Dukel

Get-ADUser -Filter '*'

Außerdem scriptet man dort alles und braucht dann auch keine 1-2 Tage sondern eher ein paar Stunden.

Du kannst die Core Nutzung beschränken, wenn du der VM weniger Cores zuweist.

Wieso willst du die Powershell innerhalb der Powershell starten?

Get-WmiObject kennt selbst Credentials und es gibt noch Invoke-command für Befehle auf anderen Systemene oder mit anderen Credentials.

Windows Settings\Security Settings\Local Policies\User Rights Assignments\Deny logon locally

bzw.

Deny logon through Remote Desktop Services

35 minutes ago, StefanWe said:

Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt.

Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO.

Solange die DHCP Server autorisiert sind kann man diese auch starten.

Evtl. war der DHCP Server dann nicht autorisiert.

Dann ist deine Berufserfahrung nicht umfassend genug.

Man kann jederzeit mehrere DHCP Server installieren. Diese dürfen sich nur nicht gegenseitig ärgern.

Vor dem DHCP Failover gab es die Möglichkeit (außer mit Windows Failover) mehrere DHCP Server zu installieren und die IP Adressen zu teilen. D.h. DHCP1 vergibt 1-100 und DHCP2 vergibt 101-200.

Habt ihr kein Monitoring (Icinga, PRTG,...)? Da würde ich dann erstmal da ansetzen und eine integration in das Monitoring erreichen.

Das es gar keine Lokalen Nutzer gibt glaube ich nicht. Evtl. gibt es User ohne ein bekanntes Passwort.

Wie sieht es unter lusrmgr.msc aus?

Ist das für Zuhause oder in einer Firma?

Evtl. wäre der Austausch oder die Erweiterung (als Cache) mit SSDs sinnvoll.

Dann kann man über 10GbE nachdenken.

Wie in jedem SQL Server in den Einstellungen der Datenbank Files.

https://docs.microsoft.com/en-us/sql/t-sql/statements/alter-database-transact-sql-file-and-filegroup-options?view=sql-server-ver15

Einfach beides machen. Gleiche Zeitquelle für AD und ESX und zusätzlich Zeitsync via VMWare Tools abschalten.

Das kann natürlich sein, dass dann CALs benötigt werden.

In dem Fall bindest du den PDC-Emulator an den internen NTP Server, alle Sonstigen Clients und die ESX Hosts.

Alle Windows Clients und Windows Server in der Domäne holen sich von den DCs die Zeit. Das ist der Default, wenn nichts ver-konfiguriert wurde.

Die Zeitsynchronisierung der Windows VMs deaktivierst du im ESX.

4 minutes ago, kaineanung said:

Ja würde das statt mit dem Internet direkt mit dem bereits bestehenden NTP-Server im Netzwerk funktionieren?

Und wie mache ich das? Gibt es da irgendwo eine schrittweise Anleitung?

Ja das geht auch mit einem internen NTP Server, welcher aber nicht nötig ist. Mit den DCs hast du gleich eine Verfügbarkeit des Zeitdienstes.

Siehe Link von Nobbyaushb.

Dann musst du deinem DCs so konfigurieren das einer (der mit der PDC Emulator Rolle) mit dem Internet synchronisiert wird.

Dann können die anderen DCs mit diesem und die Windows Client mit dem DCs synchronieren.

Andere Clients kannst du die DCs als Zeitserver mitgeben. Hier kannst du auch z.B. den Domänennamen angeben statt die DCs einzeln und es antwortet immer einer der DCs.

DC's arbeiten als NTP Server. Daher brauchst du keinen extra NTP Server. Mittels Domänennamen antworten alle DC's auf NTP Anfragen.

16 minutes ago, marka said:

...oder durch einfache Eingabe des Schlüsselwortes "hostname" auf der Kommandozeile.

Den eigenen, ja. Der TO möchte aber Remote Hostnamen.

Dann musst du diese eben einbinden.

Ohne Erfahrung einen Windows Server zu mieten und gleich als AD Controller zu installieren finde ich mutig.

Wenn solch ein Server direkt im Internet steht wird dieser sicher irgendwann erfolgreich angegriffen.

Wieso hast du ein AD daraus gemacht? Was ist dein Ziel? Was soll der Server machen?

Wo ist der Unterschied zwischen einem NAS und einem USB Laufwerk was das verschlüsseln angeht?

Dagegen hilft nur Band oder Cloud, kein Medium, welches so einfach schreibbar / änderbar angeschlossen ist.

Chrome kann man auch per GPO steuern, vorallem en Teil mit den Startup Seiten.

Da braucht man dann kein Script.

Hilft dir der alte Beitrag

nicht?

Neben LDAPS soll auch LDAP mit Channel Binding funktionieren. Das kannst du mal testen.

Wenn die Querys parallelisiert werden können, dann helfen mehr vCPU. Daher kommt es immer auf die Applikationen an.

Aber! Zu viele vCPU können die Maschine oder den ESX Host belasten und sind kontraproduktiv.