NilsK

Moin, du meinst das Häkchen "Objekt vor zufälligem Löschen schützen"? Nein, das ist kein Attribut. Es ist ein Berechtigungseintrag bei dem jeweiligen Objekt. Das Löschen wird für "jeder" verweigert. [“Objekt vor zufälligem Löschen schützen” per Skript setzen | faq-o-matic.net] http://www.faq-o-matic.net/2010/05/21/objekt-vor-zuflligem-lschen-schtzen-per-skript-setzen/ Gruß, Nils

Moin, natürlich kann man Windows Server 2012 R2 als VM in Hyper-V 2016 betreiben. Dein ganzes Design ist aber nicht gut. Geht es um einen Laboraufbau? Oder soll das was Produktives sein? Welche Maschine ist "diese Maschine", die nicht ins Internet kommt? Neben Hyper-V betreibt man auf der Host-Ebene nichts anderes. Ich würde die vorhandenen VMs sichern oder exportieren, den Host neu installieren und sauber einrichten, eine neue VM als DC/DNS/DHCP installieren und die gesicherten VMs wiederherstellen. Erst dann ergibt es Sinn, sich mögliche Probleme genauer anzusehen. In dem derzeitigen Konstrukt hast du zu viele Abhängigkeiten erzeugt, die der Funktion im Weg stehen und bei Änderungen weitere Probleme aufwerfen können. Gruß, Nils

Moin, welches Problem willst du denn lösen? Im Allgemeinen ist es nicht ratsam, einfach mal in der Dienstesteuerung herumzumanipulieren. Gruß, Nils

Moin, das ist der GUID für die Dienstesteuerung per GPP. Haben wir doch schon gesagt. Als Eintrag taucht der Wert in den Policies nicht auf. Also gehst du jetzt deine GPOs durch und schaust, bei welchen GPP-Einstellungen für Dienste gesetzt sind. So viele werden das ja vermutlich nicht sein, oder? Die Reports aus der GPMC können dir dabei gute Dienste leisten. Gruß, Nils

Moin, prima, wenn die Anforderungen definiert sind, dann kannst du ja eine Webrecherche machen und auf der Basis Anbieterangebote einholen und mit einer Matrix vergleichen. Mit den Informationen, die du hier gibst, kann jedenfalls niemand irgendwelche sinnvollen Vorschläge machen. Solche Merkmale wird jedes Produkt für sich in Anspruch nehmen. Viel mehr als "ja, kriegt man hin, kommt halt drauf an" ist nicht möglich. Gruß, Nils

Moin, das ist in erster Linie ein Organisationsprojekt. Fang nicht am falschen Ende an. Erst kommen die Anforderungen und die Organisation, dann kommt die Auswahl der Software. Gruß, Nils

Moin, nein. Du kannst dir alle Rechte verschaffen, aber du hast nicht alle Rechte. Das ist ein Unterschied. Und genau für diesen Unterschied brauchst du den Schalter /B. Immerhin ist robocopy eine der wenigen Applikationen, die das überhaupt können. Gruß, Nils PS. Domänen-Admin zum Datei-Kopieren? Tststs ... ;)

Moin, eine Policy, in der GPP-Einstellungen für Dienste gesetzt sind. Im Anwendungsereignisprotokoll hast du bereits nachgesehen? Anhand der Zeitangaben sollte sich das ja identifizieren lassen. Gemeint ist Anwendungs- und Dienstprotokolle/Microsoft/Windows/Group Policy. Gruß, Nils

Moin, mit /B forderst du das Backup-Recht an. Das ist irreführend bezeichnet - im Kern geht es darum, dass in diesem Modus robocopy auch Daten kopiert, auf die der User eigentlich keine Zugriffsrechte hat, sofern er über das Privileg "Backup files and folders" (oder so ähnlich) verfügt. Das ist bei Administratoren der Fall, man kann es aber auch einzeln erteilen oder über die Gruppe "Backup Operators" steuern. Wenn es mit dem Schalter geht, ohne aber nicht, dann lagen die bisherigen Fehler einfach an fehlenden Zugriffsrechten. Für Backup- und Migrationsaufgaben sollte man den Schalter /B immer verwenden. Gruß, Nils

Moin, IP Helpers bzw. DHCP Relays lösen ja das Lizenzproblem nicht. Ist nur so: Wenn ich vor der Alternative stünde, viel Aufwand in die Behebung eines Problems zu stecken, das ich bei geringer Anpassung meiner Standards nicht hätte ... dann wäre meine Entscheidnung recht klar. Gruß, Nils

Moin, das Modell schließt aber doch die Lizenzproblematik aus. Es bekommen nur Mitarbeiter eine IP-Adresse vom Windows-DHCP, keine Gäste. Und für die Mitarbeiter wird es ja CALs geben. Gruß, Nils

Moin, lieber Dirk, wenn jemand nachfragt, hat das meistens einen Grund. Dann nur ein Fragment der Frage zu wiederholen, ist nicht zielführend. Besser ist es dann, noch einmal deutlicher zu formulieren, was man meint. Also noch mal: Was genau ist "möglich/praktikabel/üblich"? Mail-Verschlüsselung überhaupt? Ein Verschlüsselungs-Gateway? Den SBS einsetzen? POP3 nutzen? ... oder was? Gruß, Nils

Moin, und was genau ist jetzt deine Frage? Gruß, Nils PS. Exchange per POP3 - heute noch?!

