speer

Gegen eine Schemaerweiterung spricht im normalfall nichts. Bei uns in der Firma ist sowas immer mit viel Bürokratie, Formulare, Genehmigungen, Überprüfungen, Risikoabwägung, etc. verbunden. Ein halbes, bis ganzes Jahr, ist da ratzfatz vorbei bis eine Genehmigung vorliegt.

Wir möchten gerade auf eine Schemaerweiterung verzichten! Daher ist LAPS nichts für uns. Denke wir werden es über Powershell lösen.

Hallo zusammen, wir stehen vor dem Problem Konzernweit mehrere Lokale Benutzerpasswörter zurückzusetzen. Über die GPP läßt MS die Passwortänderung bzw. setzen eines neuen Passwortes nicht zu. Gibt es ggf. Boardmittel oder Möglichkeiten, ohne gleich eine Schemaerweiterung oder ähnliches durchzuführen? Über Skript "net user Administrator NEUESPW" würde funktionieren, aber das Passwort im Klartext in der GPO... Vielleicht hat jemand noch eine coole Idee :)

Hatte die Tage genau gleiches Problem. Bei mir half nur noch den Rechner erneut in die Domäne aufzunehmen. Danach war der Spuk vorbei! Woher das Problem kam konnte ich nicht nachstellen.

Danke für die Hilfe, werde mich wohl mehr mit dem AD Thema beschäftigen müssen :)

Danke für die Antworten. In der produktiven AD Umgebung sind mehrere Suffixe hinterlegt. Aber warum ist das Suffix über die Powershell nur temporär verfügbar und wird seitens der GUI vergessen, sobald ein anderes Suffix ausgewählt wird? Wenn ich mittels Powershell ein UPN setze, dessen Suffix bereits existiert, ist das Suffix dann auch nur temporär vorhanden oder kann zwischen den im AD registrierten Suffixe beliebig hin-und hergewechselt werden? Wir haben Schichtarbeiter die in verschiedenen Bereiche im Unternehmen arbeiten und je nach Bereich erhalten Sie ein neues Suffix zugewiesen. Eigentlich hätte ich erwartet, dass mir der New-ADUser Befehl nur die Auswahl bekannter Suffixe in der Domäne zulässt. Daher war ich doch erstaunt über die "Freizügigkeit" :) die New-ADUser läßt.

Hallo zusammen, habe zum Import ins AD eine CSV Datei erhalten um Benutzer + deren Attribute ins produktive AD zu integrieren. Soweit ich gelesen habe, erzeugt New-AdUser ein neues AD-Konto und kann beim CSV Import, wenn beispielsweise ein SamAccountName bereits im AD exisitiert, diesen nicht überschreiben bzw. irgendwie verändern/anpassen. Ich habe noch eine Wissenslücke beim UPN. Diesen erzeuge ich aus Vorname.Nachname@firma.local In meiner Testumgebung kann ich das Suffix, also firma.local, beliebig austauschen. Ändere ich beispielsweise beim CSV Import den UPN in Vorname.Nachname@domain.local, funktioniert ebenfalls die Anmeldung an einem PC. Auch sind in der AD Konsole für diesen User, sowohl firma.local als auch domain.local auswählbar. Wähle ich jetzt firma.local aus und klicke auf Apply, kann ich domain.local nicht mehr auswählen. Wieso wurde dies so implementiert und welchen Vorteil hat dies? Grüße an alle Speer

Sitze im Zug und auf meinem kleinen Laptop läuft kein Hyper-V anständig. :( Danke Euch beiden für die schnelle Antworten.

Hallo zusammen, mittels Orchestrator möchte ich mittels New-ADUser eine CSV importieren. Das funktioniert soweit auch sehr gut. Ich habe momentan ein kleines Verständnis Problem. Bei New-AdUser ist der Parameter "-Name" anzugeben. Dieser setzt automatisch den Namen = Samaccountname richtig? Soll zwischen Name und Sammaccountname unterschieden werden, müssen zwingend beide Parameter angegeben werden? Zumindest verstehe ich es laut der Doku hier: https://docs.microsoft.com/en-us/powershell/module/addsadministration/new-aduser?view=win10-ps so.

Schon, aber das ist keine dauerhafte Lösung. Der USB2Ethernet Adapter soll universal einsetzbar sein. Nächste Woche geht es weiter mit dem testen :)

Wir testen es mit Microsoft Surface, Dell XPS und Lenovo Geräte (mir fällt nur die Typenbezeichnung grad nicht ein). Naja, werden zum 100sten Mal die SMSPXE.log durchschauen und auf Erleuchtung hoffen

Ja, wie ich oben schrieb, über die Hardware Identifiers. Habt Ihr die MAC Adresse einfach in "Duplicate Hardware Identifiers" hinterlegt und konntet mehrere Surface mit demselben Adapter installieren? Ich verstehe es einfach nicht, selbst mit einem nagelneuen Adapter, frisch aus der versiegelten Schachtel funktioniert es nicht. 1. MAC Adresse bei Duplicate Hardware Identifiers hinterlegt 2. Neues Notebook mit dieser MAC Adresse importiert 3. Das Gerät findet kein Bootimage Entferne ich die MAC Adresse aus "Duplicate Hardware Identifiers", wird sofort das Boot Image gestartet und die Task Sequence gestartet. Das nervt echt....

