2008R264bit

Am 29.7.2022 um 19:27 schrieb daabm:

 

Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel   Ja, das kann gut sein. Konten-Operatoren haben von Anfang an schon diese Berechtigungen.

 

BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen

Ja, hat die 2 Leerzeilen gelöscht. Also Fehler bei objSDUtil.SetInfo.

Ich glaube ich löse das Problem, indem ich die User aus den Konten-Operatoren entferne und über eine neue Gruppe die passenden Berechtigungen vergebe. Dann kann ich das auch in Zukunft anpassen.

Danke für die Tips

 

Danke für die schnellen Antworten.

Reporting reicht leider nicht, ich muss die Rechte der Gruppe entfernen.

dcacls schaue ich mir an.

stürzt dsrevoke bei euch auch ab?

Set objSdUtil = GetObject("LDAP://OU=xxxxxDC=de")
Set objSD = objSdUtil.Get("ntSecurityDescriptor")
Set objDACL = objSD.DiscretionaryACL

For Each objACE in objDACL
   If objACE.Trustee = "Domäne\Konten-Operatoren" Then
       objDACL.RemoveAce objACE
   End If
Next

objSD.DiscretionaryAcl = objDacl
objSDUtil.Put "ntSecurityDescriptor", Array(objSD)
objSDUtil.SetInfo

----------------------------------

wenn ich dieses VBS ausführe erhalte ich immer einen Fehler, auch mit dem Domänenadmin

Hallo,

ich möchte delegierte Rechte (Objektverwaltung zuweisen) im AD wieder entfernen.

Vom Microsoft-Support wurde mir dsrevoke ans Herz gelegt.

Grundsätzlich lässt sich die exe aufrufen, stürzt aber mit dem Parameter report oder remove ab. Wir haben es in drei verschiedenen Domänen getestet: immer Crash

Dsrevoke /Report OU=aaa,DC=yyy,DC=xxx,DC=de Domäne\Konten-Operatoren

Falls wir mit dsrevoke nicht weiterkommen, bräuchte ich ein Tool oder Befehl, mit dem ich von einer OU mit allen UnterOUs und Objekten die Rechte für die Konten-Operatoren entfernen kann.

Danke im Voraus für Eure Unterstützung

Hallo zusammen,

unsere Terminalserverfarm mit Office 2013 ist in Domäne A.

Die User dort nutzen Exchange-Konten (Exchange 2016) im Onlinemodus von Domäne B.

Beide Domänen sind völlig unabhängig voneinander. Alles voll gepatcht und auf dem neuesten CU.

Per GPO ist der Zugriff geregelt und autodiscover konfiguriert. autodiscoverreg.txt

Trotzdem bekommen wir im Ereignisprotokoll der Domänencontroller von Domäne A fehlerhafte Anmeldeereignisse. (ID 4768 Kerberos-Authentifizierungdienst) eventid4768.txt

Diese führen dazu dass Outlook für eine gewisse Zeit (ca 20-30s) einfriert.

Der Client versucht sich mit seiner Mailadresse bzw. UPN von Domäne B an Domäne A anzumelden. Diese Anmeldeversuche sind unregelmäßig, aber so alle halbe Stunde im Schnitt.

Und es wird immer zweimal eine Anmeldung direkt hintereinander versucht.

Hat ein User zum Beispiel 4 Mailkonten eingebunden, so versucht er dann viermal, jeweils doppelt, sich mit den UPNs der jeweiligen Konten anzumelden.

Ich hoffe meine Beschreibung ist allgemein verständlich.

Hat jemand eine Idee woher diese Anmeldeversuche kommen?

Und noch besser, wie ich das abstellen könnte.

vielen Dank im Voraus

Zitat

 

Ok, ich teste das.

Dann wäre es aber eher so, dass wenn ein Gemeinschaftskonto von sagen wir 6 Leuten genutzt wird und jeder 5 Verbindungen hat, dann wären es insgesamt drei zuviel?

