Jump to content

Zebbi

Members
  • Content Count

    115
  • Joined

  • Last visited

Everything posted by Zebbi

  1. Stimmt... Also als Lösung eine Gruppenrichtlinie auf eine OU in der nur Clients sind die einem Domänenuser X lokale Adminrechte einräumt, dessen Passwort sich täglich ändert, damit ich auf den Clients einen definierten User für Wartungszwecke hab? Kann man das Cachen der Credentials eigentlich für bestimmte Accounts deaktivieren? Dann wäre das Problem ja behoben....
  2. Klar, da rennst du bei mir offene Türen ein. :) Aber wenn das praktisch schon ein Sicherheitsproblem darstellt willst Du die anderen gar nicht hören. ;) :(
  3. Mag im Enterpriseumfeld durchaus berechtigt sein, aber für den Mittelstand etwas unpraktikabel.
  4. Danke, UAC war das passende Stichwort. Hier die "Lösung", auch wenns mehr nach einem Workarround aussieht, denn ein Domainadmin der keine Adminrechte hat, kann wohl kaum gewollt sein: Quelle: https://community.spiceworks.com/canonical_answer_pages/136578-server-2019-upgrade-domain-administrator-missing-rights Bei mir war diese Einstellung unkonfiguriert. Ist damit auch "behoben".
  5. Ja, die Powershell kann ich als Admin starten: PS C:\Users\Administrator.MeineFirma> whoami /groups GRUPPENINFORMATIONEN -------------------- Gruppenname Typ SID Attribute ==================================================== =============== ============================================= ================================================================================ Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\HelpLibraryUpdaters Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1031 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Centralized Admins Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1025 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe TollerServer119\Acronis Remote Users Alias S-1-5-21-ACRONIS-XXXXXXXXXX-ZZZZZZZZZ-1026 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Distributed COM-Benutzer Alias S-1-5-32-562 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Leistungsprotokollbenutzer Alias S-1-5-32-559 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe VORDEFINIERT\Administratoren Alias S-1-5-32-544 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG Bekannte Gruppe S-1-5-14 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Domänen-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-512 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Richtlinien-Ersteller-Besitzer Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-520 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Organisations-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-519 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\Schema-Admins Gruppe S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-518 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe MeineFirma\TollerServer114 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9753 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Abgelehnte RODC-Kennwortreplikationsgruppe Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-572 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\Server3 $ Acronis Remote Users Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-8224 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\MMTeam_DE_NL_BE Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9988 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe MeineFirma\ESX Admins Alias S-1-5-21-AAAAAAAAA-BBBBBBBBBB-CCCCCCCCC-9817 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Lokale Gruppe Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe Bezeichnung S-1-16-LALA PS C:\Users\Administrator.MeineFirma> Heißt das jetzt ich muss UAC komplett deaktivieren? Ist das so von MS jetzt so gewollt, oder hab ich da irgendwas falsch gemacht? Auf mich macht das Ganze den Eindruck von "Wir stellen alles auf 2019-App um, egal obs schon geht oder nicht." :(
  6. Wir nutzen ausschließlich Terminalserver, da macht DFS bisher keine Probleme, allerdings sind unsere User BISHER auch fest einem Server zugeordnet. Bei uns erfüllt die Umleitung lediglich den Zweck die alten und somit kleinen Serverplatten nicht mit Userschrott zuzumüllen. Für unsere neue TS-Farm sind User-Profile-Disks angedacht, allerdings mit dem Nachteil, dass Doppelanmeldungen dann wohl nicht mehr funktionieren werden (geht auch jetzt durch Outlook-OST-Datei nur eingeschränkt). Bei einem Bekannten führten die Ordnerumleitungen dazu, dass die Userdaten, die sich über so ziehmlich jeden Rechner im Netz verteilten und nun bei der Erstanmeldung an zentrale Stelle verschoben wurden, das Netz komplett verstopfte und der Anmeldeprozess teils mehrere Stunden dauerte... Also immer schön dran Denken, bei bestehenden Usern nur nach und nach umstellen! :)
