NilsK

Moin, der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen. Gruß, Nils

Moin, den maßgeblichen Artikel (der übrigens von @NorbertFe ist, nicht von Mark) hast du ja schon. Nimm das Zeug aus der DDCP raus und richte die GPOs nach dem Artikel ein. Damit solltest du es richten können. Gruß, Nils

Moin, prima, danke für die Rückmeldung. Der frühere Switch, von dem du sprichst, war vielleicht vom Typ "privat", daran ist der Host dann nicht beteiligt, also hat er dort auch keine Netzwerkverbindung. Gruß, Nils

Moin, Der Default-Switch ist ein spezieller Switch mit NAT-Funktion, der VMs möglichst einfach ins Internet bringen soll. Das setzt voraus, dass diese ihre Adresse per DHCP beziehen. Wenn das Prinzip für dein Szenario nicht passt, musst du dir einen separaten virtuellen Switch anlegen. Gruß, Nils

Moin, Ist das tatsächlich ein "interner" Switch oder ist es der Default-Switch von Windows 10? Gruß, Nils

Moin, dieses Problem wirst du mit einem öffentlichen Arbeitsplatz nicht befriedigend lösen können. Daher ja die Anregung, darüber nachzudenken, ob man sowas heute überhaupt noch braucht. Wir haben schließlich 2021 ... Eine einigermaßen sichere Lösung müsste etwas umfassen, das mit dem Nutzer den Rechner verlässt, also etwa eine Smartcard. Da sprechen wir dann aber über ganz andere Aufwände. Und 100% hat man auch damit nicht. Gruß, Nils

Moin, Zahnis Hinweis ist völlig zuzustimmen. Nur so viel: Das, was du jetzt beschreibst, braucht keine Windows-Anmeldung und auch kein AD, sondern man bekäme das auf anderem Wege recht einfach hin. Vielleicht ist das aber noch nicht alles, daher bitte, wie Zahni schon sagt, genau das aufschreiben, was wirklich gebraucht wird. Gruß, Nils PS. braucht man heute noch Internet-Rechner in einer Bibliothek? Gerade Studierende können sowas doch bequemer über ihr eigenes Handy machen. Dann fiele die Anforderung vielleicht ganz weg ...

Moin, wie soll denn ein VPN-Client dabei helfen? An solchen Stellen würde ich von Workarounds und Bastellösungen absehen. Gruß, Nils

Moin, Shibboleth ist im Wesentlichen SAML, da geht es um die Anmeldung an Web-Applikationen. Hilft hier nicht. In eurem Fall bräuchtet ihr schon ein AD, wenn die Anmeldung an Windows-Clients einigermaßen sinnvoll vonstatten gehen soll. Bei dem Szenario würde vermutlich ein sehr simpler Import der Anmeldedaten der Studierenden ausreichen, z.B. monatlich, vielleicht auch semesterweise. Dazu würde man von dem Unix-System die Konten z.B. in eine CSV-Datei exportieren (nur die wichtigsten Attribute) und diese dann nutzen, um im AD die Konten anzulegen. Hier scheint es ja nicht um weitergehende Anforderungen zu gehen. Vorab wäre das juristisch zu klären - dürfen die Daten von der Uni an die Bibliothek weitergegeben werden? (Faktisch wäre das auch bei einem "Self-Service" zu klären, denn ihr dürftet nicht einfach so Benutzerdaten speichern, nur weil jemand auf einer Webseite ein Konto anlegt.) Bliebe also das Einrichten eines AD und des Import-/Export-Vorgangs. Für jemanden, der sich auskennt, in ein, zwei Tagen ausreichend sicher machbar. Ohne Kenntnisse aber ein No-Go, sowohl technisch als auch aus Sicht der Sicherheit. Gruß, Nils

Moin, das lässt sich ohne einen näheren Blick nicht beantworten. Allenfalls könnte man spekulieren, aber wozu? Dass es an der Metrik liegt, ist eher unwahrscheinlich, es sei denn, das VPN verwendet denselben IP-Adressbereich wie dein Heimnetzwerk. Die Metrik wird meist missverstanden. Gruß, Nils

Moin, das heißt, dann antwortet auch nix mehr? Das Übliche habt ihr schon gemacht, also mit einer anderen VM probieren und so? Gruß, Nils

Moin, ja, das ist (leider) so. Aber für Berechtigungen sollte man generell nicht mit der Gruppe Domänen-Benutzer arbeiten. Gruß, Nils

Moin, der saubere Weg: Definiere zwei Domänenlokale Gruppen "Organizer-Lesen" und "Organizer-Vollzugriff". Richte für diese Gruppen (und nur für diese) die Berechtigungen ein. Stecke den einen User in die Lesen-Gruppe und alle anderen in die Vollzugriff-Gruppe. Für andere Ansätze müsste man wissen, wie die Applikation auf Leserechte testet. Vielleicht könnte man dann gezielter mit dem "Verweigern" arbeiten - wobei man das üblicherweise vermeiden will. Gruß, Nils

