NilsK

Moin, aber er hat das Problem doch schon gelöst ... Gruß, Nils

Moin, für mich sieht das nach "Token Bloat" aus. 300 Gruppenmitgliedschaften verdoppelt macht schon 600 - und zusätzlich zur Maximalgröße des Tokens selbst kann es noch Einschränkungen bei der Übermittlung des Tokens geben (Details dazu habe ich gerade nicht mehr im Kopf, sind aber recherchierbar). Letztere könnte man übergangsweise beheben. Um das Problem tatsächlich zu lösen, kommst du um die Bereinigung der SID History nicht herum. Gruß, Nils

Moin, nein, aber das wäre notfalls auch nachträglich über das Exchange-GUI eine Sache von Minuten. Gruß, Nils

Moin, heute morgen habe ich die Version 3.2 des AD-Dokumentationstools José freigegeben. Die Betaphase dafür ist damit beendet. faq-o-matic.net » AD-Dokumentation: José 3.2 ist da Aufgrund der Übersichtlichkeit bitte ich aber darum, dass Kommentare, Fehlerbeschreibungen und Änderungswünsche trotzdem in diesem landen. Danke & Gruß, Nils

Moin, heute morgen habe ich die Version 3.2 des AD-Dokumentationstools José freigegeben. Die Betaphase dafür ist damit beendet. faq-o-matic.net » AD-Dokumentation: José 3.2 ist da Aufgrund der Übersichtlichkeit bitte ich aber darum, dass Kommentare, Fehlerbeschreibungen und Änderungswünsche trotzdem in dem Beta-Thread landen: https://www.mcseboard.de/active-directory-forum-79/jose-3-0-betaphase-160129.html Danke & Gruß, Nils

Moin, Kontakte kannst du durchaus per csvde importieren. Dafür dürfte dein Export sogar geeignet sein. Beim Import brauchst du die Option -c, um den LDAP-Pfad anzupassen. Die doppelten Schrägstriche sind normal, weil im DN der Objekte ein Komma steht, das maskiert werden muss (das Komma ist ja sonst LDAP-Trennzeichen) und der Schrägstrich im CSV-Format verdoppelt wird. Ach, und: Natürlich willst du das vorher in einer abgeschotteten (!) Testumgebung testen. Gruß, Nils

Moin, die Antwort heißt: UAC. faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen Eine Alternative zu deinem Verfahren wäre, den Share über einen Geplanten Task einzurichten, der bei der Anmeldung abläuft und zuerst ein paar Sekunden wartet (z.B. per "ping -n [Anzahl der Sekunden] 127.0.0.1 > nul"). Gruß, Nils

Moin, mach was du willst - aber geh nicht davon aus, dass du korrekt lizenziert bist. Im Zweifel hast du keine Lizenz, dann kannst du auch gleich direkt raubkopieren. Nur meine 0,02 EUR, Nils

Moin, das lese ich aber anders: Von produktiver Nutzung steht da nichts. Für mich sieht es so aus, als würdest du da gegen Lizenzbestimmungen verstoßen. Gruß, Nils

Moin, was mir bekannt ist, lautet bislang völlig einstimmig: Die "internal-use"-Lizenzen für Partner sind für den produktiven Einsatz beim Partner selbst bestimmt und stellen eine Gegenleistung für die Partnergebühr und den vertrieblichen Einsatz dar. Man darf sie aber nicht auf Rechnern einsetzen, die Kunden nutzen (z.B. für Training) und natürlich auch nicht verkaufen. Ebenso darf man darauf kein Hosting für Kunden machen. Auf dieser Seite unter "Leistungen FAQ" ist das näher erläutert, und daraus geht m.E. deutlich hervor, dass man die Lizenzen sehr wohl intern produktiv einsetzen darf. https://partner.microsoft.com/40091047 Näheres dürfte aus dem Partnervertrag hervorgehen, den ich allerdings nicht zur Hand habe und von dem ich mir nicht sicher bin, ob man ihn ohne Weiteres posten darf. Gruß, Nils

Moin, aha. Und das baust du dann wie? Gruß, Nils

Moin, die Lizenzen aus den "Studentenprogrammen" von Microsoft berechtigen üblicherweise nicht zum produktiven Einsatz (auch nicht für Privat-Netzwerke)! In den Programmen, die mir bekannt sind, sind sie nur für die Softwareentwicklung vorgesehen. Du solltest das also noch mal prüfen. Die Hyper-V-Rolle kombiniert man mit nichts anderem. Und 8 GB RAM sind unsinnig wenig. Da die Parent Partition auch 2-4 GB braucht, bliebe dir kaum was für die VMs. SSD kann man machen, halte ich aber in deinem Szenario für völlig unnötig. Gruß, Nils

