NilsK

Moin, wenn es sowieso bald abgelöst wird, würde ich die Ausgabe einfach so lassen, wie sie ist. Man könnte da jetzt mir FOR usw. rumbasteln, aber warum? Die rechtliche Zulässigkeit solcher Abfragen steht auf einem anderen Blatt und kann hier nicht Thema sein, heikel ist sie allemal. Gruß, Nils

Moin, gut, aber die steht ja auch da. Warum stören die anderen Daten? Oder um ins selbe Horn zu tuten wie Olaf: Gruß, Nils

Moin, und du hast schon ein Skript, das aber zu viele Informationen ausgibt? Bevor wir jetzt hier Vorschläge machen, die du selektierst - was brauchst du denn genau? Gruß, Nils

Moin, wovon redest du? RDS, also Terminalserver? Gruß, Nils

Moin, du machtest meinen Tag! Gruß, Nils

Moin, der simple Trick heißt Planung und Dokumentation. Klingt jetzt vielleicht arrogant, aber es geht kein Weg daran vorbei. Auf dem Weg dorthin zwei Tipps: Besorgt euch SetACL Studio, das ist seit einigen Jahren kostenlos und gibt euch einen besseren Blick auf die Berechtigungen (und eine bessere Handhabe). https://helgeklein.com/setacl-studio/ Lest euch hier noch mal das Nötige durch. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils

Moin, nun ... das ist so kaum zu verstehen. Das wird man dann in der Tat mit dem Hersteller klären müssen, wie seine Applikation in solchen Szenarien das SSO handhabt. Dazu gehören ja immer zwei Seiten, die man nicht getrennt voneinander betrachten kann. Eine IP-Adresse im Zertifikat? Glaube ich nicht recht. Leider ist deine Anfrage so aus der Ferne nicht zu beantworten. Gruß, Nils

Moin, das kommt darauf an ... grundsätzlich sollte man sowas nur in Abstimmung mit dem Hersteller bzw. Betreiber der Applikation machen, damit es auch ein supportetes Szenario ergibt. Die zugehörigen Standards werden teils sehr unterschiedlich interpretiert. Was heißt denn "ein weiterer Server hinzugekommen"? Ist das eine neue, separate Instanz? Oder ist es nur ein weiterer Webserver als Ausfallsicherheit, dahinter aber dieselbe Applikationsinstanz? Gruß, Nils

Moin, da jedes Objekt eine eigene Berechtigungsliste hat, kann es durchaus sein, dass du auf einzelne Dateien keine ausreichenden Rechte hast. Das scheint hier der Fall zu sein. Schau dir das mal in Ruhe mit SetACL Studio an, das ist seit ein paar Jahren kostenlos: [SetACL Studio - Free & Intuitive Permission and ACL Management • Helge Klein] https://helgeklein.com/setacl-studio/ Gruß, Nils

Moin, Das ist sehr unwahrscheinlich. Die Subnets sind im AD für die Clients da, damit sie den "richtigen" DC finden, der für sie am besten erreichbar ist. Es muss kein DC in einem Subnet sein. Mit deinem Problem wird das sehr wahrscheinlich nichts zu tun haben. Falls hingegen die Subnets absichtlich hier eintragen waren, dürfte das Löschen jetzt neue Probleme erzeugen. Gruß, Nils

Moin, öh ... was immer ihr da macht. Die allgemeine Empfehlung ist, es so zu machen, wie das AD es vorsieht. In aller Regel verschwinden dann auch Probleme, die an einer Eigenlösung liegen, obwohl das natürlich überhaupt nicht und auf keinen Fall sein kann. [Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO - Gruppenrichtlinien] https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo Gruß, Nils

Moin, herrlich. So einen Unsinn liest man ja selten. Gruß, Nils

Moin, der Teil mit dem Wechseln bei Verdacht - ja, vielleicht (aber auch eher nein). Der Teil mit dem herabgesetzten Sicherheitsniveau bleibt in jeder Umgebung bestehen. Leute, die leicht knackbare Kennwörter verwenden, tun dies auch und gerade dann, wenn sie regelmäßig zum Wechsel gezwungen werden. Aus Leckmich2022-04 wird dann Leckmich2022-05. Was aber völlig nutzlos ist, wenn der regelmäßige Kennwortwechsel nach sechs Wochen - oder wie hier: nach einem Jahr! - stattfindet. Gruß, Nils

Moin, möglicherweise ist auf den jeweiligen Clients etwas verkonfiguriert. Prüf mal, ob diese Clients von GPOs betroffen sind, in denen etwas in der Art konfiguriert ist. Einen regelmäßigen Kennwortwechsel erzwingt man heute eigentlich nicht mehr. Die Erkenntnis ist, dass man damit das Sicherheitsniveau absenkt, statt es zu heben. Ein so langer Zyklus ist auch ziemlich unsinnig. Kennwörter ändert man, wenn es den Verdacht gibt, dass sie kompromittiert sind - und dann sofort. Gruß, Nils

