NilsK

Moin, CPU ist kein Thema in dem Szenario. Nimm "irgendwas", auch ein Desktop-Prozessor reicht aus. Hauptsache er kann die Virtualisierungsfunktionen (Intel VT oder AMD-V und SLAT). Single-Cores wirst du ja nicht mehr kriegen, also 2-x Cores, aber das ist, wie gesagt, in dem Anwendungsfall mit Sicherheit nicht die Bremse. Plattenplatz: tja, musst du genauso bewerten. Schau dir an, was eine VM braucht, rechne das zusammen. Was die Plattenperformance angeht: Bei dem Budget wirst du keine großen Sprünge machen können, also wirst du mit dem leben müssen, was du bezahlen kannst. Bei vier Gruppen à 1-2 VMs wird es mit einer einzelnen HDD funktionieren, aber man muss vermutlich öfter mal warten. Eine SSD beschleunigt da deutlich, ist aber auch teurer. Ach, und wo wir dabei sind: In dem Szenario muss auch die Netzwerkkarte nichts Besonderes können, mit einer einzelnen Gigabit-Karte kann man loslegen. Auf Geschwindigkeitsrekorde wird es ja nicht ankommen. Gruß, Nils

Moin, naja, wenn du eine CSV-Datei einfach in Excel öffnest, weiß Excel ja nicht, wie breit du die Spalten gern hättest. Das wirst du dir dann also hinziehen müssen. Wenn du vom Öffnen einer neuen Datei weg gleich eine schöne Breite haben willst, musst du in deinem Skript eine Excel-Datei schreiben und die nötigen Eigenschaften mitgeben. Geht auch, ist nur deutlich mehr Aufwand. Gruß, Nils

Moin, mit dem Budget wirst du nicht weit kommen. Vielleicht lässt sich vorhandene Hardware damit aufrüsten, aber neue kaufen - eher nicht. Die Rechnung ist eigentlich relativ simpel: In solchen Umgebungen ist nur das RAM der kritische Faktor. Schau dir an, wie viel RAM die geplanten VMs minimal brauchen, um ausreichend gut zu arbeiten. Bei einem DC wird man nicht unter 2 GB gehen wollen, das reicht für Spielen im Lab auch hin, aber 4 GB wären natürlich besser. So eine Betrachtung für jede VM, dann bildest du die Summe und schlägst 4-6 GB drauf, damit der Host ausreichend Luft hat. Gruß, Nils

Moin, huh, warum plötzlich so angefasst? Hab ich was Falsches gesagt? Ich beziehe mich ja gar nicht auf das Anheben des Maximums. "Be my guest", wie ein Mitarbeiter von mir gern sagt. Das Seltsame ist ja die "Empfehlung" des Minimums, die eben weit über dem liegt, was man draußen im Feld - außerhalb großer RZ-Umgebungen - so antrifft. Und ich denke nicht, dass sich unter der Haube so viel geändert hat, dass man in einer Umgebung mit, sagen wir, wenigen hundert Benutzern plötzlich Server mit 128 GB brauchen würde. Genau da kommt dann auch die Frage nach dem supporteten Minimum ins Spiel, die Microsoft momentan einfach ausklammert, aber früher oder später wird beantworten müssen. Gruß, Nils

Moin, ein Semikolon sollte in einem deutschen Excel auch funktionieren. Möglicherweise liegt hier noch ein anderes Problem vor. Man könnte das aber recht einfach überprüfen und die Semikola in der vorhandenen Ausgabedatei einfach durch Tabs ersetzen - öffnet Excel es dann korrekt? In dem Fall würde ich nicht mehr lange suchen, sondern das im Skript einfach ändern. Vielleicht einfach oben eine Variable deklarieren, die das Trennzeichen aufnimmt und dann mit der Variable arbeiten, dann hat man es bei späteren Änderungen einfacher. Gruß, Nils

Moin, ja, das war schon vorher bekannt. Die haben ziemlich einen an der Waffel. Da sich architektonisch wenig geändert hat, dürfte es in "normalen" Umgebungen keinen Bedarf für diese Empfehlung geben. Zum supporteten Minimum schweigt man sich schlauerweise aus, das kann erfahrungsgemäß Monate dauern, bis die dazu mal was sagen. Der Hintergrund dieser ausgesprochen müden Version liegt ja auf der Hand: Der Standardkunde soll auf Office 365 umsteigen. Gruß, Nils

