speer

Hallo zusammen, spiele gerne in der Testumgebung mit dem Orchestrator 2016. Ich bin nun auf ein Problem gestoßen, auf das ich mir keinen Reim machen kann. Also, im Orchestrator ein Parent und Child Runbook erstellt. Mittels Invoke-Runbook rufe ich das Child Runbook auf. Dort wird ein Ordnerpfad übergeben und anschließend ein Powershell Skript darauf ausgeführt. Beim Invoke-Runbook ist der Haken bei Wait for completion gesetzt. Starte ich das Parent-Runbook über den TEster, bleibt dieser stehen beim Ausführen des Childrunbooks. Selbst nach 5 Minuten gibt es keine Statusänderung. Führe ich hingegen das Childrunbook über den Tester aus, funktioniert alles wie gewollt. Auch das setzten anderer Anmeldedaten in der Invoke-Runbook Aktivity hat keine Änderung gebracht. Wieso hängt sich Orchestrator beim Aufruf des Childrunbooks weg sobald ein Powershell Skript gestartet werden soll? Ist das ein bekanntes Problem?

Danke für die Antworten. Die Webseite die BofH verlinkt hat ist super! Muß jetzt nur noch herausfinden weshalb im Orchestrator in einem Child-Runbook kein Powershell Skript ausgeführt wird :(

Hallo zusammen, möchte für eine Basisordnerstruktur die Berechtigungen entsprechend setzen. Dabei soll auf den Basisordner des benutzers die Vererbung von überliegenden Objekt deaktivert sein. Außerdem sollen nur der Benutzer, Administratoren und System Zugriff erhalten. $Acl.SetAccessRuleProtection($true, $false) $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule($Username, 'Modify','ContainerInherit,ObjectInherit', 'None', 'Allow') $Acl.SetAccessRule($Ar) Set-Acl -path $Path -AclObject $Acl Kann ich zwar meinen Benutzer $Username die Berechtigungen erteilen, allerdings bleibt beispielsweise die Gruppe User trotzdem berechtigt und sind in der ACE Auflistung enthalten. Wie bekommt man eine Gruppe aus der ACE Aufzählung raus???

Hallo, ein Schuß von mir ins blaue... gebe zusätzlich zur Weiterleitung des GW noch die Sessionhosts mit an. Soweit ich weiß benötigst du von extern zum GW nur HTTPS und kannst RDP Port schließen. Wieso verwendest du einen anderen Port als den Default 3389 Port für RDP? Schau dir den Verbindungsversuch auf der Firewall an. Somit weißt du ob die FW blockt oder das RDP-GW ein Problem hat.

Hm, wie ist den der Weg eines gedruckten Dokuments. Ist ein Printserver vorhanden, direkt zum Drucker oder evtl. etwas über GPO geregelt? Schau mal ob im Spoolerverzeichnis der Druckauftrag auftaucht und tatsächlich gelöscht wird.

Hallo, wir verwenden für diesen Zweck eine Orchestrierungssoftware. Wobei man ehrlicherweise sagen muss, es ist total überdimensioniert, letzten Endes liest das Powershellskript das pwdLastSet jedes Benutzeraccounts aus und vergleicht diesen mit der Domänenvorgabe. Liegt das pwdLastSet unter 5 Wochen, erhält der Benutzer täglich eine Erinnerungsmail. Das funktioniert bei uns hervorragend. Es gibt mit Sicherheit fertige Skripts im Internet die dieses Thema aufgreifen. Ist keine Orchestrierungssoftware vorhanden kann auch der Aufgabenplaner verwendet werden. Ansonsten käme evtl. ein Selfservice Portal in Frage? Gibt wahrscheinlich zig Möglichkeiten... ist halt immer von den Anforderungen des Betriebes abhängig. Speer

Also ich kann in dem Skript keinen Fehler erkennen. Der einzige mögliche Fehler könnte ein falscher Wert in $folder sein.

Hallo, das Vorgehen paßt soweit. Wir verwenden für unsere Testumgebung den Broker und Lizenzserver der produktiven Umgebung mit. Falls die Testumgebung nicht autark arbeiten muss ist dieser Weg der gemeinsamen Nutzung der Ressourcens möglich. Je nachdem wie groß die Farmen sind/werden und wie deren Verfügbarkeit eingestuft ist/wird, käme evtl. zur Redundanz ein zweiter Broker in Erwägung. Seit 2012 ist das über Bordmitteln möglich. Auch ein Broker braucht Updates, Neustarts, etc. und ohne Broker ist/sind die Farm(en) im Chaos :)

Ich könnte mir allerhöchstens vorstellen, dass es zu einer Verzögerung bei einer NTLM Authentifizierung kommen kann. Wobei man dann Fragen muß, warum NTLM überhaupt verwendet wurde...

