NilsK

Moin, ob und inwieweit das Thema durch die DSGVO betroffen ist, ist immer eine Frage des Einzelfalls, also des einzelnen Unternehmens. Es gibt keine konkreten Anforderungen an eine Berechtigungsstruktur, sondern diese ergeben sich aus dem Schutzbedarf, der für die jeweiligen Datenbestände identifiziert wurde. Das zu analysieren, ist eine größere Aufgabe. Beratung ist sinnvoll. Tools gibt es einige, einen großen Funktionsumfang in dem Bereich bieten z.B. tenfold oder 8MAN. Mit einem Tool ist es aber nicht getan, es braucht vor allem ein Konzept. Gruß, Nils

Moin, vermutlich meint der TO, dass nicht dabeisteht, ob der User gerade eine Session offen hat oder ob es einfach der letzte angemeldete User ist. Früher stand das dabei, heute in der Tat nicht mehr. Gruß, Nils

Moin, Zertifikate werden nicht repliziert. Der CA-Dienst hat mit dem AD nichts zu tun, auch wenn seit Windows Server 2008 die Komponente dafür so heißt. Nur die CA auf dem betreffenden Server kann also Zertifikate ausgestellt haben, andere Server sind nicht beteiligt. Welche Zertifikate ausgestellt wurden, siehst du in der zugehörigen Konsole. In den meisten vergleichbaren Situationen sind das nur einzelne Zertifikate von Belang (meist interne SSL-Zertifikate), die man einfach durch neue Zertifikate von einer neuen CA ersetzen kann. Anhand der Ausstellungsdaten und der Empfänger lässt sich das meist schnell einschätzen. Eine künftige CA sollte man dann ordentlich konzipieren und einrichten. Das ist keine Doktorarbeit, aber erfordert schon ein wenig Konzentration. Gruß, Nils

Moin, ich hoffe, wir reden hier von einer Testumgebung? Selbst wenn es eine solche ist, halte ich das Gesamtkonstrukt für wildes Gebastel weitab von jeder Best Practice. Was ist das Ziel des Ganzen? Gruß, Nils

Moin, warum so ein umständliches Verfahren? 180 Tage - deaktivieren. Geht direkt per OldCmp. 360 Tage - z.B. verschieben in eine andere OU - geht direkt per OldCmp. Gruppenmitgliedschaften entfernen - könnte ein simples Skript machen, das einfach alle User in der OU abklappert. Gruß, Nils

Moin, ich verstehe nicht, was du vorhast. Ablaufdatum? Deaktivieren kann OldCmp direkt. Falls du unbedingt was mit PowerShell bauen willst, dann nimm das AD-Feld lastLogonTimestamp. Das ist für Vergleiche der hier erwünschten Art gedacht und wird üer alle DCs repliziert, du musst also nicht alle DCs auslesen. Den Wert lastLogon und den Vergleich über die DCs braucht man nur, wenn man aktuelle Daten benötigt (letzte Anmeldung in den letzten wenigen Tagen), aber die brauchst du hier ja gerade nicht. Gruß, Nils

Moin, nicht selbst bauen, das Thema ist seit Jahren abschließend gelöst. [Leichenzählung in Active Directory | faq-o-matic.net] https://www.faq-o-matic.net/2011/08/29/leichenzhlung-in-active-directory/ Gruß, Nils

Moin, super, danke für die Rückmeldung! Ja, diese Dinge sind leider sehr unübersichtlich. Da solche Vorgänge nur sehr selten sind, sieht Microsoft aber keinen Bedarf, sie neu zu gestalten. Am Ende ist ntdsutil ein Tool aus der Entwicklungsphase des AD, das eigentlich nie dafür gedacht war, es als (einziges) Standardwerkzeug für bestimmte Aufgaben auf Kunden loszulassen. Gruß, Nils

