NilsK

Moin, http://www.sqlcoffee.com/Troubleshooting005.htm Dementsprechend wäre das normal. Gruß, Nils

Moin, oh, tatsächlich, dein Code scheint auch zu funktionieren. Ich hätte angenommen, dass das bei Multivalue-Feldern logisch nicht hinhaut. Wenn du nur die Namen haben willst, dann häng noch | ft name -HideTableHeaders an. Gruß, Nils

Moin, wenn du nachträglich wesentliche Parameter deiner Frage änderst, passen natürlich die Antworten nicht mehr ... es macht einen großen Unterschied, ob du die eigene oder eine andere Domäne abfragst. Mein Codebeispiel filtert überhaupt nicht. Es geht mit dem Holzhammer hin und liest einmal alle AD-User und zum anderen alle Mitglieder der Gruppe aus. Diese beiden Objekte vergleicht es. Einen Filter "ist nicht Mitglied" gibt es nicht. Was die Codezeile anbelangt, nach der du fragst: Nein, eigentlich müsste recht schnell der normale Prompt wieder erscheinen. Vermutlich hast du den Code aus dem Browser kopiert, dabei gehen manchmal die falschen Sonderzeichen rüber. Tipp das Kommando mal manuell ein, dann sollte es gehen. Gruß, Nils

Moin, Folgendes scheint zu funktionieren: $Members = (Get-ADGroup 'Meine Gruppe' -Properties member).member $Users = Get-ADUser -Filter * Compare-Object -ReferenceObject $Users -DifferenceObject $Members | Where-Object {$_.SideIndicator -eq '<='} Könnte allerdings bei einer sehr großen Domäne viel RAM brauchen. Gruß, Nils

Moin, das können wir für deine Situation schlicht nicht beantworten. Aber da, so wie du es beschreibst, kein großes OS nötig ist, haben wir ja die Thinclient-Lösung vorgeschlagen. Die würde exakt deine Anforderungen erfüllen. Du wirst Windows 10 nicht so "vernageln" können, wie es dir vorschwebt. Von den Kosten mal ganz abgesehen. Also als letzter Vorschlag: Installiert einen weiteren Terminalserver für Office und Firefox. Thinclients können Applikationen von mehr als einem Server nutzen. Gruß, Nils

Moin, daher ja unser Vorschlag: Die Sekretärin bekommt keinen PC, sondern nur einen Thinclient. Der verbindet sich mit dem Terminalserver, wo die Sekretärin das Haushaltsprogramm, Office und den Browser zur Verfügung hat uns sonst nichts. Eigentlich passt das wie die Faust aufs Auge. Gruß, Nils

Moin, und was spricht gegen ADMT? Gruß, Nils

Moin, was und wie wird denn da migriert? Wäre es nicht evtl. einfacher, die Gruppen direkt zu migrieren, statt sie zu exportieren und neu zu erzeugen? Gruß, Nils

Moin, ja. Gruß, Nils

Moin, das ist aber ein Problem der Tools, nicht von NTFS. Leider sind die Bordmittel an der Stelle ja nicht wirklich besser geworden. Gruß, Nils

Moin, ich kann es nicht belegen, aber ich meine, dass das nicht zutrifft. Soweit ich weiß, war das Berechtigungssystem inkl. Vererbung schon in der NTFS-Version 1 enthalten (kam mit NT 3.1, also der ersten Version), und tatsächlich werden die ACLs auch nicht pro Objekt gespeichert. sondern in einer Art verteilten Datenbankstruktur. Ich habe aber leider nicht genug Zeit, das nachzurecherchieren. EDIT: Jetzt habe ich doch eine Quelle gefunden: http://www.pcguide.com/ref/hdd/file/ntfs/secInherit-c.html Die Darstellung dort untermauert deine Aussage teilweise: Demnach hatte NTFS 1.1 (NT4; vermutlich auch 1.0, aber das steht da nicht) nur statische Vererbung (wurde nur beim Erzeugen einer Datei einmalig gesetzt), und dynamische Vererbung kam mit NTFS 2.0 (Windows 2000 bzw. NT SP4) dazu. In der Tat erinnere ich mich, dass das SP4 damals einiges änderte und dass man auf NT-Rechnern SP4 brauchte, wenn man auf Windows-2000-NTFS-Partitionen zugreifen wollte. Allerdings ist das hier nur funktional beschrieben, die Datenstrukturen sind, meine ich mich zu erinnern, technisch nicht ganz so simpel, wie dort angedeutet wird. Wobei man aus dem Text durchaus rauslesen kann, dass die Berechtigungen eben nicht für jedes Objekt gespeichert sind, sondern bei jedem Zugriff geprüft werden müssen. Ist aber am Ende auch egal. Ändert nämlich nichts am Problem. :D Gruß, Nils

