MurdocX

Ich glaube das Thema ist zu detailliert und intensiv für ein Forum, auch wenn meine Neugier geweckt wurde Was würde denn eigentlich gegen die PRP bei Clients vor Ort sprechen? Wenn ich so meine Gedanken schweifen lasse und den Fall einer Kompromittierung oder Diebstahl des RODC durchgehe, dann wäre die logische Konsequenz das Rücksetzen der Computer und Benutzerpasswörter. Ergo, könnte man die PRP für die Clients und Benutzer eingeschaltet lassen. Wäre sicher auch im Sinne des RODCs.

Das ADK besteht aus vielen Modulen die sich auch regelmäßig verändern. Das in ein Buch zu pressen wäre sportlich und dürfte auch schnell veraltet sein. Hier findet sich wirklich viel detailliert bei Microsoft in den Docs. Mir ist keine Literatur dazu bekannt.

Würde ich jetzt, nachdem ich es nachgelesen habe, deine Aussage verneinen. Der RODC dient dann als eine Art Authentifizierungsproxy. Quelle: Active Directory: Designing, Deploying, and Running Active Directory Habt ihr in den Außenstandorten, bei denen das Problem auftritt, zufällig mehr als ein RODC?

Haben die Switche den aktuellen Patch(Firmware)-Stand? Richtigerweise handelt es sich nicht um eine IP für ein VLAN, sondern für den Switch in dem VLAN. Das sollte ja nicht passieren. By the way brauchst du für dein Überwachungsserver ein neues Netz.

Sehe ich auch so. Das Ding platt machen und verkaufen. Problem erledigt. Warum sich Probleme machen, wo keine sind

Ich hab's gerade mal ausgeführt und bei mir hats geklappt. Das war lokal und nicht über GPOs. msiexec.exe /i "C:\Users\jan\Downloads\vlc-3.0.11-win64.msi" /quiet

Dank Google, hier der Treffer https://download.videolan.org/pub/videolan/vlc/last/win64/

Guten MOrgen, wie du ihn aktivierst, kannst du hier nachlesen: Microsoft Docs | Verwalten von Windows Defender Credential Guard https://docs.microsoft.com/de-de/windows/security/identity-protection/credential-guard/credential-guard-manage Wie du an die Evaluation von Windows 10 Enterprise kommst, siehe hier: Microsoft | Testen Sie Windows 10 Enterprise https://www.microsoft.com/de-de/evalcenter/evaluate-windows-10-enterprise Das sollte Dir die Anzeige unter Gerätesicherheit sagen können. Testen.. Naja.. Dafür braucht es unlautere Tools. Kann man machen, oder man Vertraut auf die Aussage und belässt es dabei.

Variablen würde man z.B. so verketten: # Erstellen des AD-Gruppennamens $adGroupName = '{0}{1}' -f $csvItem.Bauvorhaben, $csvItem.Name Wenn ich das auf das Skript beziehe, dann sind quasi alle Coding-Regeln missachtet worden Da wäre nun die Frage, ob dich das wirklich interessiert und du dort weiterkommen möchtest, oder einfach nur eine "Lösung" für dein kleines Projekt. Das eine ist weitsichtiger als das Andere. Spätestens wenn du dein eigenes Skript, oder jemand anderst dieses Debuggen muss, fängt das Grauen an

Hallo und Willkommen an Board, zum allgemeinen Teil: Nutze bitte den Code-Tag für Code den du postest. Das erleichtert vielen das Lesen und kopieren. zum Skript: In dem Skript benutzt du das Prozenz-Zeichen %, welches wiederum für ein "Foreach-Object"-Befehl steht. Das kannst du nur in einer Pipeline und nicht nach dem = nutzen. Nach dem = gibt es keine Objekte zum Verarbeiten. Das $-Symbol ist ein spezielles Symbol in PS. Ersetze " durch die einfachen '. Dann möchte die Powershell nichts interpretieren. Die Variable "Bauvorhaben" wurde nie definiert. Sie muss leer sein, nach deinem Code. Oder da fehlt noch was Ah! Du ließt sie als String ein. Das kann so nicht funktionieren. Da muss ein Text rein, kein angebliches Powershell-Objekt. Ich vermute, da müssen wir an dem grundliegenden Verständnis arbeiten. $Name = $_.Name Den Teil kannst du Dir übrigens sparen, denn das kannst du unten auch einfach $_.ABC wieder angeben. Da brauchst du nicht extra noch eine neue Variable für Benutzen. Es wird als CSV-Trenner ";" verwendet, was ich aber in deiner Datei nicht sehen kann. Tipps: In der ersten Zeile deiner CSV fehlt der Name und SamAccountName deiner Gruppe Die Gruppennamen müssen eindeutig im AD sein. Das wird spätestens beim zweiten Bauvorhaben nicht mehr funktionieren AD-Gruppennamen sollten selbsterklärend sein und nicht durch den Kontext der OU erklärt werden. Das erleichtert später die Administration ungemein und hilft Fehler vorzubeugen. Tipps 2: Internetseiten https://www.windowspro.de/script/schleifen-powershell-foreach-while-do-until-continue-break https://www.windowspro.de/script/arrays-powershell-anlegen-aendern-auslesen-sortieren-loeschen https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/?view=powershell-5.1

Vermutlich „Rebulid fertig“ = Problem erledigt

Auch interessant. Ich versuche sowas beim Designen zu vermeiden. Die Strukturen die ich Firmen aufbauen darf, designe ich (meist) "alles" oder "nichts" auf der Basis eines Rollenkonzeptes. Ordner die dort rausfallen sind meist Grauzonen oder Projekte. Dafür gibt es dann Projektteams. User die es immer anderst machen kenne ich auch. Viele von denen sind recht redselig und ich versuche Sie auf die gute Seite der Macht zu bringen.

