kleiner-romeo

Wieso will man die OS Versionen in OUs aufteilen?

Unterschiedliche Policys, könnte man auch mit WMI Filter machen aber ist halt so gewollt das die in Unterschiedlichen OU´s sind.

Moin,

 

für das mit den "verwaisten" Computern gibt es eine fertige Lösung ohne PowerShell: http://www.joeware.net/freetools/tools/oldcmp/index.htm

 

Die andere Sache mit dem Filter ließe sich über den Schalter -LDAPFilter erledigen. Beispiel aus der Onlinehilfe:

Get-ADComputer -LDAPFilter "(name=*laptop*)" -SearchBase "CN=Computers,DC=Fabrikam,DC=com"

Der LDAP-Filter wäre dann etwas wie (operatingSystem=Windows 7*).

 

Gruß, Nils

Wäre es für den LDAP Filter nicht besser mit der Version zu arbeiten? (operatingSystemVersion=10.0) z.B.

Also so:

Get-ADComputer -LDAPFilter (OperatingSystemVersion=10.0) -SearchBase "OU=Clients,DC=Contoso,DC=com" | Move-ADObject -Targetpath "OU=W10,OU=Clients,DC=Contoso,DC=com" | Export-Csv C:\Temp\ad.csv -NoTypeInformation -Encoding UTF8

Und der der CSV Export das man sieht er hat was gemacht.

Hallo zusammen,

ich bin auf der suche nach einem Powershell Befehl bzw. dem Filter um Computer im AD entsprechend dem Betriebssystem von einer OU in die andere zu schieben. Also z.B. Windows 10 Clients in die OU W10 und Windows 7 Clients in die OU W7

Hier modifiziert ein Aufräum Script was benutzt wird um Computer bei denen sich lange keiner mehr angemeldet hat in eine Aufräum OU zu schieben. Vermutlich kann ich dann den Filter mit enabled weglassen? 

Get-ADComputer -Filter {(enabled -eq $true)-and (???)} -Properties ?? | Select-Object ??? | Export-Csv C:\Temp\ad.csv -NoTypeInformation -Encoding UTF8
Get-ADComputer -Filter {(enabled -eq $true)-and (???)} -SearchBase "DC=Eins,DC=Zwei,DC=de" |
Get-ADComputer -Filter {(enabled -eq $true)} -SearchBase "DC=Eins,DC=Zwei,DC=de" | Move-ADObject -Targetpath "OU=W10,OU=Clients,DC=Eins,DC=Zwei,DC=de"

Hallo,

auch wenn Server 2003 schon so tot ist wie Windows XP gibt es das vereinzelt doch noch und in meinem Fall sogar noch in einer Citrix 4.5 Farm.

Soll zwar beides durch aktuelle Technik ersetzt werden da immer mehr Programme an ihre grenzen stoßen aber bis das Projekt Fertig ist können noch paar Monate ins Land gehen.

So lang bräuchte ich dann aber ein Workaround für mein Problemchen das da lautet:

Die GPO Google Chrome = Default Browser zieht nicht bei allen Usern.

Wie User? Internet Browser ist doch Computerrichtlinie?!

Genau das ist das Problem!

Und warum Chrome?

Weil der IE8 (Maximum bei Win2k3) die Navision Reports nicht sauber ausgibt. "Der Browser ist zu alt!"

Chrome ist zwar auch zu alt aber scheinbar neu genug um die Reports darzustellen.

Hat jemand von euch ne Idee was ich noch machen könnte?

Gruß

Lukas

Super! Funktioniert! Danke!!

Bei meinem zwei Zeiler hat er mich unterbrochen also ich musste die zweite Zeile noch mal mit enter bestätigen.

Ok. Cool.

Hmm aber irgend wie springt er nicht zwischen den Servern.

Wenn ich auf dem DC: dc1.domain1.rzneu.local den Befehl

ADD-ADGroupMember -Server "dc2.domain2.rzstgt.local" -credential $(get-credential) "stgt_0001.g_dept" -members "0001.dl_cifs"

Bekomme ich die Fehler Meldung: cannot find an object with identity: `0001.dl.cifs` under: DC=domain2, DC=rzstgt, DC=local

Aber 0001.dl_cifs ist in der Domain: domain1.rzneu.local

Muss ich den Server auch noch mal eintragen? 

Ahh!

