NilsK

Moin, whoami ist so ziemlich die effizienteste Lösung, weil sie die tatsächlichen Mitgliedschaften auswertet und keinen Zugriff auf das Netzwerk braucht. Sie nutzt das Access Token des Users. Gruß, Nils

Moin, ist das "Laufwerk" evtl. ein DFS-Ordner und die "Ordner" sind in Wirklichkeit einzelne Freigaben innerhalb von DFS? Anders wäre so ein Verhalten kaum zu erklären. Gruß, Nils

Moin, Dann muss der DFS-Link auf eine andere Freigabe zeigen. Gruß, Nils

Moin, in AD-Fragen darf ich Evgenij ja zustimmen. Ein RODC trägt in fast* keinem Szenario zum Schutz des AD bei, macht dafür aber den Betrieb fehleranfälliger und das Troubleshooting schwerer. Dieser Thread ist ein weiterer Beleg, zumindest für den zweiten Teil der These. Ernst gemeinter Rat: Verabschiedet euch von der RODC-Idee. Gruß, Nils PS. * tatsächlich habe ich noch nie ein Design gesehen, in dem ein RODC sinnvoll gewesen wäre. Da Microsoft aber ohne Anlass sowas nicht entwickelt hätte, mag es sein, dass es mal Anforderungen gab, die sich damit haben lösen lassen. Nur deshalb steht in meinem Satz die Einschränkung "fast".

Moin, warum RODC? Was versprecht ihr euch davon? Gruß, Nils

Moin, hat sich der Benutzer vor dem Zugriff neu angemeldet? Wenn er "nicht mehr" Mitglied einer berechtigten Gruppe ist, aber sich seit dem Entfernen aus der Gruppe nicht neu angemeldet hat, dann ist er aus Sicht des Systems immer noch Mitglied. Gruß, Nils

Moin, das Konzept gibt es durchaus, das ist dann "Windows Hello". In dem Fall besteht der Witz aber darin, dass man sich eben nicht mit Username + Kennwort an dem Rechner anmeldet, sondern mit einem separaten Login, der nur auf diesem Rechner existiert. Idealerweise Biometrie (also typischerweise Hello-Kamera oder Fingerabdruck), zur Not eine PIN. Auf dem Weg kann man sich durchaus auch bei Webseiten oder Applikationen anmelden, aber nicht an "irgendwelchen" und auch nicht als Ersatz für ein herkömmliches MFA. Die Anwendungen müssen das ausdrücklich können. Es führt also kein Weg drumrum, dass wir uns entweder über den konkreten Anwendungsfall unterhalten oder so schwammig bleiben. "Den MS Authenticator auf dem Desktop", der sich so verhält wie ein Smartphone, gibt es so jedenfalls nicht. Gruß, Nils

Moin, ich erinnere mich sogar noch an Bob, Gordon und Herrn Huber. Und JETZT kommt ihr. Gruß, Nils

Moin, hat hier schon jemand erwähnt, dass PKI böse ist? Gruß, Nils

Moin, das macht der doch selbst ...? Naja, gut, dass es jetzt klappt. Gruß, Nils

Moin, was genau hast du denn da gemacht? Du hast einen Windows-Server in die bestehende Domäne aufgenommen und ihn dann zum zusätzlichen DC dieser Domäne hochgestuft? Oder bist du anders vorgegangen? Und was meinst du mit "soweit angepasst, dass er den Job vom alten DC übernehmen könnte"? Was für Änderungen hast du da vorgenommen? Abgesehen von der derzeitigen Fehlersituation, ist ein einziger DC für fast alle Netzwerke zu wenig. Von wie vielen Usern sprechen wir denn in der Domäne? Gruß, Nils

Moin, naja, deiner Aussage nach bist du jetzt seit gut einem Tag dabei und du bist mit einem ziemlich komplexen Thema beschäftigt. Das braucht schon seine Zeit. Im Screenshot vom Client sieht man das Problem sehr schön. Zwar steht die IP-Adresse des Servers korrekt als DNS-Server drin, aber eben auch noch vier weitere Adressen. Die haben da in einem Domänen-Szenario nichts zu suchen. In diesem Fall wirst du die vermutlich am einfachsten los, indem du IPv6 erst mal abschaltest. In einem echten Netzwerk würde man das Drumrum lieber richtig konfigurieren, aber darum geht es hier ja nicht. Ich komme dann noch mal auf den Vorschlag von Jan zurück. Für das, was du vorhast, solltest du dir ein völlig separiertes Testnetz innerhalb von Hyper-V aufbauen. Heißt: Sowohl der DC als auch alle Clients und alle weiteren Server sollten VMs innerhalb von Hyper-V sein. Der physische PC hat dann ausschließlich die Rolle Hyper-V installiert und sonst nichts. Die VMs bindest du dann alle an einen internen Switch in Hyper-V an, so umgehst du die Einflüsse des "echten" Netzwerks. Auf die Weise kannst du dich auf das konzentrieren, was du zum Lernen von Windows Server und Active Directory brauchst. Gruß, Nils

Moin, deine Domäne heißt albert.local, nicht win$§%§&$&.albert.local. Dein Screenshot zeigt auch keinen Ping auf die Domäne, sondern auf den Server. Dass du den Client wie im Bild nicht in die Domäne aufnehmen kannst, liegt also schon daran, dass die Domäne nicht so heißt. Es sieht aber immer noch nach dem falschen DNS-Server aus. Gruß, Nils

Moin, wenn der Client ins Internet kommt, aber den DC nicht erreicht, dann liegt das meist daran, dass der Client den falschen DNS-Server nutzt. [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net] https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils

