NilsK
-
Gesamte Inhalte
17.603 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von NilsK
-
-
Moin,
und du hast schon ein Skript, das aber zu viele Informationen ausgibt?
Bevor wir jetzt hier Vorschläge machen, die du selektierst - was brauchst du denn genau?
Gruß, Nils
-
Moin,
wovon redest du? RDS, also Terminalserver?
Gruß, Nils
-
Moin,
du machtest meinen Tag!
Gruß, Nils
-
1
-
-
Moin,
der simple Trick heißt Planung und Dokumentation. Klingt jetzt vielleicht arrogant, aber es geht kein Weg daran vorbei.
Auf dem Weg dorthin zwei Tipps:
-
Besorgt euch SetACL Studio, das ist seit einigen Jahren kostenlos und gibt euch einen besseren Blick auf die Berechtigungen (und eine bessere Handhabe).
https://helgeklein.com/setacl-studio/ -
Lest euch hier noch mal das Nötige durch.
[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/
[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/
Gruß, Nils
-
Besorgt euch SetACL Studio, das ist seit einigen Jahren kostenlos und gibt euch einen besseren Blick auf die Berechtigungen (und eine bessere Handhabe).
-
Moin,
vor 1 Stunde schrieb Moped:ein weiterer Server der auch im Fehlerfall auch alles was auf dem Ersten konfiguriert ist, übernehmen kann. Also ein Art Cluster.
nun ... das ist so kaum zu verstehen. Das wird man dann in der Tat mit dem Hersteller klären müssen, wie seine Applikation in solchen Szenarien das SSO handhabt. Dazu gehören ja immer zwei Seiten, die man nicht getrennt voneinander betrachten kann.
vor 1 Stunde schrieb Moped:Der hat natürlich eine neue IP, Diese haben wir jetzt in das neue Cert aufgenommen
Eine IP-Adresse im Zertifikat? Glaube ich nicht recht.
Leider ist deine Anfrage so aus der Ferne nicht zu beantworten.
Gruß, Nils
-
Moin,
das kommt darauf an ... grundsätzlich sollte man sowas nur in Abstimmung mit dem Hersteller bzw. Betreiber der Applikation machen, damit es auch ein supportetes Szenario ergibt. Die zugehörigen Standards werden teils sehr unterschiedlich interpretiert.
Was heißt denn "ein weiterer Server hinzugekommen"? Ist das eine neue, separate Instanz? Oder ist es nur ein weiterer Webserver als Ausfallsicherheit, dahinter aber dieselbe Applikationsinstanz?
Gruß, Nils
-
Moin,
da jedes Objekt eine eigene Berechtigungsliste hat, kann es durchaus sein, dass du auf einzelne Dateien keine ausreichenden Rechte hast. Das scheint hier der Fall zu sein.
Schau dir das mal in Ruhe mit SetACL Studio an, das ist seit ein paar Jahren kostenlos:
[SetACL Studio - Free & Intuitive Permission and ACL Management • Helge Klein]
https://helgeklein.com/setacl-studio/
Gruß, Nils-
1
-
-
Moin,
Das ist sehr unwahrscheinlich. Die Subnets sind im AD für die Clients da, damit sie den "richtigen" DC finden, der für sie am besten erreichbar ist. Es muss kein DC in einem Subnet sein. Mit deinem Problem wird das sehr wahrscheinlich nichts zu tun haben.
Falls hingegen die Subnets absichtlich hier eintragen waren, dürfte das Löschen jetzt neue Probleme erzeugen.
Gruß, Nils
-
Moin,
öh ... was immer ihr da macht. Die allgemeine Empfehlung ist, es so zu machen, wie das AD es vorsieht. In aller Regel verschwinden dann auch Probleme, die an einer Eigenlösung liegen, obwohl das natürlich überhaupt nicht und auf keinen Fall sein kann.
[Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO - Gruppenrichtlinien]
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo
Gruß, Nils -
Moin,
vor 29 Minuten schrieb cj_berlin:It is not necessary to be administrator, but it must be a member of group Domain Admins.
herrlich. So einen Unsinn liest man ja selten.
