testperson

Überraschenderweise gilt das ja jetzt nicht nur im Bereich "GPO" oder "IT". ;)

... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird. Generell würde ich die User so wenig wie möglich einschränken. "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen. "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen. Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option. "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen. Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß. Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden. Gruß Jan

Hi, damit solltest du starten können: https://4sysops.com/archives/use-dcdiag-with-powershell-to-check-domain-controller-health/ Gruß Jan

Hi, bei festen IPs würde ich dennoch auf einen DHCP setzen und dort mit entsprechenden Reservierungen arbeiten. Dann ist dieses Problem keins mehr. ;) Gruß Jan

Früher war halt nicht alles besser. :-P Auch wenn damals™ Freibier noch fünf Mark kostete und Gummistiefel aus Holz waren.. ;) SCNR: Vorheriges RTFM hilft häufig. Wer kann denn auch ahnen, dass sich nach mehr als 10 Jahren in der IT mal was ändert. ;) Danke für die Rückmeldung und viel Erfolg!

Ja, solange du es nicht explizit ausschließt: https://docs.microsoft.com/en-us/deployoffice/teams-install

Hi, warum installierst du einen Broker und machst dann "DNS Round Robin"? Wenn du dich korrekt über den Broker verbindest und auf einen Session Host "gebrokerd" wirst, wirst du vermutlich auch keine Zertifikats-Warnung mehr haben. Option 1) Verteile den RDWebFeed per GPO auf deine Clients und lass die User sich darüber verbinden Option 2) Gehe immer über den WebAccess Option 3) Gehe mit dem Firefox auf den WebAccess und nutze die heruntergeladene RDP Datei Option 4) Erstelle eine RDP Datei mit dem Ziel "Connection Broker" und passe die RDP Datei im Editor an (“use redirection server name:i:1“ / "loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.<Name der Sammlung>") Gruß Jan

Die Auswirkung hast du doch bereits bemerkt? Die Gruppe "Alle" wird dadurch Mitglied der lokalen Administratoren auf den Computer-Objekten im Scope der Richtlinie.

Hi, dann gehst du am besten auf einem Client auf die Suche: gpresult /h gpo.html /f & gpo.html Gruß Jan

Hi, dann ist das meiner Meinung nach "Pfusch am Bau". Hier würde ich in Betracht ziehen, die Shares in einem DFS-N bereitzustellen (und einmal die Arbeit machen / die Anweisung geben die Word-Dokumente anzupassen). AFAIK gibt es auch Tools die sowas übernehmen können. Ob die funktionieren und was die Kosten kann ich dir nicht sagen. :) Gruß Jan

Hi, was hast du denn vor? Warum möchtest du den Server mit einem Alias ansprechen? Gruß Jan

Hi, man _könnte_ so tun, als wäre der alte Exchange ausgefallen und müsste auf dem Neuen recovered werden: https://docs.microsoft.com/en-us/exchange/high-availability/disaster-recovery/recover-exchange-servers?view=exchserver-2019 (Das wäre vermutlich sogar supported.) Ich würde allerdings auch die Postfächer vom alten Server in die Datenbank(en) des Neuen verschieben. Alleine die nicht benötigte Downtime spricht dafür. Gruß Jan

Hi, ohne die Anwendungen zu kennen halte ich das für durchaus oversized. Generell würde ich im Bereich Terminalserver immer zu mehreren kleinen VMs tendieren wie zu so einer "Monster VM". Das "Dilemma" mit den Browsern und dem RAM (und Weiterem) lässt sich beim Edge (oder auch beim Chrome / beim Firefox AFAIK auch) per GPO in den Griff kriegen: https://gpsearch.azurewebsites.net/#15112 Anstatt die User maximal einzuschränken bzw. alles was dich stört auszublenden / zu verbieten würde ich "nur" auf App Locker setzen. Vorgeben würde ich auch nur das wirklich Benötigte. Gruß Jan

SamAccountName = ID (Mitarbeiternummer o.ä.) Man müsste halt wissen, warum da niemand die "Namen" der Benutzer sehen soll.

