NilsK

Moin, Spricht etwas dagegen, die CA ordentlich komplett neu zu machen? Geht oft schneller, als etwas Altes zu reparieren. Gruß, Nils

Moin, diese Frage können wir nicht beantworten. Die Gegebenheiten in eurem Unternehmen kennen wir ja schließlich nicht. Vielleicht aber noch ein Hinweis dazu: Ein LAPS-Admin ist nicht identifizierbar. Das ist in einigen Situationen ein Kriterium. Gruß, Nils

Mom, Du musst zuerst die ganze CA-Kette auf SHA-256 umstellen. Und dann musst du das Zertifikat korrekt ausstellen, sodass der Name drinsteht, der tatsächlich von Client verwendet wird. Gruß, Nils

Moin, "von KISS lernen, heißt siegen lernen!" (Arnim Teutoburg-Weiß) Gruß, Nils ... aber wir schweifen ab ...

Moin, und genau das sehe ich nicht als Grund an. In der IT wird so viel gemacht, nur weil es technisch "geht" ... und wenn man es dann doch mal braucht, gibt es oft lange Gesichter, weil es dann eben in Wirklichkeit doch nicht geht wie gedacht. Und in diesem Fall sind sogar Nachteile im laufenden Betrieb zu erwarten (von der unnütz aufgewendeten Energie mal abgesehen). Gruß, Nils

Moin, wozu das Ganze? VM-Replikation ist ja nicht "kostenlos", sondern erzeugt im Gegenteil einiges an Last - und je nach Applikation auch an Risiken. Das stellt man nicht einfach mal so ein, nur weil man eine Maschine übrig hat. Ist ein "Downgrade" von VMs überhaupt möglich? Als ich das letzte Mal damit zu tun hatte, ging das gar nicht. Und mit den Win-7- und Win-10-Maschinen wirst du in dem Szenario Lizenzverstöße begehen. Also eine ganze Menge an Nachteilen bzw. Einschränkungen, für die ich zumindest aus den bisherigen Beschreibungen keine Vorteile finde, die das aufwiegen könnten. Gruß, Nils

Moin, für Details bin ich der falsche, ich wollte nur das Prinzip aufzeigen. Was ich meine: Wenn Unternehmen A und B zusammengehören (Tochterunternehmen, gemeinsame Holding oder was immer), dann können sie gemeinsam die Lizenzen eines der Unternehmen nutzen. Sind es getrennte Unternehmen, dann darf das eine Unternehmen nicht die Lizenzen des anderen nutzen. Gruß, Nils

Moin, wenn du so sparsam mit Informationen bist, vermute ich: niemand. Gruß, Nils

Moin, hm, das hab ich hier schon mal falsch im Kopf gehabt, oder? Kommt mir grad bekannt vor, dass du mich drauf hinweist. Also @tdizzle es gibt in der Konfig ein Häkchen, mit dem man das anschalten muss. Gruß, Nils

Moin, Lizenzen dürfen nur für das eigene und für verbundene Unternehmen verwendet werden (üblicherweise definiert als min. 50% Eigentum). Das Szenario, das du beschreibst, klingt eher, als würde Unternehmen A als Dienstleister für das separate Unternehmen B auftreten. Das erfordert SPLA-Lizenzierung. Gruß, Nils

Moin, musst du die Leases denn wieder zurück übertragen? In dein meisten Szenarien ist das völlig unnötig. Adresskonflikte sind unwahrscheinlich, weil der Windows-DHCP-Server standardmäßig vorher prüft, ob eine Adresse noch frei ist. Gruß, Nils

Moin, aha. Dann also mal von vorne: Das sind Gruppen aus dem lokalen AD? Oder was für welche? Die bisherigen Skriptbeispiele verbinden die Drucker aber im lokalen Netz über die hergebrachten Methoden. Das hat mit Intune nichts zu tun. Wie und warum soll Intune da nach deiner Vorstellung eine Rolle spielen? Gruß, Nils

Moin, klar, dafür gibt es das Access Token, das noch dazu erheblich genauer ist: whoami /groups Aber noch sinnvoller wäre, die eigentliche Aufgabe zu beschreiben und gezielt nach einer Lösung dafür zu suchen. Mir scheint es gerade, als würdest du das Rad neu erfinden, weil du in den Nachbarort willst ... Gruß, Nils

