ChrisRa

Es funktioniert alles soweit. LAPS läuft auch schon. (Wenn ich den User manuell anlege) Ich muss nun allerdings auf allen Rechnern einen lokalen Benutzer anlegen, auf dem ich LAPS anwende (also einen lokalen Admin, Richtlinie: LAPS - Name of administrator account to manage). Ich möchte ungern an jedem Rechner händisch den User anlegen.

Ja, das ist schon klar. Ich habe allerdings bisher gar keine lokalen Konten. Um LAPS einsetzen zu können, brauche ich an allen Rechnern ein lokales Konto, um auf diesem dann LAPS anwenden zu können. (LAPS - Name of administrator account to manage) Um um die Erstellung dieses Kontos geht es mir hier. :-)

Ja, habe ich auch schon gedacht. Dann müsste ich aber dafür sorgen, dass alle Rechner an sind. Oder als Startskript?

Hallo und guten Morgen zusammen, ich möchte gerne LAPS implementieren. Der RID500 ist bei uns deaktiviert. Ich würde gerne auf allen Rechnern einen lokalen Benutzer hinzufügen, an dem ich LAPS anwenden kann. Funktioniert die Komponente in den GPPs noch? Bei einem Test hat es nicht funktioniert. Gibt es andere Alternativen? Lokale Adminrechte kann ich ja letztendlich über die eingeschränkten Gruppen erteilen. Grüße und einen schönen Tag!

Was spricht denn dagegen, den Lizenzserver mit auf dem RDS-Server laufen zu lassen? Für den 2012er bräuchtet ihr definitiv neue CALs.

Welcher Lizenzserver? Für die RDS?

Ist doch auch nicht böse gemeint. Man sollte nur nicht versuchen, irgendwelche Mechanismen mit Gewalt auszuhebeln, weil man es als Schönheitsfehler betrachtet.

Ups. Lass es doch einfach drin, wenn es keine technischen Schwierigkeiten macht.

Warum sollte das "2. Problem" ein Problem sein? Man sollte IPv6 nicht deaktivieren. Erst recht nicht über skurrile Registry-Einträge.

Oder du bestückst die Clients parallel schon mit dem neuen Root-CA Zertifikat und stellst dann nach und nach die internen Webserver um. Wenn du die Sperrlisten der alten CA offline nimmst, kriegen die Clients verständlicherweise Zertifikatswarnungen. Das ist definitiv nicht zu empfehlen.

Was meinst du mit Clients? Switche o.ä.? Die werden natürlich meckern, wenn die Sperrlisten etc. der "alten" CA nicht mehr existieren. Um genaueres zu sagen, haben wir leider zu wenig Informationen deiner Infrastruktur.

Ich wage mich zu erinnern, dass ich die ganze Geschichte über die Registry verteilt habe. So wie du es versuchst, hatte ich es auch gemacht. Das war aber auch extrem unzuverlässig und hat auch nur manchmal funktioniert. Untersuche mal "Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" im Stamm "Current User" mithilfe von Procmon.

Du könntest in den Nebenstellen auch Fileserver aufstellen. Dann sparst du dir die dicken Leitungen. Für die Verwaltung der Rechner (Administationsaufgaben) reicht dann auch eine schmale ADSL-Leitung (wenn du keine RDS im Einsatz hast). Hauptsache der Upload in eurer Hauptzentrale stimmt. Gegen eine kleine monatliche Spende ziehen dir diverse Anbieter sicherlich auch gerne eine Lichtwelle ins Haus. ;-)

Vollständigkeitshalber für die Nachwelt: ​Get-DfsrBacklog -DestinationComputerName "Server auf den die Dateien repliziert werden" -SourceComputerName "Quellserver" -GroupName "Name der Replikationsverbindung" -verbose 4>> D:\Log.txt | format-table fullpathname,updatetime

Aehm... DFS-R? Wofür denn schon wieder 3rd Party Tools?

Wir nutzen ebenfalls blat. Ist schnell konfiguriert und tut was es soll.

Naja, Ansichtssache. Das entspricht pro Sensor 2€. Auf wieviel Jahre? Achja, stimmt - unbegrenzt ;-). Ich finde das wirklich okay. Und wie du schon selber sagst: "Auf unterschiedlichsten Systemen" Das was dort mitgeliefert wird, ist einfach enorm. Außerdem bietet PRTG bei HP-Servern zum Beispiel einen Sensor an, der das komplette System überwacht. Wer 2000 Sensoren im Einsatz hat, für den sind die 5000€ auch Peanuts.

Hier auch PRTG. Baue es auch seit Anfang letzten Jahres auf. Kann ich nur empfehlen. Preis/Leitung ist wirklich top!

Leider funktioniert der wohl nicht in der DFS-PS-Komponente. Das Skript habe ich auch schon ausprobiert. Scheint aber auch schon legacy zu sein. Ich nutze nun "Get-DfsrBacklog" mit dem Parameter "-verbose". Dann gibt er mir in einem Einzeiler aus, wie viele Dateien noch im Rückstand sind. Das ist ganz schick. Ist eine gute und schnelle Übersicht morgens. Ich auch an einigen Standorten, an denen kein Server steht. Funktioniert auch super. DFS-R ist aber ein bisschen flexibler.

Im Log stehen die nicht kopierten Dateien allerdings dann auch noch drin.

Im Simulationsmodus könnte ich mit Robocopy die Ordner vergleichen. Wären aber auch zu viele Zeilen. Ich hab's nun mit PS gemacht. "Get-DfsrBacklog" gibt mir die ausstehenden Dateien zwischen 2 Replikationspartnern zurück. Einziges Problem ist, dass dieser Befehl nicht mehr als 100 Zeilen ausgibt. Damit werde ich dann wohl leben müssen. Ich danke euch! PS: Andere Möglichkeiten sind auch gerne gesehen! :-)

Kauft euch eine Beratung ein. Ich empfehle es euch! Hier im Forum funktioniert das nicht in dem Umfang, in dem Ihr es braucht.

Hä? :suspect: Was hätte dir es denn gebracht, wenn es funktioniert hätte? Dann hätte im Eventlog gestanden, dass "Administrator" das Kennwort zurück gesetzt hätte. Erst denken, dann schreiben! ;) ​

Wo ist diese Richtlinie bei euch aktiv? Als GPO oder lokale Richtlinie? Auf wen wird sie angewendet?

Führe Robocopy doch mal mit dem Schalter /LOG aus. Dann solltest du weiter kommen.