Oder sind die Verbindungen in einem Outlook gemeint?

Steht in unserm Exchange 2016 auf 27.

In der Verbindungsübersicht sehe ich aber mehr als 27 Verbindungen.

Du meinst also, dass die Fehlermeldungen davon kommen, dass nicht immer alle gleichzeitig verbunden sein können?

Hallo, niemand hat das gleiche Problem oder kann helfen?

Am 16.5.2017 um 21:49 schrieb don_benno:

 

1. schlechte Performance aufgrund der Tatsache dass die Verschlüsselung auf dem Zielsystem also dem DC durchgeführt, weil dort die Homes liegen

 

2. Zertifikatsprobleme in Bezug auf unterschiedliche Server-Client Versionen (DC= Server 2012, Client Windows 10), unterschiedliche Profilversionen, dadurch kein sharing da DC Profilversion V2 nutzt und Windows V6

 

3. Sichern der Dateien mit Robocopy, ignoriert Dateien deren Verschlüsselung auf dem Zielsystem entfernt wurde, diese werden also einfach nicht übertragen

 

4. Alle gängigen Backup-Tools (Symantec-Backup-Exec etc..) kommen alle samt nicht mit EFS klar

 

5. Beim bearbeiten eines bestehenden Office-Dokumentes, wird durch Office eine neue Datei mit dem gleichen Namen erstellt, wenn ich nun vorher die Datei per EFS an andere Benutzer freigeben, ist dies nach speichern des Dokumentes nicht mehr vorhanden

 

6. Wir würden gerne Samba-Server nutzen, wo eben EFS nicht unterstützt wird

 

7. DFS kann nicht EFS-Dateien nicht umgehen

Hallo Don,

zu Punkt 2. hast Du das Problem gelöst? Bei mir sind die Clients W10 1903 und der Dateiserver mit der zu nutzenden Freigabe 2016.

Der Zugriff oder das Verschlüsseln sind grottenlangsam oder geht garnicht.

Macht der user RDP (testweise) auf den Server funktioniert es reibungslos.

oder andere Frage: nutzt Du jetzt noch EFS oder ein anderes Tool?

Danke an alle, das Thema kann geschlossen werden.

Schöne Feiertage und guten Rutsch.

Hallo zusammen,

in der Ordneransicht in Outlook 2016 im Ordner "Konflikte" unterhalb von "Sychronisierungsprobleme" finden sich in den von mehreren Leuten gemeinsam genutzten Postfächern extrem viele Mails. (zehntausende)

Fast jede Mail findet sich dort mehrfach und zwar ähnlich oft, wie es Nutzer des Postfaches gibt.

Geht man in den Posteingang, so steht über jeder Mail: "Dies ist die aktuellste Version, Sie haben jedoch eine andere Kopie des Elements geändert. Klicken Sie hier, um die anderen Versionen anzuzeigen." Siehe Anhang.

Klickt man dann, so werden mehrere, meiner Meinung nach gleiche Mails angezeigt. Und das entspricht auch in etwa den Mails im Konflikte-Ordner.

Wir haben das wohl schon länger, ist aber nie aufgefallen. (andere Exchange und andere Outlook-Version)

Weiß jemand wie ich diese Sinnlosigkeit abschalten kann und noch besser wie das kommt?

Online Modus wäre natürlich eine Möglichkeit, würde ich aber lieber vermeiden, da wir sehr viele Gemeinschaftspostfächer haben und das die Last auf dem Exchange erhöhen würde.

Danke im Voraus

kannst Du mir jemanden empfehlen? Zur Erstellung der PKI hatte ich mir Fachleute gebucht.

Aber die haben einiges falsch gemacht, was wir im nachhinein glatt ziehen mussten. Von daher bin ich da vorsichtig....

vor 2 Minuten schrieb NilsK:

Moin,

 

dass die alte bzw. frühere PKI ein Problem ist, glaube ich nicht. Starte mal pkiview.msc - was taucht dort auf? Die "frühere" sollte nicht drin sein.

