-
Gesamte Inhalte
5.236 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von daabm
-
Frage zur Delegierung von Berechtigungen
daabm antwortete auf ein Thema von phatair in: Active Directory Forum
Kann man schon machen - mache sogar ich ab und zu, um schnell mal was auszuprobieren. Wenn es aber reproduzier- und nachvollziehbar sein soll (oder wie bei uns meistens sogar MUSS), dann ist ein Skript oder Befehlszeilenaufruf die bessere Variante. Die kann man irgendwo (revisionssicher) speichern und beliebig oft wiederholen. Und mit kleinen Anpassungen dann für ähnliche Aufgaben super schnell modifizieren - "code reuse" -
Ordner verschlüsseln und mittels PW/Schlüssel/Zertifikat schützen
daabm antwortete auf ein Thema von Wolke2k4 in: Windows Server Forum
Security by obscurity... Macht's nur unkomfortabler, verhindert aber nichts. Abfotografieren geht immer. Oder um's mal allgemeiner zu formulieren: "If you don't trust your admins, don't make them admins". Läßt sich auf jede andere Funktion im Unternehmen übertragen. -
Probleme mit Zeitsyncronisierung
daabm antwortete auf ein Thema von RealUnreal in: Windows Server Forum
Jupp, so langsam wird es "rund". @RealUnreal Zeitverteilung ist ein hierarchischer Vorgang. Und für Kerberos ist Zeit essentiell, weil die Timestamps für die Preauthentication verwendet werden. Es kann nur einen "Chef im Ring" geben, und jeder, der teilnimmt, darf nur einen "Uplink" haben. Dem virtuellen Computer ist es grundsätzlich egal, ob er seine Zeit vom Host bekommt, der in der gleichen Domäne ist (ist er das?) oder ob er sie direkt aus der Domäne holt. Allerdings macht ein fehlkonfigurierter Host in dem Fall die Authentifizierung für alle VMs gleich mit kaputt. Also entscheidet man sich, alle Zeit-Integrationen der Virtualisierungsplattform abzuschalten und bei Domänenmitgliedern ausschließlich NT5DS zu verwenden. -
Probleme mit Zeitsyncronisierung
daabm antwortete auf ein Thema von RealUnreal in: Windows Server Forum
Deine Quelle beim PDC ist der VM IC Provider, das ist falsch. Der muß auf ntp stehen -> Time Sync in VMWare abschalten. Und die Quelle beim Host ist Local CMOS, das ist auch falsch. Mit den 2 GPOs alleine kannst das nicht lösen, Du mußt die dämliche Zeitsynchronisation der VMWare Tools abschalten. -
Shell Folders war möglicherweise schon deprecated, bevor Du geboren wurdest... https://devblogs.microsoft.com/oldnewthing/20031103-00/?p=41973 Also lass den Kram da einfach, wie er ist. Oder wenn's glücklich macht, dann patche es.
-
Anmeldung an Domäne wenn DC offline
daabm antwortete auf ein Thema von Moschi76 in: Active Directory Forum
Kann leider nicht folgen. Wie kann das auf nem einzelnen DC passieren bzw. Auswirkungen haben? Er hat doch immer auf sich selber Zugriff und kennt sein aktuelles Maschinen-PW. Oder meinst was ganz anderes? Falls ja, was genau und wie kann ich es provozieren zur Test-Behebung? Wenn er der einzige ist, was hindert mich am Image-Restore/CopyPaste des DC vom Stand Tag davor. Ein DC verhält sich da genau wie ein Client - er kennt lokal (Registry) sein Kennwort, und es steht auch im Computerkonto im AD. Paßt das nicht mehr, hast das gleiche wie bei nem Member - entweder rejoin (also de-/promote) oder nltest /screset. Zweiteres geht aber nicht gegen ihn selber, sondern muß auf ihm selbst gegen einen anderen ausgeführt werden - hast Du nur einen, ist hier Ende. Und rejoin aus offensichtlichen Gründen das gleichen Problem. -
Bildschirmschoner inkl. Kennwortschutz
daabm antwortete auf ein Thema von Garant in: Active Directory Forum
Auch schon wieder 11 Jahre her... https://evilgpo.blogspot.com/2012/03/how-to-save-my-screen.html -
Die gleiche Diskussion hatten wir doch grad schon mal Du kannst die Verzeichnisse problemlos umbenennen und dann in der Registry den Profilpfad korrigieren. Der User darf da nur grad nicht angemeldet sein - Shutdown-Skript z.B. Danach noch ntuser.dat laden und Environment/Volatile Environment überprüfen und ggf. korrigieren (wobei das bei Volatile Environment unnötig sein sollte). Ob das ein Domänen- oder lokaler Account ist, ist dabei wurscht. In eurer Automation habt Ihr halt leider die falschen Variablen ausgesucht.
-
Software zur Erstellung von ADMX-Templates?
daabm antwortete auf ein Thema von Cryer in: Windows Server Forum
Syspro verwende ich selbst auch, kann ich nur empfehlen. Und da das eine Ein-Mann-Firma ist, ist das auch gut angelegtes Geld. -
temporäre Admin-Rechte auf Praktikanten-PC
daabm antwortete auf ein Thema von Nummernschild-B in: Windows Forum — Allgemein
Ist das eine Zustandsbeschreibung? Oder ein Ziel? Wenn es eine Zustandsbeschreibung ist, der Zustand aber nicht zu den Anforderungen passt, dann solltest du den Zustand ändern. Sprich: dann sind die Einschränkungen wohl nicht passend. Ack - oder auf Deutsch: Ich bin der selben Meinung Mach User nicht zum Admin, laß sie aber ansonsten einfach in Ruhe. Explorer einschränken, Regedit und Eingabeaufforderung verbieten usw - alles "Security by obscurity". -
Letzter Arbeitstag in der K-Woche - viel Genuss mit dem Feierabend-🥃
-
Aushandeln ms-DS-Supported-Encryption-Types Verschlüsselung
daabm antwortete auf ein Thema von Dutch_OnE in: Windows Server Forum
28 ist das neue 42 -
Und "im Kontext des Benutzers" auch aktiviert?