  7. Hallo, wir fangen gerade mit den ersten 2019er Windowsservern an und sind da über die Rechte gestolpert. Wenn ich mich als Domänenadministrator an einem 2019er Server anmelde, hat der lokal keine Rechte Systemeinstellungen zu ändern, bei 2008R2 ist das kein Problem. Melde ich mich also mit "MeineDomäne\Administrator" an, kann ich z.B. keine Netzwerkeinstellungen öffnen, da passiert garnichts, nichtmal eine Fehlermeldung. Versuche ich die "lokalen Benutzer und Gruppen" zu öffnen, bekomme ich zumindest den Hinweis das meine Rechte dafür nicht ausreichen und ich mich an den Administrator wenden soll. Der lokale Administrator darf das und sieht dann auch, dass in der Gruppe der lokalen Administratoren auch die Gruppe der Domänenadministratoren eingetragen sind. Unser AD läuft noch auf 2003er Stand, ist das der Grund? Anheben kann ich den Stand derzeit noch nicht. Solved: Hier die Lösung des Problems
  8. Genau deswegen frag ich ja, wäre reichlich b***d wenn ich hier ein Wochenende alles durchmessen lasse, zig tausend Euro ausgebe und es anschließend heißt: "Klar, ist ein bekannter bei Bug bei Netgear" oder "Spanningtree mit eurer PoE-Version ist bekannt für inkampatibilitäten". :)
  9. Hallo, ich weiß das ist jetzt SEHR wenig info, aber vielleicht hat ja jemand das schon mal gehabt. Wir haben uns vor einiger Zeit unser komplett flaches Netz mit fünf "S3300-52X-PoE+ ProSAFE 48-Port"-Switchen verschlimmbessert, da wir PoE und VLANs für IP-Telefone nachrüßten mussten. Seit dem Zeitpunkt haben wir Probleme mit unser Hausverkabelung. Am häufigsten äußert sich das Problem dadurch, dass die ThinClients/Telefone plötzlich keine IP vom DHCP beziehen können. Leider tritt das Phänomen sehr sporadisch und an den unterschiedlichsten Wanddosen auf. Praktisch hilft es meißt schon mehrfach den LAN-Stecker aus der Buchse zu ziehen und wieder hineinzustecken. Die Hausverkabelung ist angeblich Cat6 konform, steht zumindest auf den Kabeln, Patchfeldern und Dosen sowie im Übergabeprotokoll, aber mehr als "durchklingeln" wurde da damals wohl nicht gemacht. Einige Strecken haben mittlerweile auch tote Adern, ob das vor den Switchen auch schon der Fall war, weiß ich nicht. Die Ports sind alle untagged im Client-Netz des DHCP, andere VLANs liegen tagged drauf. Spanning Tree ist an, war es vorher aber auch. Ich werde das Gefühl nicht los, das es am Spanning-Tree liegt, aber der sollte ja eigentlich die Ports spätestens nach 1-2 Minuten als "Loopfrei" markieren und alles durchlassen. Hat jemand eine spontane Idee bevor ich mich nach Jahren mal wieder stundenlang mit Wireshark beschäftige?
  10. Super, vielen Dank! Dann war unsere bisherige Exceltabelle doch nicht so steinzeitlich wie gedacht. :)
  11. Danke, damit habt Ihr mir super geholfen! Mir war nicht bewußt das MS zwischen LizenZierung und Aktivierung unterscheidet und hatte mal irgendwo aufgeschnappt das ich mit dem KMS Lizenzen verwalten könne. Ich hab mich die ganze Zeit gefragt wie die das technisch machen. Habt Ihr spontan noch einen Tip wie ich am einfachsten für ein Lizenzaudit vorbereitet bin? Letzendlich werden etwa 35 VMs auf 6 physikalischen Servern laufen, aber auch etwa 300 KMS-Officelizenzen und ca 50 Laptops mit OEM-Lizenzen.
  12. Hallo, ich hab bisher nur MAK-Lizenzen verwendet und will/muss nun Datacenter-Lizenzen nutzen, hab aber ein grundsätzliches Verständnisproblem zum KMS-Server. Laut unserem Softwarehändler ist es "dringend Empfohlen" einen KMS zu verwenden, weil DataCenter angeblich Probleme macht wenns um MAK-Lizenzen geht... ist da was dran? So wie ich das bisher verstanden hab, antwortet der KMS einfach auf alles mit einer passenden Lizenz, ich hab keine Möglichkeit da etwas manuell zu bestätigen, oder? Erstmal muss ich ja min. 25 Clientlizenzen oder 5 Serverlizenezn haben die beim KMS nach Lizenzen fragen, machen das meine bereits MAK-Lizensierten Server auch und wenn ja kann/muss ich das verhindern damit die alten Lizenzen erhalten bleiben? Ich bekomme nun nach und nach neue Hardware und bin noch ordentlich am experimentieren, hab also viele Server im Einsatz die nur ein paar Tage laufen und dann neu installiert werden und dafür reicht mir ja die Testzeit, kann ich verhindern das der KMS mir einfach alle Lizenzen für die Testinstallationen "verbrennt"? Wenn ich eine Windows Server 2019 Datacenterlizenz hab, kann ich ja unendlich viele VMs damit auf einem physikalischem Server aktivieren, woran erkennt der KMS-Server das die VM auf dem lizensierten Server läuft und die "gleiche" Lizenz nimmt?
