daabm

Die Leerzeichen sind doch eigentlich schnuppe, die dienen nur der "Luftigkeit" und Lesbarkeit - viel wichtiger ist der konsequente Zeilenumbruch. Ich halte mich dan an eine Regel , die man irgendwo im Netz auch nachlesen kann - findet der interessierte Leser bestimmt selbst: If ( blubb ) { Do-something } Else { Do-SometingElse } Das ist die einzige Variante, in der man an einer beliebigen Stelle eine neue Zeile einfügen kann, ohne daß der Code kaputt geht. Wenn ich das so schreibe If ( blubb ) { Do-something } Else { Do-SometingElse } dann funktioniert das natürlich genauso, aber ich kann an ziemlich vielen Stellen durch "Return" und EInfügen von Code das ganze kaputt machen. Edit: Der nachfolgende Text ist einem Bug im Editor des Forums geschuldet... If ( blubb ) { Do-something } Else { Do-SometingElse } If ( blubb ) { Do-something } Else { Do-SometingElse }

Zu viel Output in Deinen Samples - die zu kürzen würde mir grad fürs Verständnis sehr helfen...

Hatten wir doch grad eben schon fast das gleiche: Mit etwas Anpassung an den dort geposteten Lösungen solltest Du zum Ziel kommen.

@LEDZEPPELIN Ich weiß grad im Kopf nicht mal genau, welche Region Unterfranken eigentlich ist Bitte net hauen - Nürnberg kenn ich gut, Würzburg und Ansberg sind mir auch bekannt, aber die Grenzverläufe nicht... Testen mußt Du es eigentlich nicht - wenn die Variante von Olaf für dich funktioniert, ist doch alles ok. Aber jeder Skripter denkt etwas anders und findet daher andere Lösungen, und die von Olaf unterscheidet sich von meiner schon elementar, da dachte ich, ich stelle die trotzdem noch mit rein. @BOfH_666 Du bist bestimmt jetzt nicht böse, oder? Und rock stable ist es auch nicht - bei New-Item würde es abkacken, wenn der Zielordner schon existiert

Mit MS14-025 hat Microsoft die Speicherung von Account-Kennwörtern in den Group Policy Preferences entfernt. Du hast damit IMHO 2 Möglichkeiten: - Ausführen als SYSTEM. Mit allen Konsequenzen - kein Benutzerkontext verfügbar, Netzwerkressourcen als Computer etc. - Drittprodukte (runasspc fällt mir spontan ein, gibt bestimmt weitere) "Es tut sich nichts" ist übrigens eine ziemlich schlechte Fehlerbeschreibung. Was steht im Taskplaner bei der History deines Tasks? Wird er überhaupt angelegt? Was sagt gpresult, falls nein? Und @Sunny61 hat sowas von recht - /force ist flüssiger als Wasser Der Rest stimmt natürlich auch - wundert ihn vermutlich genauso wie mich, daß jeder immer denkt, gpupdate muß mit /force und in einer Admin-Commandline gemacht werden. Beides ist falsch.

Mir hat man im zarten Alter von 4 oder 5 Jahren beigebracht, vor dem Überqueren der Straße nach links und rechts zu schauen. Heute wird das wohl nicht mehr gemacht, und der durchschnittliche Noob steht mit gesenktem Gesicht (weil Handy vor der Brust) am Zebrastreifen und läuft einfach los. Ob da mein Auto jetzt (k)ein Geräusch macht oder ob da ein 40-Tonner gleich drüberdonnert, kriegt er wegen der Airpods auch nicht mit, so gesehen: Ich kann die Welt nicht im Alleingang retten, da muß schon jeder einzelne auch selbst mit anpacken.