Ich denke ich hab eine Lösung. Man muss erst die Gruppe fetchen, sprich:

$group=get-adgroup "Gruppe-X" -server "dc.domain.rz.local"

Und dann kann ich sie normal hinzufügen:

add-adgroupmember "gruppe-y" -Members $group

Leider kann ich das nicht Pipen oder in eine Zeile bringen. Hat da noch jemand ne Idee?

Get-ADGroupMember -Identity '(DomainA) GRUPPE-X' | Add-ADGroupMember -Identity '(DomainB) GRUPPE-X'

Suchst du ungefähr sowas? Falls ich das richtig verstanden habe, möchtest du die Mitglieder einer Gruppe auch in der anderen Domäne in eine Gruppe packen?

 

Vielleicht liegt´s an mir, aber ich verstehe deine Beschreibung leider nicht...

 

Ja genau! Die frage war wie bringe ich die unterschiedlichen Domains unter? Funktioniert das mit - identity ´(domainA) Gruppe´ ?

Innerhalb der Domain haben wir z.B.

und da brauch ich halt die andere Domain rein. Also Quasi:

Sorry wenn ich mich da nicht so verständlich ausgedrückt hab.

Hallo zusammen,

ich suche eine Möglichkeit mit powershell Globale Gruppen aus Domain A in Domain Local Gruppen in Domain B hinzuzufügen.

So quasi:

ADD-ADGroupMember "domainA.local\Global.GruppeX" -members "domainB.local\Local.GruppeX"

Der Kontext ist eine CIFS Daten Migration mit komplexer Verschachtelung. Z.B. Auf Ordner IT ist die domain local gruppe Schreiben und die domain local gruppe lesen. In der local Gruppe Schreiben ist eine global Gruppe IT-Schreiben und in der sind die User die Zugriff haben. In der Local Lesen ist auch die local Schreiben und die global Lesen.

Und um das ganze noch mal richtig komplex zu machen gibts noch 2 weitere Domains die in die neue Struktur umgezogen werden müssen. Hier haben wir das Konstrukt aus global und local auch erstellt nur zur Identifizierung noch dom1 und dom2 davor gehängt.

In der dom3 (zukünftige Haupt Domain) Domain Local IT-Schreiben sind 3 Gruppen dom1-global.It-schreiben, dom2 global.it-schrieben und dom3-global.it-schreiben. Und das hinzufügen von dom1 und dom2 soll per script erfolgen da wir mehrere Gruppen haben.

Unser Windows 7  tut es. Du  suchst an der falschen Stelle.

Wie gesagt: Du musst die passenden Root-Zertifikate installiert haben:

 

https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate

 

Siehe meine 1. Antwort.

Wie anfangs gesagt es gibt Windows 7 Clients da geht es und welche da gehts nicht.

Und die Chain scheint ok zu sein:

Ich habe mir mal ein Skript geschrieben, um auf Rechnern SHA1 Zertifikate zu finden, bzw. ein Skript von Microsoft etwas erweitert.

https://gallery.technet.microsoft.com/SHA1-Certificate-Signature-22c94da9

 

Du kannst die main.ps1 einfach starten, dann exportiert er alle Zertifikate des Clients und gibt die wichtigen Daten (z.b. Signature Algorithm) in einer Textdatei aus.

 

Vielleicht kannst du es brauchen

 

blub

Ich kann da script leider nicht ausführen. Und ich weis auch nicht wie mir das erkennen von SHA1 Zertifikaten bei dem Problem helfen soll. Es geht ja drum das Windows 7 das SHA256 erkennt.

Das ist eher nicht Dein Problem. SHA256 funktioniert mit Windows 7.

Fehlerbeschreibung: http://support.citrix.com/article/CTX101990

 

Prüfe, ob die Root-CAs aktuell sind. Wenn es nicht per GPO abgeschaltet ist, wird nicht normalerweise automatisch aktualisiert, wenn man eine SSL-Seite im Internet aufruft.

Auch in der Root CA hab ich das Telesec Zertifikat. Auf einem Test Client von Hand hinzugefügt. Will immer noch nicht. Da der Client aber schon ne weile offline in der ecke stand sind nicht alle Windows Updates drauf. Während ich einen anderen Client bis zum "ich will jetzt aber Windows 10" geupdatet hab, da gehts.

Von daher hab ich halt Windows update im Verdacht.

Na ja. Die neue OU hat ja keine Linked GPO´s nur die Vererbten.

Ebene 1 Domain

Ebene 2 Abteilung

Ebene 3 Neu

Wenn ich die OU auf Ebene 3 erstelle und die Vererbung abbreche ist sogar die Default Domain Policy weg. 