Gruß, Nils
-
2
-
-
Moin,
vor 50 Minuten schrieb cj_berlin:Das ist jetzt vielleicht philosophisch, aber diese Argumentation gilt ausschließlich für Umgebungen, in denen Mittel (Technik *und* Manpower) vorhanden sind, um den Verdacht überhaupt erst schöpfen zu können, dass ein Account kompromittiert worden ist.
der Teil mit dem Wechseln bei Verdacht - ja, vielleicht (aber auch eher nein). Der Teil mit dem herabgesetzten Sicherheitsniveau bleibt in jeder Umgebung bestehen. Leute, die leicht knackbare Kennwörter verwenden, tun dies auch und gerade dann, wenn sie regelmäßig zum Wechsel gezwungen werden. Aus Leckmich2022-04 wird dann Leckmich2022-05.
vor 50 Minuten schrieb cj_berlin:ist der regelmäßige Kennwortwechsel immer noch das einzige, was hilft, einen bereits erbeuteten NTLM-Hash nutzlos zu machen
Was aber völlig nutzlos ist, wenn der regelmäßige Kennwortwechsel nach sechs Wochen - oder wie hier: nach einem Jahr! - stattfindet.
Gruß, Nils
-
Moin,
möglicherweise ist auf den jeweiligen Clients etwas verkonfiguriert. Prüf mal, ob diese Clients von GPOs betroffen sind, in denen etwas in der Art konfiguriert ist.
vor 1 Stunde schrieb micha42:Da wir das Max-Alter deutlich reduzieren (auf ein Jahr)
Einen regelmäßigen Kennwortwechsel erzwingt man heute eigentlich nicht mehr. Die Erkenntnis ist, dass man damit das Sicherheitsniveau absenkt, statt es zu heben. Ein so langer Zyklus ist auch ziemlich unsinnig. Kennwörter ändert man, wenn es den Verdacht gibt, dass sie kompromittiert sind - und dann sofort.
Gruß, Nils
-
Moin,
es gibt da ein Buch bei Rheinwerk, zwar für 2016, aber gerade in diesen Basics immer noch zutreffend. Das ist da sehr umfassend beleuchtet. Ist als E-Book oder gebraucht noch erhältlich.*
Bei den CPUs: Klein anfangen, dann beobachten. Ein DC und eine CA brauchen in so einer Umgebung mit großer Sicherheit nicht mehr als eine vCPU. Ein Dateiserver vielleicht zwei, vielleicht vier (z.B. für einen Virenscanner).
[Hyper-V-Sizing: Virtuelle und echte CPUs | faq-o-matic.net]
https://www.faq-o-matic.net/2011/01/26/hyper-v-sizing-virtuelle-und-echte-cpus/[Wie viele Cores braucht mein VM-Host? | faq-o-matic.net]
https://www.faq-o-matic.net/2019/10/22/wie-viele-cores-braucht-mein-vm-host/Gruß, Nils
* Disclaimer: Ja, ich bin einer der Autoren, aber da das Buch nicht mehr regulär erhältlich ist, verdiene ich an der Empfehlung nichts mehr.
-
1
-
-
Moin,
wenn ihr mit Server 2019 virtualisieren wollt, braucht ihr die 2019-Lizenzen in passender Zahl für all eure VMs, egal, was die ausführen.
Euer DC ist kein PDC, das gibt es im AD nicht. Allenfalls ist er PDC-Emulator, aber das ist in den meisten Situationen egal.
Wichtiger ist: Das ist hoffentlich nicht euer einziger DC bei 250 Usern?
Für die RAM-Ausstattung kann man per Ferndiagnose wenig Sinnvolles sagen - außer dass in kleinen Umgebungen 8 GB für einen DC oder eine CA meist zu üppig sind, 4 GB reichen da normalerweise völlig aus. Beim Fileserver kommt es auf die Last an. Wenn die wirklich gering ist, wird der keine 32 GB brauchen.
Gruß, Nils
-
Moin,
Ich habe mit der cim nichts mehr zu tun. Fragt am besten direkt dort nach.
