NilsK

Moin, die Meldungen, die du zitiert hast, sind alle normal und deuten nicht auf Fehler hin, bis auf das mit DHCP. Funktoniert das AD denn? Warum hast du die Uhr in die Zukunft gestellt? Da die AD-Anmeldung von der korrekten Uhrzeit abhängt, kann dies dein Problem verursacht haben. Korrigiere die Zeit, warte ein wenig, starte den Server neu und warte noch mal. So gravierende Zeitänderungen können schon mal zu Problemen führen. (Und dann noch in die Zukunft ... verstehe ich nicht, warum macht man das?) Wenn der DHCP Adressen verteilt, kannst du die Meldung vermutlich auch ignorieren. Normalerweise verteilt DHCP keine Adressen, wenn die Meldung kommt. Du kannst aber auch in der DHCP-Konsole per Rechtsklick "Diesen Server autorisieren" oder so ähnlich ausführen, quasi um sicher zu gehen. Gruß, Nils

Moin, wobei die grundlegende Frage ja berechtigt ist ... wie isses denn beim 2016-Server, befolgt der noch die klassischen Update-Vorgaben per GPO, die man normalerweise im Zusammenhang mit WSUS setzt? Gruß, Nil"ich traue Microsoft momentan alles zu"s

Moin, mämämämämämä. :D Gruß, Nils

Moin, ja, und die beiden Gruppentypen machen die Schachteltung dann systematisch. Man erkennt DL-Gruppen dann als diejenigen, die direkt Berechtigungen haben. Die G-Gruppen sind dann rein organisatorisch. Das führt im Kontext dieses Threads aber vielleicht etwas zu weit. Gruß, Nils

Moin, ich halte die Verschachtelung für ausgesprochen sinnvoll. Wenn es schon um grundlegende Konzepte geht, bewährt es sich schnell, mit zwei Gruppentypen zu arbeiten: DL-Gruppen werden berechtigt und dienen als Zugriffsrollen. G-Gruppen sammeln die User, die zugreifen sollen. Die DL-Gruppen nehmen G-Gruppen auf oder wenn sinnvoll auch direkt User. G-Gruppen erhalten aber nicht direkt Berechtigungen. Für den TO: [Windows-Gruppen richtig nutzen | faq-o-matic.net] http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Korrekt ist, dass das nur eine Empfehlung ist. Man kann davon abweichen. Gerade in einer größeren Struktur ist das aber als Grundmodell, wie ich eben finde, sehr sinnvoll. Gruß, Nils

Moin, das liegt vor allem daran, dass deine Suchabfrage nicht funktioniert - du suchst ja nicht nach dem Attribut "name", sondern nach "sAMAccountName", in dsquery also -samid. Versuch es alternativ mal mit net user /domain Einer der Tasks scheint ja ein Service zu sein. Was ist denn bei dem Dienst als Startkonto eingetragen? Übrigens legt auch Microsoft Konten mit einem $ am Anfang des Logon-Namens an, z.B. bei der Cloud-Anbindung von Exchange. Gruß, Nils

Moin, wesentlich sinnvoller als so ein Test wäre eine Blacklist. [Microsoft: Standardkennwörter sind das Hauptproblem | faq-o-matic.net] http://www.faq-o-matic.net/2016/08/31/microsoft-standardkennwrter-sind-das-hauptproblem/ Ob die Kennwortrichtlinien eingehalten werden, prüft das AD dann schon. Ich würde daher keine eigene Prüfung davorschalten, sondern die Übergabe des Kennworts im Skript auf Fehler prüfen. Wenn der DC das Kennwort nicht akzeptiert, muss man nochmal eins eingeben. Gruß, Nils

Moin, das "DL" steht auch für "Domain Local Groups", also nicht lokale Gruppen auf einem Server, sondern der Gruppentyp im AD. Der hat den Vorteil, dass er auch in Multi-Domänen-Umgebungen für Berechtigungen geeignet ist. Gruß, Nils

Moin, eine professionelle Lösung dafür wäre 8MAN. Gruß, Nils

Moin, Datenbanken liegen im Allgemeinen auch nicht auf einem Dateiserver. Höchstens sowas wie Access. Da muss dann eben eine organisatorische Regel her, dass die nicht in einem DFS-Ordner mit Replikation liegen. Die Frage nach der Bandbreite kann man nicht pauschal beantworten. Denk mal nach - wovon könnte die abhängen? Gruß, Nils

