2008R264bit

Danke für die schnellen Antworten. Reporting reicht leider nicht, ich muss die Rechte der Gruppe entfernen. dcacls schaue ich mir an. stürzt dsrevoke bei euch auch ab? Set objSdUtil = GetObject("LDAP://OU=xxxxxDC=de") Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL For Each objACE in objDACL If objACE.Trustee = "Domäne\Konten-Operatoren" Then objDACL.RemoveAce objACE End If Next objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo ---------------------------------- wenn ich dieses VBS ausführe erhalte ich immer einen Fehler, auch mit dem Domänenadmin

Hallo, ich möchte delegierte Rechte (Objektverwaltung zuweisen) im AD wieder entfernen. Vom Microsoft-Support wurde mir dsrevoke ans Herz gelegt. Grundsätzlich lässt sich die exe aufrufen, stürzt aber mit dem Parameter report oder remove ab. Wir haben es in drei verschiedenen Domänen getestet: immer Crash Dsrevoke /Report OU=aaa,DC=yyy,DC=xxx,DC=de Domäne\Konten-Operatoren Falls wir mit dsrevoke nicht weiterkommen, bräuchte ich ein Tool oder Befehl, mit dem ich von einer OU mit allen UnterOUs und Objekten die Rechte für die Konten-Operatoren entfernen kann. Danke im Voraus für Eure Unterstützung

Hallo zusammen, unsere Terminalserverfarm mit Office 2013 ist in Domäne A. Die User dort nutzen Exchange-Konten (Exchange 2016) im Onlinemodus von Domäne B. Beide Domänen sind völlig unabhängig voneinander. Alles voll gepatcht und auf dem neuesten CU. Per GPO ist der Zugriff geregelt und autodiscover konfiguriert. autodiscoverreg.txt Trotzdem bekommen wir im Ereignisprotokoll der Domänencontroller von Domäne A fehlerhafte Anmeldeereignisse. (ID 4768 Kerberos-Authentifizierungdienst) eventid4768.txt Diese führen dazu dass Outlook für eine gewisse Zeit (ca 20-30s) einfriert. Der Client versucht sich mit seiner Mailadresse bzw. UPN von Domäne B an Domäne A anzumelden. Diese Anmeldeversuche sind unregelmäßig, aber so alle halbe Stunde im Schnitt. Und es wird immer zweimal eine Anmeldung direkt hintereinander versucht. Hat ein User zum Beispiel 4 Mailkonten eingebunden, so versucht er dann viermal, jeweils doppelt, sich mit den UPNs der jeweiligen Konten anzumelden. Ich hoffe meine Beschreibung ist allgemein verständlich. Hat jemand eine Idee woher diese Anmeldeversuche kommen? Und noch besser, wie ich das abstellen könnte. vielen Dank im Voraus

Ok, ich teste das. Dann wäre es aber eher so, dass wenn ein Gemeinschaftskonto von sagen wir 6 Leuten genutzt wird und jeder 5 Verbindungen hat, dann wären es insgesamt drei zuviel? Oder sind die Verbindungen in einem Outlook gemeint?

Steht in unserm Exchange 2016 auf 27. In der Verbindungsübersicht sehe ich aber mehr als 27 Verbindungen. Du meinst also, dass die Fehlermeldungen davon kommen, dass nicht immer alle gleichzeitig verbunden sein können?

Hallo, niemand hat das gleiche Problem oder kann helfen?

Hallo Don, zu Punkt 2. hast Du das Problem gelöst? Bei mir sind die Clients W10 1903 und der Dateiserver mit der zu nutzenden Freigabe 2016. Der Zugriff oder das Verschlüsseln sind grottenlangsam oder geht garnicht. Macht der user RDP (testweise) auf den Server funktioniert es reibungslos. oder andere Frage: nutzt Du jetzt noch EFS oder ein anderes Tool?

Danke an alle, das Thema kann geschlossen werden. Schöne Feiertage und guten Rutsch.

