NilsK

Moin, Exchange benötigt je nach Version einen bestimmten Minimalstand beim AD, weil es auf einzelne Funktionen oder Attribute angewiesen ist. Da eine neuere AD-Version auf dieser Ebene nichts entfernt, wird es keine funktionalen Einschränkungen geben. In der Vergangenheit gab es manchmal Verzögerungen mit konkreten Supportaussagen, aber es gab m.W. noch nie den Fall, dass Exchange in einem neuren AD nicht gelaufen wäre. Vermutlich würde sogar Exchange 2000 in einem 2012er-AD laufen. Auch aktuell sind die Requirements-Seiten zu Exchange 2010 leider noch nicht mit den 2012-Daten ergänzt worden, das letzte Bearbeitungsdatum dort liegt vor dem RTM-Datum des neuen Servers. Gruß, Nils

Moin, warum sollte Exchange 2010 in einer 2012-Domäne nicht funktionieren? Schöne Grüße, Nils

Moin, spielst du jetzt "wer hat den Längeren", oder was soll das werden? :rolleyes: Wenn 86 IP-Adressen über eine dreiviertel Stunde lang die Loginseite angreifen und jeder Rechner nur, sagen wir, 10 Angriffe pro Minute ausführt, dann sind das 38.700 Angriffe - wohlgemerkt innerhalb von 45 Minuten. Das ist viel - vielleicht nicht für Google et al., aber für eine kleinere Webpräsenz, um die es hier wahrscheinlich geht. Da ich allerdings weder der TO bin noch eine Lösung anzubieten habe, ist hier EOD für mich. Gruß, Nils

Moin, faq-o-matic.net » Benutzerprofile an neue Benutzer übertragen faq-o-matic.net » Benutzerprofile mit EasyTransfer migrieren oder USMT von Microsoft. Oder die Mercedes-Variante zum Polo-Preis: Profile Migrator - Windows user profile migration software Schöne Grüße, Nils

Moin, richtig lesen, bitte. Er schrieb von 86 IP-Adressen, nicht von 86 Angriffen. Es könnten ja durchaus hunderte oder tausende Brute-Force-Versuche pro Adresse gewesen sein ... @P100: Wen würdest du denn anzeigen wollen? Und welcher Schaden ist entstanden? Nur wenn du auf beides eine plausible Antwort hast (und der Schaden wirklich hoch ist), bringt dir eine Anzeige gegen einen ausländischen Angreifer etwas außer Aufwand. Gruß, Nils

Moin, Benutzer haben genau dann Administratorrechte, wenn sie in der lokalen Gruppe "Administratoren" Mitglied sind. Ob das der Fall ist, lässt sich am besten mit dem Konnando "whoami /groups" herausfinden, wenn der zu prüfende Benutzer angemeldet ist. Warum bei dir etwas so ist, wie es ist, lässt sich aus deinen Angaben kaum ersehen - noch weniger, warum es angeblich früher anders war. Gruß, Nils

Moin, eine wirklich verlässliche Antwort darauf kann dir selbstverständlich nur Microsoft geben. Abseits der offensichtlichen Fälle - sprich genau in den von dir angesprochenen Grenzfällen - können wir (genau wie alle anderen "Externen") bestenfalls mutmaßen, aber das bringt natürlich nichts. Schöne Grüße, Nils

Moin, beschreibe doch bitte noch mal, was du vorhast. Ich hatte dich so verstanden, als wolltest du einen physischen Server in eine VM konvertieren und dabei sichergehen, dass der SID erhalten bleibt (was er natürlich tut). Das scheint aber nicht so zu sein. Schöne Grüße, Nils

Moin, das ist natürlich okay. :) Schöne Grüße, Nils

Moin, wenn es Windows-8-Tablets sind, verhalten die sich genauso wie Desktop-PCs. Es muss dann Windows 8 Pro sein, weil "ohne Pro" kein Domänenmitglied sein kann. Tablets mit Windows RT lassen sich nicht in die Domäne einbinden und auch nicht ernsthaft zentral verwalten. Dafür sind sie günstiger und tendenziell leichter. Android und iPad erfordern eine separate Management-Infrastruktur, die aber besonders bei Android je nach Exemplar unterschiedlich viel ausrichten kann (weil die Implementierung des nötigen MDM-Agenten in der Hand des Geräte-Herstellers liegt). Schöne Grüße, Nils

Moin, nein, tut er nicht. Schöne Grüße, Nils

Moin, eigentlich funktionieren alle MDM-Produkte auf dieselbe Art. Auf dem Endgerät (Telefon, Tablet) läuft ein Agent, der die konfigurierbaren Schnittstellen vorgibt. In der Mitte ist ein Verteilsystem, das dem Agenten die Policies gibt. Am anderen Ende ist der Server, der die Policies tatsächlich definiert. Da der Agent (normalerweise) vom Endgeräte-Betriebssystem vorgegeben ist, definiert er, was die MDM-Lösung effektiv konfigurieren kann. Da gibt es also wenig, wo die Anbieter sich unterscheiden können (höchstens die Qualität der Umsetzung). Und genau da liegt auch der Grund, dass Windows Phone bislang nicht verwaltbar ist - es gibt keinen Agenten, und nachträglich kann man keinen installieren ... Gruß, Nils

