2008R264bit

Danke für die schnellen Antworten. Reporting reicht leider nicht, ich muss die Rechte der Gruppe entfernen. dcacls schaue ich mir an. stürzt dsrevoke bei euch auch ab? Set objSdUtil = GetObject("LDAP://OU=xxxxxDC=de") Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL For Each objACE in objDACL If objACE.Trustee = "Domäne\Konten-Operatoren" Then objDACL.RemoveAce objACE End If Next objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo ---------------------------------- wenn ich dieses VBS ausführe erhalte ich immer einen Fehler, auch mit dem Domänenadmin

Hallo, ich möchte delegierte Rechte (Objektverwaltung zuweisen) im AD wieder entfernen. Vom Microsoft-Support wurde mir dsrevoke ans Herz gelegt. Grundsätzlich lässt sich die exe aufrufen, stürzt aber mit dem Parameter report oder remove ab. Wir haben es in drei verschiedenen Domänen getestet: immer Crash Dsrevoke /Report OU=aaa,DC=yyy,DC=xxx,DC=de Domäne\Konten-Operatoren Falls wir mit dsrevoke nicht weiterkommen, bräuchte ich ein Tool oder Befehl, mit dem ich von einer OU mit allen UnterOUs und Objekten die Rechte für die Konten-Operatoren entfernen kann. Danke im Voraus für Eure Unterstützung

Hallo zusammen, unsere Terminalserverfarm mit Office 2013 ist in Domäne A. Die User dort nutzen Exchange-Konten (Exchange 2016) im Onlinemodus von Domäne B. Beide Domänen sind völlig unabhängig voneinander. Alles voll gepatcht und auf dem neuesten CU. Per GPO ist der Zugriff geregelt und autodiscover konfiguriert. autodiscoverreg.txt Trotzdem bekommen wir im Ereignisprotokoll der Domänencontroller von Domäne A fehlerhafte Anmeldeereignisse. (ID 4768 Kerberos-Authentifizierungdienst) eventid4768.txt Diese führen dazu dass Outlook für eine gewisse Zeit (ca 20-30s) einfriert. Der Client versucht sich mit seiner Mailadresse bzw. UPN von Domäne B an Domäne A anzumelden. Diese Anmeldeversuche sind unregelmäßig, aber so alle halbe Stunde im Schnitt. Und es wird immer zweimal eine Anmeldung direkt hintereinander versucht. Hat ein User zum Beispiel 4 Mailkonten eingebunden, so versucht er dann viermal, jeweils doppelt, sich mit den UPNs der jeweiligen Konten anzumelden. Ich hoffe meine Beschreibung ist allgemein verständlich. Hat jemand eine Idee woher diese Anmeldeversuche kommen? Und noch besser, wie ich das abstellen könnte. vielen Dank im Voraus

Ok, ich teste das. Dann wäre es aber eher so, dass wenn ein Gemeinschaftskonto von sagen wir 6 Leuten genutzt wird und jeder 5 Verbindungen hat, dann wären es insgesamt drei zuviel? Oder sind die Verbindungen in einem Outlook gemeint?

Steht in unserm Exchange 2016 auf 27. In der Verbindungsübersicht sehe ich aber mehr als 27 Verbindungen. Du meinst also, dass die Fehlermeldungen davon kommen, dass nicht immer alle gleichzeitig verbunden sein können?

Hallo, niemand hat das gleiche Problem oder kann helfen?

Hallo Don, zu Punkt 2. hast Du das Problem gelöst? Bei mir sind die Clients W10 1903 und der Dateiserver mit der zu nutzenden Freigabe 2016. Der Zugriff oder das Verschlüsseln sind grottenlangsam oder geht garnicht. Macht der user RDP (testweise) auf den Server funktioniert es reibungslos. oder andere Frage: nutzt Du jetzt noch EFS oder ein anderes Tool?

Danke an alle, das Thema kann geschlossen werden. Schöne Feiertage und guten Rutsch.

Hallo zusammen, in der Ordneransicht in Outlook 2016 im Ordner "Konflikte" unterhalb von "Sychronisierungsprobleme" finden sich in den von mehreren Leuten gemeinsam genutzten Postfächern extrem viele Mails. (zehntausende) Fast jede Mail findet sich dort mehrfach und zwar ähnlich oft, wie es Nutzer des Postfaches gibt. Geht man in den Posteingang, so steht über jeder Mail: "Dies ist die aktuellste Version, Sie haben jedoch eine andere Kopie des Elements geändert. Klicken Sie hier, um die anderen Versionen anzuzeigen." Siehe Anhang. Klickt man dann, so werden mehrere, meiner Meinung nach gleiche Mails angezeigt. Und das entspricht auch in etwa den Mails im Konflikte-Ordner. Wir haben das wohl schon länger, ist aber nie aufgefallen. (andere Exchange und andere Outlook-Version) Weiß jemand wie ich diese Sinnlosigkeit abschalten kann und noch besser wie das kommt? Online Modus wäre natürlich eine Möglichkeit, würde ich aber lieber vermeiden, da wir sehr viele Gemeinschaftspostfächer haben und das die Last auf dem Exchange erhöhen würde. Danke im Voraus

kannst Du mir jemanden empfehlen? Zur Erstellung der PKI hatte ich mir Fachleute gebucht. Aber die haben einiges falsch gemacht, was wir im nachhinein glatt ziehen mussten. Von daher bin ich da vorsichtig....

PKI View ist alles OK und die alte PKI ist sofort nach Löschung im ADDS verschwunden. Danke für deine Mühe. Als ich in der alten PKI kurz eine Zertifikatsvorlage freigegeben hatte konnte ich plötzlich Vorlagen in der GPO sehen. Die Namen waren aber alt, also falsch und nicht zu gebrauchen. Daher habe ich die obsolete PKI gelöscht in der Hoffnung, dass ich dann die aktuellen Vorlagen sehen kann. War zwar ein Schuss in den Ofen. Aber jetzt ist es schon sauberer.

Ja, aber das Problem ist nicht dass es die ddp ist, sondern dass es entweder an den Berechtigungen der veröffentlichten Vorlagen liegt, oder an etwas was im AD fehlt. Ich würde ja eine Zertifikatsvorlage mit autoenroll für authUser freigeben. Aber das Zertifikat bekommen dann alle relativ schnell. Das teste ich vielleicht mal heute Abend, wenn die meisten Rechner heruntergefahren sind. Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice vor kurzem deinstalliert. Und natürlich aus dem AD gelöscht. Aber vielleicht ist das die Ursache?

Ob die Zertifikate ausgestellt werden, wenn autoenroll a geschaltet ist hat meiner Meinung nach nichts damit zu tun welche Policy gewählt wurde. Denn ich kann nichts anderes testen als "Basis-EFS" da sich das nicht ändern lässt. Ich hatte meine Frage hier gestellt um eine konstruktive Anwort zu erhalten. Meine Frage: Warum sehe ich meine Vorlagen nicht, obwohl sonst alles mit meiner PKI funktioniert? Fehlen eventuell Einträge im AD?

Hallo, die EFS-Vorlage hat für den Dom-Admin, den ich für die Gruppenrichtlinie nutze Autoenroll-Rechte. Wenn ich das für authUser mache, habe ich ruck-zuck massig Zertifikate ausgestellt. daher kann ich das nicht testen. Die Einstellung funktioniert aber grundsätzlich: Ich habe das Basis-EFS zur Veröffentlichung ausgestellt und einige User haben es anstelle ihres lokalen Zertifikates bekommen. Jetzt müsste sich das nur ändern lassen....