NilsK

Moin, nur kurz zur Einordnung: Martin hat natürlich Recht, aber das Szenario, das du beschrieben hast, passt nicht recht dazu. Da du das lokale Adminkennwort nicht kennst, musst du die Workstation ohnehin neu installieren. Und es besteht ja Netzwerkkontakt zum AD, also brauchst du auch keinen Offline Join. Gruß, Nils

Moin, zumal das Ganze wie im Beispielcode nur funktioniert, wenn der User lokaler Admin ist und die UAC abgeschaltet ist. Sonst dürfte C$ gar nicht zugreifbar sein. Ich halte das für überhaupt keine gute Idee. Gruß, Nils

Moin, je nach Perspektive stimmt das tatsächlich. Erstaunlich viele Grundlagen sind noch so wie "früher". Aber nicht alle. Gruß, Nils

Moin, was ist denn genau das Problem? Dass da ein rotes Kreuz angezeigt wird? Oder funktioniert auch irgendwas nicht, was funktionieren sollte? Gruß, Nils

Moin, ich meine, dass Signaturen erst möglich sind, wenn man eine gewisse Anzahl an Beiträgen überschritten hat. Aber so viel Aufwand ist es ja auch nicht, freundliche Grüße zu schreiben. Ich habe das bei aktuell 16.654 Beiträgen manuell gemacht. Gruß, Nils

Moin, ohne dir zu nahe treten zu wollen, aber vermutlich wäre es sinnvoll, jemanden hinzuzuziehen, der sich mit der Domänenverwaltung auskennt. Du hantierst hier an einer Stelle, die über die Sicherheit des Netzwerks entscheiden kann und damit auch - um es deutlich auszudrücken - über den Fortbestand des Unternehmens. Gruß, Nils

Moin, was du hier machst und zeigst, ist das Vordefinieren eines Computerkontos im AD. Das ist ein optionaler Schritt. Der eigentlich wichtige Schritt besteht darin, dass man den Rechner in die Domäne aufnimmt. Dazu muss man sich dort lokal mit Administratorrechten anmelden und dann den Computer ausdrücklich in die Domäne aufnehmen (am Einfachsten: im Suchfeld nach dem Wort "Domäne" suchen, dann taucht dort die passende Funktion auf). Man kann das bei einer automatisierten Installation auch über ein Skript machen. Wenn man das Computerkonto im AD nicht vorher anlegt, dann wird automatisch eins erzeugt, standardmäßig im Container CN=Computers. Gruß, Nils

Moin, ich habe (leider) noch nicht selbst damit gearbeitet, aber dies hier sieht aus, als würde es zu deiner Frage passen: [Prepare people to use Windows Hello | Microsoft Learn] https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-prepare-people-to-use Gruß, Nils

Moin, ich sag es jetzt mal noch allgemeiner altersweiser: wie immer in organisatorischen Fragen sollte man sich nicht der Illusion hingeben, dass man den einen Weg findet, der für alle Zeiten passt. Gruß, Nils

Moin, und ich verrate nicht, wo die Mailboxen vorher lagen. Gruß, Nils

Moin, ich sogar zu 101%. Gruß, Nils ... der einen Kunden hat, der sich einen Spamreport in ExO nachbauen lässt, wie man ihn Anfang der 2000er hatte ...

Moin, es kann durchaus sein, dass nslookup da einen seltsamen Fehler hat. Zu dem werden wir dir aber nichts sagen können, das wird im Zweifel nur der Hersteller tun können. Ich kann z.B. das Problem hier nicht nachstellen und daher selbst nichts ausprobieren. Wir können gern versuchen, dir beim Lösen eines konkreten Funktionsproblems oder beim Erreichen eines bestimmten Ziels zu helfen, aber dafür müssten wir wissen, was denn das eigentliche Ziel ist - du wirst nslookup ja vermutlich nicht um seiner selbst willen ausführen. Rumraten bringt erfahrungsgemäß niemandem was. Gruß, Nils

Moin, ja, diese Einfachheit bezahlt man im AD mit idi*tischen Umständen an anderen Stellen. Schön, dass es geklappt hat, und danke für die Rückmeldung. Gruß, Nils

