NilsK

Moin, den Gedanken verfechte ich auch. Nicht umsonst räume ich solchen Überlegungen in meinen "Best-Practice"-Veranstaltungen zu Virtualisierung breiten Raum ein - und diskutiere hinterher jedes Mal mit ca. der Hälfte der Teilnehmer darüber. :D Gruß, Nils

Moin, die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder". Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen. Gruß, Nils PS. den Namen deiner Domäne kennen wir ja schon ...

Moin, das würde ich anders ausdrücken: Es sind Lücken in den Hypervisoren denkbar und es wurden auch bereits welche gefunden, die einen solchen Übergriff ermöglichen. Die bisher gefundenen Lücken dieser Art wurden stets sehr schnell geschlossen, aber das heißt natürlich nicht, dass es keine weiteren gibt (und dass neu entdeckte jedes Mal so schnell geschlossen werden können). In sofern ist der Hinweis schon richtig, aber aus diesem konkreten Umstand leite ich eher die Forderung ab, Systeme aus getrennten Sicherheitszonen (LAN/DMZ, Admin/Produktion, Bereich1/Bereich2 ... das ist eine Designfrage) nicht auf dem selben Hypervisor-System (Einzelhost, Cluster) zu betreiben. Immerhin sind Übergriffe von System zu System in vielen Situationen viel einfacher möglich, ohne dass man den Hypervisor überhaupt angreifen muss. Gruß, Nils

Moin, na, so alt ist der Hut nun auch wieder nicht, nur weil wir diese Antwort schon ein paarmal gegeben haben ... der Hut ist vielleicht eine nicht ganz neuwertige Kappe, aber alt, nein, das ist er nicht. ;) Die Änderung, die Microsoft vorgenommen hat, ist schon fundamental, und daran gemessen, ist praktisch nichts geschehen, um das bekannt zu machen. Man hätte etwa mit dem Update ein Checkup-Tool mitliefern können, das Admins auf den Änderungsbedarf an konkreten GPOs aufmerksam macht. Hat man aber nicht. Gruß, Nils

Moin, gut, dass du es gefunden hast. Danke für die Rückmeldung. Bei VMware gibt es eine Falle: Beim Neustart einer VM übergibt der Host immer seine Zeit an die VM, auch wenn die Zeitsynchronisation abgeschaltet ist. Das Abschalten bewirkt nur, dass der Host im laufenden VM-Betrieb die Zeit nicht synchronisiert. In deinem Fall war die Abweichung zwei Stunden, und einen so großen Unterschied gleicht Windows (meist) nicht selbst aus. Das ist ein Grund, warum man den DC mit der PDC-Emulator-Rolle immer als physischen DC halten sollte: Er ist die maßgebliche Zeitquelle in Active Directory. Hat man das so aufgebaut, dann kann man in vSphere die Domäne als NTP-Server eingeben (den DNS-Namen der Domäne, nicht eines einzelnen DCs), was solche Probleme effektiv verhindern hilft. Gruß, Nils

Moin, da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest. Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an. Gruß, Nils * bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist.

Moin, ach ja, in der Tat, das ist einer der wenigen Fälle, in denen das tatsächlich sein könnte. Gruß, Nils

Moin, in der Zeit, die du hier mit störrischem "ich will es aber nicht richtig machen" verbracht hast, hättest du den größten Teil der Arbeit schon erledigt haben können. Auch wenn du dich auf den Kopf stellst: Eine andere seriöse Lösung gibt es nicht. Schon deshalb, weil ein Restore deines Eval-DCs auch wieder einen Eval-DC ergeben würde, der kurz nach dem Restore die Arbeit einstellt. Gruß, Nils

Moin, ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen. Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst? Gruß, Nils PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"?

Moin, du weißt, dass das die Antwort ist und willst uns nur testen, oder? Gruß, Nils

Moin, nuzr um das mal festzuhalten: Wenn man einen Windows-Server nicht aktiviert, stellt er nicht den Dienst ein. Er warnt nur, das ist alles. Wenn er sich herunterfährt, war es offenbar nur eine Eval-Version. Mit sowas eine produktive Umgebung zu installieren, ist nicht nur grob fahrlässig, sondern auch ein eindeutiger Verstoß gegen die Lizenzbedingungen. Ein Backup von dieser VM zu restaurieren, würde dir exakt gar nichts bringen, weil du nach dem Fertigstellen genau vor demselben Problem stehst. Gruß, Nils

