NilsK

Moin, oder kürzer gesagt: Ich würde den wesentlichen Teil des Skripts von SetACL erledigen lassen (praktisch Industriestandard für Berechtigungen). Die einzige echte Variable in deinem Skript scheint der Username zu sein, den könnte man bei 1800 Einträgen ja sicher besser aus einer Datei entnehmen. Gruß, Nils

Moin, warum dies? Nur während des Tests oder auch in Produktion? In beiden Fällen: Wozu soll das gut sein? Was ist das Ziel eurer Testreihe? Was wollt ihr rausfinden? Die Symptomatik klingt nach Netzwerkproblemen, dazu passt auch, dass es nach kurzer Zeit verschwindet. Um Näheres zu sagen, müsste man sich das alles mal in Ruhe ansehen. Möglicherweise provoziert ihr die Probleme auch durch euer Testverfahren. Gruß, Nils

Moin, was heißt Startet ihr laufend direkt hintereinander neu? Und bei 40 Neustarts kommt einmal der Fehler? Oder wie? Bleibt der Fehler dann bestehen, oder behebt er sich von selbst? Gibt es um das Event herum weitere Meldungen? Gruß, Nils

Moin, an Logik und Verhalten der UAC hat sich nichts geändert. Nur an der Abschaltbarkeit. <erhobener Zeigefinger> Und damit haben wir wieder den klassischen Fall: Wer UAC bislang routinemäßig abgeschaltet hat, kommt damit nicht klar. Wer stattdessen damit umgegangen ist, sieht kein Problem. Genauso wie wir es von Betriebssystem-Firewalls kennen: Die stellen auch nur dann ein Problem dar, wenn man sie abschaltet. </erhobener Zeigefinger> Gruß, Nils

Moin, wieso genau? War es dir zu umständlich, einen Dropbox-Account anzulegen? Gruß, Nils

Moin, Microsoft hat nichts geändert, das ist normales UAC-Verhalten. Statt die UAC abzuschalten, sollte man lieber richtig damit umgehen. Genau wie man eine Firewall auch nicht abschaltet, sondern konfiguriert. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net] https://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Gruß, Nils

Moin, da ein Mac nicht mit der Windows-Gruppenlogik arbeitest, wirst du dich mit dem Gruppenprinzip in macOS auseinandersetzen müssen. Gruß, Nils

Moin, hast du dich mit dem Account neu angemeldet, nachdem du ihn der neuen Gruppe hinzugefügt bzw. ihn aus anderen entfernt hast? Nur dann werden die Gruppenmitgliedschaften wirksam. Ich tippe auch auf UAC. Gruß, Nils

Moin, du musst nun das Root-Zertifikat neu veröffentlichen und an der passenden Stelle ablegen. Die Daten brauchst du auch für die Root-CA, damit Clients sie überprüfen können. Best Practice ist, eine zentral erreichbare Stelle für all diese Daten auf einem Webserver zu haben (per http erreichbar, nicht per https, damit keine Zertifikatsprüfungsschleife entsteht). Gruß, Nils

Moin, die Einträge sehen OK aus. Hatte der alte DC zufällig denselben Namen wie der neue? Ansonsten gilt weiter: Beobachten. Erst wenn neue Symptome auftreten, kann man dem sinnvoll nachgehen. Gruß, Nils

Moin, die SPN-Ausgabe ist unauffällig. Den Funktionslevel kannst du gefahrlos hochstellen, der betrifft nur die DCs untereinander. Einzige Ausnahme ist möglicherweise Exchange (je nach Version), aber das Problem, das du damit haben könntest, hättest du jetzt auch schon aufgrund des 2016er-DCs. Gruß, Nils

Moin, beobachten. Und noch mal die Eventlogs genau studieren, ggf. auch von ein paar Clients oder weiteren Servern. Solange es keine konkreten Probleme gibt, fehlt die Grundlage für weitere Einschätzungen. Gruß, Nils

Moin, der Fehler mit dem Kerberos-Ticket des Clients hat mit deinem Problem ziemlich sicher nichts zu tun. Zeitprobleme auf dem DC können wir auch ausschließen, denn es gibt ja nur den einen, und der synchronisiert sich per NTP. Wie ist denn der Stand momentan? Gibt es aktuell noch Probleme? Gruß, Nils

