NilsK

Moin, vielleicht meinen sie das, aber implementiert haben sie es trotzdem so ... Gruß, Nils

Moin, puh, ich habe mir die Doku gerade zum ersten Mal angesehen. Gruselig - man würde ja hoffen, dass Microsoft das nicht ernst meint. Logik und Syntax lassen mich vermuten, dass der ganze Aufbau enorm fehlerträchtig ist und wenig "zusätzliche Sicherheit" erzeugt. Schon allein der originelle Umgang mit XML in Example 2 und 3 sorgt für krause Zehennägel. Gruß, Nils

Moin, ja, das müsste reichen. In dem Fall sind es ja neue Objekte. Gruß, Nils

Moin, wobei sich die GPOs in der zitierten Fehlermeldung ja gar nicht zwischen den vorhandenen DCs unterscheiden, sondern die Dateiversion ist (bei beiden identisch) geringer als die Version, die im AD angegeben wird. Das sieht mir also eher so aus, als hätte es früher mal ein Replikationsproblem gegeben, nicht jetzt. Ist das Bild so bei allen GPOs, die als fehlerhaft gemeldet werden? Dann würde ich die tatsächlich neu machen und die fehlerhaften löschen. Gruß, Nils

Moin, ist es das? Sofern du von Cached Credentials sprichst, ist das nicht korrekt. Gruß, Nils

Moin, wenn jetzt erst mal LDAP dein Problem ist, dann lass doch das PHP zunächst weg. Du kannst die LDAP-Abfragen in AD-Benutzer und -Computer (dsa.msc) bauen. Wenn die liefern, was du möchtest, nimmst du die Abfrage und steckst sie in deinen PHP-Code. Noch etwas besser bekommst du das mit AdFind von joeware.net hin, weil dsa.msc dir immer nur ganze Objekte zurückgibt und keine Werte. Oder du versuchst es mit ldp.exe (bei Windows in den AD-Tools enthalten). Und für die LDAP-Grundlagen im AD ist evtl. dies hier hilfreich: [LDAP-Grundlagen für Active Directory | faq-o-matic.net] https://www.faq-o-matic.net/2008/01/13/ldap-grundlagen-fuer-active-directory/ Und dies: [Whitepaper: LDAP-Filter für Active Directory | faq-o-matic.net] https://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/ Gruß, Nils

Moin, was genau willst du denn zurückbekommen? Und was soll damit geschehen? Deine Abfragelogik verstehe ich nicht ganz. Es gibt bei User-Objekten zwei Felder im AD, die dir die (vermutlich) gewünschte Information geben können. Das eine ist "memberOf", das andere ist "tokenGroups". Je nachdem, ob du nur die direkten Mitgliedschaften brauchst oder auch die indirekten, ist das eine oder das andere geeignet. Gruß, Nils

Moin, wenn das so wäre, hätte der Anbieter was Grundlegendes falsch gemacht. Ich hab's mir jetzt nicht angesehen, aber ich kann mir nicht recht vorstellen, dass jemand so einen Service heute noch anbietet. Der Key, um die abgelegten Kennwörter zu nutzen, darf natürlich nicht beim Anbieter liegen. Bei allem, wo eine andere Partei involviert ist, kommt natürlich zusätzlich immer der Faktor "Vertrauen" ins Spiel. Gruß, Nils

Moin, wenn es für euch insgesamt passt, ist das ja gut. Naturgemäß kommen bei mir in der Dienstleister-Rolle auch eher die Probleme an als die Fälle, in denen es gut läuft. Wichtig ist eben bei allen Konstrukten, die Ausfälle absichern sollen, dass man sich genau ansieht, was sie wirklich leisten können und welcher Aufwand dafür erforderlich ist. Da kann eine Replikation einen Teil abdecken - aber eben nur einen Teil. Gruß, Nils

Moin, Gibt es zwei Replikate und beide sind zugänglich, dann lassen sich beide gleichzeitig bearbeiten. Es gewinnt die Version, die als letzte gespeichert wird. Ungünstig, wenn die zwei Seiten, die der Praktikant speichert, die 100 Seiten der Geschäftsführerin überschreiben. Welche Lösung besser geeignet ist, hängt davon ab, was denn das Problem ist, das gelōst werden soll. Schon wenn man darüber nachdenkt, merken viele, dass ihr Konstrukt die Anforderungen überhaupt nicht erfüllen würde. Mag auch sein, dass DFS-R für euch passt, aber meine Erfahrung ist, dass es für die meisten, die sich das noch mal genauer ansehen, eben nicht passt. Und da habe ich mit den technischen Problemen noch nicht mal begonnen. Gruß, Nils

Moin, Das hab ich befürchtet. Genau bei dem Einsatzzweck höre ich zu oft von Problemen, um das für eine gute Lösung zu halten. Nur um das größte Problem anzusprechen: der Last-Writer-Wins-Algorithmus ist euch bekannt? Gruß, Nils

Moin, ich stelle dazu mal meine Standardfrage: Wozu wird das DFS-R denn benötigt? In der freien Wildbahn sehe ich immer wieder Konstrukte, bei denen Fehlerhäufigkeit und Nutzen nicht in sinnvollem Verhältnis stehen. Daher könnte dies ein Anlass sein, das für die gegebene Umgebung mal zu prüfen. Gruß, Nils