Hallo zusammen, in der Ordneransicht in Outlook 2016 im Ordner "Konflikte" unterhalb von "Sychronisierungsprobleme" finden sich in den von mehreren Leuten gemeinsam genutzten Postfächern extrem viele Mails. (zehntausende) Fast jede Mail findet sich dort mehrfach und zwar ähnlich oft, wie es Nutzer des Postfaches gibt. Geht man in den Posteingang, so steht über jeder Mail: "Dies ist die aktuellste Version, Sie haben jedoch eine andere Kopie des Elements geändert. Klicken Sie hier, um die anderen Versionen anzuzeigen." Siehe Anhang. Klickt man dann, so werden mehrere, meiner Meinung nach gleiche Mails angezeigt. Und das entspricht auch in etwa den Mails im Konflikte-Ordner. Wir haben das wohl schon länger, ist aber nie aufgefallen. (andere Exchange und andere Outlook-Version) Weiß jemand wie ich diese Sinnlosigkeit abschalten kann und noch besser wie das kommt? Online Modus wäre natürlich eine Möglichkeit, würde ich aber lieber vermeiden, da wir sehr viele Gemeinschaftspostfächer haben und das die Last auf dem Exchange erhöhen würde. Danke im Voraus

kannst Du mir jemanden empfehlen? Zur Erstellung der PKI hatte ich mir Fachleute gebucht. Aber die haben einiges falsch gemacht, was wir im nachhinein glatt ziehen mussten. Von daher bin ich da vorsichtig....

PKI View ist alles OK und die alte PKI ist sofort nach Löschung im ADDS verschwunden. Danke für deine Mühe. Als ich in der alten PKI kurz eine Zertifikatsvorlage freigegeben hatte konnte ich plötzlich Vorlagen in der GPO sehen. Die Namen waren aber alt, also falsch und nicht zu gebrauchen. Daher habe ich die obsolete PKI gelöscht in der Hoffnung, dass ich dann die aktuellen Vorlagen sehen kann. War zwar ein Schuss in den Ofen. Aber jetzt ist es schon sauberer.

Ja, aber das Problem ist nicht dass es die ddp ist, sondern dass es entweder an den Berechtigungen der veröffentlichten Vorlagen liegt, oder an etwas was im AD fehlt. Ich würde ja eine Zertifikatsvorlage mit autoenroll für authUser freigeben. Aber das Zertifikat bekommen dann alle relativ schnell. Das teste ich vielleicht mal heute Abend, wenn die meisten Rechner heruntergefahren sind. Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice vor kurzem deinstalliert. Und natürlich aus dem AD gelöscht. Aber vielleicht ist das die Ursache?

Ob die Zertifikate ausgestellt werden, wenn autoenroll a geschaltet ist hat meiner Meinung nach nichts damit zu tun welche Policy gewählt wurde. Denn ich kann nichts anderes testen als "Basis-EFS" da sich das nicht ändern lässt. Ich hatte meine Frage hier gestellt um eine konstruktive Anwort zu erhalten. Meine Frage: Warum sehe ich meine Vorlagen nicht, obwohl sonst alles mit meiner PKI funktioniert? Fehlen eventuell Einträge im AD?

Hallo, die EFS-Vorlage hat für den Dom-Admin, den ich für die Gruppenrichtlinie nutze Autoenroll-Rechte. Wenn ich das für authUser mache, habe ich ruck-zuck massig Zertifikate ausgestellt. daher kann ich das nicht testen. Die Einstellung funktioniert aber grundsätzlich: Ich habe das Basis-EFS zur Veröffentlichung ausgestellt und einige User haben es anstelle ihres lokalen Zertifikates bekommen. Jetzt müsste sich das nur ändern lassen....

deswegen hatte ich die Ur-Vorlage "Basis-EFS" veröffentlicht mit authentifizierte User lesen und registrieren. Hatte aber nichts genutzt. Wenn die User händisch ein Zertifikat beantragen, sehen sie auch die passenden Vorlagen.

Danke für die Antwort. Ich habe mehrere Vorlagen veröffentlicht. Die Zertifikate werden auch seit mehr als einem Jahr automatisch verteilt. Die PKI tut alles was sie soll und ist in pkiview auch grün. Nur in der GPO lässt sich keine Vorlage auswählen.