Moin, ja, die Anforderung trifft man bisweilen an. Mein Stand ist, dass es da keine wirklich schöne Lösung gibt. Der Client-Workaround (der je nach Windows-Version mal funktioniert, mal nicht) setzt voraus, dass die User Berechtigungen ändern dürfen. Ist das nicht gegeben, dann greift die Logik des Dateisystems (bzw. es bleibt dabei). Es gibt wohl Leute, die regelmäßig Skripte abfeuern, um die Berechtigungen zurückzusetzen. Das ist aber keine schöne Lösung, weil sehr ressourcenintensiv und nicht zuverlässig. Manchen Kunden reicht es in der Praxis auch, es so hinzunehmen, wie es ist, und in nötigen Fällen (die dort eher selten auftreten) manuell zu korrigieren. Gruß, Nils

Moin, das einzige, was ich für Berechtigungen empfehlen kann, ist SetACL von Helge Klein. Für einzelne Aufgaben auch der große Bruder SetACL Studio, der mittlerweile kostenlos ist. Gruß, Nils

Moin, ja. Sinnvollerweise läuft der Copyjob direkt auf dem Windows-Server, nicht auf einem dritten System, damit die Daten nicht zweimal durchs Netz müssen. Während des Kopiervorgangs sollte der Virenscanner abgeschaltet sein und vor dem Zugriff durch die User dann alles scannen. Gruß, Nils

Moin, angesichts der Anforderungen würde ich wie Norbert auch zu einem Terminalserverkonzept mit Thin Clients raten. Anders wird das sehr viel Aufwand und ist schnell im nicht supporteten (und nicht zuverlässigen) Bereich. Gruß, Nils

Moin, solange du nicht angibst, um was für ein Storage-Gerät es sich handelt, wird niemand was Erhellendes dazu sagen können. Gruß, Nils

Moin, ich hoffe, dass du die Firewall nach der Ersteinrichtung nicht deaktiviert lässt. Wenn sie aber abgeschaltet ist, blockiert Windows zumindest auf Netzwerkebene nichts. Das Problem dürfte dann woanders liegen. Bei SQL Server gibt es beispielsweise eine separate Konfiguration, bei der man den Remotezugang erst einschalten muss. Vielleicht hat Oracle sowas ja auch. Gruß, Nils

Moin, eine Websuche nach "active directory remove orphaned domain" sollte erst mal ausreichend Annäherung geben. Alles Weitere wäre aus meiner Sicht nicht für ein Forum geeignet. Gruß, Nils

Moin, niemand streitet ein Risiko ab. Aber zwischen "Risiko" und "Schaden" besteht nun mal ebenso ein Unterschied wie zwischen "Wahrscheinlichkeit" (oder wenn du willst: likelihood) und "Tatsache" (fact). Es ist durchaus möglich, dass das System kompromittiert ist. Der Beschreibung nach ist aber zunächst nicht zu erwarten, dass der Server etwa direkt vom Internet aus erreichbar ist. Ebenso gibt es keine Hinweise, dass jemand interne Angriffe ausgeführt hat - was auch sein könnte, aber nun mal wenig wahrscheinlich ist. Genau wie wir sonst in diesem Forum uns oft weigern, aufgrund vager Vermutungen irgendwelche Empfehlungen auszusprechen, sollten wir es in diesem Fall doch wohl auch tun. Und, um noch mal drauf hinzuweisen: Es hat hier auch niemand empfohlen, das System weiterzunutzen. Auch in der IT-Security führen Angst-Argumentationen ohne Belege nicht in eine sinnvolle Richtung. Gruß, Nils

