NilsK

Moin,

habs ja ausprobiert

was hast du ausprobiert? (Warum muss man den Leuten, die etwas wissen wollen, immer alles einzeln aus der Nase ziehen?)

Du trägst den Select-Teil aus meinem Code in das Select-Feld ein. Das From-Feld ist vorausgefüllt, das lässt du so. Den Where-Teil trägst du ins Where-Feld ein, dabei musst du aber natürlich den DN der Gruppe anpassen.

Vermutlich scheitert es am letzten. Um den DN rauszufinden, kannst du vorab folgende Abfrage nutzen:

SELECT * FROM <so lassen> WHERE anr='Anzeigename-der-Gruppe'

Wichtig sind die einfachen Anführungsstriche (Apostrophe, oben auf der #-Taste) um das Suchkriterium. In dieser Abfrage reicht auch ein Teil (= der Anfang) des Namens, z.B. "Cons" für "Consulting".

Den gefundenen DN trägst du dann ohne das "LDAP://" als Suchkriterium ein.

Gruß, Nils

(PS. Deine Shift-Taste ist immer noch defekt. Guck doch mal nach einer anderen Tastatur.)

–

Moin,

wie sieht es mit ldifde aus, hilft das vielleicht dein problem zu lösen?

ldifde gibt auch nur den DN zurück. Mehr steht ja im Objekt auch nicht drin.

Gruß, Nils

(PS. Deine Shift-Taste ist offenbar auch defekt.)

Moin,

nur bekomm ich immerwieder die meldung keine datensätze gefunden

dann ist die Syntax okay, aber dein Suchkriterium gibt nichts zurück.

die gruppen liegen nicht in den standardordnern

Das ist egal, weil Carmen standardmäßig die ganze Domäne durchsucht.

carmen ist ja in 3felder unterteilt.. wäre nett wenn du dir die mühe machen würdest und ein beispiel für die 3felder posten könntest SELECT - FROM - WHERE

??? Ich habe dir doch ein Codebeispiel gepostet. Was ist daran nicht zu verstehen?

Die wichtigsten Feldnamen kannst du hier nachschlagen:

faq-o-matic.net » Active Directory: LDAP-Feldnamen

Gruß, Nils

(PS. Deine Shift-Taste ist defekt, und deine Punkt-Taste prellt.)

Moin,

Benutzer können sich nichtmehr anmelden und auf keine Freigaben auf dem Server mehr zugreifen.

okay, einmal frage ich noch: Wie greifen die User konkret zu? Welche Meldung bzw. welches Verhalten erscheint?

Gruß, Nils

Moin,

jetzt haben wir den Supergau!

"GAU" heißt größter anzunehmender Unfall, das ist nicht steigerbar. Abgesehen davon, habt ihr nicht mal einen GAU, sondern nur ein Problem (äh: eine Chance).

bei uns hat sich der PDC verabschiedet. BDC ist ok.

Also habt ihr jetzt einen?

Ich kann aber dort keine Benutzer verwalten

Natürlich nicht.

bzw. bekomme keine mehr angezeigt usw. !

Wie? Der BDC sollte selbstverständlich die User anzeigen. Sonst habt ihr keine Chance mehr, sondern ein Problem.

Eigendlich benötigen wir NUR einen funktionsfähigen PDC (Windows NT 4.0).

Also, habt ihr nun einen BDC oder nicht? Wenn ja, ist keine Hektik nötig, denn die Anmeldung funktioniert weiterhin. Sollte der PDC kurzfristig nicht wiederkommen, stuft ihr den BDC einfach zum PDC hoch. Das tut man im Servermanager. Der Vorgang ist eigentlich selbsterklärend.

Falls ihr keinen funktionierenden BDC habt, spielt ihr die Datensicherung eures PDC zurück. (Wie - ihr habt keine? Dann habt ihr am Wochenende eine Menge zu tun, die User neu anzulegen und die Berechtigungen neu zu setzen.)