Moin, willkommen im Board! Bitte lass dieses uralte Thema ruhen. Wenn du ein Problem oder eine Frage hast, eröffne bitte einen neuen Thread. Gruß, Nils

Moin, ich sag mal so: Wenn die Anforderung besteht, den Netzwerkzugriff der Kiosk-PCs abzusichern, dann sollte der Betreiber oder der Verwalter der Firewall das umsetzen. Für sowas ist eine Firewall ja da. Gruß, Nils

Moin, bei sowas ist es am besten, erst die Anforderungen zu definieren und dann die Technik festzulegen. Ich nehme mal an, dass die Benutzer nur über den Proxy auf das Web zugreifen können sollen. Wenn du das wirklich sicher einrichten willst, sind die Proxy-Einstellungen auf dem System nur ein Teil der Lösung. Der wichtigere Teil wäre die Firewall, die den öffentlichen PCs keinen direkten Zugriff auf das Internet zulässt, sondern nur dem Proxy. Was die Proxy-Einstellungen anbelangt, solltest du den Kiosk natürlich so einrichten, dass der Anwender das nicht einfach ändern kann. Falls es ihm aber doch gelingt, kann er eben nicht am Proxy vorbei. Gruß, Nils

Moin, wenn man schon dabei ist, könnte man ja auch probieren, die Software auf einem neueren OS zu installieren. Die allermeisten Sachen laufen da auch. Und schon ein 2008 wäre besser als ein 2003, aber vielleicht geht es ja auch mit einem noch weniger alten OS. Gruß, Nils

Moin, ich weiß nicht, ob es heute noch ohne Anpassung funktioniert, aber vor 15 Jahren (!) hab ich mal was dafür gebaut. Das dürfte die meisten Fälle erwischen. [Dienst- und Task-Konten identifizieren | faq-o-matic.net] https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Gruß, Nils

Moin, gibt ja auch keine. Das einzige "Feature" sind die 32-K-Datenbankseiten, für die es auch den neuen Modus braucht. Interessant nur für wenige Enterprise-Szenarien und dort auch kaum sichtbar. Der Rest ist so sehr Kleinkram, dass schon "Produktpflege" ein zu großes Wort wäre. Gruß, Nils

Moin, nein, so wäre der Zusammenhang nicht. In deinem Fall fielen keine CALs an, weil du ja über den Admin-Zugriff (oder über einen anderweitig lizenzierten Zugriff) den CSV-Export machst. Was dann hinterher mit dem Export geschieht, ist lizenzrechtlich egal. Ebenso ist es für die Lizenz egal, wo die CSV-Datei herkommt, die du mit deinem Admin-Zugriff importierst. Anders könnte es aussehen, wenn du dir jetzt was bauen würdest, das jede einzelne Transaktion für einzelne nicht lizenzierte User per Ex- und Import übermitteln würde, du dir also quasi dein eigenes Zugriffsprotokoll baust. Das wäre dann evtl. ein Fall für das Multiplexing, das lizenzpflichtig ist. Das ist jetzt aber ein konstruierter Fall. Es geht einfach nur darum, dass der typische Applikationsserver mit SQL-Zugriffskonto keine CALs einspart. Wenn 400 Leute die Dienste eines SQL Servers nutzen, dann müssen auch 400 Zugriffe lizenziert werden, auch wenn alles formal nur über ein Anmeldekonto geschieht. Das ist der Punkt. Ob diese User Mitarbeiter oder Kunden sind, spielt dabei keine Rolle. Gruß, Nils

Moin, ... zumal es die Faustregel gibt, dass man in einer Hyper-V-Clusterumgebung immer das "höchste" Tool nutzen sollte, also für Aktionen, die über den FC-Manager oder über den HV-Manager durchführbar sind, immer den FC-Manager. In dem Fall kann es nämlich sein, dass der HV-Manager die Cluster-Besonderheiten nicht berücksichtigt. Ist die Umgebung per VMM verwaltet, dann gilt es entsprechend, in dem Fall ist der VMM das "höchste" Tool. Für mich klingt es auch so, als sei mitnichten alles in Ordnung. Da man einen Cluster hat, um sich auf ihn verlassen zu können, rate ich auch dazu, externen Sachverstand dazu zu holen und das Cluster-Upgrade nicht irgendwie zu basteln, sondern ordentlich zu machen. Hochverfügbarkeit und Sparsamkeit gingen noch nie zusammen. Gruß, Nils

Moin, zunächst mal ist völlig unklar, an welcher Stelle du überhaupt nachsiehst - im Server-Manager, im Failover-Cluster-Manager oder wo? Dann verstehe ich das Konstrukt nicht. Warum baut man einen Cluster, in dem ein Node mit einer Eval-Lizenz läuft? Davon abgesehen, dass das ziemlich sicher ein Lizenzverstoß ist, ist es auch technisch nicht sinnvoll. Und was heißt ? Wenn er nicht im Cluster ist, wo fügst du ihn hinzu? Und schließlich: Warum betreibt man heute noch einen Cluster mit Windows Server 2012? Ein Node ohne Support widerspricht irgendwie dem Konzept eines Clusters. Gruß, Nils

Moin, ach je ... auf Ideen kann man kommen. Aber dann wäre das mit PowerPoint ja auch nur Stückwerk. In dem Fall wäre es doch sinnvoller, die Kamera abzuschalten. Das setzt am richtigen Punkt an und belässt als Nebeneffekt die eigentliche Aufzeichnungsfunktion für Präsis intakt. (Und in jedem Fall ist das ein organisatorisches und kein technisches Thema ... aber ich weiß schon, manchen BR-Mitgliedern braucht man damit nicht zu kommen.) Gruß, Nils

Moin, und warum soll die Funktion nicht zur Verfügung stehen? Was stört daran? Gruß, Nils