NilsK

Moin, das Zwischenzertifikat muss auch auf den Server. Gruß, Nils

Moin, doch, akzeptiert es. Nur die Syntax muss stimmen. ;) $prop = ('displayname', 'givenname') Gruß, Nils

Moin, ich halte es für unwahrscheinlich, dass das wirklich ein Thema ist. NTLMv2 funktioniert weiterhin, meist ist das auch das, was in Wirklichkeit verwendet wird, wenn von "NTLM" die Rede ist. Oder gibt es Anhaltspunkte für mögliche Probleme? Die verwendete Version scheint man nur mit Aufwand feststellen zu können: https://blogs.msdn.microsoft.com/openspecification/2010/05/03/ntlm-v1-no-excuse-me-ntlm-v2-oh-no-you-were-right-its-v1/ Dabei ist es aber m.W. so, dass "aktuelle" Clients, falls NTLMv1 abgelehnt wird, automatisch NTLMv2 versuchen. Ein Problem sollte daraus also "eigentlich" nicht entstehen. Abgesehen davon, ist das auch immer noch konfigurierbar, wenn es denn wirklich nötig ist: https://social.technet.microsoft.com/Forums/de-DE/c29f8b75-395d-498f-ad33-fee27323a73e/verstndnisfragen-dfl-windows-2012-r2-ntlm-verschlsselung?forum=active_directoryde Gruß, Nils

Moin, das ist so nicht ganz richtig. Eine Schema-Erweiterung führt nicht dazu, dass die Datenbank "neu aufgebaut" wird. Auch die Indizierung der vorhandenen Daten ändert sich i.d.R. nicht. Es kommen neue Felder hinzu, was das AD aufgrund seiner Datenbankstruktur sehr einfach durchführen kann. Anders als bei klassichen SQL-Datenbanken müssen dafür keine Tabellen neu definiert werden. Es findet auch keine Vollreplikation des AD statt, das gab es nur in der ersten Version von Windows 2000. Zwar finden sich Artikel im Web, die vor großem Aufwand bei der Änderung der Indizes warnen. Dabei ist das Szenario aber ein anderes: In diesen Fällen geht es um vorhandene, bislang nicht indizierte Felder, die nachträglich indiziert werden, um bestimmte Abfragen zu beschleunigen. In dem Fall gibt es bereits Werte für diese Attribute, was natürlich Aufwand für das Erzeugen des Index bedeutet. Bei einer Schema-Erweiterung passiert das aber auch dann nicht, wenn man indizierte Felder hinzufügt, denn die haben ja noch keine Werte. Aus der Praxis kann ich sagen, dass auch in Umgebungen mit mehreren tausend Usern die Schema-Erweiterung keine nennenswerte Last erzeugt, sodass sie meist problemlos während der Arbeitszeit gemacht werden kann. Eine 100%-Auslastung für bemerkbare Zeiträume habe ich noch nie beobachtet. Natürlich ist immer anzuraten, das nicht während der Hauptzeit zu machen, sondern in lastarmer Zeit - allerdings eher als Vorsichtsmaßnahme à la "auf Nummer sicher gehen". Meine generelle Empfehlung: Man nehme ein Schema-Update ernst, bereite es sorgfältig vor und führe es aufmerksam und sorgfältig durch, vorzugsweise in lastarmer Zeit. Hinweise dazu gibt mein oben verlinkter Artikel. Man muss aber eben keine Angst vor dem Vorgang haben - diese hält Kunden in der Praxis oft davon ab, was nicht angemessen ist. Gruß, Nils

Moin, ich finde es an der Stelle beeindruckend, wieviel Geld die Backup-Anbieter für ihre Produkte verlangen. Üblich ist dort das Modell "pro User pro Monat", und darauf bezogen, sind es Beträge, die fast lächerlich erscheinen. Rechnet man das aber hoch, kommt man schon bei "mittelständischen" Umgebungen schnell auf fünfstellige Beträge pro Jahr. Und damit ist dann nur Office 365 gesichert ... ich glaube, da muss sich der Markt noch gehörig entwickeln. Gruß, Nils

