testperson

Das _sollte_ so sein _muss_ aber nicht. Allerdings ist das doch jetzt dein Job, den Kunden entsprechend zu beraten und ihm die jeweiligen Lösungen mit Vor- und Nachteilen sowie deiner/n Empfehlung/en näher zu bringen!? In dem Kundenbereich 10-25 Clients wäre ich schon beim 2ten DC...

Lies doch (noch) mal meinen Hinweis zum "Windows Server 2019 Essentials" und dann ggfs. noch die Info darunter von @Ganzjahresgriller.

Und was für schlechte Erfahrungen waren das? Wenn schon ein Netscaler Citrix ADC da ist, ist zufällig noch XenApp / XenDesktop bzw. Citrix Virtual Apps & Desktops "in der Nähe"?

Hi, das sind nicht wirklich Anforderungen. Die Frage hier wäre, mit wieviel Datenverlust kannst du leben und wielange darf das NAS ausfallen? In deinem Fall wärst du vermutlich bei einem RAID10 mit mindestens 4 Festplatten für die Datenhaltung und den Zugriff. Das Backup-Ziel könnte dann ein weiteres RAID1 mit 2 Festplatten sein. Gruß Jan

Hi, wo liegt denn preislich der Unterschied zwischen PC auf "serverfähiger" Hardware und eine "serverfähige" Hardware inkl. Windows Server 2019 Essentials? Wenn es kein Windows / Windows Server sein muss, kann man ja auch mal im "Linux Bereich" schauen. Gruß Jan

Hi, etvl. über den Netscaler RDWeb (mit Pre-Auth) veröffentlichen und dort nur die Apps als Remote App bereitstellen? Gruß Jan

Hi, evtl. Teams? Ansonsten haben wir das seinerzeit an unserer alten Telefonanlage mit ESTOS Pro Call gehabt und mittlerweile nutzen wir Swyx. Ggfs. wäre auch etwas über einen Messanger (XMPP) machbar. Gruß Jan

Hi, das könnte daran liegen, dass Windows 10 (und Windows Server 2016) per Default noch den "classic scheduler" nutzt und ab Windows Server 2019 per Default der "core scheduler" eingesetzt wird: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/manage/manage-hyper-v-scheduler-types Gruß Jan

Mal davon abgesehen, dass ich dafür generell einen eigenen Connector bauen würde, sollter per Default ein Exchange Benutzer am Client Frontend Connector mit seiner eigenen E-Mail-Adresse senden dürfen.

Hi, das ist eigentlich recht eindeutig. Ordner "DOMAIN\Username" einmal die E-Mail-Adresse zu, über die gesendet werden soll. Ansonsten müsstest du dem User an einem neuen Receiver Connector "ms-exch-smtp-accept-any-sender" erlauben. Gruß Jan

Hi, als "Citrix Freund" würde ich hier ggfs. mal über MCS oder PVS und ggfs. App Layering nachdenken. Natürlich darf aber auch über Liquidware Flex Apps oder VMware App Volumes nachgedacht werden. ;) Gruß Jan

Hi, Das wäre nett. Ja die "Exportieren" Auswahl und Export in ein MOF ist mir kurz Fertigstellung auch begegnet und wäre sicherlich die kürzere und sinnvollere Variante. Mein Vorhaben ist einfach nur den ein und anderen WMI Filter vorrätig zu haben. Auch wenn wir derzeit tatsächlich nur den PDC-Filter bräuchten. Das tatsächliche, nahezu abgeschlossene, Vorhaben ist ein Rollout Script (Bereitstellung Server-VMs, Grundkonfig, Installation und Konfiguration AD, Installation und Konfiguration Exchange, Vorbereitung DATEV (und ggfs. Teil-Installation), Installation und Konfiugration Citrix Virtaul Apps & Desktops) bzw. die erweiterte V2 unseres derzeitigen Rollout für neue Kundenumbegunben. Gruß Jan

Hi, ein Dokumenten Management System und/oder eine E-Mail-Archivierungslösung. Gruß Jan

Es ist sicherlich Weibsvolk anwesend, da wird nicht gesteinigit. ;)

Wer die Installation und das Durchführen von "Studien" erlaubt, kommt wieder in den Genuss der Add-Ons: https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047/14 Der Rest muss sich noch gedulden. @4zap Wurde der "Workaraound" irgendwo von Mozilla aufgeführt oder "nur" in den "Medien"? Zumal "xpinstall.signatures.required" nur in Nightly oder Dev Versionen funktioniert.