Ich vermute aber mal, dass es nichts gibt. Sonst hätte man das mitbekommen.
Gruß, Nils
-
Moin,
welche Rolle spielt der Fileserver in dem Konstrukt? Ist das auch eine VM? Oder wie?
Ansonsten kann man jetzt nicht viel dazu sagen - außer die Vermutung, dass ihr drastisch erfahren habt, warum man das Storage-Netz getrennt vom allgemeinen Netz betreiben sollte.
Gruß, Nils
-
Moin,
Wie geil. Darf ich das unter deinem Namen auf faq-o-matic.net bringen unter "Freie Wildbahn"?
Bitte kurze Nachricht per PN.
Schöne Grüße, Nils
-
Moin,
wenn die Sprachkenntnisse es zulassen, stimme ich zu. Das ist natürlich nicht immer gegeben.
Meine Favoriten: "Switch" mit "Netzschalter" übersetzt und die SQL-Klausel "order by" mit "Bestellung von", Lezteres direkt nach einem Code-Schnippsel. In Wirklichkeit gehörte das natürlich noch zum Code, in der deutschen Prüfung war es dann aber plötzlich Teil des folgenden Textes. Das ergab ausgesprochen wenig Sinn, sodass ich irgendwann drauf gekommen bin, was das im Original mal war ...
Gruß, Nils
-
Moin,
verstehe. Dann ist es vermutlich sinnvoll zu überlegen, ob man das ausdrückliche Löschen des AD-Kontos mit in einen Prozess aufnimmt. Und darüber hinaus ist es nie eine schlechte Idee, das AD nach verwaisten Computerkonten regelmäßig zu untersuchen. Da leistet z.B. OldCmp von joeware.net gute Dienste.
Gruß, Nils
-
2
-
-
Moin,
gut, und was ist genau die Anforderung, wegen der du das durchtestest?
vor einer Stunde schrieb phatair:Trotzdem war der PC danach nicht deaktiviert in der AD.
Das kann auch ein Replikations-Timing-Effekt sein.
Gruß, Nils
-
Moin,
also, wenn es um Kosten geht und die betriebenen VMs unter Windows laufen, finde ich Hyper-V zumindest näherliegend als KVM, Proxmox oder was auch immer. Bezahlt hat man Hyper-V ohnehin schon, wenn man die VM-Umgebung richtig lizenziert. Dann kann man es auch nutzen und hat am Markt bessere Chancen, Support zu finden.
Gruß, Nils
-
2
-
-
Moin,
ich stimme beiden Kollegen komplett zu. V2V nur, wenn es nicht anders geht. Der bevorzugte Weg ist immer, eine Migration auf Applikationsebene durchzuführen. Ich pflegte früher in Vorträgen gern zu sagen: "Ein schlecht konfigurierter SQL Server ist auch nach der V2V-Migration ein schlecht konfigurierter SQL Server."
Und genauso schließe ich mich der Aussage an: Domänencontroller niemals per V2V oder P2V migrieren, sondern nur per Installation eines neuen DCs auf der Zielplattform.
In dem Rheinwerk-Buch zu Hyper-V hatte ich ein recht umfangreiches Kapitel zu Migrationen geschrieben, das diese Argumentation noch einiges detaillierter aufführt.
Gruß, Nils
-
1
-
-
-
Moin,
"wie immer"? Bei mir war das noch nie der Fall. Winamp - das war in den Neunzigern, oder?
Die Dateiverknüpfung ist hier nicht der Punkt, sondern eine Erweiterung, die sich vermutlich in den Explorer eingeklinkt hat und anscheinend beim Öffnen eines Ordners irgendeinen Vorgang anstößt. Was das bei dir sein könnte, kann ich dir nicht sagen. Es muss auch nicht so sein, aber das beschriebene Verhalten klingt danach.
Gruß, Nils
-
1
-
CMD Script für angemeldete Benutzer auf mehreren Servern
in Windows Forum — Scripting
Geschrieben
Moin,
gut, aber die steht ja auch da. Warum stören die anderen Daten? Oder um ins selbe Horn zu tuten wie Olaf:
Gruß, Nils