  13. Hab ihn jetzt einfach nochmal neu installiert. Keine Ahnung was das war, nun läufts! Allerdings hab ich das ähnliche Problem auch unter Windows10, weswegen ich hier mal einfach weitermache. Da äußert es sich dann so, das der Domainadmin für einige lokale Aufgaben (mmc) keine Rechte hat. Die SIDs des loaklen und des Dom-Adms sind unterschiedlich, die Domäne läuft schon seit Ewigkeiten der Fehler scheint mit einem Win10-Update um die Weihnachtszeit zusammen zu hängen, denn "out-of-the-Box" läufts, mit allenUpdates gehts nicht mehr und das reproduzierbar. :( Ich hab dann mal den Tip bekommen das Profil des Domainadmins über das lokale zu kopieren, aber das ist doch totaler Blödsin, oder nicht? Sorry, habs Rückgängig gemacht, war keine Absicht.
  14. Ist der LOKALE Admin, obwohl ich mich definitiv mit der Domäne anmelde. :( Mir nicht ganz; unter Win10 hab ich das auch schon so ähnlich gehabt, daher ja meine Befürchtung das ich Grundsätzlich seit jeher was falsch mache. Allerdings hat er mir unter Win10 per WhoAmI den Domänenadmin angezeigt, aber halt nur loakle Adminrechte eingeräumt.
  15. Hi, die Fehlermeldung mit den Fehlenden Rechten hab ich unter Windows 10, wenn ich neben einem lokalen Administrator mit einen gleichnamigen Domänadmin arbeite, allerdings "erst" seit den Updates um Weihnachten rum. Bei mir ist so auch die mmc meiner 2016 Hyper-V Managmentmachine (Win10) unbrauchbar geworden. Testweise hab ich eine zweite Installation aufgesetzt und es ohne Updates probiert und es lief, nach den Updates wars wieder kaputt. Scheinbar hab ich mit Server 2019 das gleiche Problem
  16. Hallo, ich hab gerade mein ersten 2019er für den Produktivbetrieb einrichten wollen und bin nun in ein wohl grundsätzliches Problem gerannt. Ich hab den Server als lokaler Administrator installiert (IPs & Treiber). Dann hab ich ihn in die Domäne geschoben und wollte mich als Domainadministrator anmelden, der halt auch "Administrator" heißt, daher hab ich es, wie ich es von 2008 kenne, als "MeineDomäne\Administrator" angemeldet, aber ich lande immer wieder im Profil des lokalen Admins und hab somit u.A. kein Zugriff auf bestimmte Bereiche des DFS (so bin ich drüber gestolpert). Unter C:\Users gibt es auch nur "Administrator" und kein "MeineDomäne.Administrator", wie ich es von 2008 kenne. :( Was mach ich falsch und wie beheb ich das (abgesehen davon das ich einen anderen "Administrator-Benutzer" einrichten sollte)?
  17. Toll, hoffe das bleibt so. :) Kann es sein das Dein Backupprogramm die Maschinen in den Hybernate (Energiesparmodus) gefahren hat um das Backup zu machen und die nun beim "Einschalten" nur Aufgeweckt wurden und plötzlich andere CPU-Hardware vorfinden, abstürzen und dann wieder das Hybernate-File vorfinden und es sich deswegen immer wiederholt hat? Der Haken verbirgt dann einfach die "neuen CPU-Erweiterungen" und nach einem Regulärem reboot müsste der Haken egal sein.... Zumindest wäre das jetzt mein leihenhafter Erklärungsansatz, aber ich bin auch noch bei den Grundlagen...
  18. Ganz doofe Frage, aber die Lenovos laufen doch sicherlich mit Xeons, gilt das nicht schon als andere Prozessorversion als der i7? ICh würde testweise mal den Haken bei der VM unter Prozessor/Kompatibilität setzen.
  19. Das hatte ich letztens auch bei einem Testaufbau. Da lags am NIC und da es nur ein Test war, hab ich kurzerhand aufgelößt und die vSwitche den festen NICS zugewiesen, dann lief es nur Zeit zum Troubelshooting hatte ich nicht mehr. :( Ich vermute das es bei mir an der Konfiguration der physikalischen Switche (IBM-Bladecenter) lag.
  20. Hallo, nach Jahren der Uralthardware steht bei uns die große Neuanschaffung an. Geplant sind Pizzakartons auf denen jeweils 2-3 virtuelle Terminalserver unter Server 2016, evtl. 2019 laufen, so das etwa 60 User auf einer Hardwarekiste laufen. Hauptsächlich wird normaler Officebtrieb gemacht. Dazu evtl. ein paar kleine VMs die kaum Last erzeugen und kein RDP nutzen. Auf unseren physikalischen Urlatkisten gabs aber schon ewig Performanceprobleme beim einfachen surfen, an Videos war nicht zu denken. Dies Problem soll nun mit behoben werden. :) Reicht da die "normale" Server-CPU mittlerweile für aus, oder muss ich zwingend eine Teslakarte verbauen und RemoteFX/GPU-Partitioning nutzen, nur damit die User auch mal ein Video schauen können? Mit Lizenzkosten für Clients usw explodieren die Kosten dann ja wieder und eigentlich würde dadurch doch sowieso "nur" 3D beschleunigt, oder nicht? :( Gibts da ggf. eine Sinvollere Lösung die auch in kleine Budgets passt?
  21. Zebbi