Moin, "ein ERP-System" ist gut. Ernst gemeint: Was du als "Anforderungen" auflistest, sind Basics. Das ist, als wenn du ein Auto mit vier Rädern und einem Getriebe suchst. Klärt erst genauer, was ihr wirklich braucht. Sucht euch dafür ggf. einen Partner, der sich auf Anforderungsanalyse für Geschäftsprozesse und ERP-Systeme versteht. Zur Einordnung: Ich rede hier nicht von einem Workshop, den man in wenigen Stunden rechnet, sondern durchaus von einem Prozess mit einer ganzen Reihe intensiver Arbeitstage, der sich meist über einige Wochen hinzieht. Mit dem Ergebnis aus dieser Analyse werdet ihr erstens klarer sehen, was für Produkte und Anbieter überhaupt in Frage kommen. Und ihr könnt es als Basis für eine Angebotsabfrage nehmen. Und falls dir das jetzt groß vorkommt: Ist es. Ein ERP-System für 140 User ist auch schon ziemlich groß. Das ist nichts für eine Liste mit sechs Stichwörtern. Gruß, Nils

Moin, ja, natürlich. :rolleyes: Es ging mir ja auch darum, ein grundlegendes Missverständnis im Zusammenhang dieses Threads aufzuklären. iSCSI ist nun mal nicht für wechselnde Verbindungen von mehreren Zugriffspunkten gedacht, weil es eben LUNs bereitstellt und keine Shares. Gruß, Nils

Moin, aber sowas von! :D Gruß, Nils

Moin, für den Zweck ist eine herkömmliche Freigabe (SMB) geeignet, iSCSI nicht. iSCSI ist eine blockorientierte Punkt-zu-Punkt-Verbindung zwischen genau einem Rechner und genau einem Volume (genauer: einer LUN). Eine solche LUN einem anderen Rechner zuzuweisen, ist ein Ausnahmefall und erfordert genaue Kontrolle des Vorgangs. Gruß, Nils

Moin, die kurze Antwort ist: Geht nicht. Prinzipbedingt. Gruß, Nils

Moin, oh, ich mache gerade ein richtig großes Projekt, das ausschließlich den Wechsel des AD-Domänennamens zum Ziel hat. :D Richtig, nicht öffentlich nutzen halt. Man reserviert den Namen nur, um sicherzustellen, dass ihn niemand anders rechtmäßig hat und daraus evtl. mal Probleme entstehen. Eine Versicherung, die zwischen 10 und 100 Euro im Jahr kostet, je nach TLD. Gruß, Nils

Moin, [Welcher Name ist der beste für eine AD-Domäne? | faq-o-matic.net] https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/ [Wie nenne ich mein Active Directory? | faq-o-matic.net] https://www.faq-o-matic.net/2013/06/24/wie-nenne-ich-mein-active-directory/ Meine Empfehlung: abstrakter Name, der nicht mit dem Firmennamen zusammenhängt auf diesen Namen eine Domain mit "einigermaßen" passender TLD registrieren, aber öffentlich nicht nutzen Damit hat man getran, was man vorsorgend gegen Namenskonflikte und Probleme aus einer Umfirmierung tun kann. Gruß, Nils

Moin, in der Tat - "das DNS löst nicht mehr auf" ist schon sehr unspezifisch. Wie genau äußert sich das Problem? Was wurde schon getestet und versucht? DNS neu zu installieren, ist bei AD-integrierten Zonen tendenziell problemarm, würde aber evtl. gar nichts lösen. Gruß, Nils

Moin, Dazu wird man öffentlich wohl nichts finden. Auch die c't ergeht sich zu dem Thema nur in allgemeinen Vermutungen, und die haben sicher ausführlich recherchiert. Der einzige Weg wäre, Microsoft zu fragen. Gruß, Nils

Moin, das kommt drauf an, wie der VPN-Client arbeitet. Ohne den einzubeziehen, wird man das meiner Vermutung nach nicht lösen können. Gruß, Nils

Moin, nicht alle Einwände sind begründet, nur weil sie von Datenschützern stammen. Es gibt da bei manchen eine gewisse Neigung, sich etwas zusammenzureimen und eigene Vorlieben zu Vorgaben umzudeuten. Die BSI-Standards der 200-Serie nutzen jedenfalls Formulierungen, die Bitlocker zulassen (z.B. Maßnahme M 4.29). Gruß, Nils

Moin, wie Jan schon richtig sagt - der einzige sinnvolle Ansatz ist eine Vollverschlüsselung des Notebooks. Einzelne Dateien rauszugreifen, ist ja keine Lösung. Gruß, Nils