NilsK

Moin,

auch ein Domänen-Admin hat nicht automatisch alle Rechte, er kann sie sich nur nehmen. Kannst du mit deinem Account die betreffenden Konten ganz normal öffnen und bearbeiten?

Vielleicht könntest du einen "schwarzen" und einen "grauen" User mal per csvde exportieren und das (anonymisierte oder in den Namen verfremdete) Ergebnis hier posten. Vielleicht sehen wir daraus was, was den Unterschied ausmacht.

csvde -f C:\Daten\Benutzer1.txt -u -d "CN=Benutzer1,OU=meineOU,DC=dom,DC=tld"
csvde -f C:\Daten\Benutzer2.txt -u -d "CN=Benutzer2,OU=meineOU,DC=dom,DC=tld"

Oder du schaust selber, ob du was findest, was evtl. den Unterschied ausmachen könnte.

Wie groß ist die Umgebung denn insgesamt (User, Computer, Gruppen)?

Gruß, Nils

Moin,

hm, schade, die interessanten Informationen fehlen jetzt eher. Also handelt es sich um eine Produktivinstallation, deren Details du nicht preisgeben kannst, nehme ich an.

Seltsam aber die Icons selbst: Mein 2008R2 hat bunte Icons für die User, nicht die alten 2000-Icons. Reden wir von derselben Version? Ich kann das hier nicht nachvollziehen.

Stammen die grauen Accounts evtl. aus einer anderen Domäne? Sind die Konten deaktiviert oder sowas? Hat der Account, mit dem du die Gruppe abfragst, evtl. keine ausreichenden Zugriffsrechte auf das Objekt? Funktionieren die Accounts, d.h. kann man sich mit denen anmelden?

Gruß, Nils

Moin,

kannst du mal einen Screenshot irgendwo ablegen und hier einen Link dazu posten?

Gruß, Nils

Moin,

gibt es Unterschiede zwischen den Objekten, vom Symbol abgesehen?

Gruß, Nils

Moin,

mir ist nicht ganz klar, was du genau finden willst. Bitte erklär das noch mal genauer.

Grundsätzlich kannst du sowohl in den Feldern "memberOf" als auch "member" suchen, dabei musst du aber den DN des Objekts angeben, also z.B. "CN=MeineGruppe,OU=Gruppen,DC=AD2008,DC=faq-o-matic,DC=net".

Als generelle Empfehlung sollte man Gruppenmitgliedschaften nicht zu sehr verschachteln. Bei mehr als zwei Ebenen wird es sehr schnell unhandlich.

Gruß, Nils

Moin,

die Lizenz gilt zunächst für das physische Gerät. Bei zwei Hosts mit je zwei VMs brauchst du in dem Szenario also zwei EE-Lizenzen. (Wobei das Szenario nicht praxisrelevant ist.)

In dem Verschiebe-Szenario dürfte m.W. die Lizenzierung mit zwei EE ausreichen, aber dazu kann jemand anders wahrscheinlich Genaueres sagen. Je nach Menge der Windows-VMs kann u.U. auch die Datacenter Edition eine Alternative sein, die beliebig viele Windows-VMs mitlizenziert.

Gruß, Nils

Moion,

wenn du keine Überwachung irgendeiner Art installiert hast, wirst du das im Nachhinein kaum feststellen können. Zumal wir hier außer deiner rudimentären Beschreibung auch keinerlei Hinweise haben. Es könnte sich z.B. auch um eine VBS-Dialogbox handeln:

MsgBox "von 12:00 - 13:00Uhr steht das System nicht zur Verfügung, bitte abmelden", , "Message from tsadmin - " & Now

Gruß, Nils

Moin,

das Problem ist eigentlich hauptsächlich, dass der Explorer eben auch die Shell ist und Windows daher keinen separaten Prozess mit anderen Credentials dafür zulässt. Mit einbem alternativen Dateimanager, den du als Admin startest, solltest du in dem Fall klarkommen.

Gruß, Nils

Moin,

der Meldung nach zu urteilen, hat sie ein User namens "tsadmin" abgesetzt. Mehr wird man da nicht mehr herausfinden können.

Gruß, Nils

Moin,

jetzt driftet es etwas ab, finde ich.

Gruß, Nils

Moin,

ich verwechselte da was. Vergesst meinen vorherigen Beitrag.

Gruß, Nils

Moin,

der XP Mode ist nichts anderes als eine VM. Diese sieht nur die Hardware, die Windows Virtual PC ihm verfügbar macht. Das ist aber lange nicht alles, was man evtl. betreiben will.

Die Entscheidung, ob man zugunsten von "viel RAM" auf alte Hardware (und in wenigen Fällen Software) verzichtet oder ob man diese weiter nutzen will und daher auf "viel RAM" verzichtet, muss halt jeder selber treffen. Bei mir ist die Auswahl (derzeit) eindeutig, für andere (oder zukünftig) mag das anders gelten.

Gruß, Nils

Moin,

Bedeutet das, dass jeder Benutzer, der im AD erstellt wurde auch eine User-CAL benötigt?

nein, eben nicht.

