Nils

Moin, um was für Festplatten handelt es sich? Bei einer Suche etwa auf einer USB-Platte fände ich 61,2 MB/s spontan nicht überraschend. Gruß, Nils

Moin, ja, und Layer 9 ist der "Political Layer", gefolgt von Layer 10 als "Religious Layer". Gruß, Nils

Moin, ich nenne das den "Konjunktiv III: IT-Konjunktiv - müsste gehen". Gruß, Nils

Moin, spannend. Läuft WinDirStat evtl. mit einem anderen Konto, sodass Berechtigungen die Ursache sein könnten? Ich habe richtig verstanden, dass es sich um ein NAS handelt, kein Windows-System? Dann könnte natürlich auch das NAS einen Fehler im SMB-Protokoll haben. Hast du den Effekt nicht, wenn du dieselbe Abfrage von einer anderen Windows-Version aus machst? Oder wie kommst du darauf, dass das Problem eins von Server 2019 sei? Gruß, Nils

Moin, keine Sammel-Accounts für die Administration. Niemals. Auch keine Sammel-Accounts für Dienste. Alles, was hohe Berechtigungen braucht, wird mit personalisierten bzw. dedizierten Accounts gemacht. Diese Accounts sind nur für die administrative Arbeit bzw. zur Anmeldung von Diensten, für nichts anderes. Jeder Admin hat separat einen normalen User-Account für die alltägliche nicht-administrative Arbeit. Domänen-Admins nur zum Verwalten der Domäne, also nur in Ausnahmefällen. Auch die normale User-Administration oder das Aufnehmen von Rechnern ins AD braucht keine Dom-Admin-Rechte. Gruß, Nils

Moin, ob in deinem Setup die NUMA-Einstellungen tatsächlich ernsthafte Auswirkungen haben, halte ich nicht für ausgemacht. Du findest dazu einiges im Web (oder auch im Hyper-V-Buch von Rheinwerk). Wichtig: Relevant ist nur, was sich auf Hyper-V und NUMA bezieht. Vorsicht, ist starker Tobak. Um Leistungseinschränkungen durch die NUMA-Belegung auszuschließen (oder zu testen, ob sich was ändert), öffnest du die Eigenschaften des Hosts im Hyper-V Manager, dort findest du NUMA-Einstellungen. Da muss das Häkchen leer sein (nicht gesetzt). Das ergibt aber nur Sinn, wenn du die Zahl der zugewiesenen vCPUs auf ein sinnvolles Maß reduzierst. Beim oben genannten Setup werden sonst VMs gar nicht mehr starten. Aus dem Grund sind solche Änderungen oder Tests auch heikel - nur in einer Downtime. Gruß, Nils

Moin, spontan würde ich sagen, du hast zu viele Cores (in Hyper-V eher vCPUs) vergeben. Der Host hat 32 Cores. Wenn du die alle gleichzeitig mit VMs belegst, hat der Host selbst für seine Aufgaben keine CPU-Ressourcen mehr frei. Das führt zu Problemen, durchaus in der Art, wie du sie beobachtest. Pauschal würde ich alle VMs auf die Hälfte reduzieren. Für den RDS ist 8 sicher auch ausreichend. Reicht dicke, und der Host kann seiner Scheduling-Aufgabe nachkommen. Nur weil "viel" im Host steckt, muss man nicht auf Biegen und Brechen versuchen, das auszureizen. Gruß, Nils

Moin, ist das Konto Mitglied der lokalen "Hyper-V-Administratoren"? Gruß, Nils

Moin, Google zeigt mir dies, vielleicht hilft's: https://social.technet.microsoft.com/Forums/lync/en-US/86969580-851f-467c-a84b-be9d2493a60a/dfs-namespace-folder-creation-error-file-already-exists?forum=winserverfiles Gruß, Nils

Moin, die GPMC-Skripts sind in einer deutschsprachigen Umgebung leider nur begrenzt hilfreich, weil sie enorme Probleme mit (im AD zulässigen) Sonderzeichen haben. Daher hatte ich für Laborzwecke mal dies entwickelt: [Domänen-Double für Testzwecke | faq-o-matic.net] https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/ Für den eigentlichen Zweck "mal nachsehen und abheften" ist in der Tat seit 15 Jahren José zu empfehlen. Ein Hinweis noch: Es wäre sehr hilfreich, wenn du bei Fragen genauer angibst, was du denn vorhast. So ersparen wir uns unnötige Rückfragen. Doch, gibt es seit bald 20 Jahren: csvde. Je nachdem, was man da exportiert, kann man es auch hinterher wieder importieren. Mein oben genanntes Skript macht sich das auch zunutze. Gruß, Nils

Moin, und was hast du damit vor? Zu welchem Zweck brauchst du den Export? Lass dir doch bitte nicht alles aus der Nase ziehen ... Gruß, Nils

Moin, zunächst wäre zu definieren, was denn mit "AD Struktur Export" gemeint ist ... Gruß, Nils