Dukel

Es macht es nicht besser, wenn andere es auch tun. Azure AD ist etwas anderes, das ist darauf angelegt aus dem Internet erreichbar zu sein. Ein OnPrem AD gehört ins eigene Netz. Wenn man dies via VPN auf einen Provider erweitert ist ok, aber nicht ungesichert ins Internet.

Das kann dir nur deine Firma geben. Wir können die Policy deiner Firma nicht nennen.

Es gibt noch die Möglichkeit des neu-packens. Hier wird der Diff zwischen vor und nach der Installation gemessen. Da kommt dann heraus, welche Dateien und welche Registry Einträge gesetzt werden. Würde die anderen Möglichkeiten davor aber präferieren.

Kann man sich evtl. irgendwo einen Server leihen / mieten? Gibt es einen Performanten PC, den man als Interims Server nutzen kann? Dann würde ich das mit einem Interims Server machen. Sprich die neue Umgebung auf dieser Maschine aufsetzen. Daten migrieren. Den eigentlichen Server neu installieren und dann die VM's umziehen (kopieren) oder eine weitere Migration durchführen.

Jetzt kannst du dich im Debugging versuchen. Geh dein Script Zeilenweise durch und schaue, was in jeder Variable steht.

Ich hoffe auf dem Strato Server läuft kein DC und als VM's die anderen Server? Wieso muss die Schulungsumgebung bei Strato laufen und nicht on Prem?

Jemand konfiguriert private PC's ganze speziell, damit diese in der Firma genutzt werden?

V2P (Sprich das OS der VM auf den Pysikalischen Rechner) oder V2V (Sprich VMWare auf Server nach VMWare auf PC)? Ich bin kein Freund davon sondern würde eher sauber neu installieren. Was ist denn der Aufwand der Installation und Konfiuration der Software? Kann man die Konfiguration sichern und wiederherstellen?

Ein Ticketsystem.

Wenn du Authentifiziert senden magst, dein Connector aber nur Anonym zu lässt, kann das nicht gehen.

Man muss immer unterscheiden: Empfänger intern -> Kein Problem (wenn nichts verstellt wurde) Empfänger extern -> Hier gibt es noch eine unterscheidung: Per Authentifizierung senden -> Kein Problem (wenn nichts verstellt wurde) Kann nur Anonym senden -> Hier benötigt man einen Relaying Receive Connector und grenzt das auf die Systeme ein, die Mails verschicken müssen

Hier gibt es einen Anhaltspunkt vom Bundesamt für Informationstechnologie: https://www.yumpu.com/de/document/view/20554818/gestaltung-von-energieeffizienten-serverraumen-bit-bundde Auf Seite 15 Klasse B: EDIT: Auf Seite 18 gibt es eine Beschreibung der Größe -> pro Rack 2,4 qm

Oder wie am Anfang gesagt. Ein IDM. EDIT: Hier das ganze als Demo: C:\Temp\test.txt: user;gruppen user1;gruppe1,gruppe2,gruppe3 user2;gruppe2,gruppe3 user3;gruppe1,gruppe4 Und das passende Script dazu: $users = Get-Content C:\Temp\test.txt|ConvertFrom-Csv -Delimiter ';' foreach($user in $users){ foreach($group in $user.gruppen -split ','){ "Add $($user.user) in $group" } }

Wenn man das wirklich mit einem Script umsetzen möchte, dann würde ich die Gruppen in einem Array verwursteln: user;gruppen user;gruppe1,gruppe2,gruppe3

Ein IDM (Identity Management) System.

"Gescheite" Installer erstellen die Firewall Freischaltungen bei dem Setup. Außerdem, nochmal: Wenn du das Programm immer im gleichen Pfad (Ohne Version) installierst, hast du das Problem ja nicht.

Wie wäre es mit der Freischaltung des Ports und nicht des Programms? Wie wäre es "manuell" das Programm immer im selben Ordner installieren?

Hier gibt's nur eines zu sagen: Hä? Kannst du das einmal aufmalen? Wenn du unterschiedliche Netze hast und diese sich "sehen" sollen, dann brauchst du einen Router (nein, kein Internet-Nat-Gateway).

Ich stelle mir ein System wie folgt vor: Kiosk PC (es ist immer ein Kiosk User angemeldet) Internet über einen Proxy, welcher sich via Kerberos Authentifiziert (sprich die Benutzer geben Ihre ID und Passwort ein). Dieser sollte aber ein Timeout haben (wie bei WLan Vouchern, die eine gewisse Zeit gültig sind) und beim beenden des Browsers soll auch die Authentifizirung ungültig werden.

Eine Möglichkeit wäre ein Kiosk Modus und beim Internet Zugriff wird über das vohandene System Authentifiziert.

Es kommt darauf an, was dieser Kerberos Server ist. Ist das ein Samba (4)? Ist das nur Kerberos? Kerberos ist für sich nur ein Auth. Dienst. Dahinter braucht es eine (zentrale) Benutzerdatenbank.

Wer ist denn für das Identity Management bei euch zuständig? Ihr wollt kein Self-Service für ein AD Account! Es gibt hier verschiedene Möglichkeiten: - Unix System nutzen. Hier muss geprüft werden, ob dieses evtl. angepasst werden muss oder dies auf Windows Seite aus geschehen kann. - Unix System mit einem AD Koppeln. Ich meine mit Shibboleth ist sowas auch möglich. - Unabhängiges AD aufbauen. Hier möchte man aber kein Self-Service, sondern z.B. über einen HR Prozess oder ein IDM die Informationen der Benutzer, so das diese (automatisiert) angelegt werden können. Auf jeden Fall solltet Ihr mit den zuständigen sprechen.

Was für eine ID denn? Was für eine eMail denn? Was meinst du, ist in Kerberos gespeichert? Kannst du etwas über die Infrastruktur erzählen?

Statt einem Raid wäre evtl. Storage Spaces (direct) eine alternative.

Das ist übrigens ein super Beispiel, warum man immer alle Infos schreiben sollte. Eigentlich geht es darum die Datenbank klein zu halten und nicht die Postfächer.