Hallo zusammen,

vielleicht kennt sich ja hier jemand gut mit Gruppen Richtlinien Vererbung aus.

Ich hab auf einer OU 23 GPO´s sitzen würde jetzt aber gerne eine rausnehmen die 22 anderen sollen aber erhalten bleiben. Wenn ich jetzt noch eine OU eine ebene Tiefer erstelle und da dann die Vererbung abbreche sind alle weg ich will aber nur die eine nicht. 

Gibts das nicht so wie beim AD das ich sag behalte die Vererbten aber unterbreche von hier an?

Ich mein 23 sind noch überschaubar, ich könnte ja auch die 22 die ich trotzdem will von Hand einhängen. Aber wenn ich jetzt 200 GPO´s hätte wär das schon nicht mehr so lustig.

Vielen Dank für die Hilfe schon mal!

Einein Schwenk vom /25 auf /24 machst du am besten so:

Gateway/Firewall auf /24

Server auf /24

Drucker auf /24

Clients im DHCP auf /24 und in den hinteren Bereich ausrollen.

 

Sollte am wenigsten Probleme bereiten.

Exact so haben wir es auch gemacht und bis auf einen Client der, warum auch immer, eine Feste IP hatte ist auch alles sauber gelaufen.

Es gibt dazu ja auch (leider) vorgaben von der Global IT. An einem anderen Standort haben wir vom /24 auf /16 aufgebohrt aber auch gleichzeitig andere range. Im Prinzip nach dem selben Schema. Gatway -> Server -> Drucker ->Clients. Hat zwar etwas geholpert, ist aber im großen und ganzen auch gut gelaufen.

Hallo,

wir haben bei uns grade ein Problem/ Diskussion zum Thema Subnetting. Leider hab ich im Netz nicht viel dazu finden können. Vielleicht könnt ihr ja helfen.

Problem:

Wir haben ein /25 Subnet (255.255.255.128) was mal früher so gewollt war weil ein anderer Standort jenseits der x.x.x.125 existiert hat. Jetzt gibts diesen Standort nicht mehr aber der Standort mit der /25 Maske ist so gewachsen das die Adressen ausgehen.

Lösungen:

Quick and Dirty soll erstmal das Subnetz aufgebrochen werden zu einem /24 (255.255.255.0). Mittelfristig kommt dann ein B Class Netz.

Frage:

Wenn die /24 Maske schon auf dem Router existiert und der DC schon im /24 Subnetz ist der DHCP Scope aber noch die /25 Subnetz maske hat. Was passiert wenn ich ein Netzwerkgerät Client, Server oder Drucker im Bereich jenseits der x.x.x.125 adressiere?

Einschränkungen:

Ich hab keine Dom Admin Rights (muss bei der Global IT Anfragen) und hab kein Zugriff auf den Router (ebenfalls Global IT).

Hallole,

also ich hab da mal ne Frage. Alles was ich von KMS gelesen habe bezieht sich auf die Aktivierung von Clients. Ich kann aber auch meine Server (2k8 R2) über einen KMS aktivieren lassen?!

Was passiert aber wenn der KMS Host, aus was für gründen auch immer ausfällt? Hab ich die 90 Tage Free und wenn ich bis in der Zeit keinen neuen Host ab sind die Maschinen nicht mehr aktiviert. Oder wie?

Gruß

Romeo

Diese Produkte sind in der Regel sehr teuer und begleiten einen auch längere Zeit - daher sollte man hier alle Aspekte in Betracht ziehen, die für die Infrastruktur relevant sind.

Das ist Richtig aber wenn der Chef kein Geld ausgeben will,...

Seiner Ansicht langt es wenn von einem fertig konfigurierten Recher ein Image zieht und das irgend wo auf einer USB-Platte oder NAS Parkt im falle das man doch mal ein PC wieder herstellen muss. Klar wär ein Permanentes Backup cool aber das ist Teuer.

Bei den Windows Images (also MS) hab ich festgestellt das die ziemlich groß sind nahezu 1 zu 1 von dem was man sichert.

Die Acronis Workstation hat mich jetzt auch nicht zwingend überzeugt, besonderst der Fakt das die Sache PC lizenziert ist find ich doof.

Symantec hab ich bisher noch nicht so getestet, nur halt die Server version und die läuft recht zuverlässig eigentlich.