Moin, das mit Excel liegt an der deutschen Version - dazu gibt ein paar typische Lösungen: [CSV-Dateien mit Excel öffnen | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/12/csv-dateien-mit-excel-oeffnen/ Ein anderer Ansatz wäre, die Datei mit der Endung .txt zu speichern und dann in Excel einmal den Importassistenten zu durchlaufen. Was die Ausgabe angeht: Da würde ich es mir einfach machen und auf den Objektexport verzichten. Da du die Werte ja ohnehin in Variablen hast, würde ich vor der Schleife einmal die Überschriften als String in die Datei ausgeben. In der Schleife dann eine simple Ausgabe aller Werte mit Trennzeichen dazwischen: Wert1 + ';' + Wert2 + ';' ... Das ist nicht elegant, aber einfach, und du hast volle Kontrolle. Zudem kannst du damit das Trennzeichen selbst festlegen - wenn du das Semikolon nimmst, öffnet Excel auch in der deutschen Fassung die Datei gleich korrekt. Gruß, Nils

Moin, okay, und was genau soll jetzt anders? Dein Skript gibt, wenn ich das richtig sehe, ein CSV aus, das für jeden Server eine Zeile mit den Werten enthält. Der Weg über das Objekt ist dabei schon ziemlich "sophisticated". Gruß, Nils

Moin, wie sieht denn dein Skript aus? Es gibt eine ganze Reihe von Möglichkeiten, aber vermutlich lassen sich einige davon einfacher in deinem Skript implementieren als andere. Gruß, Nils

Moin, dasselbe Kennwort für mehrere (oder gar alle) privaten Schlüssel wäre ziemlich sinnfrei. Was ist denn die Anforderung, wozu soll das dienen? mir scheint, ich war auf dem falschen Dampfer. Kannst du bitte trotzdem mal beschreiben, was da eigentlich erreicht werden soll? Gruß, Nils

Moin, ja, das ist das, was ich mit meinem ersten Satz meinte. ;) Vielleicht muss man migrieren, vielleicht auch nicht. Das kann man aus der Ferne schlecht beurteilen. Aus Erfahrung kann ich nur sagen, dass man in mittelständischen Umgebungen fast nie migriert und in größeren nur manchmal. Gruß, Nils

Moin, "das kommt drauf an" ... ;) Meist macht man es so: Prüfen, welche Zertifikate der Alt-CA aktiv in Verwendung sind Aufbauen einer neuen CA, hier: Offline-Root (Standalone) und Enterprise-Sub, neuer Name usw., also ganz neue Struktur neue CA fertig konfigurieren und in Betrieb nehmen auf der alten CA die Zertifikatsvorlagen deaktivieren, sodass sie keine neuen Zertifikate mehr ausstellt bei Bedarf die Zertifikate der alten CA auf den Zielsystemen entfernen und neue von der neuen CA zuweisen, die Altzertifikate dann sperren wenn keine Alt-Zertifikate mehr in Verwendung sind, die Alt-CA entfernen Solange die Alt-CA noch gebraucht wird, bleibt sie in Betrieb, stellt aber keine neuen Zertifikate aus. Solange muss sie ihre Sperrlisten usw. noch aktualisieren und anbieten. Wenn die Umgebung komplexer ist, kann das Verfahren ungeeignet sein, in kleinen und mittleren Umgebungen passt es aber meist. Gruß, Nils

Moin, die BSI-Standards sind hilfreich, wenn es um die TOMs der DSGVO geht, also um die Umsetzung konkreter Maßnahmen, die aus den organisatorischen Besonderheiten der jeweiligen Organisation folgen. Inhaltlich hat das BSI mit der DSGVO aber nichts zu tun. Es berät zu Fragen der IT-Sicherheit, was ein anderes Gebiet ist, auch wenn es da Überschneidungen gibt. Für privatwirtschaftliche Unternehmen ist das Beratungsangebot eingeschränkt, diese beauftragen Beratungen im Projektrahmen bei anderen Wirtschaftsunternehmen, mit denen das BSI gar nicht in Konkurrenz treten darf. Das geht aus deinem Link ja auch ziemlich deutlich hervor. Und selbst wenn, kostet das natürlich auch beim BSI Geld. Unabhängig davon, war der Kern meines Hinweises auch, dass es für die DSGVO keine pauschal-objektiv umzusetzenden Standards gibt, mit denen man dann "fertig" wäre. Es kommt immer auf den Einzelfall des Unternehmens an und die Umsetzung erfordert Aufwand und Geld. Gruß, Nils