 

Ich bin mit den Details der EFS-Steuerung mit PKI leider nicht vertraut, weil das höchst selten nachgefragt wird. Das heißt nicht, dass es nicht interessant sei, aber ich kann aus Erfahrung nichts beitragen. Ich schau mal ins PKI-Buch, ob ich da was finde.

 

Gruß, Nils

 

PKI View ist alles OK und die alte PKI ist sofort nach Löschung im ADDS verschwunden. Danke für deine Mühe.

Als ich in der alten PKI kurz eine Zertifikatsvorlage freigegeben hatte konnte ich plötzlich Vorlagen in der GPO sehen. Die Namen waren aber alt, also falsch und nicht zu gebrauchen.

Daher habe ich die obsolete PKI gelöscht in der Hoffnung, dass ich dann die aktuellen Vorlagen sehen kann.

War zwar ein Schuss in den Ofen. Aber jetzt ist es schon sauberer.

Ja, aber das Problem ist nicht dass es die ddp ist, sondern dass es entweder an den Berechtigungen der veröffentlichten Vorlagen liegt, oder an etwas was im AD fehlt.

Ich würde ja eine Zertifikatsvorlage mit autoenroll für authUser freigeben. Aber das Zertifikat bekommen dann alle relativ schnell.

Das teste ich vielleicht mal heute Abend, wenn die meisten Rechner heruntergefahren sind.

Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice vor kurzem deinstalliert.

Und natürlich aus dem AD gelöscht. Aber vielleicht ist das die Ursache?

Ob die Zertifikate ausgestellt werden, wenn autoenroll a geschaltet ist hat meiner Meinung nach nichts damit zu tun welche Policy gewählt wurde.

Denn ich kann nichts anderes testen als "Basis-EFS" da sich das nicht ändern lässt.

Ich hatte meine Frage hier gestellt um eine konstruktive Anwort zu erhalten.

Meine Frage: Warum sehe ich meine Vorlagen nicht, obwohl sonst alles mit meiner PKI funktioniert?

Fehlen eventuell Einträge im AD?

vor 15 Stunden schrieb NorbertFe:

Deswegen packt man sowas ja auch nicht in die Default Domain Policy.

Hallo,

die EFS-Vorlage hat für den Dom-Admin, den ich für die Gruppenrichtlinie nutze Autoenroll-Rechte.

Wenn ich das für authUser mache, habe ich ruck-zuck massig Zertifikate ausgestellt. daher kann ich das nicht testen.

Die Einstellung funktioniert aber grundsätzlich: Ich habe das Basis-EFS zur Veröffentlichung ausgestellt und einige User haben es anstelle ihres lokalen Zertifikates bekommen.

Jetzt müsste sich das nur ändern lassen....

deswegen hatte ich die Ur-Vorlage "Basis-EFS" veröffentlicht mit authentifizierte User lesen und registrieren.

Hatte aber nichts genutzt.

Wenn die User händisch ein Zertifikat beantragen, sehen sie auch die passenden Vorlagen.

Danke für die Antwort. Ich habe mehrere Vorlagen veröffentlicht.

Die Zertifikate werden auch seit mehr als einem Jahr automatisch verteilt.

Die PKI tut alles was sie soll und ist in pkiview auch grün.

Nur in der GPO lässt sich keine Vorlage auswählen.

Hallo miteinander,

auf mehreren 2012er Servern ist eine zweistufige PKI implementiert, die auch tut was sie soll.

Jetzt möchte ich EFS aktivieren und dazu in der default Domain Policy unter Computerkonfiguration/ Windows-Einstellungen/ Richtlinien für öffentliche Schlüssel /Eigenschaften von "Verschlüsselndes Dateisystem" unter Reiter "Zertifikate" die EFS-Vorlage für automatische Zertifikatsanforderungen auf meine erstellte Zertifikatsvorlage ändern.