Nene, wir haben SCCM und das Teil genial, wir können alle unsere Anforderungen damit abdecken. Nunja, bis auf die eine Sache hier

Hallo zusammen, unsere GF möchte zukünftig verstärkt auf die flache Notebooks schwenken. Der Nachteil ist, dieser werden über USB-C angeschlossen und haben somit keine große Auswahl an Schnittstellen. Mein Problem an der Sache ist, wie installiert man diese Geräte nun? Wir haben einen USB2Ethernet Adapter gekauft um mehrere dieser Notebooks mit dem Adapter zu installieren. Testweise ein Notebook installiert und es alles drauf wie es sein soll! Das Problem ist jetzt die MAC Adresse. Eine zweite Installation ist aufgrund der vergebenen MAC-Adresse nicht möglich. Im SCCM existiert die Möglichkeit eine MAC-Adress Ausnahme über "Duplicate Hardware Identifiers" zu definieren. Dummerweise funktioniert das nicht. Sobald die MAC Adresse hinterlegt ist, findet PXE boot kein Bootimage. Entfernt man unter "Duplicate Hardware Identifiers" die MAC Adresse, läuft der Client sofort in die Tasksequence. Habe mir bereits die SMSPXE.log angesehen aber nichts verwerfliches entdeckt. Hat jemand eine Idee war das nicht funktioniert? SCCM ist die aktuellste Version.

Vielleicht damit, den Broker hochverfügbar zu machen? Laß das sein mit dem mstsc /admin. Das endet früher oder später im Sessionchaos! Falls Ihr einen Kemp Loadmaster haben solltet, könnt Ihr diesen dazu verwenden. Falls nicht, sperre die Anmeldung neuer Sitzungen bis der Broker wieder online ist.

Unsere hochverfügbaren Fileserver sind über NetApp Metrocluster angebunden. Die normalen Filer werden lediglich über Veeam gesichert und beim Ausfall direkt auf dem Veeam Backupserver gestartet mit anschließend verschieben in den "richtigen" Datastore.

Wir hatten auch Probleme mit Surface 3 Geräten. Hier stellte sich heraus, dass der Intel Audio Treiber als unsignierter Treiber installiert war. Somit war das automatische Update durch WSUS oder SCCM nicht möglich. Das interessante dabei ist, Microsoft liefert in Ihen Surface Pakete weiterhin den "buggy" Treiber aus. Die Qualitätssicherung ist dort nicht so dolle... :)

Darauf wollte ich hinaus... bei uns funktionieren die Firefox Templates super. Daher etwas indirekt gefragt ob die GPO überhaupt übernommen wurde...

Die GPO Filterung steht aber auf Authentifizierte Benutzer oder ist dort eine Gruppe mit Benutzern eingetragen?

Dafür gibt es den Punkt "Collection" der entweder true oder false ist. Collection ist hierbei als eine Art Klammer zu sehen. Also: "Benutzer ist Mitglied der Sicherheitsgruppe T600" OR "Benutzer ist Mitglied der Sicherheitsgruppe T601" AND Collection IS TRUE AND "produkt {90140000-001B-0407-0000-0000000FF1CE} des MSI ist vorhanden"

Man kann den Bitlockerschutz anhalten um beispielsweise ein BIOS Update einzuspielen oder wie im obigen Fall, ohne Offline Verschlüsselung zu starten. manage-bde -protectors -disable C: Am besten die Hilfeseite mittels manage-bde -protectors /? aufrufen um weitere Parameter anzusehen.

Soweit ich weiß, macht Update nur einen Kopiervorgang, wenn die Dateien noch nicht auf dem Zielsystem existieren. Ansonsten werden nur die Dateiattribute aktualisiert. Replace überschreibt bestehende Dateien im Zielverzeichnis und kopiert ggf. neue Dateien von Quelle zum Zielverzeichnis. Das müsste aber in der Hilfedatei zu den GPPs detailiert stehen. Oder auch hier: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772536(v=ws.11) Wegen den Vorlagen, in der Office GPO kann ein neuer Vorlageort im Dateisystem definiert werden. Diesen anlegen(GPP), Berechtigungen anpassen(GPO) und die Dateien dorthin kopieren (GPP). Andere Möglichkeit wäre das Laufwerk mit den Vorlagen Offline verfügbar zu machen. Muss man halt klären ob das Vorgehen sinnvoll ist. Es gibt halt zig Möglichkeiten ein Problem zu lösen. Was für eine Firma total elegant ist, ist für die andere Firma ein No-Go. Daher, bevor in die Tastatur gehauen wird, erstmals Anforderungen definieren!

Weiß nicht, so wie es sich liest wurde ein Inplace Upgrade gemacht. Auch wenn es laut hier: https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers gehen soll, hätte ich als Admin doch Bauschmerzen. Denke einen temporären AD Controller ist schneller, vorallem sicherer, als ein Upgrade. Edit: Mist geschrieben, der Server war zuvor kein DC!

Über den Konstrukt wurde bereits geschrieben... bin auch kein Freund davon :) Was vielleicht funktioniert wäre die beiden Server in die jeweilige Host-Datei einzutragen.

Denke bei 95% der Printserver machen wir es wie NorbeFe schrieb. Also: 1. Alter Printserver umbenennen + andere IP vergeben 2. Neuer Printserver IP des alten Printservers vergeben und die Namensänderung vornehmen.