Moin, die Frage ist sehr generisch. Am Ende beschreibst du genau das, wofür SPLA-Lizenzen da sind. Wer das administriert, ist für die Lizenzierung ausgesprochen egal. Was ist denn jetzt deine Frage? Gruß, Nils

Moin, Das PS-Skript aus dem anderen Thread ist bereits die vollständige Lösung. Es ist nicht auf das VBS-Skript angewiesen, es handelt sich dort zweimal um dieselbe Funktion, nur in verschiedenen Sprachen. Das PS-Skript ist allerdings völlig veraltet. Wie die Kollegen schon sagen, wäre es ein Leichtes, so ein Skript neu zu schreiben. Das wird hier aber niemand für dich tun. Wir beantworten dir aber gern Fragen auf dem Weg dorthin. Gruß, Nils

Moin, über Senden An sollte sich da was machen lassen. Gruß, Nils

Moin, ... Abgründe ... Warum postet man den Screenshot von jemand anderem und gibt ihn als den eigenen aus? Also, ich meine, wir können uns auch selbst im Weg rumstehen, aber ich bevorzugte es, dies nicht zu tun, es bleiben zu lassen. Gruß, Nils

Moin, die Metrik wird meist missverstanden und tut deshalb in aller Regel nicht das, was man von ihr (fälschlich) erwartet. Sprich: Die wird hier sehr wahrscheinlich nicht helfen. Gruß, Nils

Moin, der Screenshot oben deutet zumindest genau darauf hin ... Domäne mit ".local", Server mit ".de" - rein optisch verdächtig ... Gruß, Nils

Moin, Das haben wir hier öfter. Wenn wir nur die Hand auflegen, gehen die Server wieder. Dafür sind wir ja da. Gruß, Nils PS. Schön, dass es jetzt geht. Danke für die Rückmeldung.

Moin, Das Log ist sehr umfangreich. Mit dem Schalter /q kannst du dcdiag nur die Fehler ausgeben lassen. Mit neu installiert meinst du, dass du das ganze Betriebssystem neu installiert hast? Wenn ja: bist du dir sicher, dass das Installationsmedium in Ordnung ist? Ist irgendwas installiert, das den Server stören könnte? Gruß, Nils

Moin, du hast doch den fertigen Code schon. Warum probierst du das nicht einfach aus? Du solltest ein Batch übrigens nicht mit "exit" beenden, weil das den ganzen CMD-Prozess beendet. Das kann zu schwer auffindbaren Fehlern führen. Besser: GOTO :eof [Goto - Jump to label - Windows CMD - SS64.com] https://ss64.com/nt/goto.html Gruß, Nils

Moin, ich verstehe den Ansatz, möchte aber aus Erfahrung darauf hinweisen, dass solche zunächst simplen Szenarien sich oft schnell ausweiten und man sich dann mit einem "simpel gebastelten" Abgleich in der Sackgasse befindet. Schon allein die Frage, wie mit Änderungen an bestehenden Objekten umzugehen ist, kann sich zu einer "echten Angelegenheit" ausweiten. Mit dem Identity Management in so einem Szenario habe ich mich noch nicht näher befassen müssen, und es sieht mir aus, als habe Microsoft dafür tatsächlich keine echte Lösung vorrätig. Das einzige wäre MIM, aber das dürfte um Größenordnungen zu "fett" sein. So bliebe also zunächst wohl nur der naive Ansatz, das Verzeichnis über das API auszulesen und mit irgendeiner Logik zu erkennen, welche Objekte repliziert werden müssen. "Irgendeine Logik" sage ich extra, weil sich genau da der Aufwand und der konkrete Bedarf verstecken können. Gruß, Nils

Moin, das kommt auf das konkrete Vorhaben an. Möchte man z.B. die Webseite zur Domain beim Hoster lassen und nur die Mails per M365 machen, dann ist es hilfreich, wenn der Hoster weiß, wie das geht. Ist kein Hexenwerk, aber wenn man die einfach fragen kann und die machen es ... ist's halt praktisch. Ich bezog mich da vor allem auf Schritt 1. Gruß, Nils

Moin, indem du zwei separate Schritte planst: Umstellen der Mailzustellung und der Domain in M365 Umziehen der Mailbox-Inhalte aus den alten IMAP-Mailboxen in die M365-Mailboxen Für den ersten Schritt gibt es Anleitungen bei Microsoft, die viele typische Szenarien abdecken. Gute Hoster können dabei auch unterstützen, es lohnt sich also vielleicht, den alten Provider danach zu fragen. Gruß, Nils