Moin, ein richtig schönes Tool dafür ist mir nicht bekannt. Falls bei euch Berechtigungsanalyse und -steuerung ein Thema sein sollte, für das evtl. auch ein kommerzielles Werkzeug in Frage kommt: 8MAN hat eine Funktion namens "Account Graph", die genau solche Verschachtelungen sehr schön darstellt. Man würde die Software nicht nur deswegen kaufen, aber sie kann es eben. Gruß, Nils

Moin, da würde ich aber mal ganz heftig auf eine andere Ursache tippen. Weder das Schema noch der Domänenlevel können damit zu tun haben. Allenfalls der Wechsel der Verschlüsselung beim Anheben des Domänenmodus von 2003 nach "höher", aber da kenne ich auch maximal Exchange-Probleme, die nach einem Serverneustart behoben sind. Gruß, Nils

Moin, ich habe nicht nur in den letzten fünf Jahren keine Probleme mit sowas festgestellt, sondern in den vergangenen 17 Jahren. Wenn du die ganze Diskussion im Überblick haben willst: [AD-Schemaerweiterung: Ein paar Hinweise | faq-o-matic.net] https://www.faq-o-matic.net/2009/04/08/ad-schemaerweiterung-ein-paar-hinweise/ Gerade bei Standards, die vom Hersteller gut getestet sind (Exchange, neue AD-Version, Cisco ...) sind keine Probleme zu erwarten. Sollte das Update wirklich mal abbrechen (was ich auch noch nie gesehen habe), kann man es in aller Regel sogar einfach neu starten. Die einzigen Fehler, die ich selbst gesehen habe, waren auf schlecht gemachte eigene Erweiterungen zurückzuführen (z.B. doppelte Object-ID). Selbst das ließ sich aber beheben und hatte keine direkten Auswirkungen. Gruß, Nils

Moin, du weißt schon, dass das hier ein Forum ist, in dem Leute unbezahlt und ehrenamtlich aktiv sind? Überdenke mal deine Ansprüche und deinen Ton. Die Scanverwaltung hat nichts mit Softwareverteilung zu tun. Sie hat auch nichts mit Scannertreibern zu tun. Sie bildet ein Server-Backend für dedizierte Scanner, die ans Netzwerk angeschlossen sind und das WSD-Protokoll unterstützen. https://technet.microsoft.com/de-de/library/dd871131(v=ws.11).aspx Gruß, Nils

Moin, OK, gut, ich mach hier mal die Ober-Ingrid. Ich bin folgendermaßen vorgegangen, um einen Wert in der Registry zu finden: Auflisten der Energiepläne mit powercfg /L Ausgeben der Settings des akiven Plans mit powercfg /q <GUID des Plans> > C:\Daten\Datei.txt Auffinden der Einstellungs-GUID für die Helligkeit (in meinem Fall: aded5e82-b909-4619-9949-f5d71dac0bcb) Suchen nach diesem Wert in der Registry Ob es allerdings funktioniert, die dort hinterlegten Werte direkt zu manipulieren, wage ich zu bezweifeln. Man wird es besser über den definierten Weg tun, also über die Energiepläne. Gruß, Nils

Moin, die Helligkeit des Monitors wird nicht vom Betriebssystem gesteuert. Edit: Nein, das ist so nicht richtig. Es dürfte aber treiberabhängig sein, daher gehe ich davon aus, dass es keinen allgemein gültigen Registry-Eintrag gibt. Nochmal Edit: Für eingebaute Displays wird dies über die Energiepläne konfiguriert, die direkt mit den Hardwaretreibern kommunizieren. Gruß, Nils

Moin, das kriegt man grundsätzlich hin, ist aber natürlich sehr aufwändig. Fraglich ist auch, ob man damit auch die Einstellungen innerhalb von Outlook zurückgesetzt bekommt - ich denke eher nicht. Der sauberste Weg dürfte wie beschrieben das Entfernen von Mailbox und Account sein. Was man dann an Settings und Daten in dem Account benötigt, könnte man ja evtl. ebenso automatisiert bei der ersten Anmeldung ausrollen oder ähnlich. Gruß, Nils