Es geht - je nach Zuordnung der CALs (Device oder User) um physische Endgeräte (z.B. PCs) oder menschliche Benutzer.

Gruß, Nils

Moin,

Ernsthafte Probleme gibt es ohne hin nicht mehr wirklich damit...

naja, so allgemein kann man das nicht sagen. Ich habe schon einiges an älterer Hardware, für die es keine 64-Bit-Treiber gibt. Das will ich nicht alles neu kaufen müssen.

Gruß, Nils

Moin,

standardmäßig darf jeder User bis zu zehn Computer in die Domäne aufnehmen. (Gezählt werden dabei die jeweils vorhandenen Computerkonten, bei denen der User als Owner drinsteht.)

Um das zu ändern, kannst du dies in der AD-Konfiguration heruntersetzen oder abschalten und dann gezielt für die OU, in die der User die Konten einfügen soll, die passenden Berechtigungen vergeben.

LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

Auf bestimmte Windows-Versionen kannst du das nicht eingrenzen. Hierzu fiele mir höchstens ein Skript ein, das regelmäßig im AD nach Computerkonten mit bestimmten OS-Versionen sucht und dann reagiert.

Gruß, Nils

Moin,

ERP ist ein riesiges Feld. Du solltest dir einen Berater suchen, der konkrete Erfahrungen mit eurer Branche hat. Üblicherweise lädt man davon dann einige ein, um sie näher kennen zu lernen.

Gruß, Nils

Moin,

hast du einen Synaptics-Treiber o.ä. installiert? In dessen Eigenschaften würde ich mal schauen.

Gruß, Nils

Moin,

hast du denn den Schlüssel der Anleitung nach erzeugt und eingebunden? Siehe Seite 60ff in dem Paper.

Gruß, Nils

Moin "defekt!",

mäßige deinen Ton!

Selbstverständlich ist das hier ein Diskussionsforum, was denn sonst? Hilfe bekommt, wer freundlich bleibt. Davon entfernst du dich leider gerade. Und einen Anspruch auf "genehme" Antworten hat hier niemand.

Gruß, Nils

Moin,

dsacls unter Windows 7 kennt den Parameter, den du suchst. Mach es also von 7 aus.

Gruß, Nils

Moin,

32 Bit: größte Kompatibilität für vorhandene Hardware, nur bis 4 GB RAM.

64 Bite: Unterstützung von > 4 GB RAM, spezielle Treiber nötig.

faq-o-matic.net Wie Windows mit großem Hauptspeicher umgeht

faq-o-matic.net 4 GB RAM mit Windows Vista

Gruß, Nils

Moin,

Wenn ich fortsetze trägt er meinen Benutzer in der ACL ein, das ist aber nicht erwünscht.

das lese ich immer wieder, es stimmt aber nicht.

faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen

Gruß, Nils

Moin,

bei 4 GB RAM könnte höchstens die Nutzbarkeit des "PCI Hole" ein Grund sein, mit x64 zu arbeiten - sofern das BIOS mitspielt. Aber: 4 GB und x86 (32 Bit) bedeutet, dass du kein RAM-Upgrade ohne Neuinstallation machen kannst. Mit x64 kannst du das tun, wenn der Speicherbedarf steigt (was bei stark belasteten Servern durchaus der Fall sein kann - auch bei Dateiservern).

Gruß, Nils

Moin,

halt mich für borniert, aber ich weiß immer noch nicht, was das soll.

Warum sollte AD sicherer sein, wenn man die vordefinierten Berechtigungen nicht verwendet? Weißt du überhaupt, von welchen "Builtin"-Gruppen du die ganze Zeit redest? Ich weiß es nämlich (immer noch) nicht. Und ich befasse mich seit 11 Jahren mit Active Directory. Nimm es mir nicht übel, aber ich habe den Eindruck, dass du über das Windows-Sicherheitssystem urteilst, ohne es überhaupt einschätzen zu können.

Warum soll darüber hinaus in deiner Umgebung ein User in der Lage sein, das AD zu replizieren? Welches Szenario steht dahinter?

Handelt es sich um eine Lernumgebung? Eine Testumgebung (wofür)? Oder eine Produktionsumgebung?

Und: Wenn du dir ein neues Auto (oder was auch immer) kaufst, machst du es dann auch erst mal kaputt und versuchst ohne nähere Kenntnis es wieder zusammenzubauen?

Die AD-Replikation ist sehr robust aufgebaut, sodass es im Normalfall keines Eingriffs bedarf. Dabei ist sie aber so komplex, dass man eben auch besser nicht an irgendeiner Stelle eingreifen sollte. Es sei denn, wie auch die anderen richtig betonen, man weiß genau, was man tut.

Außerdem wäre es nett, wenn du deine Quellen genau angibst. Wo hast du diese Rollenbeschreibung "Replication Management Admins Role" her und für welchen Zusammenhang wird diese empfohlen?

Gruß, Nils

Moin,

im Übrigen ist es unwahrscheinlich, dass "eine Applikation NetBEUI nutzt". Eine Applikation will etwas aus dem Netzwerk und leitet diese Anfrage an das Betriebssystem weiter, welches sich dann um die Auswahl des Protokolls kümmert.

Gruß, Nils