NilsK

Moin, vielleicht kannst du trotzdem noch mal darstellen, was du eigentlich vorhast ... Gruß, Nils

Moin, wenn du nach einem Client fragen willst, sollte der Client auch in deiner Frage vorkommen ... Wie Norbert schon richtig sagt, ist das Design ungünstig und nicht praxisnah. Und: Nicht nur unter Windows gibt es nur ein Standardgateway, nicht mehrere. Das ist ein Grundprinzip von IP: Entweder es gibt eine definierte Route (weil ein Rechner z.B. in vier Netzwerken eine Adresse hat) oder der Rechner muss das Standardgateway beauftragen, eine Route zu finden. Explizit ist das Standardgateway nur für Routen da, die der Absender nicht selbst kennt. Daher kann es auch nur eins geben - wie sollte ein Rechner sonst auswählen, welches er nehmen soll? Was genau wolltest du mit dem Design denn erreichen? Gruß, Nils

Moin, naja, das ist eine etwas zusammengereimte Erklärung. ;) Das AD bietet einfach zahlreiche Felder, und es ist durchaus üblich, den Anmeldenamen anders zu setzen als den Objektnamen. Ich denke, das mit dem Dollar soll einfach nur eine art optischer Marker für ein spezielles Konto sein - wie gesagt, Microsoft macht das an einigen Stellen auch so. Vielleicht noch ein Hinweis: Suchen im AD funktionieren meist nur, wenn man den Anfang eines Strings angibt. Es müsste also auch bei dir funktionieren, wenn du im AD-Benutzer und -Computer einfach nach $ suchst. Wie du ja jetzt weißt, bekommst du damit Objekte zurück, die auf den ersten Blick nichts mit $ zu tun haben, aber im Anmeldenamen sieht man es dann. Versuchst du hingegen, nach 0420 zu suchen, gibt das nichts zurück, weil der String nicht mit 0420 anfängt. Hintergrund: Wildcard-Suchen kosten Performance, und noch mehr Performance kosten sie, wenn nicht nach dem Anfang eines Werts gesucht wird. Gruß, Nils

Moin, ah, okay, prima. Beruhigend irgendwie. :D Sehr freundlich ausgedrückt. :D Gruß, Nils

Moin, gut, aber das beantwortet die Frage ja nur am Rande. ;) Gruß, Nils

Moin, die Meldungen, die du zitiert hast, sind alle normal und deuten nicht auf Fehler hin, bis auf das mit DHCP. Funktoniert das AD denn? Warum hast du die Uhr in die Zukunft gestellt? Da die AD-Anmeldung von der korrekten Uhrzeit abhängt, kann dies dein Problem verursacht haben. Korrigiere die Zeit, warte ein wenig, starte den Server neu und warte noch mal. So gravierende Zeitänderungen können schon mal zu Problemen führen. (Und dann noch in die Zukunft ... verstehe ich nicht, warum macht man das?) Wenn der DHCP Adressen verteilt, kannst du die Meldung vermutlich auch ignorieren. Normalerweise verteilt DHCP keine Adressen, wenn die Meldung kommt. Du kannst aber auch in der DHCP-Konsole per Rechtsklick "Diesen Server autorisieren" oder so ähnlich ausführen, quasi um sicher zu gehen. Gruß, Nils

Moin, wobei die grundlegende Frage ja berechtigt ist ... wie isses denn beim 2016-Server, befolgt der noch die klassischen Update-Vorgaben per GPO, die man normalerweise im Zusammenhang mit WSUS setzt? Gruß, Nil"ich traue Microsoft momentan alles zu"s

Moin, mämämämämämä. :D Gruß, Nils

Moin, ja, und die beiden Gruppentypen machen die Schachteltung dann systematisch. Man erkennt DL-Gruppen dann als diejenigen, die direkt Berechtigungen haben. Die G-Gruppen sind dann rein organisatorisch. Das führt im Kontext dieses Threads aber vielleicht etwas zu weit. Gruß, Nils

Moin, ich halte die Verschachtelung für ausgesprochen sinnvoll. Wenn es schon um grundlegende Konzepte geht, bewährt es sich schnell, mit zwei Gruppentypen zu arbeiten: DL-Gruppen werden berechtigt und dienen als Zugriffsrollen. G-Gruppen sammeln die User, die zugreifen sollen. Die DL-Gruppen nehmen G-Gruppen auf oder wenn sinnvoll auch direkt User. G-Gruppen erhalten aber nicht direkt Berechtigungen. Für den TO: [Windows-Gruppen richtig nutzen | faq-o-matic.net] http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Korrekt ist, dass das nur eine Empfehlung ist. Man kann davon abweichen. Gerade in einer größeren Struktur ist das aber als Grundmodell, wie ich eben finde, sehr sinnvoll. Gruß, Nils