Moin, um Logins anzuzeigen, ist sp_helplogins geeignet. sp_helplogins (Transact-SQL) Benutzer usw. innerhalb einer Datenbank kannst du mit der View sys.database_principals abfragen. sys.database_principals (Transact-SQL) Falls du nur normale Logins verwendest, geht auch sp_helpuser. sp_helpuser (Transact-SQL) Eine Auflistung aller Berechtigungen würde erfordern, dass du jedes einzelne Objekt in jeder Datenbank abfragst. Berechtigungen können sehr granular sein, daher wäre "Rechte auf den Datenbanken" zu kurz gesprungen. Permissions (Database Engine) Dazu dürfte es keine fertige, effiziente Methode geben. Ähnlich wie bei der Analyse von Dateiserverberechtigungen gibt es evtl. kommerzielle Software, die sowas analysiert. Falls du sicher bist, dass die Berechtigungen in deinem System nicht so komplex sind, reicht ggf. auch eine einfachere Abfrage aus, die du aber selbst erarbeiten musst. Gruß, Nils

Moin, nein, sämtliche Antworten sind viel zu naiv. Tut mir Leid, das so direkt sagen zu müssen - aber diese Sorte Diskussion hab ich schon ziemlich oft durch. Fragen dieser Art sind in einem Forum ohnehin nicht sinnvoll zu diskutieren. Eine sinnvolle Betrachtung solcher Aspekte füllt locker einen oder mehrere Arbeitstage (ja, das meine ich ernst). Erst wenn es dann um konkrete technische Fragen geht, ist ein Forum wieder geeignet. Schöne Grüße, Nils

Moin, gut, und wo genau ist jetzt dein Problem? Schöne Grüße, Nils

Moin, die Frage kommt mir bekannt vor - vielleicht war der TO neulich in meinem Vortrag. ;) Programm heise Netze Tour 2012 Hamburg Der oben zitierte Artikel von Yusuf ist zwar etwas ausführlich geraten, skizziert aber einen ganz guten Lösungsansatz. Die vom TO angefragte Methode ist auch möglich (Dom-Admin trägt den Computer ein, User nimmt ihn dann erst auf), erfordert aber einige Vorarbeit. Eine Suche nach "Active Directory computer account prestaging" dürfte weiterführen. Gruß, Nils

Moin, ich bin immer wieder erstaunt, wie munter konkrete Systemempfehlungen gegeben werden, ohne dass die Anforderungen auch nur ansatzweise geklärt sind. Zunächst ist zu klären: - Welche (realistischen) Anforderungen bestehen an die Wiederanlaufzeiten? - Ist ein Notbetrieb technisch und organisatorisch möglich? Wie könnte der aussehen? - Welche Datenverluste sind tolerierbar? - Welche Schadensszenarien sollen abgesichert werden? (Z.B. Ausfall Einzelserver, Ausfall Komplettsystem, Fehler in der Software, Fehler im OS, Anwenderfehler, Fehler in vorgelagerten Diensten ...) - Welches Budget steht zur Verfügung? - Welche Mechanismen werden von den Herstellern unterstützt, welche ausdrücklich nicht? - usw. usf. Nein, das ist auch für Arztpraxen nicht zu hoch gegriffen. Ohne realistische (!) Antworten auf diese und weitere Fragen kann man keine Systemempfehlung geben. Schöne Grüße, Nils

Moin, es geht auch nicht um die IP-Konfiguration des Servers, wo DNS läuft, sondern um die Daten des DNS-Servers ... faq-o-matic.net » Was muss ich beim DNS für Active Directory beachten? (Reloaded) Gruß, Nils Gruß, Nils

Moin, wenn das der ganze Grund ist, dann benenne nichts um, sondern sorge in deinem internen DNS dafür, dass es die externen Ressourcen auflösen kann. Meist reicht es dazu, intern den A-Eintrag "www" zu hinterlegen und die IP-Adresse einzutragen, die der Provider für den Webserver nutzt. Es ist durchaus üblich, das AD so zu benennen wie die externe Webseite. Auf keinen Fall ist es ein No-go, das den gravierenden Eingriff einer AD-Umbenennung rechtfertigt. faq-o-matic.net » Welcher Name ist der beste für eine AD-Domäne? Gruß, Nils

Moin, die Berechtigungen sind standardmäßig bereits so gesetzt, dass ein User sein eigenes Konto an ein paar Stellen bearbeiten darf. Je nachdem, um welche Attribute es geht, ist da also keine Vorbereitung nötig. Neben einer schnellen Migration auf Exchange 2010, wie von Norbert vorgeschlagen ;), käme etwas in der Art vielleicht in Betracht: faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils

Moin, wobei es dafür keinen technischen Grund gibt. Das wäre also eher ein Thema der Projektorganisation. Gruß, Nils

Moin, wenn es nicht zwingend nötigt ist, solltest du das bleiben lassen. Aus welchen Grund würdest du den Domänennamen denn ändern wollen? Gruß, Nils

Moin, wozu benötigst du die Antwort?* Wenn es darum geht, die Bilder zentralisiert zu setzen, dann gibt es dafür fertige Lösungen, z.B.: Script Set-UserTileFromAD Adding a custom picture to the list of user account pictures Ich meine, dass es da auch noch mehr gibt, aber da ich selbst das Problem gar nicht lösen will, recherchiere ich mal nicht weiter. ;) Gruß, Nils * übrigens ist es allgemein in Foren hilfreich, wenn man genau angibt, was man denn erreichen möchte, statt nur nach einem bestimmten Detail zu fragen.

Moin, hilft dies? SQL Server Foreign Key Update and Delete Rules Gruß, Nils

Moin, ja, kann man. Meine Erfahrungen damit stehen in dem zitierten Artikel. Zum Troubleshooting kann ich allerdings wenig beitragen, weil die auslösende Software hier zum Glück nicht mehr eingesetzt wird. :P Ist denn das betreffende GPO wirksam? Hast du beide Einstellungen vorgenommen? Gruß, Nils