Alder, ich BIN der Mann... Dachte ich bisher wenigstens

Wo Du recht hast... Umfragen unter sehbehinderten Menschen ergeben, daß diese genau KEINEN Geräuschgenerator in E-Autos wollen - die hören die Dinger auch so kommen. Nur die Sehenden, die zu b***d sind um zu schauen, brauchen das. BTW: Tesla Model S 90D - hab noch selten ein Auto gehabt, das so viel Spaß macht und trotzdem so wenig gefahren wurde (Corona sei "Dank"). Wer mal von nem normalen Verbrenner (bis 400 PS, Diesel egal) auf sowas umgestiegen ist, der will keinen anderen Antrieb mehr. Über die Bedienphilosophie kann man diskutieren, aber der Drive Train ist einfach nur zum Niederknien bei allen Tesla. Das haben die anderen alle etwas verkackt mit ihren 100 bis 150 kW.

Wenn das letzte Mal Küche putzen schon einige Jahre her ist, dann wird's aber wirklich Zeit!

...meistens nicht mal das, weil ja kein Anlass da ist. Oma sitzt einfach da, schaut aus dem Fenster und rührt in der Kaffeetasse, die schon seit Stunden leer ist

Da war der Olaf wieder schneller - ich wollte das noch etwas austesten, würde bei mir so aussehen: $Source = 'c:\abc' $Target = 'c:\xyz' $ext = 'nfo' $Names = Get-ChildItem -Path $Source -Filter "*.$Ext" -Recurse | Foreach { Add-Member -InputObject $_ -MemberType NoteProperty -Name NameLength -Value $_.BaseName.Length -PassThru } $Names = $Names | Sort -Property NameLength -Descending Foreach ( $Name in $Names ) { # alle Files im gleichen Folder wie das NFO $Files = Get-ChildItem -Path $( $Name.DirectoryName ) # alle Files "irgendwo" $Files = Get-ChildItem -Path $Source -Filter "$( $Name.BaseName )*" -Recurse $CurrTarget = "$Target\$($Name.BaseName)" # jetzt noch die Files kopieren/moven New-Item $CurrTarget Foreach ( $File in $Files ) { $File | Move-Item -Destination $CurrTarget -Force } } Hat in meinen Augen den Charme, daß es die längsten Basenames zuerst verarbeitet - damit sind Fehlinterpretationen etwas reduziert. Aber das ist natürlich wurscht, wenn Du tatsächlich nur Fanart und Poster hast Und Schleifchen kann man sicher auch noch drankleben Edit: Ja, es ist oft besser, das eigentliche Ziel darzustellen als nach einer Lösung für Schwierigkeiten auf dem halben (und manchmal falschen) Weg zu fragen

Ich seh da ein klares Muster mit *.mkv als "Master-Namensteil"... Müßte man nur in ein nach Länge sortiertes Array werfen und alles wird gut Bleibt dann natürlich was über, weil die 3 Files "Bayern München (2020)" kein mkv dazu haben, aber Leichen kannst Du sicher manuell bereinigen. Oder man nimmt *.nfo als Master, dann klappt auch das. Und alle zusätzlichen Dateien dazu heißen ja immer *-<irgendwas>. @Damian Zauberstab ist doch kein Problem... https://esge-zauberstab.de/

@Damian Das Problem mit solchen dedizierten Laberthreads ist, daß sie keinen Anlass bieten - der taucht immer nur in den realen Threads auf. Du weißt sicher, was ich meine Und ich kenne auch kein noch so fachliches Gespräch "in persona", das nicht ebenso regelmäßig irgendwohin kurz oder länger abdriftet. Gehört wohl einfach zum menschlichen Naturell...

Naja, entweder ist ein Leerzeichen ein Trennzeichen oder eben nicht. Wenn man aus den Namen keine Regel ableiten kann, geht das nicht automatisiert. Das letzte Leerzeichen als Trennzeichen ginge z.B. Du mußt nur "irgendwie" in der Lage sein, eine allgemeingültige Regel zu formulieren, die auf ALLE Dateien passt - oder eine, die "not matching" aussortieren kann, die Du dann manuell prüfen mußt.