Moin, das liegt vor allem daran, dass deine Suchabfrage nicht funktioniert - du suchst ja nicht nach dem Attribut "name", sondern nach "sAMAccountName", in dsquery also -samid. Versuch es alternativ mal mit net user /domain Einer der Tasks scheint ja ein Service zu sein. Was ist denn bei dem Dienst als Startkonto eingetragen? Übrigens legt auch Microsoft Konten mit einem $ am Anfang des Logon-Namens an, z.B. bei der Cloud-Anbindung von Exchange. Gruß, Nils

Moin, wesentlich sinnvoller als so ein Test wäre eine Blacklist. [Microsoft: Standardkennwörter sind das Hauptproblem | faq-o-matic.net] http://www.faq-o-matic.net/2016/08/31/microsoft-standardkennwrter-sind-das-hauptproblem/ Ob die Kennwortrichtlinien eingehalten werden, prüft das AD dann schon. Ich würde daher keine eigene Prüfung davorschalten, sondern die Übergabe des Kennworts im Skript auf Fehler prüfen. Wenn der DC das Kennwort nicht akzeptiert, muss man nochmal eins eingeben. Gruß, Nils

Moin, das "DL" steht auch für "Domain Local Groups", also nicht lokale Gruppen auf einem Server, sondern der Gruppentyp im AD. Der hat den Vorteil, dass er auch in Multi-Domänen-Umgebungen für Berechtigungen geeignet ist. Gruß, Nils

Moin, eine professionelle Lösung dafür wäre 8MAN. Gruß, Nils

Moin, Datenbanken liegen im Allgemeinen auch nicht auf einem Dateiserver. Höchstens sowas wie Access. Da muss dann eben eine organisatorische Regel her, dass die nicht in einem DFS-Ordner mit Replikation liegen. Die Frage nach der Bandbreite kann man nicht pauschal beantworten. Denk mal nach - wovon könnte die abhängen? Gruß, Nils

Moin, das Dollarzeichen am Anfang verhindert weder, dass ein Konto angezeigt wird, noch dass es gefunden wird. Gruß, Nils

Moin, ich versteh jetzt grad das Problem nicht ganz. Gruß, Nils

Moin, du brauchst aus einem PowerShell-Skript ja kein WScript-Objekt aufzurufen. Remove-PSDrive sollte das Nötige tun. Und mit New-PSDrive solltest du das neue Mapping einrichten können. Ungetestet, aber sollte mich wundern, wenn es nicht so ist. Den nötigen String für das neue Mapping erzeugst du so ähnlich, wie du es schon angedeutet hast. Die folgende Zeile gibt bei mir Daten in der gewünschten Form zurück: foreach ($Drive in $mappings) { $Drive.DisplayRoot.Replace('alt', 'neu') } Gruß, Nils

Moin, doch, genau das gilt als Best Practice, solange keine besonderen Anforderungen bestehen. Genauer sogar Everyone:Full Control, auch bekannt als Null-ACL. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Nur auf die Weise lässt sich vorhersagen und nachvollziehen, welche Berechtigungen gelten. Und nur auf die Weise sind serverübergreifende Migrationen handhabbar. Gruß, Nils

Moin, früher haben wir ein Kopierprogramm von ScriptLogic für sowas verwendet. Gehörte zu Quest, dann zu Dell. Weiß nicht, wo es jetzt gelandet ist. Gruß, Nils

Moin, wenn das CA-Zertifikat abgelaufen ist, kann die CA keine Zertifikate mehr ausstellen. Außerdem wird die CA auch vorher keine Zertifikate ausgestellt haben, die die Gültigkeit des CA-Zertifikats überschreiten. Es kann also sein, dass ziemlich viel nicht mehr läuft. Gruß, Nils

Moin, auf welchen Namen lautet denn das Zertifikat? Mit Let's Encrypt kannst du auch SAN-Zertifikate bauen, die mehr als einen Namen enthalten. Ob das für Exchange geeignet ist, hab ich noch nicht geprüft. Gruß, Nils

Moin, ja, ich denke, die Aufgabe soll auf ein DFS-Konzept mit Replikation hinauslaufen. Ich weiß nicht, wie die Prüfung genau aussehen wird, aber mach dich mit den Eigenheiten und Nachteilen von DFS-R vertraut, Stichwort z.B. "Last Writer Wins". Auch die Details der Implementierung (z.B. die Standort-Affinität) bergen einiges, wonach vielleicht gefragt wird. Die Bandbreite wäre in der Praxis auch ein Thema. Überlege auch, ob DFS beim Backup helfen kann. Als alleiniges Element wird das aber nicht ausreichen. Gruß, Nils

Moin, klar darfst du. Detailfragen beantworten wir gern. Fertige Skripte liefern wir i.d.R. nicht, aber du scheinst da ja auch auf einem guten Weg zu sein. Gruß, Nils

Moin, der Formulierung der Aufgabe nach nehme ich ebenfalls an, dass DFS gemeint ist. Insofern: Ja, in die Richtung würde ich weiter recherchieren. Gruß, Nils