In der Regel kommt es immer anderst als man denkt. Deshalb hab ich mir angewöhnt immer beides ("Kürzel-Ordner-RW" und "Kürzel-Ordner-RO") anzulegen und die Beschreibung zu pflegen. Die Arbeite wäre nur einmal und später spart man sich das erneute Berechtigen. Hier ein Tipp. "Access" Gruppen sind ja beide. Hier könntest du treffendere Namen wie z.B. "Kürzel-Ordner-RW" und "Kürzel-Ordner-RO" angeben. Dann ist das auch nach Jahren noch schlüssig wo die Berechtigung hin kommt und auch wo nicht. Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.

Wenn man überhaupt mitbekommt in welcher Reihenfolge das passiert. Ich möchte meinen, dass das gar nicht so viele wissen wie wir annehmen. :)

Die Idee finde ich gut. Ich lasse das Tauschverzeichnis jeden Sonntag leeren. Und das ist auch wirklich nötig. Interessant was alles für große Dateien auf dem Ordner getauscht werden.

Mich würde mal ein IPCONFIG auf einem Client und DC interessieren. Könntest du das liefern?

Was passiert denn, wenn du: - eine neue OU ohne Gruppenrichtlinien anlegst und dort den Benutzer rein legst? - die Vererbung deaktivierst? - den Benutzer an einem anderen PC verwendest?

Willkommen an Board, das Ergebnis hatte ich in 10 Sekunden https://stackoverflow.com/questions/36132416/html-iframe-maximum-height-height100-not-working

@kaineanung War denn schon was brauchbares für Dich dabei und konnte man Dir einige Missverständnisse aufzeigen? Wo brauchst du noch Unterstützung? Ich hab nochmal über das Thema nachgedacht. Viele Netzlaufwerke von Firmen sind chaotisch aufgebaut, weil sie "gewachsen" sind. So wird das gerne genannt. Vielleicht auch als kleine Entschuldigung lange nichts unternommen zu haben. Auf den Standpunkte könnte man sich stellen. Auf den zweiten Blick aber zu undifferenziert. Nicht jede Firma hat die selben Anforderungen oder Bedürfnisse. Als Externer ist das immer schwierig zu bewerten. Auch starre Strukturen "leben" und sollten durch den Admin Stück für Stück weiterentwickelt werden. Hier kann ich mich nur wieder selber Zitieren: Als kleinster gemeinsamer Nenner hat sich immer ein gemeinsamer Ordner für Abteilungen und ein Projektverzeichnis für Projekte als sinnvoll erwiesen. Letzteres hab ich bei uns z.B. automatisiert.

Ich möchte mal auf mein Kommentar im folgenden Thread von Dir aufmerksam machen: (the golden rules of permission administration) Da ging es doch m.M.n. Inhaltlich um das selbe Thema. EDIT: Das würde ich so nicht sehen. Es spricht auch keiner von einem starren Organigramm. Ich würde mich in die Sicht des Benutzers, der jeweiligen Abteilung, versetzen und ggf. mit den Benutzern reden. In der Regel benötigen sie einen "Workingspace" zum gemeinschaftlichen Arbeiten. Manchmal auch etwas abteilungsübergreifendes. So kann man ein gutes Gefühl bekommen, was denn wirklich benötigt wird und was daran vorbei geht. Wenn alle Informationen zusammengetragen sind, ist es leichter ein Konzept dafür zu erstellen.

Ich hab hier eine kleine Übersicht die zusätzlich bisschen Klarheit bringt.

Ich hake hier mal kurz ein. Wenn es Ransomware auf das Gerät schafft, dann hast du vermutlich größere Probleme, als nur die eine verschlüsselte Partition. Sicher, den nutze ich gerne auch. Was du hier übersiehst ist, dass sobald der Computer gesperrt wurde, es möglich ist sich an dem PC als ein anderer Benutzer anzumelden und auf die Daten zuzugreifen. Da beißt sich die Katze in den Schwanz

Wir können ja schmunzeln drüber. Vielleicht ließt das ja der Ein oder Andere und fühlt sich gleich ertappt

Storage-Spaces (in)direkt... Nur halt auf Clients Das könnte man auch als Backupstrategie fahren. Jeden Tag mal wo anderst anmelden.

Je älter das Backup, desto mehr Clients können aus der Domain fliegen. Benutzer haben ihr Passwort geändert usw.. Spricht denn was gegen eine regelmäßige Sicherung? Es gibt nicht „die“ Empfehlung. Ich sichere zwar täglich, vermutlich könnte man wöchentlich auch vertreten. Wenn du es ganz streng machst, dann stelle der GF das Backup-Konzept vor und lass es Dir absegnen.