Hallo,

welche Erfahrung habt ihr mit Client Backup, insbesondere der Image Erstellung mit der Microsoft Windows eigenen Backup Lösung? Bzw. den Vergleich zu Acronis oder Symantec? Letztere bieten ja seit neustem auch Backup Lösung für Workstations an.

Ich persönlich hab jetzt noch nicht soviel mit der Microsoft Lösung gearbeitet, lediglich beim MCITP Training mal bisschen mit rum gespielt. Aber so wirklich überzeugend fand ich das nicht.

Mit Acronis hab ich eigentlich ganz gute Erfahrungen gemacht wobei einige Rechner Modelle insbesondere die neuste Generation an Dell Desktops nicht ganz mit klar kommen sprich es wird keine Festplatte erkannt oder er bootet gar nicht von DVD oder so Scherze.

Symantecs BackupExec kenn ich halt nur als Server Lösung für Backups aber laut news letter gibt es in der neusten Version 2012 auch eine Möglichkeit Desktops und Laptops zu sichern. Hat das schon mal wer getestet?

So grad die Kernpunkte wie Geschwindigkeit des Backups/Recovery Möglichkeit des Baremetal restore, Netzwerk Verwaltung interessieren mich.

Viele Grüße

Romeo

Hallo zusammen,

vielleicht kennt das einer von euch und weis sogar Abhilfe.

Bei einem User verstellt sich das Netzlaufwerk von allein und zwar auf die nächst höhere Ebene.

Sprich von: \\Server1\Privat\User1

nach: \\Server1\Privat

Als Ergebnis hat er ken Zugriff, was ja auch logisch ist da dem User ja nur sein Verzeichnis auf Privat freigegeben ist. Ich mein ich hab im eine batch Datei geschrieben die sein Laufwerk wieder mappt, aber zuerst muss er ja die Falsche Verknüpfung trennen. Sehr Komisch so vor allem weil das Laufwerk im AD hinterlegt ist, als Home Folder.

OS Infrastruktur (wobei ich nicht glaub das das damit zu tun hat):

Client: WinXP

DC: Win2k3

Share: Win2k

Gruß

Romeo

Wie jetzt? In einem anderen Thread hab ich mal gelessen ich sollte NTLM v2 aktivieren wenn es zu Problemen mit W2K kommt. Und jetzt heist es deaktivieren? :confused:

Hallole,

vielleicht kann mir jemand von euch noch helfen.

Und zwar hab ich das Problem das ein Benutzer auf eine Netzwerkfreigabe nur Lese rechte hat obwohl ich ihm Ändern gegeben hab.

Also sowohl als Recht (Freigabe) als auch als Berechtigung hat der Benutzer "ändern" aber wenn er sich mit dem Server verbindet kann er die Inhalte nur Lesen aber nicht Speichern oder eine neue Datei erstellen.

Bei dem Kollegen neben an funktioniert alles.

So und um das ganze noch nen eck interesanter zu machen kommt jetzt ein WAN und ein "Gewachsene Infrastruktur" dazu.

Der Server der die Freigabe hat steht in Stuttgart und der Benutzer sitzt in Osnabrück. An beiden Standorten sind DCs die über WAN Komunizieren. Der Server in Stuttgart läuft noch mit Windows 2000 der Client in Osnabrück hat schon Windows 7.

Hat irgend wer noch ne Ahnung?

Viele Grüße

Romeo

Na ja, das neue Transcript sieht ja ganz nett aus. Das auf dem Zertifikat steht von wann es ist find ich auch noch irgend wie ok. Aber extra Nummer für ist m.m. irgend wie sinnlos.

Das mit dem Zusenden in Papierform ist eh abzocke schlecht hin! Für den Preis, 12 Dollar oder so, erwarte ich wenigstens Hochglanzpapier und nicht so popliges dickes Kopierpapier.

Kann man Windows 7 von 32bit auf 64bit updaten? Wie?

Per Neuinstallation! Anderst ist nicht!

Sorry bin am Freitag nimmer dazu gekommen.

Nein ich kann auf kein Postfach Stellvertreter geben.

Ich würde gern über Stellvertretung gehen.

Exchange 2003 hat CALs, in denen Outlook 2003 enthalten ist.

Jap, aber wenn man 2007 haben will braucht man ja ne neue Lizenz. ;)

Fragt mich jetzt aber bloß nicht warum nicht gleich 2010 ich bin erst neu im Unternehmen, aber hat vermutlich auch was mit Lizenzen zu tun.