Dukel

Schau dir mal die Schleifen an und das auslesen des AD. https://docs.microsoft.com/en-us/powershell/module/addsadministration/get-adcomputer?view=win10-ps https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/foreach-object?view=powershell-6 Zur WMI Abfrage. Wie hast du das in die Variable geschrieben?

Jeweils die Hilfe der Programme aufrufen. Ich mache das meist andersrum. Wenn ich ein Problem habe schaue ich welches Tool ich dafür verwende. Ich muss nicht wissen, was es alles bei Windows schon gibt.

Außerdem sollten die Benutzerdaten nicht ins Profil sondern höchstens (am besten eh direkt auf den Server oder eine entsprechende Applikation) in die Eigenen Dateien, die man per Ordnerumleitung auf den Server umleiten kann.

dir c:\Windows\System32\*.exe

Warum ist die SLA futsch, wenn du dich auf dem Gerät einloggst?

Wieso muss das Profil auf dem Server gespeichert werden? Was ist so wichtig an diesem?

Bei meinem Beispiel braucht man das Array auch nur, wenn man die Dupletten entfernen möchte. Wenn man dies ignorieren kann oder im Nachhinein machen kann, kann man die Adressen direkt in der Schleife ausgeben / in eine Datei schreiben.

Der TO sollte sich erstmal melden, ob die vielen Tipps ihm geholfen haben. Wenn das ganze statt zehn Stunden jetzt 30 min braucht und Ihm das reicht ist ja alles in Ordnung. Wenn das ganze in einer Minute fertig sein soll braucht man sicher eh eine andere Infrastruktur.

Wieso das nicht? Dann nimm die fehlenden Standorte in die Domäne auf.

Nutze doch GPP. Entweder eine GPO Pro Standort erstellen oder mittels der Zielgruppenaddresierung.

Das Einzige was sein kann, dass Cisco Spezifische Funktionen nicht mit anderen Geräten funktionieren. Normales Switching, VLans und andere Features werden funktionieren, LACP, QOS und ähnliches wird ggf. Probleme machen.

Der AG kann definieren, vor welchen Bedrohungen der Rechner geschützt werden soll. Zugriff aufs interne Netz, Diebstahl, ... Aus diesen Anforderungen ergeben sich die Maßnahmen (Kensington Lock, Verschlüsslung, eigenes VLan).

Klar können sich die Domänenadmins immer benötigte Rechte verschaffen. Diesen (wie allen Admins) muss man vertrauen können. Man kann aber den Default ändern (Dom-Admins aus Admin Gruppe der Server entfernen und / oder das Anmelden verweigern) damit nicht aus versehen oder durch Gewohnheit sich mit einen Dom-Admin auf einem Server oder Client eingeloggt wird.

Außer dass dadurch diese Updates auch heruntergeladen werden und Platz brauchen, obwohl nicht alle benötigt werden.

Für die Zugriffsrechte brauchst du Azure RMS. Dort kann man das einschränken. Muss es Excel sein oder kann es z.B. eine Webanwendung sein?

Nochmal: Soll das wirklich gleichzeitig (!) an zwei Server gehen oder willst du Redundanz um einen Serverausfall abzusichern? Welches Protokoll wird gesprochen / soll weitergeleitet werdenn? HTTP(s)?

Wieso kommt vom Hersteller kein Support? Der muss doch wissen, welche Querys durchgeführt werden und ggf. langsam sein können. Ohne Herstellersupport kann es Schwierig werden. Hast du mal den SQL Profiler angeschaut?

Soll das wirklich gleichzeitig sein oder abwechselnd / im Fehlerfall?

Ich würde mich zusätzlich an den Hersteller wenden, dass er die Applikation als Dienst umbaut.

Das wird aktuell zu sehr OT. Ob man per Dameware, RDP oder sonst wie administriert ändert nichts an Zonenkonzept und Adminkonzept.

Wie administriert ihr diese dann?

Habe eben nachgeschaut. Das ist korrekt. Durch die Users Gruppe dürfen sich Domain User an Servern anmelden. Hier geht es aber um das Lokale anmelden per Bildschirm/Tastatur bzw. VmWare /Hyper-V Konsole. Auf beides sollte kein User Zugriff haben. Außerdem hat der Benutzer auch nicht mehr Rechte auf einem Server oder in einer Applikation, nur weil er sich lokal einloggen darf. Du kannst es entfernen, sollte aber nicht so kritisch sein. Wichtig! Nicht nur das Lokal anmelden, sondern auch per RDP, sollte beidem ganzen Thema betrachtet werden.

Meines Wissens ist der Default, dass sich nur Administratoren auf Servern einloggen dürfen. Wenn das bei dir anders ist, ist das selbst gemacht und sollte weg. Wenn man das Zonenkonzept durchzieht hat man für jede Zone einen Terminalserver (iX Artikel lesen, den ich gepostet habe. Dort sollte etwas wegen Credential Guard stehen, was auf den Jump Servern aktiviert sein sollte!). D.h. ein Client Jump Server, auf den sich Client Admins einloggen dürfen und Zugriff auf die Clients haben, einen Server Jump Server, auf den sich Server Admin User einloggen dürfen und Zugriff auf Server besteht und einen AD Jump Server.

Privat oder geschäftlich? Schon an AVM gewand wegen den Problemen?

Dot.Net Provider wird es für jede mögliche DB geben. Auch für Oracle oder Postgres. Wie immer. Anforderungen an die DB klären und danach entscheiden. Evtl. wäre eine Embedded DB zu überlegen.