Moin, mal ganz dumm gefragt - es ist nicht einfach ein Tippfehler in der VM-Config? 28 versus 128 liegt da irgendwie so nah. Gruß, Nils

Moin, nächsten Montag bis Mittwoch gibt es ein Community-Event der Superlative. 60 Stunden nonstop, über 250 Sessions rund um die Uhr in bis zu zehn Tracks, über 200 Speaker. Und: kost nix. https://www.m365virtualmarathon.com/ Seit eben gerade ist auch die Agenda online: https://www.m365virtualmarathon.com/schedule.html Wenn man die Seite aus Deutschland aufruft, sind alle Zeiten in MESZ, auch wenn die Angabe unüblich ist. 5:00pm ist also 17:00 Uhr MESZ. Gruß, Nils

Moin, oder deutlicher: nslookup macht hier keinen Fehler, sondern genau das, was es soll. Es ist nämlich kein Tool zur Namensauflösung, sondern zur Recherche auf einem konkreten DNS-Server. Wenn nslookup genau das nachsehen soll, was du angibst, dann hänge einen Punkt hinten an. [Wenn (und warum) nslookup unerwartete Ergebnisse zeigt | faq-o-matic.net] https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/ Gruß, Nils

Moin, nun wäre es noch hilfreich, wenn du angäbest, was denn nicht funktioniert und was stattdessen passiert. Allgemein stolpere ich über die Anführungsstriche in der Zuweisung. Normalerweise schreibt man: SET Var=Wert Gruß, Nils

Moin, ich stimme den anderen zu - der Taskmanager taugt hier nicht als Diagnosewerkzeug. Ohne an dieser Stelle tiefer rein gehen zu können, folgende Spontanhinweise: Dynamic Memory kann man machen - sollte man aber nur tun, wenn man weiß, was man da tut. In diesem Szenario würde ich es weglassen, zumindest wenn es bekannte Performanceprobleme gibt. 12 vCPUs bei 10 physischen Cores ist keine gute Idee. Bleib bei max. 8 pro VM, besser noch drunter, solange es keine echte Analyse gibt, die dir eine höhere Ausstattung in genau diesem Setting nahelegt. Irgendeine Physik muss die virtuellen CPUs ja nun mal versorgen. In vergleichbaren Settings hat sich die (völlig unnötige) CPU-Überbuchung als Performancebremse herausgestellt. Muss hier nicht so sein, kann aber. Edit: Nee, da hatte ich mich verguckt. Dieser Verdacht wird so nicht zutreffen. Trotzdem werden 12 vCPUs mit großer Sicherheit unnötig und damit zu viel sein. Gruß, Nils

Moin, siehste, genau das meine ich. Zwei Arbeitstage sind für eine Skriptlösung schnell weg. Die muss man sich ja nicht nur ausdenken, sondern bei dem, worum es hier geht, muss man sie für vier, acht, zwölf ... oder wie viele Modelle auch immer einzeln entwickeln, anpassen und vor allem testen. Die Aussage war nicht: geht nicht, sondern sie war: möglicherweise unwirtschaftlich. Gruß, Nils PS. wenn euch zwei Arbeitstage für drei Personen so ein Problem bescheren, solltet ihr mal über Prozesse nachdenken. Das ist nicht arrogant gemeint, sondern ernst.

Moin, naja, es ist doch erkennbar, was winmadness meint, oder? Ursprünglich hatte er das sehr eindeutig formuliert. Und da sich der Hinweis an einen Nicht-Fachmann wendet, ist er aus meiner Sicht auch berechtigt. Gruß, Nils

Moin, also ... sooo viel sind 450 Drucker nun auch wieder nicht. Ein wesentlicher Aufwand der Aufgabe scheint mir dann auch noch darin zu liegen, dem jeweiligen Modell die richtigen Informationen zuzuordnen. Wieviel Zeit lässt sich da noch sparen? Sicher einiges, aber auch da sollte man ökonomisch denken. Ich würde mir jetzt also ein Zeitbudget nehmen, in dem ich bei den Herstellern fertige Management-Software finde. Finde ich keine taugliche, dann würde ich keinen Aufwand in Skripting stecken, sondern zwei, drei Leute einweisen, die das in ein paar Stunden manuell erledigt haben. Bei Druckern gibt es ja auch typischerweise kein großes Risiko, wenn sich da einzelne Fehler einschleichen ... Gruß, Nils

Moin, wir haben sowohl "Calendar Pro" als auch "Kanalkalender" hier in Betrieb, aber es gibt auch noch -zig andere. Gruß, Niös

Moin, wenn ihr Teams habt - wäre dann nicht eine der vielen Kalender-Apps für Teams geeignet? Gruß, Nils

Moin, "Als ob" Grüß, Nils

Moin, F*ck, wie man mittlerweile auch zur Primetime in der ARD sagt. Gruß, Nils