Jump to content

Zebbi

Members
  • Content Count

    115
  • Joined

  • Last visited

Community Reputation

11 Neutral

About Zebbi

  • Rank
    Newbie

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Stimmt... Also als Lösung eine Gruppenrichtlinie auf eine OU in der nur Clients sind die einem Domänenuser X lokale Adminrechte einräumt, dessen Passwort sich täglich ändert, damit ich auf den Clients einen definierten User für Wartungszwecke hab? Kann man das Cachen der Credentials eigentlich für bestimmte Accounts deaktivieren? Dann wäre das Problem ja behoben....
  2. Klar, da rennst du bei mir offene Türen ein. :) Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :(
  3. Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel.
  4. Danke, UAC war das passende Stichwort. Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein: Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights Bei mir war diese Einstellung unkonfiguriert. Ist damit auch "behoben".
  5. Ja, die Powershell kann ich als Admin starten: PS C:\Users\Administrator.MeineFirma> whoami /groups GRUPPENINFORMATIONEN -------------------- Gruppenname Typ SID Attribute ==================================================== =============== ============================================= ================================================================================ Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\HelpLibraryUpdaters Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1031 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Centralized Admins Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1025 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Remote Users Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1026 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Distributed COM-Benutzer Alias S-1-5-32-562 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Leistungsprotokollbenutzer Alias S-1-5-32-559 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Administratoren Alias S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG Bekannte Gruppe S-1-5-14 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Domänen-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Richtlinien-Ersteller-Besitzer Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Organisations-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Schema-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\TollerServer114 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9753 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Abgelehnte RODC-Kennwortreplikationsgruppe Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Server3 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-8224 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\MMTeam_DE_NL_BE Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9988 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\ESX Admins Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9817 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung S-1-16-LALA PS C:\Users\Administrator.MeineFirma> Heißt das jetzt ich muss UAC komplett deaktivieren? Ist das so von MS jetzt so gewollt, oder hab ich da irgendwas falsch gemacht? Auf mich macht das Ganze den Eindruck von "Wir stellen alles auf 2019-App um, egal obs schon geht oder nicht." :(
  6. Wir nutzen ausschließlich Terminalserver, da macht DFS bisher keine Probleme, allerdings sind unsere User BISHER auch fest einem Server zugeordnet. Bei uns erfüllt die Umleitung lediglich den Zweck die alten und somit kleinen Serverplatten nicht mit Userschrott zuzumüllen. Für unsere neue TS-Farm sind User-Profile-Disks angedacht, allerdings mit dem Nachteil, dass Doppelanmeldungen dann wohl nicht mehr funktionieren werden (geht auch jetzt durch Outlook-OST-Datei nur eingeschränkt). Bei einem Bekannten führten die Ordnerumleitungen dazu, dass die Userdaten, die sich über so ziehmlich jeden Rechner im Netz verteilten und nun bei der Erstanmeldung an zentrale Stelle verschoben wurden, das Netz komplett verstopfte und der Anmeldeprozess teils mehrere Stunden dauerte... Also immer schön dran Denken, bei bestehenden Usern nur nach und nach umstellen! :)
  7. Hallo, wir fangen gerade mit den ersten 2019er Windowsservern an und sind da über die Rechte gestolpert. Wenn ich mich als Domänenadministrator an einem 2019er Server anmelde, hat der lokal keine Rechte Systemeinstellungen zu ändern, bei 2008R2 ist das kein Problem. Melde ich mich also mit "MeineDomäne\Administrator" an, kann ich z.B. keine Netzwerkeinstellungen öffnen, da passiert garnichts, nichtmal eine Fehlermeldung. Versuche ich die "lokalen Benutzer und Gruppen" zu öffnen, bekomme ich zumindest den Hinweis das meine Rechte dafür nicht ausreichen und ich mich an den Administrator wenden soll. Der lokale Administrator darf das und sieht dann auch, dass in der Gruppe der lokalen Administratoren auch die Gruppe der Domänenadministratoren eingetragen sind. Unser AD läuft noch auf 2003er Stand, ist das der Grund? Anheben kann ich den Stand derzeit noch nicht. Solved: Hier die Lösung des Problems