Moin, sehr gern. :) Gruß, Nils

Moin lefg, mir ist gerade nicht klar, was für einen Kampf du hier eigentlich fichst. Niemand sagt, dass der TO keine Redundanz, Hochverfügbarkeit oder Fehlertoleranz herstellen soll. Aus 20 Jahren IT-Erfahrung kann ich aber eines sagen: Wenn man sich vorher keine Gedanken macht, was die Lösung leisten soll, dann wird sie dies auch nicht erfüllen. Wenn die Geschäftsleitung einen Kredit aufnimmt, dann wird sie sich genau überlegen, wozu sie ihn braucht, was sie mit dem Geld machen will und wie sie die Kosten finanziert. Tut sie das nicht, dann verstößt sie gegen elementare kaufmännische Grundsätze. Was Norbert, ich und einige andere hier anregen, ist exakt dasselbe. Wenn dann festgestellt wird, dass ein redundantes, hochverfügbares, fehlertolerantes oder wie auch immer geartetes System sinnvoll oder erforderlich ist, dann kann man es auf der Basis anschaffen und einrichten. Genau dafür sind die Überlegungen da. Sie sparen real Geld. Gruß, Nils

Moin, och, nur so die Kernfragen: Wie lange können die Geschäftsprozesse auf (System) verzichten? Welcher Datenverlust ist in (System) tolerierbar? Welche Schadensszenarien sind zu berücksichtigen? Welche zusätzlichen qualitativen und quatitativen Anforderungen gibt es an (System)? Und dabei ist dann wichtig, dass die Perspektive lautet "... bevor dem Unternehmen ein Schaden erwächst, der es in Gefahr bringt" und nicht "... bevor es unbequem wird, weil im Helpdesk die Telefone klingeln". Ja, das sind Diskussionen, die in der Regel nicht in wenigen Minuten abgeschlossen sind. Und wenn doch, stimmen normalerweise die Ergebnisse nicht. Gruß, Nils PS. Ja, ich bin nicht Norbert.

Moin, ja, das hatten wir aber doch schon gesagt ...? Also noch mal in Ruhe: Der SID eines bestehenden Objekts ändert sich nie. (Fast) alle anderen Daten können sich ändern. Der "Reset" eines Computerkontos setzt im Wesentlichen nur das Kennwort des Computerkontos zurück - eigentlich genauso, wie man es auch bei einem Userkonto machen kann. Der SID bleibt unangetastet. Möglicherweise liegt das Missverständnis (deins oder das des Video-Autoren) darin, dass man ein Konto auch löschen und neu erzeugen kann. Das ist aber ein ganz anderer Vorgang. In dem Fall erzeugt man ein neues Konto, das natürlich auch einen neuen SID hat. Das ist bei Computerkonten manchmal ein Workaround, der weniger Folgen hat als bei einem Userkonto, weil ein Computerkonto i.d.R. nirgends direkte Berechtigungen zugewiesen hat (die ja auf dem SID beruhen). Und daher ist der Vergleich (bzw. das Gleichsetzen) des "Reset" eines Computerkontos mit dem Neuerzeugen eines Userkontos einfach falsch. Gruß, Nils

Moin, was gibt es da zu elaborieren? Was beim Reset des Computerkontos passiert, ist hier doch schon beschrieben worden. Gruß, Nils

Moin, der Vergleich hinkt nicht nur, er ist einfach falsch. Gruß, Nils

Moin, also, ich tute hier noch mal ins selbe Horn wie Norbert: Zuerst (!) muss man die Anforderungen definieren. Danach kann man Lösungswege evaluieren. "Anforderungen definieren" heißt, dies anhand geschäftlicher Ziele und Bedingungen festzulegen und verschiedene Szenarien zu betrachten. In der Regel ist das ein Prozess, der mehrere Tage oder Wochen dauert und primär die Geschäftsleitung und die Fachabteilungen einbindet. Die IT hat dabei nur beratende Funktion. Ja, ich weiß, das ist in der IT nicht beliebt. Ändert aber nix. Gruß, Nils

Moin, das kommt mir jetzt doch sehr lang vor. Gruß, Nils

Moin, jap. Gruß, Nils

Moin, das eigentliche Problem trat ja beim Upgrade-Versuch von 1511 auf 1607 auf, wenn Hyper-V und Bitlocker aktiv waren. Da wäre jetzt mal interessant, wann und wie man das Update in dem Szenario einspielt. Dazu äußert sich der "Artikel" zum Update ja leider nicht. Gruß, Nils

Moin, Video? Vielleicht von Thomas Joos? :D Gruß, Nils SCNR ...

Moin, der Rechner bekommt keinen neuen SID. Auch das Konto behält seinen SID (Attribut objectSID), wenn du es bestehen lässt. Im Wesentlichen entfernr "Reset" das Computerkennwort. Gruß, Nils

Moin, neue LUN einbinden und formatieren. Dort eine Datenbank anlegen und die Mailboxen dorthin verschieben. 1 TB ist für eine Datenbank aber sehr groß - denkt auch an Backup und Recovery. Besser also auf mehrere Datenbanken aufteilen. Gruß, Nils

Moin, danke für die Info! :D Gruß, Nils