NilsK

Moin, oder um das Missverständnis noch mal konkret aufzuklären: Nach der Anmeldung gibt es keine offenen oder laufenden Sessions auf dem DC und damit auch keine Abhängigkeit zu diesem DC. Die bereits angemeldeten User merken von einem Reboot oder Ausfall also nichts. Und Neuanmeldungen laufen dann über den anderen DC. Es gibt also keinen Bedarf, die Anmeldungen auszulesen, weil es keinen "Schwenk" gibt - es ist schlicht nichts da, was man schwenken könnte. Gruß, Nils

Moin, dann sollte man da nichts abschalten, sondern hellhörig werden. Wo kommt die Meldung her? Ist da eine Systemkomponente falsch konfiguriert, oder läuft da am Ende eine Malware, die Adminrechte haben will? Gruß, Nils

Moin, ich habe noch mal nachgesehen. Das "Problem" mit dem Alias in deinem Fall dürfte sein, dass in der konkreten Umgebung der sAMAccountName und der userPrincipalName unterschiedlich gebildet werden. Anders kann ich mir nicht erklären, warum die Defaultregel für den Alias nicht reichen sollte. Quelle: https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/enable-mailbox?view=exchange-ps Gruß, Nils

Moin, wie oben schon gesagt, musst du dich bei den meisten Cmdlets gar nicht darum kümmern, welcher Wert denn da übergeben wird, solange das Cmdlet mit dem übergebenen Objekt klarkommt. Das funktioniert meistens. Ich habe keine Testumgebung da, würde aber erwarten, dass es so geht: Get-User -Identity "Max Mustermann" | Enable-Mailbox -Database MeineDB01 Da du dem zweiten Cmdlet ja einen User übergibst, braucht es nicht selbst per Alias oder wie auch immer nach dem User zu suchen, um den es geht. EDIT: Dein letztes Beispiel geht zwar auch, ist aber unnötig umständlich. Du brauchst kein Foreach. Gruß, Nils

Moin, der Witz an den Pipes in der PowerShell besteht darin, dass man keine Texte bzw. Strings weitergibt (wie es bei anderen Shells der Fall ist), sondern ganze Objekte. Wenn ein Cmdlet also Piping akzeptiert, übernimmt es das ganze Objekt des vorhergehenden Kommandos und sucht sich die nötigen Werte quasi selbst raus. Sprich: Du musst den Accountnamen gar nicht isolieren. Das macht sich auch die Befehlsfolge von mikro zunutze, dort allerdings nicht per Piping, sondern mit Objektvariablen und einer Array-Schleife. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Gruß, Nils

Moin, eine konkrete Lösungsidee habe ich leider nicht, nur die Bestätigung, dass DHCP Failover leider immer wieder zu Fehlern neigt. Gruß, Nils

Moin, genau das ist ein Kernszenario für solche Applikationen. Damit kann man sogar die Zuweisung von Berechtigungen an die Bereichsleiter geben - die bekommen dann ein GUI, mit dem sie klarkommen, und sagen "Horst soll hier lesen können, Anne schreiben". Die Software kümmert sich dann im Hintergrund darum, dass das alles korrekt auf Basis von Gruppen zugewiesen wird, der Bereichsleiter muss von den Details nichts wissen. Wenn man will, kann man dann noch eine Freigabe durch die IT vorschalten, die das in einem Rutsch durchwinkt oder ablehnt. Gruß, Nils

Moin, Listen geraten sehr schnell an ihre Grenzen. Wenn ihr tatsächlich "Grund" reinbringen wollt, rate ich zu einer Spezialsoftware, die den Ist-Stand jederzeit dokumentieren und auflösen kann. Gerade wenn es sehr viele Einzelberechtigungen gibt, ist das hilfreich. Damit kann man nicht nur die Frage beantworten "wer hat auf den Vertriebsordner Zugriff?", sondern auch "wo hat Ulla überall Berechtigungen?". Sehr leistungsfähig ist hier tenfold, ähnlich arbeitet 8MAN (ist aber teurer und weniger leistungsfähig). Gruß, Nils

Moin, da solche Dinge auf den ersten Blick sehr einfach aussehen, bei näherer Betrachtung aber dann doch schnell sehr (!) komplex werden, werfe ich mal IdM-Systeme in die Diskussion. Die sehen zwar im direkten Vergleich bisweilen sehr teuer aus, aber das relativiert sich, wenn man feststellt, dass man in sein "kostenloses" Skript irgendwann Mannmonate an Arbeit und Korrekturen gesteckt hat. Es gibt auf dem Markt durchaus einige IdM-Systeme, die in Kosten und Aufwand mittelstandstauglich sind. Gruß, Nils

Moin, meines Wissens sind Trusts vom Funktionsmodus der beteiligten Domänen nicht betroffen. Da ich aber seit Jahren nicht mehr mit 2003-Domänen zu tun habe, würde ich zu einem Test mit einer Laborumgebung raten, das ist in wenigen Stunden erledigt (inkl. Installation). Es würde mich aber sehr wundern, wenn es da Probleme gäbe. Gruß, Nils

