NilsK
-
Gesamte Inhalte
17.603 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NilsK
-
-
Moin,
wobei ich mich gerade frage, wo das Problem ist, wenn ein Rechner eine IP-Adresse per DHCP bekommt. Höchstens wenn der Scope zu knapp bemessen ist - oder wenn das Berechtigungskonzept nicht stimmt.
Gruß, Nils
-
Moin,
geht es nur um die logischen Druckerobjekte oder auch um die physischen Drucker? Falls letzteres: Manche Drucker führen selbst Buch über sowas, vielleicht lässt sich das auslesen.
Sonst fielen mir nur zwei Ansätze ein: Ab jetzt die Protokollierung für einen definierten Zeitraum einschalten, dann alle Drucker entfernen (bzw. zunächst per Berechtigung quasi-deaktivieren), die nicht genutzt werden.
Oder auf die Protokollierung verzichten, die Kandidaten per Berechtigung quasi-deaktivieren und bei Geschrei wieder in Betrieb nehmen ...
Bei der Protokollierungslösung solltet ihr allerdings parallel ein Log-Management implementieren, d.h. je nach Aufkommen in kurzen Abständen die Logs kopieren und ggf. löschen.
Gruß, Nils
-
Off-Topic:
"Neugierigkeit" ist übrigens eine niedliche Wortschöpfung.
SCNR, Nils -
Moin,
ist der Server Mitglied der Domäne?
Gruß, Nils
-
Moin,
naja, wenn ihr nicht protokolliert, werdet ihr die Frage wohl schwer beantworten können.
Was ist denn das Ziel deiner Frage?
Gruß, Nils
-
Moin,
mit Sicherheit nicht. Warum interessiert dich das?
Gruß, Nils
-
Moin,
die dort angeregte Lösung reicht dir nicht?
Gruß, Nils
-
Moin,
hm, hübsch! Dann biete ich mal folgende Variation:
Die äquivalente Abfrage in SQL-Syntax lautet
SELECT * FROM 'LDAP://DC=domain,DC=tld' WHERE adminCount=1
Wenn man das über Carmen abfragt, bekommt man das gleich als speicherbare HTML-Tabelle (z.B. um sie in Excel weiterzubearbeiten).
faq-o-matic.net Carmen: Mit SQL das AD abfragen
Die Abfrage kann man auch noch um weitere Felder erweitern, z.B. anstelle des * "name,memberOf", was gleich noch die Gruppenmitgliedschaften der Objekte ausgibt.
EDIT: Mir fällt gerade ein Nachteil dieser Methode auf. Das Attribut adminCount behält den Wert 1, wenn ein User wieder aus einer überwachten Gruppe entfernt wird. Man erhält also nicht nur die aktuellen Mitglieder, sondern auch ehemalige.
Gruß, Nils
-
Moin,
wenn es um die Kennwortrichtlinien auf Domänenebene geht: Die könntest du sogar per LDIFDE ex- und importieren, denn dort gibt es eine Art Doppelmechanismus (Werte aus der Def-Dom-Pol werden in die AD-Felder geschrieben und Werte aus den AD-Feldern zurück in die Def-Dom-Pol). Dann benötigst du nur die LDIF-Datei und ein Batch, das mit ldifde.exe den Import ausführt.
Ganz trivial ist das aber in keinem Fall, und fehlerträchtig bleibt es auch. Ich würde also von derartigen Pseudo-Automatisierungen dringend abraten und zu manuellem Eintragen raten.
Gruß, Nils
-
Moin,
Nein einen Regzweig löschen geht nicht per adm. Das kann man erst mit den GPP hinbekommen.OK, einen Zweig vielleicht nicht, aber Werte auf jeden Fall. Wenn der Zweig dann verbliebe, wäre das ja egal.
http://www.gruppenrichtlinien.de/adm/arbeitsplatz.txt
Gruß, Nils
-
Moin,
das solltest du per ADM-Datei hinbekommen.
Du kannst es auch per reg-Import machen, aber dann nicht per Logonskript, weil ein User in HKLM nicht schreiben darf. Du müsstest es dann als Startup-Skript aufrufen.
Gruß, Nils
-
Moin,
welchen Eintrag willst du denn verteilen? Wahrscheinlich wäre eine ADM-Datei der richtige Weg.
Menüleiste - Gruppenrichtlinien
Gruß, Nils
-
OK, dann viel Spaß und Erfolg dabei!