Moin, das BSI hat mit der DSGVO nichts zu tun. Gruß, Nils

Moin, doch. ;) "Selfsigned" bedeutet bei Zertifikaten, dass der Aussteller des Zertifikats und der "Zertifizierte" identisch sind. Die zertifizierende Stelle stellt also ein Zertifikat für sich selbst aus. Das Zertifikat ist damit technisch nicht weniger sicher als eines, das von einer CA ausgestellt wurde, es ist eben eine Frage der Vertrauenskette. Im internen Betrieb kann man einem selbstsignierten Zertifikat durchaus vertrauen, weil man die zertifizierende Stelle ja kennt, ein Externer wird das aber nicht beurteilen können. Das ist der Sinn dieser Unterscheidung. Ob ein Externer einer dritten Stelle mehr vertraut, muss er dann entscheiden, da liegt die grundsätzliche Schwachstelle des ganzen Systems (das ich, nebenbei, unter anderem aus diesem Grund für "broken by design" halte, aber das steht auf einem anderen Blatt). (Und "self-signed" ist dann einfach ein festgelegter Begriff.) Gruß, Nils

Moin, in der Tat. Hattest du das Kommando ursprünglich über die Zwischenablage eingefügt? Da machen Sonderzeichen bisweilen Probleme, z.B. wird der Bindestrich auf Webseiten oft als typografisches Zeichen dargestellt, das nicht dasselbe ist wie das Minuszeichen. Gruß, Nils

Moin, passiert dasselbe in einem CMD-Fenster? Ich würde intuitiv nicht ausschließen, dass die PS da wegen irgendwas hustet. Gruß, Nils

Moin, das dürfte vorrangig eine politische Frage sein. Insofern kann man da wenig zu sagen. Oberflächlich betrachtet, kann ich sowohl die Forderung verstehen als auch deren Zurückweisung. Gruß, Nils

Moin, nur mal so als Zwischenruf: Es kann durchaus sein, dass man im Zuge des Designs feststellt, dass Exchange nicht das richtige System dafür ist. Gruß, Nils

Moin, ich stimme Norbert zu. Ein AD-Klon ist nicht nur nicht supportet, sondern birgt enorme Risiken technischer und organisatorischer Natur und vor allem für die Sicherheit. Der Nutzen ist dabei auch mehr als fraglich, denn es ist niemals eine 1:1-Kopie der Echtumgebung und daher immer begrenzt aussagekräftig. Besser: Eine Nachbildung. [Active-Directory-Double als Testumgebung | faq-o-matic.net] https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/ [Domänen-Double für Testzwecke | faq-o-matic.net] https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/ Gruß, Nils

Moin, die einfache Antwort ist: Exchange ist einfach nicht für so ein Szenario entworfen worden. Die längeren Antworten hast du hier schon bekommen. Beachte an der Stelle auch, dass Exchange und das AD seit Exchange 2010 (oder 2007? Kann auch sein) getrennte Wege gehen. Solange es beim OWA-Szenario bleibt, können Address Book Policies ausreichen. Wenn aber die einzuschränkenden User auch im internen Netzwerk arbeiten und dann Zugriff auf das AD bekommen, müsste man dort die Sichtbarkeit der AD-Objekte mit Berechtigungen separat einschränken. Auch hier bewegt man sich dann in einem nicht supporteten Bereich, sobald man die Standardberechtigungen manipuliert (was man in dem Szenario tun müsste). Gruß, Nils

Moin, In der Konsequenz hat das Systemhaus Recht: alle Details sind so umfangreich, dass man sowas nicht kostenlos beraten kann. Gruß, Nils

Moin, gar nicht. Du kannst einen Beitrag als Lösung markieren, was du ja getan hast. Gruß, Nils

Moin, genau das ist das Missverständnis. Durch den "GPO-Satz" wird Windows 10 nicht "DSGVO-konform" und umgekehrt ist es ohne diesen Satz nicht pauschal inkonform. Ob die dort steuerbaren Einstellungen im konkreten Fall von Belang sind, wäre bei Bedarf zu prüfen. Wobei das natürlich aufwändig ist - daher ergibt die Empfehlung, auf Enterprise zu setzen, schon Sinn, aber aus der Empfehlung ergibt sich eben keine Notwendigkeit. Gruß, Nils

Moin, in dieser pauschalen Form ist die Aussage nicht korrekt. Die DSGVO schreibt keine speziellen technischen Funktionen vor. In erster Linie ist die DSGVO eine organisatorisch zu bedienende Richtlinie, die man nicht durch Technik erfüllt. Konkrete technische Maßnahmen sind immer nur ein Werkzeug, das das Umsetzen der - letztlich übergeordneten - organisatorischen Maßnhamen unterstützen soll. Im konkreten Fall kann es durchaus passieren, dass man feststellt, dass eine bestimmte technische Funktion das Erfüllen der Vorgaben besser, schlechter oder nicht unterstützt. Das ist dann aber immer eine Frage des Einzelfalls und keineswegs pauschal zu beantworten. Gruß, Nils