Wenn Nut, Ella der Owner ist, hat sie auf die Unterordner doch Vollzugriff - aber nur wenn sie die auch selber erstellt Da wirst um ein wenig Skripting und icacls nicht herumkommen... PS: Was genau ist denn "korrekt eingerichtet" für ERSTELLER-BESITZER für Dich? Also wie exakt sieht die ACL von Userhome aus? (icalcs-Ausgabe wäre am besten, Screenshots vom Explorer sind ok solange nirgends "speziell" steht.)

Solange der TO sich nicht beschwert und die Boardleitung das noch ok findet - muß auch mal sein in diesen Tagen. Mir fehlt das Klönen mit den Kollegen, da muß man halt auch mal auf andere Medien ausweichen Aber in der Tat, das gehört eigentlich woanders hin...

Wohin sollte das denn auch verschoben werden? $Test.Fullname fängt immer mit C:\Test an, und da liegen die ja schon... Schwerer Denkfehler in der Logik, scheint mir Nachtrag: Vielleicht hilft es, wenn Du mal erzählst, was das EIGENTLICHE Ziel ist. Du hast oben nicht das Ziel formuliert, sondern schon eine Teillösung, die möglicherweise ungeeignet ist...

Und von 95 bis 97 haben wir interimsweise wieder Rechenschieber benutzt?

VPN von einem "untrusted device" geht gar nicht. ym2c...

Eyes wide shut... Warum hat "die Maschine" noch Windows 7???

Für die praktische Umsetzung verkauft MSFT gerne jede Menge Consulting Service Und da gibt es eh kein "Patentrezept"; das MUSS immer im unternehmensintern möglichen Rahmen passieren. Kein AD-Admin hat unbegrenztes Budget... Oder kann mal eben so das gesamte Berechtigungs- und Zutritts-/Zugriffskonzept auf rückwärts bürsten. In o.a. Thread hab ich ja schon ein paar Sachen gepostet. Vielleicht magst den hier auch noch intensiv studieren: PS: Mit dem Builtin Admin haben wir vor 20 Jahren schon nicht gearbeitet - auf die Idee wäre ich jetzt (kein Witz!) echt nicht gekommen.

1. ABE läßt sich - wenn gewünscht - für alle Server und alle vorhandenen und zukünftigen Freigaben per GPO aktiveren (Preferences können das) 2. Norbert ist doch kein Scherzkeks - er ist nur ein Keks und damit auch der beste Freund vom Krümelmonster SCNR...