  8. Genau deswegen frag ich ja, wäre reichlich b***d wenn ich hier ein Wochenende alles durchmessen lasse, zig tausend Euro ausgebe und es anschließend heißt: "Klar, ist ein bekannter bei Bug bei Netgear" oder "Spanningtree mit eurer PoE-Version ist bekannt für inkampatibilitäten". :)
  9. Hallo, ich weiß das ist jetzt SEHR wenig info, aber vielleicht hat ja jemand das schon mal gehabt. Wir haben uns vor einiger Zeit unser komplett flaches Netz mit fünf "S3300-52X-PoE+ ProSAFE 48-Port"-Switchen verschlimmbessert, da wir PoE und VLANs für IP-Telefone nachrüßten mussten. Seit dem Zeitpunkt haben wir Probleme mit unser Hausverkabelung. Am häufigsten äußert sich das Problem dadurch, dass die ThinClients/Telefone plötzlich keine IP vom DHCP beziehen können. Leider tritt das Phänomen sehr sporadisch und an den unterschiedlichsten Wanddosen auf. Praktisch hilft es meißt schon mehrfach den LAN-Stecker aus der Buchse zu ziehen und wieder hineinzustecken. Die Hausverkabelung ist angeblich Cat6 konform, steht zumindest auf den Kabeln, Patchfeldern und Dosen sowie im Übergabeprotokoll, aber mehr als "durchklingeln" wurde da damals wohl nicht gemacht. Einige Strecken haben mittlerweile auch tote Adern, ob das vor den Switchen auch schon der Fall war, weiß ich nicht. Die Ports sind alle untagged im Client-Netz des DHCP, andere VLANs liegen tagged drauf. Spanning Tree ist an, war es vorher aber auch. Ich werde das Gefühl nicht los, das es am Spanning-Tree liegt, aber der sollte ja eigentlich die Ports spätestens nach 1-2 Minuten als "Loopfrei" markieren und alles durchlassen. Hat jemand eine spontane Idee bevor ich mich nach Jahren mal wieder stundenlang mit Wireshark beschäftige?
  10. Super, vielen Dank! Dann war unsere bisherige Exceltabelle doch nicht so steinzeitlich wie gedacht. :)
  11. Danke, damit habt Ihr mir super geholfen! Mir war nicht bewußt das MS zwischen LizenZierung und Aktivierung unterscheidet und hatte mal irgendwo aufgeschnappt das ich mit dem KMS Lizenzen verwalten könne. Ich hab mich die ganze Zeit gefragt wie die das technisch machen. Habt Ihr spontan noch einen Tip wie ich am einfachsten für ein Lizenzaudit vorbereitet bin? Letzendlich werden etwa 35 VMs auf 6 physikalischen Servern laufen, aber auch etwa 300 KMS-Officelizenzen und ca 50 Laptops mit OEM-Lizenzen.
  12. Hallo, ich hab bisher nur MAK-Lizenzen verwendet und will/muss nun Datacenter-Lizenzen nutzen, hab aber ein grundsätzliches Verständnisproblem zum KMS-Server. Laut unserem Softwarehändler ist es "dringend Empfohlen" einen KMS zu verwenden, weil DataCenter angeblich Probleme macht wenns um MAK-Lizenzen geht... ist da was dran? So wie ich das bisher verstanden hab, antwortet der KMS einfach auf alles mit einer passenden Lizenz, ich hab keine Möglichkeit da etwas manuell zu bestätigen, oder? Erstmal muss ich ja min. 25 Clientlizenzen oder 5 Serverlizenezn haben die beim KMS nach Lizenzen fragen, machen das meine bereits MAK-Lizensierten Server auch und wenn ja kann/muss ich das verhindern damit die alten Lizenzen erhalten bleiben? Ich bekomme nun nach und nach neue Hardware und bin noch ordentlich am experimentieren, hab also viele Server im Einsatz die nur ein paar Tage laufen und dann neu installiert werden und dafür reicht mir ja die Testzeit, kann ich verhindern das der KMS mir einfach alle Lizenzen für die Testinstallationen "verbrennt"? Wenn ich eine Windows Server 2019 Datacenterlizenz hab, kann ich ja unendlich viele VMs damit auf einem physikalischem Server aktivieren, woran erkennt der KMS-Server das die VM auf dem lizensierten Server läuft und die "gleiche" Lizenz nimmt?
  13. Hab ihn jetzt einfach nochmal neu installiert. Keine Ahnung was das war, nun läufts! Allerdings hab ich das ähnliche Problem auch unter Windows10, weswegen ich hier mal einfach weitermache. Da äußert es sich dann so, das der Domainadmin für einige lokale Aufgaben (mmc) keine Rechte hat. Die SIDs des loaklen und des Dom-Adms sind unterschiedlich, die Domäne läuft schon seit Ewigkeiten der Fehler scheint mit einem Win10-Update um die Weihnachtszeit zusammen zu hängen, denn "out-of-the-Box" läufts, mit allenUpdates gehts nicht mehr und das reproduzierbar. :( Ich hab dann mal den Tip bekommen das Profil des Domainadmins über das lokale zu kopieren, aber das ist doch totaler Blödsin, oder nicht? Sorry, habs Rückgängig gemacht, war keine Absicht.
  14. Ist der LOKALE Admin, obwohl ich mich definitiv mit der Domäne anmelde. :( Mir nicht ganz; unter Win10 hab ich das auch schon so ähnlich gehabt, daher ja meine Befürchtung das ich Grundsätzlich seit jeher was falsch mache. Allerdings hat er mir unter Win10 per WhoAmI den Domänenadmin angezeigt, aber halt nur loakle Adminrechte eingeräumt.
×
×
  • Create New...