Gruß, Nils

Moin,

Ich bin bei uns neulich durchs Unternehmen gelaufen und hab einen gelockten PC mit Vista gesehen, der den alten "gelockt" screen nur eben mit vista logo hatte und nicht den normalen von Vista. Bist du dir sicher ?

vielleicht hat da jemand irgendein Addon-Tool genutzt. Die neue Architektur heißt ja nicht, dass man nix dran drehen kann. Nur die alten Mechanismen funktionieren nicht mehr.

Gruß, Nils

Moin,

Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten - hier eine (unvollständige)

Auswahl einiger Bordmittel.

interessanter Text, kenn ich irgendwie. (Kleiner Hinweis: Quellenangaben sind fair.)

ich suche eine abfrage in den nicht nur der accountname der gruppe ausgegeben wird sondern auch bestimmte andere felder wie z.b. firtname,lastname,displayname etc.

Du meinst, du willst die Mitglieder der Gruppe mit Details auflisten? Das geht so ohne Weiteres nicht, weil in der Gruppe nur die DNs der Mitglieder gespeichert sind.

Du könntest dir mit einer LDAP- oder SQL-Abfrage behelfen, die das AD nach Objekten abfragt, in deren "memberOf"-Attribut die Gruppe auftaucht, und dann die gewünschten Felder zurückgeben.

Beispiel:

SELECT adsPath,givenName,sn FROM 'LDAP://DC=faq-o-matic,DC=net' WHERE memberOf='CN=Superhelden,OU=Benutzer,DC=faq-o-matic,DC=net'

Das kannst du z.B. mit Carmen ausführen:

faq-o-matic.net » Carmen: Mit SQL das AD abfragen

Gruß, Nils

(PS. Deine Shift-Taste ist defekt.)

Moin,

habe einen W2K Server auf dem meine Verwaltung ab und an verschwindet also unter Start-Programme--->nichts :shock:

wie "nichts"? Ganzes Startmenü leer? Nur "Verwaltung" fehlt?

Und was heißt "ab und an"?

Personalisierte Menüs sind in den Eigenschaften abgeschaltet? Du arbeitest nicht zufällig mit unterschiedlichen Benutzerprofilen? Das Startmenü ist nicht irgendwohin umgeleitet?

Gruß, Nils

Moin,

ich hätte gerne bei Vista / WS2008 den Logonscreen so umgestellt, wie er standardmäßig bei einem domain joined XP client oder 2003er Server aussieht.

das geht nicht. Der Logonscreen und die Architektur dahinter sind komplett umgebaut worden (msgina.dll gibt es so nicht mehr).

Gruß, Nils

Moin,

sharepoint ist keine option...

zum Suchen wäre aber evtl. die Search-Only-Version was für euch.

wie löst ihr sowas?

Radio Eriwan: Im Prinzip ja, aber.

Mal passt es so besser, mal so. In der Praxis hat man aber sehr selten die Chance, solch eine Struktur neu aufzubauen. Wenn ihr die habt und auch noch Zeit zur Verfügung steht, dann nutzt die!

Nur ein Beispiel: Du hast bislang noch sehr wenig zu deinen Anforderungen gesagt, aber nach vielen technischen Lösungen gefragt. Das ist irgendwie verkehrt rum. Ein Forum ist dafür auch nicht ganz die richtige Stelle - solche Fragen könnt ihr nur intern klären. Wenn ihr aber eine "Lösung" aufbaut, ohne die Anforderungen zu klären, wird es nie richtig passen und nichts richtig lösen.

ps: bezüglich rollen: wie habt ihr sowas implementiert?

Mit A-G-DL-P. Genau dafür ist das da. Windows hat schon mit der ersten NT-Version (1993!) sein sehr leistungsfähiges Rollenkonzept gehabt, nur hat man das damals noch nicht so genannt.

Beispiel: Du willst den Zugriff auf die zusammenhängenden Ressourcen "ShareA", "SQL-DatenbankA" und "ApplikationA" steuern. Die Anforderung sagt, dass wer ApplikationA starten soll, mindestens Leserechte auf die anderen beiden Ressourcen braucht. Manche User sollen dort aber auch Daten ändern können.