Problem: wenn ich auf "durchsuchen"  klicke erhalte ich den Fehler im Anhang. Rufe ich certtmpl.msc auf erscheinen die Vorlagen.

Wie gesagt, die Vorlagen liegen im AD, die Zertifikate  werden automatisch ausgestellt, nur hier in der GPO kann ich keine Vorlagen auswählen.

Ich habe auch mal testweise die Standardvorlage "Basis-EFS" veröffentlicht. Das brachte aber auch keine Besserung.

Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice deinstalliert.

Aber vielleicht ist das die Ursache?

Vielen dank im Voraus für eure Hilfe

Danke olc, ich werde es testen, aber erst so in einem Monat.

Melde mich dann nochmal.

Dann müsste ich alle 4 DCs klonen, in ein eigenes Netz, die LINUX-Server klonen...

mehr als 10 Maschinen

und einmal hochgestuft gibts kein (einfaches) zurück mehr.

Hallo,

momentan habe ich schon zwei neue 2008R2 DCs konfiguriert, welche die 2 alten 2003er DCs ablösen sollen.

FSMO umgezogen, DNS OK: alles funktioniert.

Mein Restproblem sind ein paar LINUX-Server, deren Samba über die Domäne läuft.

Die Umstellung auf die neuen DCs funktioniert zwar soweit, aber ich würde jetzt gerne die Domänenfunktionsebene hochstufen auf 2008R2.

Muss ich da mit Problemen rechnen, oder hat das Hochstufen mit der Authentifizierung nichts zu tun?

Wenn ich hochgestuft habe, ist es ja zu spät und testen geht schlecht.

Danke im Voraus....:confused:

Hallo und Danke, hat genauso ohne Probleme funktioniert.

Zur Info: unsere Kunden sollen sich zentral an einem 389DS authentifizieren

können und die internen Domänenuser sollen dazu auch in den LDAP, damit alles an einem Platz ist.

Dafür der Test-DC mit Schemagleichheit zu unserer Produktivdomäne.

Danke nochmal für die Antworten.

Danke! Superschnelle Antworten.

das reicht mir schonmal.

Morgen wird das gleich getestet und das Ergebnis mitgeteilt.

Ich hatte auf mehreren Seiten gelesen dass sich die Schemaerweiterung von

Exchange 2007 nicht auf 2008R2 einspielen lässt.

Aber wenns mit 2007 SP3 geht wäre das genau das was ich will.

bis morgen

Hallo,

ich habe eine produktive Domäne mit 2003er DCs auf 2003er Funktionsebene mit Exchange 2007 SP3 Version: 08.03.0137.000

Das Domänenschema hat Version 30.

Diese Domäne soll mit einem LDAP (389 Directory-Server) abgeglichen werden.

Da unsere Domäne demnächst auf 2008R2 laufen soll habe ich eine 2008er Testdomäne erstellt auf 2003 Funktionsebene um die Anbindung an 389 DS zu testen.

Dieses Domänenschema hat Version 47.

Die beiden Schemata sollen nun möglichst gleich werden.

Wie bekomme ich das hin?

1.)Für den 2008R2 Testserver bräuchte ich die Exchange-Schema-Erweiterung.

Ich habe schon gesehen dass ich unter 2008R2 nicht die Schemaerweiterung des Exchange 2007 einspielen kann.

Dazu bräuchte ich wohl noch einen zweiten DC mit 2003?

Oder kann ich die Schemaerweiterung von Exchange 2010 nutzen?

2.) Auf die Produktivdomäne schonmal die Erweiterung von 2008 einspielen.

Geht das, oder muss ich mit Schwierigkeiten rechnen?

Wären dann die beiden Schemata gleich?

Danke für die schnellen Antworten.

Das genügt mir vollkommen.