daabm

Automatische Belegverarbeitung im Finanzwesen... Auf dem Zielshare hängt ein Watcher, der dann weiter "prozessiert"

"Kann sich nicht anmelden" ist keine Fehlerbeschreibung... Was sagt das Security Eventlog des Clients?

Ich werfe mal "LegalNoticeCaption" und "LegalNoticeText" für den Hinweis vor der Anmeldung in den Raum. Und "nicht verändert werden" dürfte schwierig werden, aber wenn man nur temporäre Profile verwendet, kriegt man das auch in den Griff. Frage ist nur - "warum"? Also rechtfertigt der nicht geringe Aufwand das Erreichen de uns unbekannten eigentlichen Ziels?

Ja, sind aktuell. Lexmark Support arbeitet mit, Debug Traces und der ganze Kram...

Lexmark, aber frag mich nicht nach dem genauen Modell.

A-Record ist die "sichere" Variante. Bei CNames kommt es auf die Implementierung im Client an. Windows verwendet den Namen, den man nutzt, ohne weiteres FengShui. Wir haben aber z.B. festgestellt, daß der Krüppel-Kerberos-Stack mancher MFPs erst mal eine Namensauflösung macht - genau EINE - und wenn da ein Name zurückkommt, wird der verwendet. Ich weiß, klingt komisch, ist aber so... Und blöderweise haben unsere Server eine Kette von 2 CNames bis zum A-Record (CName -> CName -> A-Record) - der MFP verwendet dann einen CName, der weder identisch mit dem eingetragenen Namen ist noch mit dem eigentlichen Hostnamen.

Dann machst Du da schon mal mehr als ganz viele andere Gut so! Das korrekte Typing hat ja mehr Vorteile als nur "alle Objekteigenschaften" - es ist die erste "Hürde" der Parameter Validation, und wenn die genommen ist (das Input-Objekt hat den richtigen Typ), ist auch die zweite Validierung (z.B. auf korrekte Inhalte bestimmter Properties oder deren Übereinstimmung mit bestimmten Enums) deutlich einfacher als wenn da einfach nur ein String daherkommt. Und weil ich oft mit AD-Objekten zu tun habe. Es erspart einem auch das Holen des "eigentlichen" Objekts, nur weil ein AD-User als [String] typisiert wurde und dadurch zum Distinguished Name degradiert, zu dem ich dann _noch mal_ das vollständige Objekt aus AD holen muss.

Soweit klar. Da kann Dir keine Firewall helfen, Du mußt irgendwie zu unterschiedlichen IPs kommen.

Ja, das alte Problem. Anleitungen liest eh keiner, und wenn dann nur bis Mitte erste Seite, alles was danach kommt ist eh nur noch Anhang... Oder wie? 😁

@NorbertFe Lies halt selber...

Schrub er oben schon - will er nicht. "Lesen bildet"... SCNR Billige Lösung, wenns Windows ist: Share 2 -> DFSR -> andere IP. Wenn sich das Szenario für DFS eignet, natürlich.

Ja, so wie "wir haben in der AD [...]" - meine Fußnägel bohren sich grad in den Fußrücken, so weit sind die hochgerollt...

Naja, kommt drauf an was Du unter "Typisieren" da genau verstehst Ich seh oft [String] oder vielleicht noch [Int], das ist für mich keine echte Typisierung. Ich mach viel mit GPOs, in manchen Skripts/Funktionen gibt es da Parameter wie [Microsoft.GroupPolicy.GPOStatus] $Status Der Typ ist ein Enum, und das hat dann echten Mehrwert (Tab-Expansion und automatisches ValidateSet). Und bei echten Objekten wie [Microsoft.GroupPolicy.GPO] $SourceGPO natürlich auch. Zweiteres würden die meisten aber wohl als [String] machen.

Das Typisieren hat Vor- und Nachteile. Einer der größten Vorteile - für mich und wenn möglich - ist das Typisieren von Input-Parametern. Wenn Du da passende Enums findest, gibt es Intellisense vom feinsten Leider muss aber ggf. das passende Asssembly vorher geladen sein. Alles nicht so einfach 😂 Und bei den Outputs, ja ein wenig Intellisense gibt es da dann auch dazu. Die Typ-Namen kannst Du - wenn erforderlich - durch using-Direktiven verkürzen, aber das verbessert die Lesbarkeit nur teilweise, weil man jetzt halt wissen muss, zu welchem Namespace der Typ gehört.

Das stand da bestimmt nicht - oder wirklich? Fehlermeldungen helfen nur im Wortlaut, nicht aus der Erinnerung. Und die Fehlerdetails helfen dann auch gerne.

War auch mein Gedanke - "zaubern" hat wohl unterschiedliche Bedeutungen Kriegst Du Provision dafür und für den folgenden Abschnitt?

# for hex 0xc00002e2 / decimal -1073741086 : STATUS_DS_INIT_FAILURE ntstatus.h # Directory Services could not start because of the following # error: # %hs # Error Status: 0x%x. # Please click OK to shutdown this system and reboot into # Directory Services Restore Mode, check the event log for # more detailed information. Und da Du ja in den DSRM booten kannst - hast Du denn da dann mal ins Eventlog geschaut?

Genaugenommen (aber @cj_berlin weiß das natürlich auch) braucht niemand LDAPS, der einen SASL-Bind hinbekommt. Die meisten sind nur zu faul, das zu implementieren

Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose.

Auf den Synos läuft ja i.d.R. noch jede Menge App-Kram, vielleicht ist was davon dafür verantwortlich. Aber so tief steck ich in den Dingern nicht drin

Weil sie Apple nacheifern? "Restricted environment - bonded to manufacturer"... SCNR

Wie @Gu4rdi4n schon passend festgestellt hat: Eine vorgebliche Preissenkung impliziert kein günstiges Angebot

Rollen transferieren/seizen macht man entweder per Powershell (siehe oben) oder per NTDSUTIL. Nicht per dsa.msc

Ja, was soll es auch sonst machen? Kein SPN -> kein Kerberos-Ticket Wir haben da übrigens ziemlich raffinierte Konstrukte, um recht dynamisch Domain Realms zu konfigurieren. Wenn Disjoint Namespaces bei Euch ein Thema sind (DNS-Zone != AD-FQDN), kannst gern auf mich zukommen. Natürlich auch ebenso gerne hier im Forum, dann haben alle was davon.

DS - "Disk Station"? Dann wäre es ein Synology... Und LLMNR kann man - wenn man eine brauchbare DNS-Infrastruktur hat - problemlos deaktivieren, vermeidet dann auch ganz viel unnötigen Traffic im Netz.