Also haben wir gerade zwei Rollen identifiziert: "A-Leser" und "A-Bearbeiter". Die legen wir als Domänenlokale Gruppen an (die Ressourcen sind ja üblicherweise in derselben Domäne, aber vielleicht sollen auch User aus anderen Domänen zugreifen, also ist der Gruppentyp der beste). Erstere erhält Leserechte auf ShareA, DatenbankA (= Select-Rechte oder sowas) und ApplikationA (Programmverzeichnis, Citrix-Berechtigung oder was immer). Die zweite erhält für ShareA und DatenbankA auch Ändern-Rechte.

Das war's. Danach werden die ACLs (idealerweise) nie wieder angefasst, sondern nur noch Mitgliedschaften in den beiden Gruppen geregelt.

Gruß, Nils

(übrigens scheint deine Shift-Taste zwischenzeitlich defekt zu sein.)

Moin,

Ich würde gerne in einen schon bestehende Domaine migrieren,

d.h nicht die Domain direkt umbenennen, sondern eine Domain mit

dem richtigen Namen aufsetzen und dann dort die alte Struktur rein migrieren.

OK, das ergibt Sinn.

jedoch wollte ich noch wissen was nun alles zu beachten ist.

Naja, so pauschal gefragt kann man nur pauschal antworten: "Einiges".

Ich habe vor etwa einem Jahr eine sehr große Quest-Migration gemacht und bin über ein paar funktionale Lücken gestolpert. So migriert Quest bei der Massenmigration immer nur in eine Ziel-OU, um die Verteilung muss man sich dann selbst kümmern. (Alternativ ganz viele Migrationsjobs anlegen, aber das kommt meist nicht in Frage.) Dafür haben wir dann ein Skript gebaut.

Außerdem migriert Quest nicht den Aktivierungsstatus eines Kontos - entweder alle aktiv oder alle inaktiv. (Die Option, die ADMT kennt, hat Quest nicht.) Auch dafür haben wir ein Skript gebaut.

Nein, leider kann ich die Skripte nicht weitergeben. Quest wollte aber für dieselbe Aufgabe einen deftigen vierstelligen Betrag haben. (Wir haben jeweils etwa drei Stunden für die Skripte gebraucht.)

Tja, und dann kannst du natürlich Spaß mit Benutzerprofilen, VPN-Usern, Berechtigungen, Applikationen ... haben. Das wird man sich aber en détail ansehen müssen. Ihr solltet das ordentlich vorplanen, ggf. mit Unterstützung.

Gruß, Nils

Moin,

naja, wie du schon andeutest: Letztlich gibt es da nur allgemeine Empfehlungen. Jede Firma tickt anders, und Anforderungen in diesem Bereich gleichen sich nie.

Da ihr aber offenbar die Chance zum Neuaufbau habt: Nutzt die Gelegenheit, systematisch vorzugehen. Dokumentiert die wichtigsten Anforderungen. Entwerft dann in Ruhe ein System, das nach Möglichkeit nicht zu komplex ist. Baut evtl. Piloten in einem Testlab und spielt ein paar typische Anwendungsfälle durch.

Technisch rate ich zum Einsatz des A-G-DL-P-Konzepts, also letztlich eine rollenbasierte Struktur. Ihr solltet später möglichst selten die ACLs anpassen, sondern möglichst viel über Gruppenmitgliedschaften steuern. Weiterhin kann DFS-N eine gute Idee sein, um unabhängig von Servernamen zu werden.

Vielleicht wäre aber auch Sharepoint eine Alternative, ggf. auch als Suchmaschine über den Datenbestand. Damit verliert zumindest für den erlaubten Zugriff die Struktur ihre Dramatik, weil man Daten intuitiver wiederfindet.

Gruß, Nils

bekomme ich immer wieder eine Fehlermeldung.