Moin, es gibt da ein Buch bei Rheinwerk, zwar für 2016, aber gerade in diesen Basics immer noch zutreffend. Das ist da sehr umfassend beleuchtet. Ist als E-Book oder gebraucht noch erhältlich.* Bei den CPUs: Klein anfangen, dann beobachten. Ein DC und eine CA brauchen in so einer Umgebung mit großer Sicherheit nicht mehr als eine vCPU. Ein Dateiserver vielleicht zwei, vielleicht vier (z.B. für einen Virenscanner). [Hyper-V-Sizing: Virtuelle und echte CPUs | faq-o-matic.net] https://www.faq-o-matic.net/2011/01/26/hyper-v-sizing-virtuelle-und-echte-cpus/ [Wie viele Cores braucht mein VM-Host? | faq-o-matic.net] https://www.faq-o-matic.net/2019/10/22/wie-viele-cores-braucht-mein-vm-host/ Gruß, Nils * Disclaimer: Ja, ich bin einer der Autoren, aber da das Buch nicht mehr regulär erhältlich ist, verdiene ich an der Empfehlung nichts mehr.

Moin, wenn ihr mit Server 2019 virtualisieren wollt, braucht ihr die 2019-Lizenzen in passender Zahl für all eure VMs, egal, was die ausführen. Euer DC ist kein PDC, das gibt es im AD nicht. Allenfalls ist er PDC-Emulator, aber das ist in den meisten Situationen egal. Wichtiger ist: Das ist hoffentlich nicht euer einziger DC bei 250 Usern? Für die RAM-Ausstattung kann man per Ferndiagnose wenig Sinnvolles sagen - außer dass in kleinen Umgebungen 8 GB für einen DC oder eine CA meist zu üppig sind, 4 GB reichen da normalerweise völlig aus. Beim Fileserver kommt es auf die Last an. Wenn die wirklich gering ist, wird der keine 32 GB brauchen. Gruß, Nils

Moin, Ich habe mit der cim nichts mehr zu tun. Fragt am besten direkt dort nach. Ich vermute aber mal, dass es nichts gibt. Sonst hätte man das mitbekommen. Gruß, Nils

Moin, welche Rolle spielt der Fileserver in dem Konstrukt? Ist das auch eine VM? Oder wie? Ansonsten kann man jetzt nicht viel dazu sagen - außer die Vermutung, dass ihr drastisch erfahren habt, warum man das Storage-Netz getrennt vom allgemeinen Netz betreiben sollte. Gruß, Nils

Moin, Wie geil. Darf ich das unter deinem Namen auf faq-o-matic.net bringen unter "Freie Wildbahn"? Bitte kurze Nachricht per PN. Schöne Grüße, Nils

Moin, wenn die Sprachkenntnisse es zulassen, stimme ich zu. Das ist natürlich nicht immer gegeben. Meine Favoriten: "Switch" mit "Netzschalter" übersetzt und die SQL-Klausel "order by" mit "Bestellung von", Lezteres direkt nach einem Code-Schnippsel. In Wirklichkeit gehörte das natürlich noch zum Code, in der deutschen Prüfung war es dann aber plötzlich Teil des folgenden Textes. Das ergab ausgesprochen wenig Sinn, sodass ich irgendwann drauf gekommen bin, was das im Original mal war ... Gruß, Nils

Moin, verstehe. Dann ist es vermutlich sinnvoll zu überlegen, ob man das ausdrückliche Löschen des AD-Kontos mit in einen Prozess aufnimmt. Und darüber hinaus ist es nie eine schlechte Idee, das AD nach verwaisten Computerkonten regelmäßig zu untersuchen. Da leistet z.B. OldCmp von joeware.net gute Dienste. Gruß, Nils

Moin, gut, und was ist genau die Anforderung, wegen der du das durchtestest? Das kann auch ein Replikations-Timing-Effekt sein. Gruß, Nils

Moin, also, wenn es um Kosten geht und die betriebenen VMs unter Windows laufen, finde ich Hyper-V zumindest näherliegend als KVM, Proxmox oder was auch immer. Bezahlt hat man Hyper-V ohnehin schon, wenn man die VM-Umgebung richtig lizenziert. Dann kann man es auch nutzen und hat am Markt bessere Chancen, Support zu finden. Gruß, Nils

Moin, ich stimme beiden Kollegen komplett zu. V2V nur, wenn es nicht anders geht. Der bevorzugte Weg ist immer, eine Migration auf Applikationsebene durchzuführen. Ich pflegte früher in Vorträgen gern zu sagen: "Ein schlecht konfigurierter SQL Server ist auch nach der V2V-Migration ein schlecht konfigurierter SQL Server." Und genauso schließe ich mich der Aussage an: Domänencontroller niemals per V2V oder P2V migrieren, sondern nur per Installation eines neuen DCs auf der Zielplattform. In dem Rheinwerk-Buch zu Hyper-V hatte ich ein recht umfangreiches Kapitel zu Migrationen geschrieben, das diese Argumentation noch einiges detaillierter aufführt. Gruß, Nils

?SYNTAX ERROR