NilsK

Moin, wie gesagt: so pauschal halte ich das für Qu*tsch. Falls da was kommt, kannst du ja mal angeben, was da angeblich empfohlen wird. Viele Berater behaupten da aber auch gern mal irgendwas, da ist "Microsoft" als angebliche Quelle ungefähr so aussagekräftig wie ein Bibel- oder Koranzitat. Vor allem wenn so ein Berater keine Alternative für eine Wiederherstellung angibt (die es je nach Szenario ja durchaus geben kann), klingt das wenig glaubwürdig und ziemlich nach Schaumschlägerei. Gruß, Nils

Moin, ja. Und bei der Gelegenheit solltest du mal über das Gesamtkonstrukt nachdenken. Proxy, Exchange und DC in der DMZ (wie du oben schreibst) ist Käse. Von den dreien kommt höchstens der Proxy in die DMZ, aber weder der Exchange noch ein DC. Gruß, Nils

Moin, am Ende besteht dieses Risiko bei jeder Datensicherung bzw, eher der Wiederherstellung. Das ist immer eine Sache der Abwägung. Pauschal solche Techniken abzulehnen, ist wenig sachgerecht. Hat der Consultant denn Alternativen benannt? Ebenso ist bei jeder Anti-Malware zu bewerten, wieviel sie denn hilft. Man kann nicht blind darauf vertrauen, dass vorhandene Schadsoftware nach der Wiederherstellung von selbst entfernt wird. Auch hier ist aber zu fragen, welche Alternativen es gibt. Gruß, Nils

Moin, was steht denn effektiv drin? Du kannst das einfach abfragen über net accounts /domain in einem CMD-Fenster. Gruß, Nils

Moin, ah, OK, ich dachte, auf dem PC läuft auch Windows. Dann bleibt es bei dem Tipp, mit der NAT-Option zu arbeiten. Gruß, Nils

Moin, spannend ... aber wenn ohnehin alles innerhalb von VMware läuft, dann spar dir doch den Bridged Mode. Mit dem hab ich auch sehr durchwachsene Erfahrungen. Die VMs müssen ja nur untereinander kommunizieren und brauchen nicht übers externe Netzwerk. Da würde ich den NAT-Modus in VMware WS nehmen, wenn doch eine VM Zugriff aufs Internet braucht. Das hat bei mir viel besser funktioniert. Seit ca. einem Jahr arbeite ich mit Client Hyper-V in Windows 10, das kann alles, was ich brauche (inkl. Nested Virtualization). Den Umstand mit VMware muss ich mir so nicht mehr machen. Gruß, Nils

Moin, ich habe den Aufbau noch nicht verstanden. Du hast einen DC als VM innerhalb von VMware Workstation, welches auf deinem PC läuft? Und was ist das für ein Hyper-V-Host? Ist das ein physischer Server im selben Netz wie dein PC? Und was ist das für eine "VM", wo läuft die? Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, es sollte funktionieren, wenn du in der "anderen" Domäne (also B) die folgende GPO-Einstellung setzt: Computereinstellungen / System / Gruppenrichtlinie: Gesamtstrukturübergreifende Benutzerrichtlinien ... zulassen Gruß, Nils

Moin, was ist denn der Hintergrund deiner Frage? Was musst oder willst du denn erreichen? Gruß, Nils

Moin, am Ende ist die Frage ja, was man denn erreichen will. Bei dem Ansinnen des TO scheint es ja gar nicht um die Auswertung von Anmeldevorgängen zu gehen. Gruß, Nils

Moin, das löst das Problem nicht. Das Attribut lastLogon wird nicht repliziert, man muss es bei jedem DC abfragen und dann das aktuellste nehmen. Gruß, Nils

Moin, für UAC nach deinem Szenario ist lokale Anmeldung nötig. Gruß, Nils

Moin, auf einem deutschen System geht: vol E: > c:\ausgabe\name%date%.txt Gruß, Nils

Moin, ich habe noch nie einen Sinn darin gesehen, das pauschal zu tun. Höchstens im Einzelfall, wenn es "harte" Gründe dafür gibt. Viele Anwendungen hinterlassen immer einen Großteil ihrer Installation auf C:, auch wenn man ihnen "eigentlich" ein anderes Laufwerk zuweist. Die "Trennung" ist dann immer nur eine scheinbare. Gruß, Nils

Moin, Outlookdateien?! Ihr habt aber keine PSTs auf Netzlaufwerken, oder? Das ist nicht nur nicht supported, sondern auch ein prima Mittel, um Datenverluste zu erzeugen. Gruß, Nils

Moin, CSV ist nur für Hyper-V oder für Scale-out Fileserver unterstützt. Wenn es sich bei deinem Konstrukt um keins der beiden handelt, erhältst du keinen Herstellersupport. Damit erübrigt sich weitere Diskussion. Wenn dein Konstrukt eins von beiden ist, können wir über Detailfragen hier weiter sprechen. Gruß, Nils