Wir verwenden hierfür eine Orchestrierungssoftware. Der Ein- bzw. Austritt von Mitarbeitern erledigt die Personalabteilung direkt ohne weiteres zutun der IT. Meistens sind viele Module für die gängisten Systeme integriert (AD, Exchange, Azure, Hyper-V, SAP, etc.) oder lassen sich zukaufen. Zudem ist fast immer ein Modul für eine Programmier/Skriptsprache vorhanden (C# oder Powershell). Vieles läßt sich einfach zusammenklicken und für den Rest... Powershell Bei größeren Runbooks macht es Sinn vorher einen Ablaufplan zu erstellen. Ansonsten verhaspelt man sich gerne mal ;) Falls Ihr SCCM lizenziert haben solltet, vielleicht habt ihr auch den System Center Orchestrator gekauft.

Hallo Jan, vielen Dank für den Link, genau diese öffentliche Microsoft Aussage suchte ich. Wir verwenden natürlich bei den DCs bereits DFS. Mir war nur unklar ob beim 2016er sich irgendwas geändert hat. Vielen Dank nochmals :)

Das meiste >96% filtert schon die Spam Appliance ab. Trotzdem kommt noch einiges durch, vorallem bei veröffentlichten E-Mail Adressen im Internet. Der Kaspersky Web Content Filter steht für uns eher eine Last dar. Über Produkte läßt sich trefflich streiten. Keines ist wirklich frei von Fehler. Kaspersky macht bei uns seit Jahren einen guten Job. Die jährlichen IT Audits verliefen, bis auf kleinere Punkte, immer im guten bis sehr guten Bereich. Was die Loyalität angeht, bin ich 100% loyal zur Firma. Seitdem ich dort arbeite sind viele Mitarbeiter gekommen und gegangen. Dieser Umstand wird zukünftig genauso sein wie es immer war :)

Hallo zusammen, bei einer 2000er, 2003er Domäne war standardmäßig FRS als Replikationtechnik im Einsatz. Seit 2008(R2) wird auf DFS gesetzt. Mich würde interessieren, was bei einem 2008r2 DC mit FRS passiert, wenn nun ein 2016er DC integriert wird. Läuft der 2016 DC weiterhin mit FRS oder migriert auf DFS oder wird die Hochstufung als DC verweigert? Weiß das jemand oder hat es jemand schonmal gemacht? Ich würde das gerne testen doch habe ich weder ein 2000er noch ein 2003er ISO File mehr :( Speer

Also Kaspersky filtert täglich mehrere hundert schadhafte E-Mails/Web-Content etc. heraus. Ob alles wirklich schadhafter Code ist, sei dahingestellt. Um alles zu analysieren sind tägliche mehrere Mannstunden notwendig. Diesen Streß machen wir uns nicht mehr. Kommt kein Aufschrei eines Mitarbeiters, war der gefilterte Inhalt nicht wichtig. Außerdem ist die Summe des potentiell gefährlichen, aber herausgefilterten Content für unseren Chef super, für die monatliche Powerpoint Präsentation bei der GF :) Management des Defenders funktioniert mit SCCM, hätten wir. Da wir keine Cloudanbindung haben fällt Intunes schonmal weg. Wir klopfen mal die Anforderungen ab und sehen dann weiter... :) Was CCleaner angeht, macht eh nur das, was wir über GPO machen. Was die Registry angeht, pfeiff drauf, die paar verwaiste Einträge bei Server/Client machen den Kohl nicht fetter. Unsinniges Spielzeug... Vielen Dank soweit für Eure Infos :)

Sorry, habe ich verwechselt, ist keine GPO sondern über manage-bde gewesen. Die GPO die ich meinte war das überschreiben des Arbeitsspeichers verhindern. :(

Also ich kenne Bitlocker nur von Windows 7 bzw. 2008R2. dort gab es eine GPO die veranlasste, nach einem Neustart nicht nach dem Passwort zu fragen. Ohne HGS würde ich komplett auf VMs mit Bitlocker Verschlüsslung verzichten und eher meinen Serverraum absichern.