Hallo miteinander, auf mehreren 2012er Servern ist eine zweistufige PKI implementiert, die auch tut was sie soll. Jetzt möchte ich EFS aktivieren und dazu in der default Domain Policy unter Computerkonfiguration/ Windows-Einstellungen/ Richtlinien für öffentliche Schlüssel /Eigenschaften von "Verschlüsselndes Dateisystem" unter Reiter "Zertifikate" die EFS-Vorlage für automatische Zertifikatsanforderungen auf meine erstellte Zertifikatsvorlage ändern. Problem: wenn ich auf "durchsuchen" klicke erhalte ich den Fehler im Anhang. Rufe ich certtmpl.msc auf erscheinen die Vorlagen. Wie gesagt, die Vorlagen liegen im AD, die Zertifikate werden automatisch ausgestellt, nur hier in der GPO kann ich keine Vorlagen auswählen. Ich habe auch mal testweise die Standardvorlage "Basis-EFS" veröffentlicht. Das brachte aber auch keine Besserung. Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice deinstalliert. Aber vielleicht ist das die Ursache? Vielen dank im Voraus für eure Hilfe

Danke olc, ich werde es testen, aber erst so in einem Monat. Melde mich dann nochmal.

Dann müsste ich alle 4 DCs klonen, in ein eigenes Netz, die LINUX-Server klonen... mehr als 10 Maschinen und einmal hochgestuft gibts kein (einfaches) zurück mehr.

Hallo, momentan habe ich schon zwei neue 2008R2 DCs konfiguriert, welche die 2 alten 2003er DCs ablösen sollen. FSMO umgezogen, DNS OK: alles funktioniert. Mein Restproblem sind ein paar LINUX-Server, deren Samba über die Domäne läuft. Die Umstellung auf die neuen DCs funktioniert zwar soweit, aber ich würde jetzt gerne die Domänenfunktionsebene hochstufen auf 2008R2. Muss ich da mit Problemen rechnen, oder hat das Hochstufen mit der Authentifizierung nichts zu tun? Wenn ich hochgestuft habe, ist es ja zu spät und testen geht schlecht. Danke im Voraus....:confused:

Hallo und Danke, hat genauso ohne Probleme funktioniert. Zur Info: unsere Kunden sollen sich zentral an einem 389DS authentifizieren können und die internen Domänenuser sollen dazu auch in den LDAP, damit alles an einem Platz ist. Dafür der Test-DC mit Schemagleichheit zu unserer Produktivdomäne. Danke nochmal für die Antworten.

Danke! Superschnelle Antworten. das reicht mir schonmal. Morgen wird das gleich getestet und das Ergebnis mitgeteilt. Ich hatte auf mehreren Seiten gelesen dass sich die Schemaerweiterung von Exchange 2007 nicht auf 2008R2 einspielen lässt. Aber wenns mit 2007 SP3 geht wäre das genau das was ich will. bis morgen

Hallo, ich habe eine produktive Domäne mit 2003er DCs auf 2003er Funktionsebene mit Exchange 2007 SP3 Version: 08.03.0137.000 Das Domänenschema hat Version 30. Diese Domäne soll mit einem LDAP (389 Directory-Server) abgeglichen werden. Da unsere Domäne demnächst auf 2008R2 laufen soll habe ich eine 2008er Testdomäne erstellt auf 2003 Funktionsebene um die Anbindung an 389 DS zu testen. Dieses Domänenschema hat Version 47. Die beiden Schemata sollen nun möglichst gleich werden. Wie bekomme ich das hin? 1.)Für den 2008R2 Testserver bräuchte ich die Exchange-Schema-Erweiterung. Ich habe schon gesehen dass ich unter 2008R2 nicht die Schemaerweiterung des Exchange 2007 einspielen kann. Dazu bräuchte ich wohl noch einen zweiten DC mit 2003? Oder kann ich die Schemaerweiterung von Exchange 2010 nutzen? 2.) Auf die Produktivdomäne schonmal die Erweiterung von 2008 einspielen. Geht das, oder muss ich mit Schwierigkeiten rechnen? Wären dann die beiden Schemata gleich?

Danke für die schnellen Antworten. Das genügt mir vollkommen.