Moin, Servicepacks ändern nichts an den Strukturen der Datenbank. Da sie aber natürlich die Funktion der Serversoftware selbst beeinflussen, lässt sich in deinem Szenario nicht ausschließen, dass es zu Problemen kommt. Für wahrscheinlich halte ich es aber nicht. Gruß, Nils

Moin, du findest im Web zahlreiche Quellen für Skripte, die alle DCs nach der letzten Anmeldung fragen und damit das "echte" letzte Anmeldedatum herausfinden, eine Suche nach "active directory real last logon" oder so hilft. Im Zeitalter des Ruhezustands sind aber Cached Credentials der übliche Anmeldeweg, sodass die Anmeldedaten am DC nur begrenzte Aussagekraft haben. Kommt also drauf an, was ihr da rausfinden wollt. Und: Selbstverständlich sind solche Auswertungen ein Thema für den Betriebsrat. Gruß, Nils

Moin, was soll das denn werden, ein Hyper-V-Cluster, ein Scale-out Fileserver oder noch was anderes? Und ist das für Produktion gedacht oder zum Testen? Auf einen Cluster will man sich ja verlassen können, da gibt es schon einiges, was man richtig machen sollte. Ausführliches Einarbeiten VOR dem Aufbau ist da schon sinnvoll. Gruß, Nils

Moin, gut, aber da sind wir uns ja nun schon eine Weile einig. Gibt es noch was zum Thema? Hat der TO noch konkrete Fragen an uns? Gruß, Nils

Moin, würde es auch. Man müsste "nur" die Logik der Schleife beim CSV-Import ändern, damit die leeren Werte nicht zum Abbruch führen. Kriegt man hin, aber für Nicht-PowerShell-Profis sind bei dem gewünschten Ergebnis manchmal andere Wege leichter zu beschreiten. Gruß, Nils

Moin, joah, das ist korrekt. Wenn wir dann aber schon dabei sind, sollte man auch prüfen, ob solche Kontakte im AD wirklich gut aufgehoben sind. Das wirft Fragen nach Pflege und Berechtigungen auf. Sowas ist in einem separaten System meist viel besser aufgehoben. Wieder mal eine Frage der Anforderungen ... Um nicht lange mit dem Umstand herumzuhangeln, dass die PowerShell-Schleife bei leeren Feldern NULL-Daten übergibt und daran scheitert, wäre für den Erstimport csvde vielleicht einfacher. Wenn dann die Objekte bestehen, kann man sie nachträglich Mail-enablen, falls gewünscht. (Da laut TO mehrere der Kontakte keine Mailadresse haben, wäre die Anlage als Exchange-Mailkontakt allerdings ohnehin sinnlos bzw. eben nicht möglich.) Gruß, Nils

Moin, in solchen Fällen arbeite ich gern direkt mit der Excel-Datei und erzeuge mir dort Batch-Kommandos. Dann musst du nicht mit Schleifen hantieren, sondern kannst bei Bedarf die einzelnen Kommandos noch korrigieren. [Excel: Admins unbekannter Liebling | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ In deinem Fall könntest du aber auch einen csvde-Import machen. Für Kontaktobjekte geht das gut. Du müsstest dann noch zwei Spalten für den DN und die objectClass hinzufügen. [csvde zum Import und Export von AD-Daten nutzen | faq-o-matic.net] https://www.faq-o-matic.net/2003/10/25/csvde-zum-import-und-export-von-ad-daten-nutzen/ csvde hat mit leeren Feldern i.d.R. kein Problem. Gruß, Nils

Moin, na, das ist ja jetzt schon ganz was anderes. ISO 27001 (bzw. in Deutschland besser BSI-200) ist ein sehr umfangreicher und strukturierter Standard. Typischerweise geht man sowas mit externer Beratung an. Beide Standards geben vor allem organisatorische Richtlinien vor, aber keine konkreten Tools oder Vorgehensweisen. Letztere sind wahlfrei, müssen nur eben die Anforderungen des Standards erfüllen. Man braucht nicht zwingend eine spezialisierte Software dafür, je nach Umfang kann es aber sinnvoll sein. Umgekehrt reicht eine Software allein aber nicht aus, es kommt vor allem auf die Prozesse an. Wenn eine Zertifizierung erforderlich ist, wird man einen hohen Erfüllungsgrad brauchen. Das kann man, ausreichend Ressourcen vorausgesetzt, auch selbst machen, aber in dem Fall ist externe Unterstützung sehr sinnvoll. Die Zertifizierung selbst erfolgt dann durch eine dritte Stelle, die solche Audits durchführen und abnehmen darf. Je nach Unternehmen bedeutet das ein Projekt von einem halben bis zweieinhalb Jahren, und das läuft nicht nebenbei, sondern erfordert ein höheres Maß an Einbindung. Es ist auch kein (reines) IT-Thema, sondern involviert mindestens die Führungsebene. Gruß, Nils PS. Nur um es erwähnt zu haben, ich weiß Dienstleister, die sowas machen. Die findet man aber natürlich auch per eigener Recherche.