Moin, das Dollarzeichen am Anfang verhindert weder, dass ein Konto angezeigt wird, noch dass es gefunden wird. Gruß, Nils

Moin, ich versteh jetzt grad das Problem nicht ganz. Gruß, Nils

Moin, du brauchst aus einem PowerShell-Skript ja kein WScript-Objekt aufzurufen. Remove-PSDrive sollte das Nötige tun. Und mit New-PSDrive solltest du das neue Mapping einrichten können. Ungetestet, aber sollte mich wundern, wenn es nicht so ist. Den nötigen String für das neue Mapping erzeugst du so ähnlich, wie du es schon angedeutet hast. Die folgende Zeile gibt bei mir Daten in der gewünschten Form zurück: foreach ($Drive in $mappings) { $Drive.DisplayRoot.Replace('alt', 'neu') } Gruß, Nils

Moin, doch, genau das gilt als Best Practice, solange keine besonderen Anforderungen bestehen. Genauer sogar Everyone:Full Control, auch bekannt als Null-ACL. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Nur auf die Weise lässt sich vorhersagen und nachvollziehen, welche Berechtigungen gelten. Und nur auf die Weise sind serverübergreifende Migrationen handhabbar. Gruß, Nils

Moin, früher haben wir ein Kopierprogramm von ScriptLogic für sowas verwendet. Gehörte zu Quest, dann zu Dell. Weiß nicht, wo es jetzt gelandet ist. Gruß, Nils

Moin, wenn das CA-Zertifikat abgelaufen ist, kann die CA keine Zertifikate mehr ausstellen. Außerdem wird die CA auch vorher keine Zertifikate ausgestellt haben, die die Gültigkeit des CA-Zertifikats überschreiten. Es kann also sein, dass ziemlich viel nicht mehr läuft. Gruß, Nils

Moin, auf welchen Namen lautet denn das Zertifikat? Mit Let's Encrypt kannst du auch SAN-Zertifikate bauen, die mehr als einen Namen enthalten. Ob das für Exchange geeignet ist, hab ich noch nicht geprüft. Gruß, Nils

Moin, ja, ich denke, die Aufgabe soll auf ein DFS-Konzept mit Replikation hinauslaufen. Ich weiß nicht, wie die Prüfung genau aussehen wird, aber mach dich mit den Eigenheiten und Nachteilen von DFS-R vertraut, Stichwort z.B. "Last Writer Wins". Auch die Details der Implementierung (z.B. die Standort-Affinität) bergen einiges, wonach vielleicht gefragt wird. Die Bandbreite wäre in der Praxis auch ein Thema. Überlege auch, ob DFS beim Backup helfen kann. Als alleiniges Element wird das aber nicht ausreichen. Gruß, Nils

Moin, klar darfst du. Detailfragen beantworten wir gern. Fertige Skripte liefern wir i.d.R. nicht, aber du scheinst da ja auch auf einem guten Weg zu sein. Gruß, Nils

Moin, der Formulierung der Aufgabe nach nehme ich ebenfalls an, dass DFS gemeint ist. Insofern: Ja, in die Richtung würde ich weiter recherchieren. Gruß, Nils

Moin, ich glaube, du hast ein Problem. Kannst du gern haben, aber lass mich damit in Ruhe. Oder wie man in den Newsgroups sagte: Plonk. Gruß, Nils

Moin, das ganze Zertifikats-Konstrukt ist von vorne bis hinten kaputt. Traurig, dass es keine ernsthafte Alternative gibt. Gruß, Nils

Moin, nur weil PCs mittlerweile Festplatten in Terabyte-Größe haben, sind 1-2 TB nicht wenig Speicher. Im Gegenteil, das ist ziemlich viel. Summier das mal auf, da kommt was zusammen. Eine Diskussion, ob zentral nicht besser wäre als dezentral, wäre in der Praxis sicher denkbar. Die Aufgabenstellung dürfte das vermutlich nicht hergeben. Ich denke, so, wie die Aufgabe formuliert ist, soll ein bestimmter Lösungsansatz in den Blick kommen. Schau dir das noch mal an. Schon Ideen zu den Backup-Anforderungen? Gruß, Nils

Moin, ja, schon mal ein guter Anfang. Was käme dir in den Sinn, um die Dateidienste in dieser verteilten Struktur aufzubauen? Gruß, Nils

Moin, na, dann schieß mal los: Wenn du dir ziemlich sicher bist, hast du dir ja schon Gedanken gemacht. Stell die mal dar, dann haben wir was zum Diskutieren. Gruß, Nils