Moin, ja. Und Fehlermeldungen usw. Ferner wäre der genaue Zustand von Interesse. Beispiel: "im AD ... wird der Name alpha.zz angezeigt" - was heißt "im AD"? Sonst läuft es darauf hinaus, aufs Geratewohl in der AD-Konfig herumzumachen, was wenig zielführend ist. Zudem wäre vor irgendwelchen weiteren Aktionen zu prüfen, ob nicht insgesamt evtl. eine Fehlkonfiguration vorliegt, die zu beheben ist. Ob das Ganze sinnvoll in einem Forum bearbeitet werden kann, ist auch fraglich. Es geht hier um das Rückgrat des Unternehmens - da sind professionelle Methoden wohl sinnvoller. Gruß, Nils

Moin, dann bleibt dir nur, den Spieß umzudrehen. Eine zuverlässige IT-Umgebung kann man nicht planen, ohne zu wissen, was "zuverlässig" heißen soll. Das ist eine Festlegung auf Leitungsebene, nicht auf IT-Ebene - die IT kommt erst danach zum Zug, um die Umsetzung zu planen. Wenn du nun also keine Vorgaben bekommst, bleiben dir nur Annahmen. Also solltest du die Annahmen sorgfältig erarbeiten und dokumentieren. Auf Basis dieser Annahmen erzeugst du dann ein Konzept bzw. lässt dich dabei intern oder extern unterstützen. Achte in dem Fall darauf, dass die Bestandteile des Konzepts Bezug zu den Annahmen haben. Dann machst du eine Alternativen- und Risikobetrachtung und weist auf die Grenzen des Konzepts ausdrücklich hin. Mit diesen Unterlagen begründest du den Budgetantrag. Gruß, Nils

Moin, das hängt entscheidend davon ab, was bei dem ersten Schritt denn konkret passiert ist. Wenn wir dazu was sagen sollen, brauchen wir mehr Informationen. Gruß, Nils

Moin, ähem, damit haben sich aber en passant die Anforderungen geändert. Dann wäre es vielleicht schlau, die noch mal neu zu definieren und anhand dieser Definition die Lösungssuche zu betreiben. Mir wird das hier grad zu akademisch. Da das eigentliche Problem gelöst ist, bin ich raus. Gruß, Nils

Moin, ich kann deiner Argumentation gerade nicht folgen. Wenn der Host wegen Mangel an Plattenplatz stehenzubleiben droht, dann droht natürlich kompletter Ausfall für alle VMs. Wäre ich dafür verantwortlich, würde ich sofort handeln und mir zusätzlich eine Taktik zurechtlegen, die ich nach der Ad-hoc-Erstreaktion umsetzen würde. Ich kann mir kaum vorstellen, dass ein paar hundert Euro oder - sinnvoller - ein paar Tausend Euro für das Unternehmen ein Problem sind, wenn die Alternative darin besteht, wegen absehbaren Speichermangels oder wegen zu billiger Hardware Teile des Geschäftsbetriebs einstellen zu müssen. Oder konkret: Wäre ich in deiner Situation, würde ich nicht mehr zögern und in Foren Fragen zur Abwägung stellen nicht über ein paar hundert Euro sinnieren umgehend neue Hostserver oder ein neues Storage besorgen prüfen, ob ich einzelne VMs stillegen oder wegmigrieren kann, bis die neue Hardware da ist Gruß, Nils

Moin, äh - wenn die Ausführung sowieso nicht zeitkritisch ist, warum dann nicht einfach auf Nummer sicher gehen und so lange warten, bis die Objekte im AD wirklich da sind? Gruß, Nils