-
Userordner mit vollem Namen
daabm antwortete auf ein Thema von info@vision4d.de in: Windows Server Forum
Wir würden da ganz viele Tode sterben... Wenn ich dran denke, wie viele Mueller2 alleine wir bei den Mailadressen haben Von Schmidt2 nicht zu reden. Und solange sich User mit ihrer ID anmelden (die übrigens deutlich schneller eingegeben ist als der drecks UPN - jm2c), können sie Dir bei Problemen auch diese ID problemlos sagen. -
"Schöner Frühlingstag" und "-1° C" - finde den Fehler
-
Userordner mit vollem Namen
daabm antwortete auf ein Thema von info@vision4d.de in: Windows Server Forum
Man kann sie umbenennen, wenn sie bereits existieren - kein Problem. Ordner umbenennen, Profilpfad in der Registry anpassen, fertig. Aber - siehe meine erste Antwort - der automatische Mechanismus muss auch für lokale Konten funktionieren. Die haben keinen UPN, sondern nur einen Namen. Für AD-Konten "könnte" man das Umbenennen sogar per Shutdown-Skript machen - geplanter Task eignet sich weniger, weil der asynchron läuft Ich sehe nur den Mehrwert dahinter nicht. Mit "net user <userid> /dom" habe ich in Sekundenbruchteilen die Namen zu den IDs. Sogar ganz ohne RSAT. Und wenn ich geil drauf bin, dann baue ich mir ein Logon-Skript, das im Profilordner ne Desktop.ini anlegt und den Anzeigenamen in Windows Explorer "modded" @NorbertFe Super anonymisiert ist ne Mailadresse als UPN natürlich nie. Die User-ID kommt bei uns aus der Personalverwaltung (SAP/HR) und ist tatsächlich nur ein akronymisches Kürzel, das anhand irgendwelcher Kriterien bei den ersten 3 Stellen Buchstaben bekommt und dann fortlaufend hochgezählt wird (padded to 4 digits). PS @info@vision4d.de wenn Du Daten in Benutzerprofilen hin- und herkopierst (und damit lesend und schreibend auf Daten anderer Benutzer zugreifst), wie sieht das mit Nachvollziehbarkeit, Legitimation und DSGVO aus? Du stehst da schon mit einem Bein vor Gericht, wenn Du das manuell machst. Und wenn Du es automatisierst (aka "skriptest"), kannst Du easy alles an Daten herausfinden, was Du brauchst, um den richtigen Ordner zu finden. -
Userordner mit vollem Namen
daabm antwortete auf ein Thema von info@vision4d.de in: Windows Server Forum
Nein. Der Mechanismus muss auch für lokale Benutzer funktionieren, die haben keinen UPN. -
ACK. Geist ist raus, Flasche wieder zu hilft nix. Tatsächlich hilft da nur "vorwärts denken".
-
Bin gesund geblieben. Mal sehen wie's weitergeht 😂
-
Genau die definitiv nicht - ChatGPT kann weder Regale einräumen noch Pakete sortieren oder ausliefern. Nein. Bis wir soweit sind, daß man einer KI abstrakt formulierte Abstimmungsprobleme vorsetzt und sie darauf antwortet "Entlasse A, stelle B ein, bringe C und D zusammen" wird's noch länger dauern als ich lebe. Im übrigen bin ich bei @Damian
-
Installation von Windows 11 ADMX in Server 2019 nicht richtig?
daabm antwortete auf ein Thema von Cryer in: Windows Server Forum
Ja. Sind AFAIK nur 2 Entwickler für GPOs und das ganze Zeug drum rum. "Intune" heißt die goldene Zukunft... Ich hab bei uns ein kleines Framework gebastelt, das aus timestamped Quellverzeichnissen zusammen- und dann in einen definierten Zielpfad rein-kopiert. Die Versionierung ist ansonsten #grütze. -
Dateiübertragung auf NAS
daabm antwortete auf ein Thema von teletubbieland in: Windows Forum — Allgemein
Ja dann führ's halt jede Minute per Taskplaner aus - was spricht dagegen? -
Dateiübertragung auf NAS
daabm antwortete auf ein Thema von teletubbieland in: Windows Forum — Allgemein
1. Ja, kannst Du. Was hinderte Dich bisher daran, das einfach mal zu probieren? 2. Wie Du robocopy startest, bleibt Dir überlassen. Geplanter Task? Check. Startup-Folder im Startmenü? Check. Registry - Run? Check. -
Dateiübertragung auf NAS
daabm antwortete auf ein Thema von teletubbieland in: Windows Forum — Allgemein
File System Watcher und Robocopy Wobei Robocopy den Watcher sogar schon eingebaut hat, schau Dir mal /MON und /MOT an. -
Server 2019 fit machen für Sehbehinderten Kollegen
daabm antwortete auf ein Thema von q617 in: Windows Server Forum
Was muß man da fit machen? Die "üblichen" Hilfen seitens Windows gibt es auch in den Servervarianten.