    MVA abgekündigt

    Hallo, hast Du schon Erfahrungen sammeln können? Hat für mich den anschein als wären die virtuellen Übungen alle gestrichen worden und nur noch Videos und Text über geblieben. Dann kann ich auch eins der MS-Bücher lesen, da ist zumindest der lerneffekt etwas höher als bei Video schauen. :( Gibts noch eine Möglichkeit an die alten Übungen (70-740 bis 70-743 -MCSA 2016) zu kommen?
  22. Hallo, nach einer kleinen Pause wollte ich mich wieder der Microsoft Virtual Academy widmen und dort die virtuellen Testaufbauten nutzen um mich auf den MCSA vorzubereiten. Nun finde ich aber nur noch Videos, statt selbstmach-Labs und den Hinweis das es eingestellt wird. Hat das Baby nun einen anderen Namen den ich partou nicht finde, oder gibts das jetzt wirklich nicht mehr? Gibts noch einen anderen Weg um an die Übungen aus den MS-Büchern zu kommen? (Da sind teilweise ja Vorarbeiten getroffen die viel Zeitaufwand sparen.)
  23. Danke, das sind durchaus Antworten mit denen ich gut leben kann! Ich hatte nur irgendwie das "Gefühl" ich müsste sowas selbst Dimensionieren können, hab aber schon meine bösen Probleme damit gehabt unsere Ansprüche zusammenzufassen, davon halbwegs realistische Preise für Hardware zu bekommen oder auch nur halbwegs einen Überblick über den Markt zu bekommen mal ganz abgesehen. Mittlerweile haben wir auch einen Termin mit einem Berater von dem ich mir etwas verspreche. Ein vorheriges Angebot von einem Dienstleister mit einer Cloudlösung war exorbitant teuer und an einigen Stellen vermutlich sehr unterdimensioniert. IBM haben wir bisher im Einsatz und unsere Erfahrung mit dem Support sind durchaus durchwachsen (einfaches geht fix, kompliziertes wurde nie gelößt).
  24. Da hier gar niemand antwortet, befürchte ich mal wieder zu oberflächlich gefragt zu haben. :( Ich brauch eine virtuelle Umgebung mit Terminalservern für ca 140 User, hauptsächlich mit Officenutzung. Derzeit ca 3GB-Ram je User (insgesamt ca. 420GB-RAM) und "mittlerer" CPU/IO-Last. Die 2016er-Hyper-V's sollen auf einem zentralen (möglichst redundantem) Storage liegen, das möglichst Ausfallsicher ist. Kann mir irgendjemand eine Einschätzung geben wie viele und welche Server/Storage ich brauche? Gibt's da irgendwelche Tools um sowas zu "messen"?
×
×
  • Create New...