<zaunpfahl action="wink">schade, dass die geheim ist. Sonst könnte man dir vielleicht helfen.</zaunpfahl>

Gruß, Nils

Moin,

Hab nach der Anleitung das ausgeführt und trotzdem sind da noch einige in den ACL's drin.

einige was? Verwaiste SIDs?

Es sind aber bereits einige verwaiste SIDs verschwunden? Dann könnte es evtl. sein, dass die verbleibenden von einer anderen Domäne oder einem anderen Rechner kommen. Mit SubInACL gibst du ja konkret an, welche Autoritäten betroffen sein sollen.

Du kannst es auch mit SetACL versuchen, vielleicht bringt dich das weiter (Achtung, komplex):

SetACL - Windows permission management

Gruß, Nils

Moin,

Ich kenne keine Option, mit der man ROBOCOPY anweisen kann, versteckte Ordner beim /MIR nicht mitzulöschen.

XA oder XF gehen nicht? (Kann es nicht testen)

Sonst könntet ihr versuchen, den robocopy-Task mit einem bestimmten User laufen zu lassen, dem ihr die Rechte auf das DFS-Unterverzeichnis verweigert.

Gruß, Nils

Eine Gegenfrage - warum nicht mit Windows Server 2003 Active Directory Domain Rename Tools?

du hast schon mal nach rendom gegoogelt und dir klar gemacht, wie oft dabei gravierende Probleme auftreten?

Ich rate davon grundsätzlich ab.

Gruß, Nils

4 TS mit einer einzigen Enterprise Lizenz wenn sie auf einer entsprechend performaten Virtualisierungsumgebung laufen.

wenn Citrix finanziell nicht drin ist, bezweifle ich die Anwendbarkeit dieser Alternative.

Gruß, Nils

Gibt es irgendwo von MS da genaueres? Bisher nur allgemein gültige Aussagen gefunden. Grundsätzliche Angaben zum strukurellen Aufbau?

mehr als allgemeine bzw. prinzipielle Angaben wirst du auch nicht finden. Dazu unterscheiden sich Datenbanken und insbesondere die Applikationen darüber zu sehr.

Mit eurem Vorschlag liegt ihr jedenfalls für eine ERP-Applikation in der Größenordnung nicht falsch. RAM ist derzeit günstig, also kann man auch 16 GB nehmen, schadet nicht.

Erfahrungsgemäß sind es bei derartigen Anwendungen eher die Applikationen, die den Flaschenhals darstellen - schlecht aufgebaute Queries, Transaktionen, die auf Usereingaben warten usw. Gegen manche dieser Dinge kann man durch geschickte Indizierung was machen - dabei hilft z.B. der Optimierungsassistent im SSMS (Admintool).

Gruß, Nils

Ich weiss nicht - wenn das Ding so schnell wächst, dann ist das schon eine sehr wichtige Info...

nur wenn die DB dauerhaft so wächst. Es hörte sich für mich aber eher nach einem einmaligen Wachstum an (weil z.B. initial Produktionsdaten hineingepumpt werden).

ein 10er für so eine DB und ein 1er für das Transpro - ich weiß nicht, ob das in Relation Sinn macht

Das Log wird sequenziell geschrieben und kaum gelesen. In sofern dürfte RAID1 dort völlig ausreichen. Man hätte auch über ein RAID10 für alles nachdenken (und dieses insgesamt wesentlich kleiner dimensionieren) können. Allerdings rückt der OP ja bislang nicht mit seinen Anforderungen raus - da ist das eher Kaffeesatzleserei.

Gruß, Nils

Was ist wenn ich SBS2008 Standard kaufe und später einen Windows 2008 Server in die SBS-Domäne einbinden möchte? Unter SBS2003 war das kein Problem.

das wird selbstverständlich auch weiterhin möglich sein. Sogar mit einem zusätzlichen DC.