Ich verstehe nicht, warum Du die T0-Admins unbedingt aufwändig delegieren willst. Steck sie in die Dom-Admins und fertig. Was ist für dich "das Domänen-Admin Konto"? Ein T0-Admin ist Admin der Domäne(n). Wir machen das so: Ausgewählte named User sind Mitglied der Dom-Admins in einem Red Forest. Über Shadow Principals sind sie auch direkt Mitglied aller Dom-Admins der "untergeordneten" Forests (PAM-Trust). Müßte man eigentlich mit zeitlimitierten Tickets machen, aber wir sind ein Konzern, wir kriegen nicht alles, was wir uns wünschen Alle anderen Accounts liegen in einem eigenen Blue Forest und werden über einen konventionellen Oneway Trust auf den Zielservern berechtigt. Die Dom-Admins dürfen sich nur auf DCs und einer Handvoll T0-Systemen anmelden. Die T1-Admins nur auf den Systemen, die zu ihrer Rolle gehören. Analog für T2. Das klappt ohne Deny, weil wir schlicht schon das Allow-Recht und die lokalen Admins (die ja immer dürfen) passend einstellen. Das Delegationsprinzip basiert auf dem hier: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Wurde ein wenig erweitert auf Umgebungsvariablen, die die Gruppennamen definieren - und die Variablen wiederum kommen aus dem Service, zu dem das System gehört. Exemplarisch: GG-ServerAdmins-SQL -> Variable wäre %ServiceName%=SQL, Gruppe in einer Master-GPO dann GG-ServerAdmins-%ServiceName%. Damit reicht eine GPO für alle. Und weil Namen mir eigentlich wumpe sind - die lauten bei uns natürlich anders, aber das Prinzip ist so umgesetzt. Name des Service = Variable, Name der Gruppe enthält Variable, fertig. Wie die Variable zustandekommt, ist dabei egal. Bei uns kommt sie aus der Parent-OU des Computers, kann aber natürlich auch aus einer CMDB im Deployment gesetzt werden. Was besser wäre - aber siehe oben, man muß mit dem arbeiten, was man hat oder bekommt. Bei den Benutzerrechten machen wir das analog, aber mit zwischengeschalteten computerlokalen Gruppen. Auf jedem (!) Member werden 47 lokale Gruppen für jedes User Privilege angelegt und geleert. Nachrangige GPOs füllen die dann mit Mitgliedern. Funktioniert prima und ist um Größenordnungen einfacher als direkt die User Privileges zu verwenden, die ja bekanntlich nicht kumulativ sind. In der GPO dazu steht dann "Lokal anmelden zulassen" -> "seInteractiveLogonPrivilege". In der gleichen GPO wird über Preferences seInteractiveLogonPrivilege angelegt und geleert. Und die Gruppe GG-ServerAdmins-%ServiceName% hinzgefügt. Mit Item Level Filtering auf den LDAP-Pfad der Gruppe, die MUSS in der OU sein, in der der Computer ist. Sonst könnte irgendwer irgendwo eine Gruppe anlegen und die hätte dann Rechte - geht gar nicht Ein LDAP-Filter im ILT braucht etwa 2 bis 5 ms, ein Performance Issue ist das IMHO also nicht. Muß man mal durchspielen, klappt aber und ist sehr einfach zu verwalten... PS: Kontenverwaltung im Blue Forest macht das Identity Management. Kontenverwaltung im Red Forest ist manuell, weil wir keine 2 IDM-Instanzen bekommen. Delegation von Userverwaltung im Blue Forest (wenn kein IDM da ist) wäre dann an einen Account im Blue Forest, der da auch Dom-Admin sein kann. Oder halt nur Konten-Administrator. Oder sonst ne delegierte Rolle. Du mußt glaub mal Bilder malen und aufschreiben, was Du genau erreichen willst, dann können wir besser über das "wie" reden. Und wenn Du nur einen Forest hast: T0-Admins sind in den Dom-Admins. T1-Admins siehe oben. Konten-Admins für T0-Accounts können selbst nur T0-Accounts sein. Konten-Admins für T1-Accounts können delegiert werden, T0-Admins können das aber immer auf jeden Fall auch machen, da brauchst keinen 2. Account. Das Kernelement der Tier-Trennung IMHO ist nicht "was darf ich im AD", sondern "wo kann ich mich administrativ anmelden".

...und um eine CA zu betreiben, braucht man wesentlich mehr als nur die CA Stichwort AIA/CPS/xyz, da gibt's jede Menge zu beachten, wenn das Bestand haben soll.

Was spricht gegen eine Cloud-Lösung? Gibt genügend Möglichkeiten, die so zuzunageln, daß kein anderer rankommt (BoxCryptor etc.)... Wäre halt deutlich einfacher als alles andere. Ansonsten fehlt mir persönlich noch die exakte Anforderung: Was genau bedeutet "Übergabe der Mess-ID"? Was genau ist mit "sendet Ergebnis zurück" gemeint? Und wie hoch darf der Aufwand dabei sein? In einer idealen Welt hätte der Dienstleister einen SSL-Webservice, der ein Clientzertifikat verlangt. Dir würde er dann ein solches Zertifikat ausstellen, und Du könntest den Webservice per REST ansprechen. So als Idee...