daabm

Ohne genaue Kenntnis Deiner aktiven Regeln kann das niemand seriös beantworten

Die meisten machen sowas mit Tools, die das fertig mitbringen Remote-Inventory ist ja keine neue Aufgabe.

Bei der Nachvollziehbarkeit verlassen wir uns auf Splunk Die Eventlogs unserer DCs laufen - trotz 4 GB - nach ca. 3-5 Stunden über, weil alle möglichen Services Auditing von diesem und jenem haben wollen.

/force vergessen... SCNR

"Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management".

So ist das hier auch - wir haben Hunderte von Terminal Servern (Citrix, nicht RDS, aber das Grundproblem ist das gleiche). Die werden alle wechselnd jede 2. Nacht gebootet.

Wir deaktivieren und archivieren. Gelöscht wird nicht. Zu viele Rückfragen wegen verwaister SIDs in irgendwelchen ACLs... Wo Norbert das her hat, würde mich aber auch interessieren - wir sind KRITIS, ich hab davon noch nichts gehört.

Freitag vorbei, Licht aus

Bin bei @cj_berlin # for hex 0x80090311 / decimal -2146893039 : SEC_E_NO_AUTHENTICATING_AUTHORITY winerror.h # No authority could be contacted for authentication. Da klappt was mit DNS nicht. Oder die NW-Verbindung von dem Client hat ein Problem.

@Nobbyaushb smells like spam...

300 GB im FAT-Format? Egal, wenn nur die FAT kaputt ist, kriegt man das mit gängigen Tools wieder hin. Wichtig wäre, den Inhalt zu dumpen und nicht auf dem Original "rumexperimentieren".

Hab rumgefragt - niemand erinnert sich daran. Kann auch sein, daß sich das zwischen MSA und gMSA unterscheidet, wir nutzen nur noch gMSA. Und das funktioniert auch ohne Schreibrechte auf dem AD-Account. Im Zweifel würde ich die SACL aktivieren und nachschauen, was da geblockt wird.

Wenns wichtig ist frag ich rum - wir haben das wohl im DefaultSD von gMSA angepaßt, weiß nur nicht was genau weil ich nicht dran beteiligt war...

Ob Du den TO mit *SACLs* nicht überforderst? SCNR...

Dann ist das wohl ein Problem der Anwendung, da wirst Du mit Windows-Bordmitteln nicht viel erreichen können.

FR kannst ignorieren - ich könnte erklären warum, aber das ist mehr als eine Zeile Text Du hast ein Problem mit den FSMO-Rollen.

Dann mach das mal. Unsere Universal-GPO mit w32tm-Config für Member, DC und PDCe hat das inzwischen für alle 3 Varianten komplett (also alle Regwerte). Hatte das am Anfang nämlich auch vergessen, daher waren mir Ursache und Lösung quasi sofort präsent

Klar kann ich das - gelegentlich... Du aber auch. Die Motivation war aber nicht, diejenigen zu erreichen, die System.DirectoryServices nutzen. Sondern die, die mit den "gängigen" Standardvorgehen bei Powershell über Dinge iterieren. Und dabei zu weit rechts filtern 😂 Diesen Mal nur nicht so offensichtlich.

Stimmen die AnnounceFlags? 5 darf nur der PDCe haben, alle anderen haben 10. Wenn andere DCs auch 5 haben, halten sie sich für "always reliable" und ignorieren NT5DS... Edit: Warum ich das vermute? Weil Du schreibst, daß einer alle FSMO-Rollen außer PDCe hat - also hat da mal wer den PDCe verschoben...

Was sieht denn wie genau aus? Ein Screenshot wäre sicher hilfreich. Und welche "GPO" hast Du erzeugt und konfiguriert?

Dasissnargument Um 5 aufstehen und dann bis 10 nix zu sich nehmen klingt nach "lästig"...

Der letzten Antwort von @NilsK habe ich nichts hinzuzufügen. Wenn sichergestellt ist, daß T2 keinen Schreibzugriff auf Sysvol/Netlogon hat, ist ein Virenscanner auf einem DC eher obsolet. Gibt es keine Trennung, wird's schwierig... Und wegen "Defender aufsichtsrechtlich ausreichend" - ja.

Scope beim Suchen auf der Domäne? Da sollte dann der lokale Member Computer ausgewählt werden Oder wie @testperson schreibt.

Ja dann nimm's halt rein, was hindert Dich daran? Schwierig wird das immer nur dann, wenn irgendwer nen Dienst unter NT SERVICE\xyz laufen lassen will. Der wäre in ALL SERVICES, aber wenn die das Recht nicht haben, startet dann der Dienst nicht. Spolier: ESU und himds

Kurzer Nachtrag dazu: Wenn der LDAP-Filter zu groß wird, geht das in die Hose. Nach ein paar Tests mit sAMAccountName - sind es mehr als ~40k Einträge (der Filter ist dann etwa 1 MB groß), verweigert der Server die Antwort. Belastbare Informationen über entsprechende Limits habe ich aber keine gefunden... Wenn jemand was dazu hat, gerne her damit $LDAPFilter = "(|" + ( ( 1..50000 | Foreach { "(sAMAccountName=User$_)" } ) -join '' ) + ")" $LDAPFilter.Length ( Measure-Command { $ADobjects = Get-ADObject -LDAPFilter $LDAPFilter } ).TotalSeconds Ergebnis: 1158897 Get-ADObject : Es kann keine Verbindung mit dem Server hergestellt werden. Dies liegt möglicherweise daran, dass der Server nicht vorhanden oder derzeit ausgefallen ist oder dass darauf nicht Active Directory-Webdienste ausgeführt wird. In Zeile:3 Zeichen:34 + ... e-Command { $ADobjects = Get-ADObject -LDAPFilter $LDAPFilter } ).Tot ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceUnavailable: (:) [Get-ADObject], ADServerDownException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADObject 0,319832