Moin, ergänzend zu der Bedingten Weiterleitung im DNS wäre ggf. auch über eine Vertrauensstellung zwischen den Domänen nachzudenken. Ohne eine solche wird meist mit Krücken gearbeitet, dass etwa der ABC-User für den Zugriff das Kennwort von einem XYZ-User genannt bekommt. Über einen Trust ließe sich das dann (falls es so ist) besser regeln. Gruß, Nils

Lustig die Szene in "Deutschland 83", wo der DDR-Spion eine Diskette bekommt und bei den Genossen nachfragt, was denn wohl eine "Flohpi-Disk" sei. Und etwas später der Robotron, der in Wirklichkeit ein VC-20 war und ein Basic-Listing ausspuckte. Gruß, Nils

Moin, wie schon gesagt: Ist nicht nötig, sofern mindestens ein DC mit 2008 oder neuer läuft, auf dem du die Löschung ausführst. Die Antworten waren doch ziemlich eindeutig, oder? So richtig ernst scheinst du die Sache aber nicht zu nehmen, oder warum lässt du dir zwei Wochen Zeit zwischen solchen Fragen? Mir wäre mein AD wichtiger. Aber musst du selbst wissen. Gruß, Nils

Moin, bitte an dieser Stelle nicht einfach aufs Geratewohl irgendwas de- oder neu installieren! Wenn es dringend ist, such dir einen lokalen Dienstleister, der sich mit einer Windows-CA und mit Exchange auskennt. Zunächst mal wäre wichtig, was denn genau heißt. Was für ein Problem, warum "wieder"? Dann benötigst du die Webregistrierung nicht - die ist ohnehin veraltet und kann nur sehr wenig. Gerade bei Exchange gibt es bessere Wege, die das zugehörige API nutzen. Ohne zu wissen, was für ein Problem Exchange da jetzt haben könnte, kann man dir aber keinen passenden Versuch vorschlagen - siehe obige Frage. Dann ändere nichts und lass die Webregistrierung weg - veraltet, buggy, kann fast nix. Gruß, Nils

Moin, ich rate entschieden dazu, Aussagen über Dritte in einem Forum zu unterlassen, insbesondere wenn es Vorgesetzte sind. Anhand der Informationen in diesem Thread ist der TO leicht zu identifizieren und hat ruck-zuck eine Abmahnung oder eine Fristlose auf dem Tisch. Öffentliche Illoyalität ist mit Sicherheit ein prima Kündigungsgrund. @Speer, vielleicht willst du deine Frage noch mal schnell überarbeiten ... Gruß, Nils

Moin, nichts. Das hat auch Null mit dem Betriebsmodus zu tun. Wenn es jetzt schon läuft, habt ihr die passenden Einstellungen schon gesetzt, die werden auch nicht geändert. Nein. Gruß, Nils

Moin, der Betriebsmodus interessiert nur die DCs - und Exchange. Exchange 2010 ist mit 2016-DCs nicht supported. Das müsstet ihr zwischendurch also auch aktualisieren. Bei dem, was da alles vor euch liegt, dürfte der Betriebsmodus eine der kleinsten Fragen sein. Viel Erfolg, ich hoffe, ihr habt einen ordentlichen Plan. Gruß, Nils

Moin, *lol* Gruß, Nils

Moin, wow, das ist noch der SQL Server, den MS und Sybase gemeinsam entwickelt haben. Reschpeckt! Gruß, Nils

Moin, dass Windows-Updates enorme I/O-Last auf den Platten erzeugen, ist bekannt. Das ist dem Verfahren geschuldet. Es erklärt aber noch nicht die beobachteten Unterschiede. Gruß, Nils

Moin, bevor man da in Aktionimsmus verfällt, wäre zu prüfen, was denn da genau die Anforderung ist. "DSGVO" wird aktuell als Grund für alles angegeben, aber es gibt keine Vorschriften in der DSGVO, die eine Verschlüsselung virtueller Festplatten erfordern würden. Kann sein, dass sowas ein Mittel für einen bestimmten Zweck wäre, aber da ist dann der genaue Zweck wichtig, nicht das Mittel. Gruß, Nils

Moin, ach, Gen-1 habe ich nun wieder überlesen. Korrekt, dann geht das nicht. Gruß, Nils

Moin, nur drei Anmerkungen dazu: Gezieltes Abschalten der Vererbung ist üblich und OK. Leider sind NTFS-Berechtigungen zwar sehr umfangreich, aber ebenso beschränkt. Vieles, was man sich mit Grund überlegen kann, lässt sich leider nur umständlich umsetzen (oder auch mal gar nicht). Dazu gehören "Listrechte" (die es so eigentlich gar nicht gibt) oder auch sowas, was manche Toolhersteller "Modify+" nennen. Das führt dazu, dass man, sobald die Anforderungen etwas spezieller werden, hohe Sorgfalt aufwenden muss und sich evtl. Gedanken über eine Management-Software für sowas machen sollte. Alle akademischen Betrachtungen wie "was ist denn wenn" oder "unter OS ABC geht aber das-und-das viel besser" helfen an der Stelle wenig. Gruß, Nils

Moin, ja, aber das ist laut TO ja auch vorhanden. Gruß, Nils