Moin, wenn noch ein verbleibender DC angemeckert wird, musst du den erst entfernen. Die konkreten Schritte kann ich aus dem Kopf nicht nennen, aber es wird dem Weg ähneln, der in dem Artikel beschrieben wird (Target auf das Objekt, dann löschen). Erst wenn die Child-Objekte (hier also die DCs) entfernt sind, kannst du die Domäne löschen. Die Partition sollte dann mit verschwinden, wenn das nciht passiert, muss auch das per ntdsutil geschehen. Gruß, Nils

Moin, ja, leider ist das manchmal etwas anstrengend, eine Subdomäne loszuwerden. Auf schnellen Blick scheinen mir die Schritte zu passen, die der folgende Artikel angibt: https://blog.runas.me/2014/10/27/ntudstil-remove-stubborn-domain/ Gruß, Nils

Moin, vielleicht könntest du mal genau beschreiben, was du denn eigentlich machen willst. "Zusammenziehen" oder "addieren" ist nicht besonders aussagekräftig. Gruß, Nils

Moin, was genau hast du denn eingestellt? Eine Aufforderung zum Kennwortwechsel würde nur kommen, wenn das Kennwort abgelaufen ist. Neue Vorgaben prüfen keine bestehenden Kennwörter, weil Windows die gar nicht lesen kann. Gruß, Nils

Moin, der Rechner lief noch mit 1703. Gestern Abend habe ich manuell auf 1709 aktualisiert, und die WHEA-Warnungen (Event-ID 19) sind jetzt weg. Die 37 (CPU-Geschwindigkeit) bleibt, aber das scheint mir tatsächlich eine direkte Folge der neuen Firmware zu sein. Gruß, Nils

Moin, es ergibt durchaus Sinn, auch Server per DHCP zu versorgen. Da diese normalerweise immer dieselbe IP-Adresse haben sollen, vergibt man im DHCP-Server eine Reservierung. Vorteil gegenüber festen Adressen: Wenn sich mal z.B. der DNS-Server ändert, erfordert das nur ein einziges Update in der DHCP-Konfiguration. Ist gar nicht mal so selten. Ein Neustart oder kurzer Ausfall des DHCP-Servers ist meist unproblematisch, wenn die Lease-Dauer nicht zu kurz ist. Gruß, Nils

Moin, wie Norbert schon sagte: Auf der Ebene ist das nichts für ein Forum. An deiner Stelle würde ich den Kontakt zum neuen Konzern suchen und ansonsten erst mal abwarten. Gruß, Nils

Moin, eben sah ich nach dem Mittagessen, dass mein Notebook gebootet hatte. Wie ich befürchtete, war es ein Bluescreen. Laut Eventlog gibt es seit ein paar Tagen Probleme mit der CPU ... und zwar natürlich genau seitdem ich das BIOS-Update eingespielt habe. Demnach schränkt die Firmware die CPU-Geschwindigkeit ein (Event-ID 37, Kernel-Processor-Power) und es gibt "interne Paritätsfehler" (Event-ID 19, WHEA-Logger). Tolle Wurst. Der Rechner ist was älter, HP Elitebook 840 G1. Das BIOS-Update ist neu, 11. Januar oder so. Die CPU ist i5-4200U. Noch jemand sowas? Grummel, Nils

Moin, sofern es eine Möglichkeit gibt, die gewünschten Artikel zu identifizieren, dürfte SUMMEWENN die gewünschte Rechenoperation erreichen. Vorausgesetzt, ich verstehe richtig, dass du z.B. die Umsätze addieren willst, die zu den betreffenden Positionen gehören. Gruß, Nils

Moin, wenn du den Team-Modus auf "Switch-independent" stellst, muss der Switch weder etwas Besonderes können, noch muss man ihn konfigurieren. Willst du einen der anderen Modi, so ist ggf. Konfiguration erforderlich. In kleinen Umgebungen gilt Switch-independent als gute Wahl. Gruß, Nils