Hi, falls sich noch jemand wundert: https://twitter.com/mozamo/status/1124484255159971840 bzw. https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047 Gruß Jan

Hi, beim Kopieren von Dateien / Ordnern würde ich eher Scripte anstatt GPP nutzen. Da bist du deutich flexibler. Gruß Jan

Hi, ich bin grade dabei WMI Filter per GPO zu erstellen. Dabei nutze ich größtenteils dieses Script bzw. die relevanten Parts daraus: http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 Nachdem ich die CSV und den Import angepasst habe funktioniert das Script auch bis auf das der Namespace sowie die Abfrage im WMI Filter erstellt wurden. Daraufhin habe ich einen WMI Filter von Hand angelegt und mir die relevanten Parts im ADSI Editor angesehen. Dabei sieht der msWMI-Parm2 folgendermaßen aus <Zahl1>;<Zahl2>;<Zahl3>;<Zahl4>;WQL;<Namespace>;<Query>. Das Script importiert nach meinen Anpassungen lediglich <Namespace>;<Query>. Jetzt die Frage: Gibt es eine Info, wie sich die vorausstehenden Zahlen generieren bzw. was die tun? Erste Tests von mir haben ergeben, dass Zahl1 eigentlich immer 1, Zahl2 immer 3 und Zahl3 immer 10 ist. Die vierte Zahl ändert sich je nach Filter: Win32_ComputerSystem -> Zahl4 53 Win32_OperatingSystem -> Zahl4 57 Win32_OperatingSystemSKU -> Zahl4 244 Der Vollständigkeithalber hier noch der Code mit meinen Anpassungen und eine Beispiel CSV (Wobei mir hier jetzt auffällt ich habe eher die CSV wie den Code angepasst): # http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 $key = Get-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ErrorAction SilentlyContinue if (!$key) { New-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ItemType RegistryKey | Out-Null } $kval = Get-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -ErrorAction SilentlyContinue if (!$kval) { New-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" -PropertyType DWORD | Out-Null } else { Set-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" | Out-Null } $WMIFilters = Import-Csv "C:\install\GPO\DefaultWMIFilters.csv" -Delimiter "," $msWMIAuthor = $($env:USERDOMAIN + "\" + $env:USERNAME) foreach ($WMIFilter in $WMIFilters) { $WMIGUID = [string]"{"+([System.Guid]::NewGuid())+"}" $WMIDN = "CN=" + $WMIGUID + ",CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN $WMICN = $WMIGUID $WMIdistinguishedname = $WMIDN $WMIID = $WMIGUID $now = (Get-Date).ToUniversalTime() $msWMICreationDate = ($now.Year).ToString("0000") + ($now.Month).ToString("00") + ($now.Day).ToString("00") + ($now.Hour).ToString("00") + ($now.Minute).ToString("00") + ($now.Second).ToString("00") + "." + ($now.Millisecond * 1000).ToString("000000") + "-000" $msWMIName = $WMIFilter.Name $msWMIParm1 = $WMIFilter.Description + " " $msWMIParm2 = $WMIFilter.Filter $array = @() $SearchRoot = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $search = New-Object System.DirectoryServices.DirectorySearcher($SearchRoot) $search.Filter = "(objectclass=msWMI-Som)" $results = $search.FindAll() ForEach ($result in $results) { $array += $result.properties["mswmi-name"].item(0) } if ($array -notcontains $msWMIName) { $SOMContainer = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $NewWMIFilter = $SOMContainer.create('msWMI-Som',"CN="+$WMIGUID) $NewWMIFilter.put("msWMI-Name",$msWMIName) $NewWMIFilter.put("msWMI-Parm1",$msWMIParm1) $NewWMIFilter.put("msWMI-Parm2",$msWMIParm2) $NewWMIFilter.put("msWMI-Author",$msWMIAuthor) $NewWMIFilter.put("msWMI-ID",$WMIID) $NewWMIFilter.put("instanceType",4) $NewWMIFilter.put("showInAdvancedViewOnly","TRUE") $NewWMIFilter.put("distinguishedname",$WMIdistinguishedname) $NewWMIFilter.put("msWMI-ChangeDate",$msWMICreationDate) $NewWMIFilter.put("msWMI-CreationDate",$msWMICreationDate) $NewWMIFilter.setinfo() } } ###### CSV ###### Name,Description,Filter PDC Domain Controller,PDC Rolleninhaber,1;3;10;53;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=5; Restliche Domain Contrller,Alle anderen Domain Controller,1;3;10;53;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=4; Alle Domain Controller,Alle Domain Controller,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="2"; Alle Mitgliedsserver,Alle Mitgliedsserver,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="3"; Alle Clients,Alle Client PCs,1;3;10;57;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="1"; Edit: Grade ein anderes Script gefunden (https://gallery.technet.microsoft.com/scriptcenter/f1491111-9f5d-4c83-b436-537eca9e8d94), wo die ersten 3 Zahlen immer fix "1;3;10" sind und die vierte Zahl nur die Länge der Abfrage ist. Das wäre ja zu einfach... Gruß Jan Hier noch das "Teilergebnis" inkl. verknüpfen der GPO mit dem WMI Filter: $DomainDN = (Get-ADDomain).DistinguishedName # http://www.jhouseconsulting.com/2014/06/09/script-to-create-import-and-export-group-policy-wmi-filters-1354 $key = Get-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ErrorAction SilentlyContinue if (!$key) { New-Item HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -ItemType RegistryKey | Out-Null } $kval = Get-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -ErrorAction SilentlyContinue if (!$kval) { New-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" -PropertyType DWORD | Out-Null } else { Set-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value "1" | Out-Null } $WMIFilters = Import-Csv "C:\install\GPO\DefaultWMIFilters.csv" -Delimiter "," $msWMIAuthor = $($env:USERDOMAIN + "\" + $env:USERNAME) $WMIObjects = @() foreach ($WMIFilter in $WMIFilters) { $tempWMIObject = New-Object PSObject $WMIGUID = [string]"{"+([System.Guid]::NewGuid())+"}" $WMIDN = "CN=" + $WMIGUID + ",CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN $WMICN = $WMIGUID $WMIdistinguishedname = $WMIDN $WMIID = $WMIGUID $now = (Get-Date).ToUniversalTime() $msWMICreationDate = ($now.Year).ToString("0000") + ($now.Month).ToString("00") + ($now.Day).ToString("00") + ($now.Hour).ToString("00") + ($now.Minute).ToString("00") + ($now.Second).ToString("00") + "." + ($now.Millisecond * 1000).ToString("000000") + "-000" $msWMIName = $WMIFilter.Name $msWMIParm1 = $WMIFilter.Description + " " $msWMIParm2 = $($WMIFilter.Filter1 + $WMIFilter.Filter2.Split(";")[3].Length + $WMIFilter.Filter2) $array = @() $SearchRoot = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $search = New-Object System.DirectoryServices.DirectorySearcher($SearchRoot) $search.Filter = "(objectclass=msWMI-Som)" $results = $search.FindAll() ForEach ($result in $results) { $array += $result.properties["mswmi-name"].item(0) } if ($array -notcontains $msWMIName) { $SOMContainer = [adsi]("LDAP://CN=SOM,CN=WMIPolicy,CN=System," + $DomainDN) $NewWMIFilter = $SOMContainer.create('msWMI-Som',"CN=" + $WMIGUID) $NewWMIFilter.put("msWMI-Name",$msWMIName) $NewWMIFilter.put("msWMI-Parm1",$msWMIParm1) $NewWMIFilter.put("msWMI-Parm2",$msWMIParm2) $NewWMIFilter.put("msWMI-Author",$msWMIAuthor) $NewWMIFilter.put("msWMI-ID",$WMIID) $NewWMIFilter.put("instanceType",4) $NewWMIFilter.put("showInAdvancedViewOnly","TRUE") $NewWMIFilter.put("distinguishedname",$WMIdistinguishedname) $NewWMIFilter.put("msWMI-ChangeDate",$msWMICreationDate) $NewWMIFilter.put("msWMI-CreationDate",$msWMICreationDate) $NewWMIFilter.setinfo() $tempWMIObject | Add-Member -MemberType NoteProperty -Name Name -Value $msWMIName $tempWMIObject | Add-Member -MemberType NoteProperty -Name CN -Value $WMIGUID } $WMIObjects += $tempWMIObject } Get-ADObject -Identity $(Get-GPO -Name "C_PDC_Zeitserver").Path | Set-ADObject -Add @{gPCWQLFilter=$("[" + $env:USERDNSDOMAIN + ";" + $(($WMIObjects | ? Name -eq "PDC Domain Controller").CN) + ";0]")} Und die CSV: Name,Description,Filter1,Filter2 PDC Domain Controller,PDC Rolleninhaber,1;3;10;,;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=5; Restliche Domain Contrller,Alle anderen Domain Controller,1;3;10;,;WQL;root\CIMv2;Select * from Win32_ComputerSystem where DomainRole=4; Alle Domain Controller,Alle Domain Controller,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="2"; Alle Mitgliedsserver,Alle Mitgliedsserver,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="3"; Alle Clients,Alle Client PCs,1;3;10;,;WQL;root\CIMv2;Select * from Win32_OperatingSystem where ProductType="1";