Gruß, Nils

Wenn ich den bei gruppenrichtlinien.de beschriebenen Weg gehe, werden jedoch alle ggf. bisher vorhandenen lokalen Admins (z. B. manuell eingerichtete Laptop-User) gelöscht.

dann solltest du dort noch etwas weiter lesen. Siehe

Eingeschränkte Gruppen

dort: 3. Beispiel (beigesteuert von Norbert Fehlauer)

Gruß, Nils

mit cacls.exe habe ich bis dato noch nicht gearbeitet, hättest Du zufällig mal eine Beispielzeile da, die dafür sorgt, daß generell alle bestehenden ACLs gelöscht werden ?

cacls /? ist eigentlich nicht schwer, oder?

Aber weil du's bist:

cacls C:\Pfad\*.* /T /C /G:Administratoren:F

Da du die ACL ja nicht wirklich löschen willst (dann könntest du hinterher ja nicht mehr zugreifen), setzt dies erst mal Vollzugriff für die Admins und löscht alles andere. (Ist jetzt ungetestet, sollte aber so gehen.)

Gruß, Nils

Citrix liegt soweit ich das aktuell noch weiß bei ca. 300-330 euro pro lizenz.

Also bei der Useranzahl wär das doch ein Batzen mehr.

erstens ist das Preisniveau normalerweise deutlich geringer, zweitens lizenziert man Citrix nach Concurrent Use, also nur die gleichzeitig zugreifenden Nutzer. In den meisten Szenarien kommt man also mit wesentlich weniger Lizenzen aus als User vorhanden sind.

Abgesehen davon, müssen für den Einsatz mit Session Directory alle Terminalserver die EE ausführen, die Kosten steigen also weiter. Und zusätzlich hat Citrix gerade für Multi-Server-Umgebungen viele Features, die Windows selbst nicht hat.

Moin,

PS: Wenn du den Logparser zum Auswerten von eventlogs zu nutzen willst, kannst du dir auch mal dieses Serverhowto von mir durchlesen

interessanter Artikel. Aber warum pumpst du die Daten nach Access, um sie dort auszuwerten? Log Parser bringt doch selbst eine sehr umfangreiche SQL-Engine mit, die derartige Auswertungen auch direkt ermöglicht.

Gruß, Nils

Moin,

2 Disks im Raid1 fürs OS

2 Disks im Raid1 für die Transaktionslogs

4 Disks im Raid10 für die eigentliche DB

ist okay. Ob ihr das wirklich braucht, steht auf einem anderen Blatt. Habt ihr tatsächlich so hohe Performance-Anforderungen an den Disk-I/O? Ich sehe oft, dass Kunden viel zu große Systeme für ihre Datenbanken verkauft werden.

Ich denke damit sind wir auf der sicheren Seite. Jedoch diskutieren wir noch über die Blocksize.

Da stellt sich dieselbe Frage. Braucht ihr das wirklich?

Die Windows-Default-BS scheint ja 4K zu sein, das ist fürs OS glaube ich OK.

Was nimmt man jedoch für anderen beiden Arrays?

Als Optimalwert für SQL Server wird oft 8 KB genannt, weil das die Größe der Datanbank-Pages ist. Wobei man sich hier schon in einem Bereich bewegt, der für die meisten Umgebungen nie eine Rolle spielen wird.

Viel wichtiger ist die Frage, ob die Applikation sinnvoll mit den Ressourcen umgeht und ob die Transaktionen performant aufgebaut sind.

Die DB ist im Moment um die 80GB groß, wird sich aber die nächsten Tage eventuell verdoppeln.

Das ist für die Performance eine sekundäre Information.

Gruß, Nils

Moin,

ich würde gern auf einem W2k Server in der Ereignisanzeige einen bestimmten Fehler nicht mehr anzeigen lassen, da der zu ignorieren ist.

mit Bordmitteln geht das erst bei Vista/2008. Du könntest dir aber eine eigene Log-Ansicht mit Log Parser bauen und dort gezielt bestimmte Events ausblenden. Log Parser nimmt SQL-Abfragen für diverse Logformate entgegen. Kostenloser Download bei Microsoft.

Siehe auch:

.: www.kaczenski.de :.

Gruß, Nils