Moin, nur eine Vermutung, aber es könnte sein, dass die Umlaut-Maskierung zuschlägt, die das AD für den sAMAccountName hat. Das hatten wir gerade in einem anderen Thread: das AD unterscheidet intern nicht zwischen einem User "Müller" und einem User "Muller". Ich würde einfach zwei Umbenennungen machen: von einß in einz, von einz in einss. Geht das? Gruß, Nils

Moin, ich hab den Thread noch mal gelesen. Um TLS-Zertifikate für den Zugriff von außen zu erzeugen, ist der interne Domänenname völlig egal. Wenn also nicht noch was anderes im Busch ist, braucht es weder eine Domänen-Migration noch irgendwelche DNS-Klimmzüge. Gruß, Nils

Moin, na, dann sind wir ja schon fast beim Filmzitate raten. "Oh, wir hatten dieses Jahr einen sehr schönen Sommer. Er fiel auf zwei Tage im Juli und einen im August." Leider weiß ich weder den exakten Wortlaut, noch kann ich mich an den Filmtitel erinnern. Irgendwas Britisches aus den Siebzigern, meine ich. Gruß, Nils

Moin, wer auch immer sich diesen Schw*chsinn mit dem dSHeuristics ausgedacht hat ... ein Quell steter Freude seit 25 Jahren. Gruß, Nils

Moin, nur um das jetzt noch mal ausdrücklich zu sagen: Für ein selbstsigniertes Zertifikat brauchst du gar keine PKI. Gruß, Nils

Moin, oder wie Norbert vor einer Stunde schon sagte ... Gruß, Nils PS. da PKI bekanntermaßen böse ist, ist bei erkanntem oder vermutetem Bedarf eine kompetente Beratung und Planung höchst sinnvoll. In einem Forum kann man technische Details diskutieren, aber an der Stelle sind wir hier offenkundig noch nicht.

Moin, dann verteilt erst mal nur Zertifikate. Baut die PKI erst dann, wenn ihr sie braucht. Kann gut sein, dass ihr keine braucht. Weder noch. Die beiden Server haben unterschiedliche Aufgaben. Eine Root-CA, die offline bleibt, eine Issuing-CA, die die Zertifikate verteilt ausstellt. Ihr bietet ja keine kommerziellen Zertifikatsdienste an, daher werdet ihr mit großer Sicherheit nur minimale Last haben und einen möglichen Ausfall per Recovery beantworten können. Siehe Norberts Antwort von vorhin. Gruß, Nils PS. ich hab oben den Ausdruck noch mal korrigiert: Die Issuing-CA stellt die Zertifikate aus, sie verteilt sie aber nicht.

Moin, dann braucht ihr evtl. eine PKI (je nachdem, was da genau verteilt werden soll; vielleicht braucht ihr auch keine, sondern nur Zertifikate) und GPOs. Die PKI sollte zweistufig sein, wenn es keine spezielleren Anforderungen gibt, es geht aber auch einstufig. Also minimal ein CA-Server, typischerweise zwei. Und dann - siehe Norbert. Gruß, Nils

Moin, eine PKI hat einfach mit Standorten nichts zu tun. Üblicherweise nicht mal mit einer Organisationsstruktur. Für die Details siehe Norberts Antwort. Was ist denn die Anforderung oder das zu lösende Problem? Gruß, Nils

Moin, nein. Das hat nichts miteinander zu tun. Gruß, Nils

Moin, die Pflicht kommt nicht vom BSI, sondern aus dem Gesetz und einer darauf bezogenen Verordnung. Das ist ein wichtiger Unterschied. An der Stelle (und in vergleichbaren Diskussionen) gibt es eine Menge Mythen, von denen ein Großteil großteils nicht zutrifft. Es hilft, wenn man bei vermeintlichen Pflichten hier und da mal genauer hinsieht. Gruß, Nils

Moin, wäre mir neu, dass das BSI irgend jemanden verpflichten kann. Und ob die Schlussfolgerung danach so zutrifft ... mit sowas wäre ich im Zweifel vorsichtig. Dem Rest stimme ich prinzipiell zu. Gruß, Nils