Hi, warum möchtest du das nicht? Je nachdem müsstest du dich ansonsten noch an anderen Stellen darum kümmern, damit neugierige Blicke ins Leere laufen. Ggfs. wäre es dann einfacher "NAME-DES-USERS" bzw. den kompletten User durch "IDs" zu ersetzen. (Du könntest bspw. mal im Explorer auf "Netzwerk" klicken und dort "Active Directory durchsuchen" wählen oder mit einem beliebigen LDAP-Browser auf die Suche gehen.) Gruß Jan

Hi, wenn du etwas zu dem "Warum ihr mit dem Gedanken spielt?" sagst, kann man dir evtl. noch andere Möglichkeiten mit auf den Weg geben. Ich kann dir jetzt nicht sagen, ob ein G10 / ein neuerer Server (wesentlich) (Energie-) effizienter läuft. Evtl. bist du damit auf die geplante Laufzeit gesehen aber nicht (wesentlich) teurer wie der Gebrauchte. Ebenfalls würde bei mir Support/Garantie auch noch eine wichtige Rolle spielen. Gruß Jan

Noch mal ein wenig OT: Auch wenn es eine Testumgebung ist oder grade weil es eine Testumgebung ist, gewöhne dir "einfach" den/die Built-In-Admin/s und auch den/einen "Domänen-Admin" ab. Mitglieder der Domain-Admins sollten lediglich zur Verwaltung der Domain-Controller genutzt werden.

Das spricht aber doch weder für noch gegen Core / GUI. Heißt der zufällig "Administrator" bzw. genau so wie auch der lokale Administrator des Servers und du bist evtl. gar nicht Manuel Neuer lokal angemeldet?

Hi, losgelöst vom Problem: Warum Server Core? Du merkst ja grade, dass die Konfiguration schon "holprig" ist. Das wird im Troubleshooting durchaus nicht weniger "holprig" mit dem Unterschied, dass beim Troubleshooten einem öfters mal die Zeit im Nacken sitzt. Wirklich (große) Vorteile hast du meiner Meinung nach mit Server Core nicht. Gruß Jan

Was für Disks sind denn da im RAID 1? Vermutlich SATA am On-Board Controller? Findest nur du es zu langsam bzw. wurde der Hersteller / Entwickler mal befragt, ob das evtl. normal ist? Klingt so, als sollte sich das mal ein DBA ansehen. Evtl. kann dir hier jemand anders schon ein paar SQL Tipps geben. Ich bin da jedenfalls raus. Ist das ein Microsoft SQL Express oder Standard oder ein anderweitiger SQL? Ausnahmen für den Virenschutz passen für SQL und die Anwendung dahinter?* Sprichst du hier von Hybernate/Standby oder geht es um das "Aufwecken" nach einem Sperren? Evtl. hilft es hier in den Eigenschaften der NIC die "Energiespar-Haken" zu entfernen. Laut Screenshot solltest du einmal prüfen, ob die verbauten Komponenten nicht alle mit Firmware Updates zumindest in die Nähe des Jahres 2021 gebracht werden können. Ebenfalls lohnt es sich einmal die Energieoptionen im BIOS / im Betriebssystem zu prüfen, ob die auf "Höchstleistung" / "Max Power" stehen. OS und Applikationen sind aktuell gepatched? *) Beim Virenschutz am Server und/oder Client irgendwelche Firewall / Netzwerk Features aktiv? Wird beim Lesen und Schreiben geprüft? Werden Netzwerkzugriffe / Netzlaufwerke geprüft?

Hi, evtl. wäre es einfacher, dass Pferd von vorne aufzuzäumen. ;) Welche Aktivitäten sind "relativ" langsam und wobei äußert sich das wie und wann? Was "macht" der Server denn alles? Was für eine Hardware ist das (CPU / RAM / Festplatten / Controller)? Gruß Jan

Hi, wenn du das jetzt "eh schon anpackst": https://james-rankin.com/articles/reasons-not-to-be-using-network-drives-on-citrix-virtual-apps-and-desktops/ Mit DFS-N könnte man sich das Leben hier und in Zukunft noch leichter machen. :) Gruß Jan

Hi, was hast du denn eigentlich vor? Evtl. gibt es ja andere/bessere Wege, wie der, der dir grade vorschwebt. Gruß Jan

Dann bist du wohl heute den ersten Tag in eurer IT Abteilung und morgen nicht mehr da. Hast ja scheinbar auch vergessen auf die Frage zu antworten.

Hi, je nachdem was "günstig" bedeutet, kannst du den/einen NCP Client nutzen: https://www.ncp-e.com/fileadmin/_NCP/pdf/library/guides/NCP_Entry_Client_AVM_FRITZ_Box_v2.pdf Das sinnvollste dürfte aber sicherlich sein, die FritzBox durch eine/n VPN-fähige/n Firewall/Router zu ersetzen oder zumindest zu ergänzen. Gruß Jan