Moin, das ist natürlich eine Glaubensfrage, aber wenn wir mal das Urteil der c't als Maßstab nehmen: Dort gilt der Defender als "Grundschutz" durchaus als brauchbar. Da man bei allen Virenschutzlösungen berücksichtigen muss, dass sie a) prinzipiell ohnehin nur begrenzten Schutz bieten, b.) selbst auch oft Sicherheitsprobleme verursachen und c) in der Kritik stehen, schon grundsätzlich nicht für Sicherheit zu sorgen, ist aus meiner Sicht die Empfehlung, unbedingt etwas Separates zu nutzen, heute nicht mehr haltbar. Gruß, Nils

Moin, die wirkt sich nur beim Failover aus, aber nicht, wenn VMs ausdrücklich heruntergefahren wurden bzw. wenn der ganze Cluster neu startet. Soweit ich sehe, dürfte die Anforderung tatsächlich nur über eine zusätzliche Steuerung (wie eben das diskutierte Skript) steuerbar sein. Seit 2008 R2 fasst der Cluster VMs nicht mehr an, die ausdrücklich heruntergefahren wurden. In 2008 war es noch so, dass die - wie ein normaler geclusterter Dienst - immer neu gestartet wurden, aber das passte nicht zu dem VM-Szenario. Gruß, Nils

Moin, das musst du selbst festlegen. Im Zweifel kann ja nicht viel passieren, sofern das Skript den Status der VM vorher prüft. Wenn es dann von mehreren Hosts gleichzeitig eine Anforderung zum Starten gibt, schlagen halt alle bis auf eine fehl - dürfte kaum stören. Ich schau bei Gelegenheit noch mal, ob man das eleganter lösen kann. Gruß, Nils

Moin, versuch es mal mit Format-Table -HideTableHeaders -Property name anstelle von Select-Object. Gruß, Nils

Moin, der Systemstart hat den Vorteil, dass er in der Aufgabenplanung als Trigger vordefiniert ist. Ich würde in dem aufgerufenen Skript dann in einer Schleife prüfen, ob der Clusterdienst läuft. Danach würde ich nochmal etwas abwarten und dann den Status der gewünschten VMs abfragen und diese dann ggf. starten. Gruß, Nils

Moin, das wundert mich. Robocopy ist es eigentlich völlig egal, um was für einen Gruppentyp es sich handelt, es überträgt halt die ACL-Einträge. Ob die aufgeglöst werden können und "funktionieren", ist dabei egal. Ich würde also eher auf einen anderen Fehler tippen. Da wir in einem anderen Thread auch gerade über Gruppentypen diskutiert haben: Im Allgemeinen spricht nichts gegen Domänenlokale Gruppen, im Gegenteil, es spricht sogar einiges für deren Einsatz. Sie sind genau wie Globale oder Universale Gruppen im AD gespeichert. Durch die Eigenschaften, wer Mitglied werden kann und wo die Gruppe sichtbar ist (nur in der eigenen Domäne), kann man damit sinnvolle Rollenkonzepte bauen. Gruß, Nils

Moin, in der tat kümmert sich Hyper-V nicht um die automatischen Start- und Stopp-Einstellungen, sobald die VMs geclustert sind. Auf die Schnelle hab ich nichts Zentrales gefunden. Denkbar wäre, das zu lösen, indem man per Taskplaner beim Systemstart ein Skript startet, das erst eine Weile wartet und dann die VMs startet, die auf jeden Fall laufen sollen, soferm sie das nicht tun. Vielleicht gibt es auch was anderes, aber ich habe gerade nicht genügend Zeit zur Recherche. Gruß, Nils

Moin, vielleicht kannst du trotzdem noch mal darstellen, was du eigentlich vorhast ... Gruß, Nils

Moin, wenn du nach einem Client fragen willst, sollte der Client auch in deiner Frage vorkommen ... Wie Norbert schon richtig sagt, ist das Design ungünstig und nicht praxisnah. Und: Nicht nur unter Windows gibt es nur ein Standardgateway, nicht mehrere. Das ist ein Grundprinzip von IP: Entweder es gibt eine definierte Route (weil ein Rechner z.B. in vier Netzwerken eine Adresse hat) oder der Rechner muss das Standardgateway beauftragen, eine Route zu finden. Explizit ist das Standardgateway nur für Routen da, die der Absender nicht selbst kennt. Daher kann es auch nur eins geben - wie sollte ein Rechner sonst auswählen, welches er nehmen soll? Was genau wolltest du mit dem Design denn erreichen? Gruß, Nils

Moin, naja, das ist eine etwas zusammengereimte Erklärung. ;) Das AD bietet einfach zahlreiche Felder, und es ist durchaus üblich, den Anmeldenamen anders zu setzen als den Objektnamen. Ich denke, das mit dem Dollar soll einfach nur eine art optischer Marker für ein spezielles Konto sein - wie gesagt, Microsoft macht das an einigen Stellen auch so. Vielleicht noch ein Hinweis: Suchen im AD funktionieren meist nur, wenn man den Anfang eines Strings angibt. Es müsste also auch bei dir funktionieren, wenn du im AD-Benutzer und -Computer einfach nach $ suchst. Wie du ja jetzt weißt, bekommst du damit Objekte zurück, die auf den ersten Blick nichts mit $ zu tun haben, aber im Anmeldenamen sieht man es dann. Versuchst du hingegen, nach 0420 zu suchen, gibt das nichts zurück, weil der String nicht mit 0420 anfängt. Hintergrund: Wildcard-Suchen kosten Performance, und noch mehr Performance kosten sie, wenn nicht nach dem Anfang eines Werts gesucht wird. Gruß, Nils

Moin, ah, okay, prima. Beruhigend irgendwie. :D Sehr freundlich ausgedrückt. :D Gruß, Nils

Moin, gut, aber das beantwortet die Frage ja nur am Rande. ;) Gruß, Nils