Hallo zusammen, wir haben seit Mai einen neuen IT-Leiter bekommen. Dieser wirbelt sehr zum Verdruss der IT-Mitarbeiter an jeder Ecke herum. Wahrscheinlich um aufzuzeigen was der Vorgänger alles falsch gemacht hat... Eine dieser Ecken ist unser AV Lösung von Kaspersky. Wir verwenden seit Jahren Kaspersky Security Center für Clients, Server und als VMAgent. So, unser neuer IT-Leiter hat beschlossen zukünftig das Geld für Kaspersky Lizenzen einzusparen und stattdessen auf den integrierten Windows Defender mit Windows 7,10, 2012 und 2016 Client/Server und als Zusatz das Programm CCleaner einzusezten. Meine Kollegen und ich waren total baff, da der frühere IT-Leiter strenge Anforderungslisten an Produkte erstellte. Gerade bei Kaspersky war beispielsweise das integrierte E-Mail Client Add-Ins Plug In oder auch das Web PlugIn als wichtiges Muss Kriterium spezifiziert. Soweit ich informiert bin, kann das der Windows Defender nicht. Möchte nun gerne Wissen, wer von Euch Windows Defender produktiv verwendet möglicherweise mit dem CCLeaner Programm. Grüße an Alle :)

Hallo, die genannten Befehle sind auch falsch geschrieben. Natürlich funktioniert das in einer Batch als Administrator ausgeführt. change logon /query change logon /drainuntilrestart Powershell ist natürlich zu bevorzugen :) Wenn es nur darum geht, heraufzufinden auf welchem Server er sich befindet ist mein bevorzugtes Tool immernoch BGInfo.

Hallo, soweit ich es verstehe, sind bei dir Fileserver (mit Profilen) und die Session Hosts in der gleichen Site und netzwerkseitig über LAN verbunden. Ich würde folgende Schritte tun: a. die Berechtigungen auf beiden Servern prüfen b. vor der Anmeldung des besagten Users, prüfen ob bereits eine Session besteht c. den Fileserver neu booten und prüfen, ob anschließend die Fehlermeldung erneut auftritt d. prüfen, ob der Broker korrekt funktioniert

Hi, also ich würde den Broker immer auf einer separaten Server installieren. Es mag gehen, alles auf einer Maschine zu installieren, erfordert aber beim Patchmanagement erhöhte Wachsamkeit und Abklärung mit den App-Admins. Wir verwenden 2 Broker im Cluster für mehrere Farmen mit rund 350 Farmmitglieder. Muß aber jeder für sich selbst entscheiden...

Wir sichern unsere SQL Datenbanken nur noch mit Bordmitteln. Das erzeugen und auflösen der Snapshots zog bei uns die Perfomance dermaßen runter, dass es selbst die Mitarbeiter merkten und natürlich ordentlich meckerten. Auch im Ernstfall ist ein Restore mit SQL Bordmitteln deutlich angenehmer. Aber die Wahl muss jeder/jedes Unternehmen selbst treffen.

Hi, wie viele Personen arbeiten überhaupt auf dem besagtem Terminalserver? Wie groß ist in dem Fall die Betriebssystempartition? Ist die Outlook Verwendung festgeschrieben oder käme ggf. OWA in Frage?

Okey, anscheinend benötigt man dazu den SCSM. Schau ich mir mal an :)

Hallo zusammen, baute mir heute im Orchestrator 2016 ein Runbook zusammen. Anders als bisher soll das Runbook durch andere Personen bedient werden. Diese Personen sollen nun auf die Webseite gehen und die notwendigen Angaben für das Runbook eingeben. Im Internet habe ich bereits Bilder gesehen, in denen es möglich war bis zu 10 Eingabefelder auf einer Webseite zu definieren. Allerdings kann ich hierzu keine Informationen finden wie das gemacht wird bzw. ob das alles im Orchestrator klappt oder noch Zusatzprogramme wie SCSM notwendig sind. Hat das jemand hier schonmal gemacht?

Es erscheint nun ein Fehler, dass das Zertifkat nicht importiert werden kann. Muss mal einen Screenshot erstellen. Im Eventlog ist kein Eintrag. Mich würde einfach nur interessieren warum das identische Zertifkat im Broker 2008R2 akzeptiert aber im Broker 2016 abgelehnt wird. Also muss doch eine Änderung bzw. Anforderung an den Broker 2016 erfolgt sein.