Nils, ahnungsloser Experte
-
Moin,
im Wesentlichen müsst ihr ja nur die betreffenden Gruppen mit ihren Mitgliedslisten exportieren:
faq-o-matic.net Wie kann ich die Mitglieder einer Gruppe in eine Datei schreiben?
(csvde eignet sich eigentlich nicht, weil das nur kleine Gruppen ausgibt. Am besten wäre wohl "dsget group" mit "expand".)
Für lokale Gruppen hab ich mal was gebaut:
Falsche Admins entlarven | it-administrator.de
http://www.it-administrator.de/magazin/download/ita0706-AdminInventar.zip
Gruß, Nils
-
Moin,
bevor wir hier rumrätseln, was ihr mit diesem Verfahren erreichen wollt, willst du uns sicher erzählen, was denn eigentlich euer Ziel ist.
Gruß, Nils
-
Moin,
Als Beispiel könnte man hier einen SQL Zugriff hernehmen. Besteht für einen User/Device absolut keine möglich auf die SQL Datenbank zuzugreifen (direkt/Multiplexing) besteht kein Zugriff und somit ist auch keine CAL erforderlich.ich verstehe nicht, wie das Beispiel zu der Behauptung passen soll, dass Berechtigungen lizenzrelevant sein sollten. Gerade der indirekte Zugriff auf SQL-Datenbanken macht doch jede Berechtigungsprüfung ziemlich unsinnig, denn dort greift i.d.R. nur ein einziges Applikationskonto auf die Datenbank zu, während die User die Applikation nutzen. In dem Fall benötigen die User aber gerade doch eine CAL (weil sonst der Datenbankhersteller schnell nix mehr verdienen würde, obwohl er die Infrastruktur für die Applikation liefert).
Gruß, Nils
-
Moin,
doch, du könntest versuchen, dir in einem Batch per schtasks.exe einen sochen Task zu erzeugen und dieses Batch dann als Startup Script an deine Clients verteilen.
Aber warum willst du es dir schwieriger machen als nötig?
Gruß, Nils
-
Moin,
das setzen von Berechtigungen kann Auswirkungen auf die benötigte Anzahl von CALs haben, daher müssen diese Berechtigungen ja betrachtet werden.könntest du für diese Aussage bitte mal ein Beispiel nennen und belegen, woraus du diese Aussage herleitest?
Gruß, Nils
-
Moin Vanillekipferl,
bitte verkneif dir solche Kindereien. Danke.
Gruß, Nils
-
Moin,
vielen Dank für die Information.
Ein wenig Einordnung wäre aber praktisch dazu, dann übernehme ich das mal: Im AD war zu der Subdomain,welche gelöscht werden sollte, noch ein Unterobjekt als eigene AD-Partition vorhanden (nämlich die AD-integrierte DNS-Zone als Applikationspartition). Aus diesem Grund konnte NTDSUtil die Subdomain nicht löschen. Erst nachdem das Unterobjekt entfernt worden war, konnte die Subdomain selbst entfernt werden.
Gruß, Nils
-
Moin,
dein Konstrukt bewerte ich mal nicht weiter.
Ein iSCSI-Device ist für Windows ein lokales Laufwerk und wird auch als solches behandelt. Du kannst also mit jedem Programm davon Backups machen, das auch sonstige lokale Laufwerke sichern kann.
Der Unterschied zwischen NAS (Netzwerk-Dateizugriff wie ein Fileserver) und SAN (Zugriff auf Blockebene über ein Netzwerk statt über SCSI) ist ein fundamentaler, auch wenn viele Geräte mittlerweile beides können.
Gruß, Nils
-
Moin,
was genau willst du da wissen? Man ermittelt, welche Zahl von Benutzern zugreifen soll, und so viele CALs benötigt man. Im Fall der Exchange-Enterprise-CAL ermittelt man, wie viele User die erweiterten Features nutzen sollen.
Wenn du was anderes meinst, erkläre dich bitte genauer.
Gruß, Nils
-
-
Moin,
danke für die Rückmeldung! :)
Gruß, Nils
Reg-Patch per GPO verteilen, Startscript, wie?
in Windows Forum — Scripting
Geschrieben
Moin,
sorry, aber Schritt-für-Schritt ist nicht. Schnapp dir eine Testumgebung und bau die Lösung nach unseren Angaben auf.
In deiner Situation dürfte ein Startup-Skript den wenigsten Ärger verursachen. Die nötigen Kommandos hast du ja bereits, nun musst du nur noch ein GPO auf der OU erzeugen, in der die Computer stecken, und das Skript dort als Startup-Skript einbinden.
Gruß, Nils