Moin, spannend. Wusste ich nicht und finde ich nicht recht nachvollziehbar. Aber versuch ich mir mal zu merken. Gruß, Nils

Moin, bau aus den beiden 10-GbE-Karten ein Team. Die 1-GbE-Karten lässt du unbenutzt und kannst sie deaktivieren. Mit zweimal 10 Gigabilt hast du ausreichend Bandbreite für praktisch alles, was in einer kleinen oder mittleren Umgebung auf absehbare Zeit anfällt. Auch dann, wenn zu dem Host ein zweiter und ein Storage hizukommen. Nominell sind das 20 Gigabit (tatsächlich zweimal zehn, aber der Einfachheit halber rechnen wir mal simpel), da würden vier weitere Gigabit über die separaten Karten keinen nennenswerten Vorteil bringen, dafür aber die Umgebung komplexer machen und unverhältnismäßig mehr CPU-Last erzeugen. An das Team bindest du dann einen Hyper-V-Switch. An den wiederum bindest du per PowerShell die virtuellen Netzwerkkarten für den Host - zunächst reicht eine für das Management aus. Die VMs bekommen auch virtuelle Netzwerkkarten, die an denselben Switch gehen. In dem aktuellen Szenario (ein Host, drei VMs) ist es noch nicht mal nötig, die Bandbreiten der vNICs festzulegen. Falls die Host-Umgebung mal wächst, kannst du das aber jederzeit per PowerShell machen, um etwa dem Storage ein garantiertes Minimum zuzuweisen. Näheres dazu findest du im Web oder in dem Hyper-V-Buch bei Rheinwerk. Niemals einer VM eine physische Netzwerkkarte direkt/exklusiv zuweisen, das geht schnell in die Hose. Gruß, Nils

Moin, aha. Hm, überrascht mich. Naja, aber dann macht das Skript ja alles richtig. Wenn ihr was anderes haben wollt, ändert die Skriptlogik. Gruß, Nils

Moin, dem Report nach hast du das GPO an die OU gebunden, in der sich der Computer befindet. Es handelt sich aber um eine Benutzereinstellung, du musst das GPO daher an die OU binden, in der sich das Benutzerobjekt befindet. Gruß, Nils

Moin, offenbar ist dem TO nicht klar, wie GPOs funktionieren. Das ist ja kein Verbrechen. Also: Die meisten GPO-Einstellungen setzen Registry-Einstellungen. Im konkreten Fall sorgt die GPO-Einstellung dafür, dass genau die Registry-Einstellung, die du vornehmen willst, gesetzt wird. Wenn man so will, sind die Gruppenrichtlinien an dieser Stelle einfach viel komfortabler, als die Registry-Einstellung irgendwie im Netz zu verteilen. Gruß, Nils

Moin, folge dem oben erwähnten Link. Dann siehst du links im Browser den Weg zu der Einstellung. Gruß, Nils

Moin, mir ist nicht ganz klar, wie ein deaktivierter Benutzer gesperrt werden kann. Das sollte eigentlich gar nicht möglich sein. Beim Anmeldeversuch prüft Windows zuerst, ob das Konto aktiv ist, wenn nicht, findet gar kein Anmeldeversuch statt, der das Konto sperren könnte. Kann es sein, dass das Skript tatsächlich nicht neue Sperr-Events meldet, sondern immer nur dasselbe letzte Event? Wenn die Abfrage so ist wie oben zitiert, wäre das genau der Effekt. Dann hilft es, die Abfragelogik zu ändern. Sollte es trotzdem irgendwie so sein, dass das deaktivierte Konto immer wieder gesperrt wird, dann ist es natürlich, wie die Kollegen richtig sagen, sinnvoll, die Ursache für die Fehlanmeldungen zu beseitigen. Eine klaffende, schmerzende Wunde am Fuß sollte man ja auch versorgen, statt nur Schmerzmittel zu schlucken. Gruß, Nils