Moin, Nana, deshalb musst du dir ja nicht den Kopf zerbrechen. Gets, Nils

Moin, gar keiner, sag ich doch. Weil das kein Prozess ist, der mit dem Zertifikat zu tun hat. Der Vorgang findet beim Signieren des Codes statt, ist also typischerweise eine Leistung des IDEs oder eines separaten Tools. Die CA hat damit so wenig zu tun wie das Zertifikat. Ein Vorteil durch ein kommerzielles Zertifikat entsteht aus meiner Sicht vor allem dadurch, dass das Zertifikat dann auch außerhalb anerkannt wird und dass, falls der Timestamp eine kostenpflichtige Leistung ist, dann ggf. schon eine Vertragsbeziehung zu dem Anbieter besteht. Es kann aber auch sein, dass der Timestamp gar nichts kostet - ich hab das selbst nur ein einziges Mal vor vielen Jahren gemacht, und da hatte ich ein Digicert-Zertifikat, war dort also ohnehin Kunde. Gruß, Nils

Moin, nicht ganz. Einen Timestamp muss man ohnehin von extern einbinden. Grundsätzlich geht das auch mit einem selbsterzeugten Zertifikat, sofern man Zugriff auf einen akzeptierten Timestamp-Server hat. Ob es da allerdings welche gibt, die das kostenlos zulassen, weiß ich nicht. In sofern ist ein kommerzielles Zertifikat schon eine gute Wahl, sobald das einigermaßen Bestand haben soll. [Best Practices for Timestamping | DigiCert.com] https://www.digicert.com/blog/best-practices-timestamping [Code Signing Certificate FAQs] https://knowledge.digicert.com/generalinformation/INFO1119.html Keiner. Das hat mit dem Zertifikat und mit der CA nichts zu tun. Das ist ein Vorgang beim Signieren des Codes. Zum Testen braucht man weder ein kommerzielles Zertifikat noch ein Timestamping. Da geht es dann ja eher darum, die generellen Abläufe kennenzulernen. Das ist auch sehr empfehlenswert, denn wie immer bei dem Thema entsteht das Problem durch die Handhabung der Zertifikate, nicht durch die Zertifikate selbst. Gruß, Nils

Moin, Nur damit ich das verstehe - du postest in einem Forum, das du dir nicht einmal genügend angesehen hast, um festzustellen, dass es deutschsprachig ist? Gruß, Nils

Moin, Und warum verhandelt ihr das nicht auf Deutsch? Gruß, Nils

Moin, ich bin mir nicht sicher, ob das in die richtige Richtung führt. Das Pflegen einzelner Datenfelder ist Kategorie Kleinkram, deshalb würde man sich keine IdM-Plattform ins Haus holen. Solche Plattformen kosten schnell vier- bis sechsstellig, und das hat auch seinen Grund, weil die nämlich was viel Größeres lösen sollen. Der übliche Weg für das, was wir hier besprechen, ist der, den mein Beispiel zeigt: Gezielt Berechtigungen setzen und denen, die es pflegen sollen, eine einfache Oberfläche dafür bieten. Gruß, Nils

Moin, also wollt ihr nur die Adressdaten innerhalb des AD bearbeiten lassen? OK, dann nenn das aber besser nicht "Identity Management", das meint typischerweise was viel Größeres. Weil es nicht "fertig" ist und im Detail veraltete Technik nutzt. Darüber hinaus ging ich aber davon aus, dass sich hinter deinem Ansinnen noch was Größeres verbirgt, und dann ist eine reine Berechtigungs-Delegation und eine simple Bearbeitungsmaske schnell nicht mehr geeignet. EDIT: Doch, das Skript als solches funktioniert durchaus noch. Die Fehlermeldung, die du bekommst, gab es schon immer, und auf die musste man auch schon immer reagieren. Das Beispiel ist als HTA implementiert, läuft also im Browser - nämlich im IE. Daher ordnest du das schon richtig ein. Und das meinte ich mit "veraltet" und "keine Lösung". Gruß, Nils

Moin, das hängt entscheidend davon ab, was "dafür" bedeutet. Ohne nähere Anforderungen lässt sich deine Frage nicht beantworten. Da irgendwer dies nennen wird, mache ich es mal selbst - weise aber darauf hin, dass es keine "Lösung" ist: [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils

Moin, life. SCNR, Nils

Moin, Wenn die Funktion, die ein Anwender nutzt, von einem Windows-Server bereitgestellt wird, ist dieser Zugriff lizenzpflichtig. In deinem Fall ist die Sache aber noch komplizierter, weil die Anwender anscheinend nicht zur selben Firma gehören. Lass dich beraten. Gruß, Nils

Moin, Du bist uns zu den Lizenzen auch keine Rechenschaft schuldig. Da in solchen Konstrukten aber sehr oft die richtigen Lizenzen vergessen werden, solltest du dich in eigenem Interesse um das Thema kümmern. Gruß, Nils

Moin, Und die passenden Lizenzen für den Zugriff auf den Server habt ihr? Gruß, Nils

Moin, Hm ... Ihr richtet eine Sicherung ein, wisst aber nicht, wie das Recovery funktioniert? Dann solltet ihr noch mal nachdenken. Aus meiner Sicht ist eine VM-Sicherung eines DCs kein Backup des AD. Aber im Wesentlichen ist das, was du skizzierst, vermutlich das Verfahren. Da ich weder das Konzept gemacht noch die Sicherung eingerichtet habe, kann ich dazu nichts Genaueres sagen. Da das Risiko des Scheiterns besteht und die Möglichkeit zum Testen existiert, könntest du dein Verfahren erst mal im Labor ausprobieren. Aber richte dich darauf ein, dass Nacharbeiten erforderlich sind. Gruß, Nils