NilsK

Moin, dies hier geht nicht? https://support.microsoft.com/en-us/help/4027670/windows-10-add-and-switch-input-and-display-language-preferences Gruß, Nils

Moin, trotzdem bleibt der Ressourcenmonitor ja ein Mittel - zu welchem Zweck? Vielleicht gibt es ja alternative oder bessere Wege zum Ziel. Gruß, Nils

Moin, vermutlich hast du die Einstellungen im AD gemacht? Dann hast du den User den betreffenden lokalen Gruppen auf den DCs zugewiesen (denn nur dort gelten die Gruppen aus dem Container "Builtin"). Wenn du jetzt auf deinem Client ein whoami ausführst, siehst du die Gruppenmitgliedschaften für lokale Gruppen auf dem Client, nicht die vom DC (und dort bestehen die Mitgliedschaften eben nicht). Dasselbe gilt für die Userrechte: Die hat dein User dann auf dem DC, nicht auf dem Client (wodurch du sie auf dem Client auch nicht siehst). Du müsstest aber beides auf dem Client ausführen, d.h. dort als Admin anmelden und den User über "lusrmgr.msc" in die betreffenden Gruppen aufnehmen. Aber ziehen wir das Ganze doch mal von der richtigen Seite auf: Was ist denn das eigentliche Problem, das du lösen willst? Gruß, Nils

Moin, über solche Verfahrensfragen informiert der Betriebsrat, sobald er dazu in der Lage ist. Zunächst wird der intensiv mit der Unternehmensleitung abstimmen, was und wie usw. Also abwarten. Sobald es für dich relevant wird, wirst du offizielle Informationen dazu bekommen. Gruß, Nils

Moin, https://blogs.technet.microsoft.com/russellt/2016/06/03/custom-ldap-certs/ dort unter "Important Note". Ist keine offizielle Aussage, aber mit dem Hinweis könnte man eine bekommen. Gruß, Nils

Moin, kurz gesagt: Solange der TO kein leitender Angestellter ist, hat er nichts zu "befürchten". Die Mitbestimmung übt der Betriebsrat gegenüber der Unternehmensleitung aus, nicht gegenüber einzelnen Mitarbeitern. Einzelne Mitarbeiter sind dem Betriebsrat gegenüber auch nicht verantwortlich. Ich würde erst mal abwarten. Ein Betriebsrat muss nicht per se etwas Schlechtes sein, und sobald er sich und seine Arbeitsweise gefunden hat, wird man mit ihm klarkommen. Gruß, Nils

Moin, Loadbalancer vor einem DC ist nicht supported, aber Microsoft hat eine Anleitung, wie man in dem Fall ein Zertifikat für LDAPS baut. Gruß, Nils

Moin, warum sollte es? Das Prinzip gilt unabhängig vom Anmeldeprotokoll. Sicher, aber das ist nicht das Szenario, nach dem der TO gefragt hat. Durch ungünstigen Aufbau kann man schon einiges tun, um Abhängigkeiten von bestimmten DCs zu erzeugen, die es eigentlich nicht geben müsste. In dem von dir genannten Szenario hilft es meist, nicht einen bestimmten DC anzugeben, sondern einfach den Domänennamen. Die DNS-Auflösung gibt dann alle DCs zurück, in quasi-zufälliger Reihenfolge. Meist sind Applikationen dann in der Lage, einen DC anzusprechen, der auch antwortet. Gruß, Nils

Moin, oder um das Missverständnis noch mal konkret aufzuklären: Nach der Anmeldung gibt es keine offenen oder laufenden Sessions auf dem DC und damit auch keine Abhängigkeit zu diesem DC. Die bereits angemeldeten User merken von einem Reboot oder Ausfall also nichts. Und Neuanmeldungen laufen dann über den anderen DC. Es gibt also keinen Bedarf, die Anmeldungen auszulesen, weil es keinen "Schwenk" gibt - es ist schlicht nichts da, was man schwenken könnte. Gruß, Nils

Moin, dann sollte man da nichts abschalten, sondern hellhörig werden. Wo kommt die Meldung her? Ist da eine Systemkomponente falsch konfiguriert, oder läuft da am Ende eine Malware, die Adminrechte haben will? Gruß, Nils

Moin, ich habe noch mal nachgesehen. Das "Problem" mit dem Alias in deinem Fall dürfte sein, dass in der konkreten Umgebung der sAMAccountName und der userPrincipalName unterschiedlich gebildet werden. Anders kann ich mir nicht erklären, warum die Defaultregel für den Alias nicht reichen sollte. Quelle: https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/enable-mailbox?view=exchange-ps Gruß, Nils

Moin, wie oben schon gesagt, musst du dich bei den meisten Cmdlets gar nicht darum kümmern, welcher Wert denn da übergeben wird, solange das Cmdlet mit dem übergebenen Objekt klarkommt. Das funktioniert meistens. Ich habe keine Testumgebung da, würde aber erwarten, dass es so geht: Get-User -Identity "Max Mustermann" | Enable-Mailbox -Database MeineDB01 Da du dem zweiten Cmdlet ja einen User übergibst, braucht es nicht selbst per Alias oder wie auch immer nach dem User zu suchen, um den es geht. EDIT: Dein letztes Beispiel geht zwar auch, ist aber unnötig umständlich. Du brauchst kein Foreach. Gruß, Nils