Moin, besonders nach einer ADMT-Migration kann es zu Anmelde- und Zugriffsproblemen kommen, wenn die migrierten Objekte schon vor der Migration in vielen Gruppen Mitglied waren. Die ADMT-Migration beruht üblicherweise auf der SID History, d.h. die alten SIDs werden mit den Objekten migriert, und zusätzlich erhalten sie in der neuen Domäne neue SIDs. Überträgt man Gruppen mit, so erhalten diese natürlich auch neue SIDs, sodass für jede Gruppenmitgliedschaft nicht mehr eine, sondern zwei SIDs im Access Token eines Users stehen, der sich anmeldet. Das führt dann schnell zum "Token Bloat", d.h. das Token ist zu groß und enthält nicht mehr alle Gruppenmitgliedschaften. Schon im Normalfall kann ein Objekt nur in ca. 1015 Gruppen gleichzeitig Mitglied sein. Durch das Dual-SID-Prinzip verringert sich das je nach Zusammensetzung der Gruppenstruktur auf etwa 500 Gruppen. Abhilfe: Bereinigung der Gruppen. Dafür ist es notwendig, in den Berechtigungslisten der Ressourcen die Berechtigungen, die auf die "alten" Gruppen lauten, durch solche für die (identischen) "neuen" Gruppen zu ersetzen. Das kann aufwändig sein. Je nachdem, wie die Migration insgesamt abgelaufen ist, gibt es aber vielleicht bereits "Dual-ACL" in den Listen - ADMT umfasst für die Migration etwa von Dateiservern die Option, die ACLs in den Berechtigungslisten um Einträge für die migrierten Gruppen zu ergänzen (es stehen also sowohl die alte als auch die neue Gruppe drin). In so einem Fall braucht man SID History dann eigentlich nicht für den Zugriff. Nach dem Anpassen der ACLs kann man dann die SID History von den Gruppen (und ggf. auch den Usern) entfernen, dafür gibt es Beispielskripte bei Microsoft. Eine weitergehende (und bessere) Option ist, die Gruppen- und Berechftigungsstruktur neu aufzubauen und die Altobjekte und Alteinträge zu entfernen, aber das erzeugt üblicherweise Aufwand, der eher in Wochen zu rechnen ist. Gruß, Nils

Moin, das DSCT hat ein Tombstone Recovery integriert. Mit Snapshots bzw. der darauf aufsetzenden Read-only-Kopie des AD hat das an der Stelle nichts zu tun, die kommen erst später ins Spiel. Lies mal diesen Artikel, dort vor allem den Abschnitt ganz unten ab "AD DS Daten aus einer Datensicherung wiederherstellen". Dort siehst du, wie du das Ganze ohne Snapshots auf Basis einer regulären Datensicherung hinbekommst. faq-o-matic.net » Windows Server 2008: Snapshots des Active Directory Und tu dir einen Gefallen und lies dir mein Tutorial durch, das ich oben verlinkt habe. Gruß, Nils

Moin, die Snapshots haben mit gelöschten Benutzern nichts zu tun! Um das zu erreichen, brauchst du ein Tombstone Recovery oder den Papierkorb, aber keine Snapshots. Snapshots sind interessant, um Attributwerte zurückzusetzen. Für diesen Zweck reichen aber auch Kopien der AD-Datenbank, z.B. aus einem regulären Backup. Snapshots automatisch zu erzeugen, ist dafür nicht nötig. Siehe auch: faq-o-matic.net » Video-Tutorial: Active Directory Object Recovery Gruß, Nils

Moin, hurgs! Wer macht denn sowas - und wieso? Berechtigungen auf den Shares so setzen, dass man keine separaten Anmeldedaten braucht. Alles andere ist Murks. Gruß, Nils

Moin, was genau willst du denn damit erreichen? Gruß, Nils

Moin, "alles redundant" ist keine Anforderungsdefinition, für die man sinnvolle Vorschläge entwickeln könnte. Gruß, Nils

Moin, das ginge nur über einen Trigger. Gruß, Nils

Moin, durch das Ändern der Kennwortrichtlinie beeinflusst du die bestehenden Kennwörter nicht. Nur wenn ein Account ein neues Kennwort bekommt (selbst setzt oder gesetzt bekommt), werden die Regeln geprüft. Du brauchst also keine Vorkehrungen zu treffen. Gruß, Nils

Moin, eine effiziente Möglichkeit dazu gibt es nicht. Da Daten immer in den Tabellen geändert werden (Views sind ja nur Ansichten der Daten!), kannst du auch nur dort sinnvoll auf Veränderungen prüfen. Auf View-Ebene könntest du höchstens Auswertungen machen, z.B. die Zahl der Datensätze prüfen. Ebenso könntest du einen Zustand der Daten in eine temporäre Tabelle schreiben und die View dann damit vergleichen und auf Unterschiede prüfen. Das wäre aber jenseits jeder Effizienz. Zudem kann es durchaus sein, dass die View so definiert ist, dass du bestimmte Änderungen dort gar nicht siehst. Gruß, Nils

Moin, meines Wissens ist es nicht supported, wenn die DCs in einer anderen OU sind. Also zurückschieben und dann den betreffenden DC neu starten. Gruß, Nils

Moin, keine gute Idee. faq-o-matic.net » Windows Server 2008 und IPv6: Deaktivieren führt oft zu Fehlern Gruß, Nils

Mo-oin, hier ist die Beta 2: .: www.kaczenski.de :. » José 3.2 Beta 2 Neu hier: Im GUI kann man jetzt weitere Felder hinzufügen (mit dem LDAP- bzw. ADSI-Feldnamen), die dann im Report bzw. in der Definitionsdatei auftauchen (sofern vorhanden) José kann nun auch mit der neuen Exchange-SMTP-Weiterleitung “msExchGenericForwardingAddress” ab Exchange 2010 SP1 umgehen. Dabei erkennt José auch, wenn “Weiterleiten als Kopie” aktiviert ist (hierbei nutzt Exchange nämlich dieselbe Technik wie bei der herkömmlichen Weiterleitung, es ist das Boolean-Feld “deliverAndRedirect”) Gruß, Nils

Moin, du hast eine falsche Vorstellung von "Hardware durchschleifen". Gruß, Nils