Hi, evtl. solltest du den Link hinter der URL hier im Board entfernen. Nicht das es nachher noch heißt, dass Maleware von hier verteilt wird. ;) Gruß Jan

In welche Gruppe wird denn die Gruppe "Exchange Trusted Subsystem" gepackt? Wie steht es um diese (lokale) Gruppe auf DCs? Sollte ein DC neben AD-Diensten und DNS noch weitere Rollen übernehmen?

Hi, wenn SRV-DC1 ein Domain Controller sein sollte, würde ich diesen als ungünstigen Zeugenserver ansehen. Gruß Jan

Hi, ggfs. ist es einfacher das per PowerShell zu machen. Da wäre "Resize-Partition" vermutlich einen Blick wert: https://docs.microsoft.com/en-us/powershell/module/storage/resize-partition?view=win10-ps Gruß Jan

Naja, das würde ich beides so generell nicht unterschreiben. Mit "Citrix", ist das wie mit so vielem, einfach drauf los klicken ist immer bl*d.

Hi, CodeTwo hat da auch entsprechendes im Angebot. Gruß Jan

Hi, das steht meistens im Widerspruch zu einander. ;) Mit DATEV SmartCard / mIDentity wäre das z.B. machbar: http://www.datev.de/dnlexom/client/app/index.html#/document/0903434 Evtl. wäre eine Zwei-Faktor-Authentifizierung noch eine Alternative: https://www.rcdevs.com/solutions/windows/ Gruß Jan