Moin, $Start = Get-Date $Duration = New-TimeSpan -Minutes 5 $End = $Start + $Duration Do{ Start-Sleep -Seconds 1 $DisplayTime = New-TimeSpan -Start $(Get-Date) -End $End $Time = "{0:D2}:{1:D2}" -f ($DisplayTime.Minutes), ($DisplayTime.Seconds) Write-Progress $Time } While((Get-date) -lt $End) Gruß, Nils

Moin, ein Load Balancer ist ein Load Balancer. Zwar segelt auch KEMP unter der Flagge "ADC", aber das heißt ja noch nicht, dass es in der konkreten Implementierung auch so läuft. Ich bezog mich in meiner Einschätzung auf deine Darstellung "Zugriff vom Internet", von "lokales Netz" war da keine Rede. Wenn ihr in Wirklichkeit einen Reverse Proxy davor habt, kann die Story natürlich eine andere sein. Das führt dann hier aber zu weit. Gruß, Nils

Moin, richtig, daher würde ich die lokalen Profile löschen (Delprof2). Gruß, Nils

Moin, das könnte man mit einem Skript durchaus erledigen: Exchange-Mailboxen löschen per Remove-Mailbox, das löscht auch gleich das Konto in AD Danach Konten und Mailboxen neu anlegen, ebenfalls per Skript Sinnvollerweise die Retention Time in Exchange runterdrehen, damit die gelöschten Mailboxen bald aus der Datenbank verschwinden Auf den PCs dann mit Delprof2 die Profile löschen Für das Skript braucht man keine große Logik, ich würde es nach dieser Technik bauen: [Excel: Admins unbekannter Liebling | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Ob das praktikabel ist, müsst ihr selbst sehen. Gruß, Nils

Moin, die Frage hast du ja eigentlich schon beantwortet, indem du sie stellst. Selbstverständlich stellt so ein Konstrukt ein hohes Risiko dar. Allgemein vermeidet man, dass Dienste in der DMZ überhaupt Mitglieder des internen AD sind und direkten Zugriff darauf haben. Gruß, Nils

Moin, schön, danke für die Rückmeldung. Bezüglich des Rückgabewerts: Es dürfte doch viel einfacher sein, den Status in eine eigene Logdatei zu schreiben. Die kannst du dann auch leichter auswerten, und das Format kannst du auch nach eigenem Bedarf steuern. Gruß, Nils

Moin, na, dann bin ich ja beruhigt. ;) Gruß, Nils

Moin, ich hab auch schon den ganzen Tag keine Störungen gehabt. Gruß, Nils

Moin, aber dem Kunden (und dir) ist schon klar, dass BGInfo hier nur ein Platzhalter ist für "beliebige Software, die im Unternehmen einfach so ohne Prüfung verteilt wird"? Denselben Angriff könnte man auch mit Word oder calc.exe machen. Und natürlich auch mit Backinfo. Gruß, Nils

Moin, es gibt Drittanbieterprodukte, die ein "lokales" oder auch ein Cloud-basiertes Backup von Office-365-Mailboxen anbieten. Man sollte aber immer klären, was denn wirklich benötigt wird. Meiner Erfahrung nach stellen viele Kunden fest, dass sie mit den eingebauten Retention-Methoden durchaus zufrieden sind. Man kann sich hier auch Ansätze überlegen wie eine "unendliche" Retention Time über Legal Hold für VIP-Mailboxen oder sowas. Also ein entschiedenes "kommt drauf an". ;) Zur Frage nach gelöschten Mailboxen hätte eine Webrecherche die Antwort ergeben, aber ich hab das einfach mal für dich erledigt: https://technet.microsoft.com/en-us/library/dn186233(v=exchg.150).aspx Gruß, Nils

Moin, ich hab hier keine Störungen. Gruß, Nils

Moin, nö. Backinfo gab es mal in einem uralten Resource Kit, Microsoft bietet es schon lange nicht mehr an. BGinfo wird laufend weiterentwickelt. Edit: ... und BGInfo lässt sich hervorragend konfigurieren, das Web ist voll von Ideen dazu. Obi auch: https://www.faq-o-matic.net/?s=bginfo Gruß, Nils

Moin, auf Wunsch des TO ist der Thread entfernt worden. Gruß, Nils