Moin, der Witz an den Pipes in der PowerShell besteht darin, dass man keine Texte bzw. Strings weitergibt (wie es bei anderen Shells der Fall ist), sondern ganze Objekte. Wenn ein Cmdlet also Piping akzeptiert, übernimmt es das ganze Objekt des vorhergehenden Kommandos und sucht sich die nötigen Werte quasi selbst raus. Sprich: Du musst den Accountnamen gar nicht isolieren. Das macht sich auch die Befehlsfolge von mikro zunutze, dort allerdings nicht per Piping, sondern mit Objektvariablen und einer Array-Schleife. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, eine konkrete Lösungsidee habe ich leider nicht, nur die Bestätigung, dass DHCP Failover leider immer wieder zu Fehlern neigt. Gruß, Nils

Moin, genau das ist ein Kernszenario für solche Applikationen. Damit kann man sogar die Zuweisung von Berechtigungen an die Bereichsleiter geben - die bekommen dann ein GUI, mit dem sie klarkommen, und sagen "Horst soll hier lesen können, Anne schreiben". Die Software kümmert sich dann im Hintergrund darum, dass das alles korrekt auf Basis von Gruppen zugewiesen wird, der Bereichsleiter muss von den Details nichts wissen. Wenn man will, kann man dann noch eine Freigabe durch die IT vorschalten, die das in einem Rutsch durchwinkt oder ablehnt. Gruß, Nils

Moin, Listen geraten sehr schnell an ihre Grenzen. Wenn ihr tatsächlich "Grund" reinbringen wollt, rate ich zu einer Spezialsoftware, die den Ist-Stand jederzeit dokumentieren und auflösen kann. Gerade wenn es sehr viele Einzelberechtigungen gibt, ist das hilfreich. Damit kann man nicht nur die Frage beantworten "wer hat auf den Vertriebsordner Zugriff?", sondern auch "wo hat Ulla überall Berechtigungen?". Sehr leistungsfähig ist hier tenfold, ähnlich arbeitet 8MAN (ist aber teurer und weniger leistungsfähig). Gruß, Nils

Moin, da solche Dinge auf den ersten Blick sehr einfach aussehen, bei näherer Betrachtung aber dann doch schnell sehr (!) komplex werden, werfe ich mal IdM-Systeme in die Diskussion. Die sehen zwar im direkten Vergleich bisweilen sehr teuer aus, aber das relativiert sich, wenn man feststellt, dass man in sein "kostenloses" Skript irgendwann Mannmonate an Arbeit und Korrekturen gesteckt hat. Es gibt auf dem Markt durchaus einige IdM-Systeme, die in Kosten und Aufwand mittelstandstauglich sind. Gruß, Nils

Moin, meines Wissens sind Trusts vom Funktionsmodus der beteiligten Domänen nicht betroffen. Da ich aber seit Jahren nicht mehr mit 2003-Domänen zu tun habe, würde ich zu einem Test mit einer Laborumgebung raten, das ist in wenigen Stunden erledigt (inkl. Installation). Es würde mich aber sehr wundern, wenn es da Probleme gäbe. Gruß, Nils

Moin, ergänzend zu der Bedingten Weiterleitung im DNS wäre ggf. auch über eine Vertrauensstellung zwischen den Domänen nachzudenken. Ohne eine solche wird meist mit Krücken gearbeitet, dass etwa der ABC-User für den Zugriff das Kennwort von einem XYZ-User genannt bekommt. Über einen Trust ließe sich das dann (falls es so ist) besser regeln. Gruß, Nils

Lustig die Szene in "Deutschland 83", wo der DDR-Spion eine Diskette bekommt und bei den Genossen nachfragt, was denn wohl eine "Flohpi-Disk" sei. Und etwas später der Robotron, der in Wirklichkeit ein VC-20 war und ein Basic-Listing ausspuckte. Gruß, Nils

Moin, wie schon gesagt: Ist nicht nötig, sofern mindestens ein DC mit 2008 oder neuer läuft, auf dem du die Löschung ausführst. Die Antworten waren doch ziemlich eindeutig, oder? So richtig ernst scheinst du die Sache aber nicht zu nehmen, oder warum lässt du dir zwei Wochen Zeit zwischen solchen Fragen? Mir wäre mein AD wichtiger. Aber musst du selbst wissen. Gruß, Nils

Moin, bitte an dieser Stelle nicht einfach aufs Geratewohl irgendwas de- oder neu installieren! Wenn es dringend ist, such dir einen lokalen Dienstleister, der sich mit einer Windows-CA und mit Exchange auskennt. Zunächst mal wäre wichtig, was denn genau heißt. Was für ein Problem, warum "wieder"? Dann benötigst du die Webregistrierung nicht - die ist ohnehin veraltet und kann nur sehr wenig. Gerade bei Exchange gibt es bessere Wege, die das zugehörige API nutzen. Ohne zu wissen, was für ein Problem Exchange da jetzt haben könnte, kann man dir aber keinen passenden Versuch vorschlagen - siehe obige Frage. Dann ändere nichts und lass die Webregistrierung weg - veraltet, buggy, kann fast nix. Gruß, Nils

Moin, ich rate entschieden dazu, Aussagen über Dritte in einem Forum zu unterlassen, insbesondere wenn es Vorgesetzte sind. Anhand der Informationen in diesem Thread ist der TO leicht zu identifizieren und hat ruck-zuck eine Abmahnung oder eine Fristlose auf dem Tisch. Öffentliche Illoyalität ist mit Sicherheit ein prima Kündigungsgrund. @Speer, vielleicht willst du deine Frage noch mal schnell überarbeiten ... Gruß, Nils

Moin, nichts. Das hat auch Null mit dem Betriebsmodus zu tun. Wenn es jetzt schon läuft, habt ihr die passenden Einstellungen schon gesetzt, die werden auch nicht geändert. Nein. Gruß, Nils