NilsK

Moin, ... und einig sind wir uns auch noch. :D Schön, dass du sie gefunden hast. Danke für die Rückmeldung! Gruß, Nils

Moin, dieses "Internet" sagt, dass die zugehörige VHD-Datei unter C:\Users\xxxx\AppData\Local\Microsoft\Windows Virtual PC\Virtual Machines\Windows XP Mode.vhd liegt. In Windows 10 sollte die Datei sich einbinden und öffnen lassen. Gruß, Nils

Moin, klar: zweiten DC dazu, DNS "über Kreuz" eintragen und beide nur getrennt voneinander neu starten. Lösen? :D Hast du schon geprüft, ob der SPN wirklich nicht vorhanden ist? Vielleicht war das auch nur ein Timeout-Fehler. Gruß, Nils

Moin, die Loopback-Adresse funktioniert auch. Es spricht aber auch nichts dagegen, dort die "echte" IP-Adresse einzutragen. Muss man nur dran denken, das zu aktualisieren, wenn die IP sich mal ändert. Niemals das Ereignisprotokoll leeren! Das ist eine Unsitte. Anhand der Zeitstempel kann man eindeutig feststellen, wann ein Fehler aufgetreten ist, da braucht man keine leere Liste. Wenn aber wirklich mal was auftritt, dann braucht man die Möglichkeit nachzuvollziehen, wann das angefangen hat, was vorher war usw. Die Warnung selbst kann einfach auf den Neustart zurückzuführen sein: Das AD startet vor dem DNS-Dienst. Der war vielleicht einfach noch nicht so weit. Gruß, Nils

Moin, möglicherweise gibt es in der Domäne ein Konto mit selbem Namen und Kennwort, und der betreffende User darf per Berechtigung nicht auf die Freigabe zugreifen. Gruß, Nils

Moin, du musst deiner If-Bedingung sagen, dass sie in der Spalte "samaccountname" nachsehen soll. Dann klappt es. Einzige Änderung also: If ($Importfile.samaccountname -contains $username) {Write-Host "Username vergeben"} Gruß, Nils

Moin, du müsstest alle Variablen einzeln löschen. Da die Shell nicht zwischen Skriptvariablen und Sitzungsvariablen unterscheidet, würdest du alle wohl nicht löschen wollen. Oder du schließt das CMD-Fenster und machst für den nächsten Durchlauf ein neues auf. Gruß, Nils

Moin, und was genau ist jetzt deine Frage? Gruß, Nils PS. Es heißt SMB, nicht CIFS.

Moin, hähö, hast du nicht oben gesagt, das wäre doch ganz einfach mit ein paar Zeilen? :D Auch da gibt es vermutlich mehrere Wege, ich mach es immer über FOR. Gruß, Nils

Moin, AD-Benutzer und -Computer, csvde, ldifde, dsquery, PowerShell. Und je nachdem, wie die Namen gepflegt sind, ginge auch net user. Gruß, Nils

Moin, doch, natürlich. Wie kommst du auf diese Schlussfolgerung? AdFind ist nur einfach sehr leistungsfähig, wenn es um solche Dinge geht. Naja, wenn du das einfach findest ... es soll ja auch Leute geben, die sich die Hose mit einer Kneifzange anziehen. Gruß, Nils

Moin, allgemein geben wir hier Starthilfe und schreiben keine Skripte auf Anforderung. Die Logik hast du schon richtig dargestellt. Das Skript könnte den Loginnamen entgegennehmen und das AD nach Vor- und Nachname fragen. Sofern der User, der das Skript ausführt, Domänenmitglied ist, kann er einfach "das AD" fragen. So ein Skript sollte dann noch eine Fehlerbehandlung bekommen, falls die Namensfelder leer sind. Und es sollte Sonderzeichen passend behandeln. Per Batch ist das ziemlich fummelig, aber machbar. Zum Abfragen des AD könntest du dann AdFind von joeware.net nehmen. Für die String-Operationen könntest du mit FOR usw. arbeiten, aber das ist eben der fummelige Teil. Per PowerShell wird man das schnell und relativ elegant hinbekommen, nur muss man dafür ein wenig PowerShell können. Gruß, Nils

Moin, sorry, aber die Planung ist nicht sinnvoll. Gut, der Server ist völlig überdimensioniert bestellt worden. Es sind 12 Platten drin, richtig? Dann würde ich überlegen, auf ein einigermaßen sinnvolles Sizing runterzustrippen, ein paar Platten auszubauen und anderweitig zu verwenden. Denkbar wäre: Kleines RAID-1 aus 2 Platten für das Host OS und für nichts sonst (!) RAID-10 aus 4 Platten, meinetwegen plus Hotspare, für die VMs. Die DCs brauchen in so einer Umgebung nicht mehr als 2 GB RAM. Vermutlich nicht mal, wenn sie auch Druckserver spielen sollen. In dem Fall vielleicht 4 GB, mehr ist Unsinn. Exchange braucht nicht mehr als 16 GB, wahrscheinlich wären 12 GB auch genug. ReFS bringt in der Umgebung sehr wahrscheinlich keinen Vorteil, würde ich also bleiben lassen und NTFS nehmen. Das ist jedem Supporter vertraut, was bei ReFS noch lange nicht der Fall ist. 1 TB für die Exchange-Datenbank? Sicher? Bei 25 Usern? Wie soll das gesichert werden? Und 500 GB für die Logs ist auch bei Weitem zu viel. Da das alles auf einem einizigen Storage liegt, braucht man es eigentlich auch nicht in zwei Volumes aufzuteilen. Kann man aber machen. Ein DC braucht in so einer Umgebung nicht mehr als eine vCPU. Zwei sind aber OK. Beim Druckserver auch. Exchange kriegt bitte nicht mehr als vier vCPU, zwei reichen auch. Wäre nicht schlecht, sich jemanden dazuzuholen, der sich wenigstens ein bisschen mit der Materie auskennt ... Gruß, Nils

Moin, das Host-OS braucht kein RAID-10. Ein "kleines" RAID-1 reicht dafür aus. Das muss auch nicht schnell sein. SD-Karte oder USB-Stick ist bei vSphere eine Option, wenn auch dort Redundanz vorhanden ist (will man wirklich von einem Speichermedium abhängig sein, das für Fotoapparate entworfen wurde?!). Zu dem Gesamtsizing kann man wenig sagen, ohne die genauen Anforderungen zu kennen. Was du an Plattenplatz vorsiehst, erscheint mir sehr üppig, insbesondere wenn die Fileserver-Daten gar nicht darauf liegen. Womit planst du denn die 3,6 TB zu füllen? Warum zwei RAID-10-Systeme? Was genau meinst du damit? Gruß, Nils

Moin, hast du denn eine Gruppe namens "GPO-Admins"? Ich benannte den Artikel als Vorlage. Eine fertige Lösung für das hier diskutierte Problem ist er nicht. Gruß, Nils

Moin, doch, den gibt es. Aber erst ab Windows Server 2012. Da funktioniert beides, weil die Variante mit "s" als Alias definiert ist. CommandType Name ----------- ---- Alias Get-GPPermissions Alias Set-GPPermissions Cmdlet Get-GPPermission Cmdlet Set-GPPermission Und du müsstest in dem wichtigen Teil mit Set-GPPermission(s) den Namen der Gruppe natürlich auch anpassen. Gruß, Nils

Moin, hier findet sich ein Ansatz: [Delegating Permissions to Group Policy Objects using PowerShell | SweeneyOps] https://sweeneyops.wordpress.com/2012/06/12/delegating-permissions-to-group-policy-objects-using-powershell/ Gruß, Nils

Moin, gpupdate hat mit Gruppen und Berechtigungen nichts zu tun. Eine Replikationsverzögerung ist unwahrscheinlich - befindet sich der User an einem anderen AD-Standort? Gruß, Nils

Moin, einer meiner ältesten Artikel. In Wirklichkeit noch älter, als das Datum dort aussagt. [Warum funktioniert die Änderung einer Gruppenmitgliedschaft nicht? | faq-o-matic.net] http://www.faq-o-matic.net/2005/06/21/warum-funktioniert-die-aenderung-einer-gruppenmitgliedschaft-nicht/ Gruß, Nils

Moin, wie sehen die Berechtigungen auf der Share-Ebene aus, wie auf NTFS-Ebene? Was heißt "kann nicht kopieren" - dann kann er sie auch nicht lesen/öffnen, korrekt? Wie lautet die Fehlermeldung genau? Gruß, Nils

Moin, es sind in deiner Konstellation keine Probleme zu erwarten. In 17 Jahren Active Directory habe ich noch nie gesehen, dass irgendein Recovery wegen des Anhebens des Domänenmodus notwendig gewesen wäre. Gruß, Nils

Moin, ich meine, dass das Löschen durch DHCP nie funktioniert. Möglicherweise ist das aber auch ein Berechtigungsproblem. Hab ich nie im Detail durchgetestet. Allerdings halte ich das in den meisten Umgebungen für nebensächlich. Wichtig ist eher, dass ein vorhandener Eintrag geändert wird, wenn die Zuordnung Name-IP sich ändert. Ein verwaister Eintrag, der ins Leere zeigt, ist meist egal. Wenn du Scavenging machst, ist es jedenfalls eine gute Idee, das Intervall auf die Lease-Dauern abzustimmen. Auch das ist im Zweifel nicht trivial. Gruß, Nils

Moin, dazu können wir nichts sagen. Die Einschätzung kann nur die Geschäftsleitung eures Unternehmens treffen. Es ist Aufgabe der IT-Leitung, die Geschäftsleitung zu dieser Einschätzung zu befähigen. Kriterien und Freigabe dazu können nur von der GL kommen. Wichtig ist nicht das Backup. Wichtig ist einzig das Recovery. Gruß, Nils

Moin, DHCP löscht nie DNS-Einträge. Das müsste, wenn gewünscht der DNS-Server machen, Stichwort "Scavenging". [Endlich Ordnung auf dem DNS-Server | faq-o-matic.net] http://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/ Das Userkonto beim DHCP-Server braucht man kurz gesagt dann, wenn DHCP auf einem Domänencontroller läuft. Dieses Konto benötigt keine speziellen Rechte. Im Detail ist das ganze Thema leider nicht ohne, wie ein Boardmember neulich mal erarbeitet hat: [Die AD-DNS-Zone sicher konfigurieren | faq-o-matic.net] http://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Gruß, Nils

Moin, das ist alles völlig richtig, erübrigt aber nicht den Bedarf, das Sizing für VMs sorgfältig zu machen. Und am Ende geht es in diesem Thread genau darum. Womit wir bei dem zutreffenden Hinweis sind, dass es auf die Anforderungen ankommt, und die werden in vielen IT-Abteilungen leider sehr ungern betrachtet. Gruß, Nils