daabm

Wenn Nut, Ella der Owner ist, hat sie auf die Unterordner doch Vollzugriff - aber nur wenn sie die auch selber erstellt Da wirst um ein wenig Skripting und icacls nicht herumkommen... PS: Was genau ist denn "korrekt eingerichtet" für ERSTELLER-BESITZER für Dich? Also wie exakt sieht die ACL von Userhome aus? (icalcs-Ausgabe wäre am besten, Screenshots vom Explorer sind ok solange nirgends "speziell" steht.)

Solange der TO sich nicht beschwert und die Boardleitung das noch ok findet - muß auch mal sein in diesen Tagen. Mir fehlt das Klönen mit den Kollegen, da muß man halt auch mal auf andere Medien ausweichen Aber in der Tat, das gehört eigentlich woanders hin...

Wohin sollte das denn auch verschoben werden? $Test.Fullname fängt immer mit C:\Test an, und da liegen die ja schon... Schwerer Denkfehler in der Logik, scheint mir Nachtrag: Vielleicht hilft es, wenn Du mal erzählst, was das EIGENTLICHE Ziel ist. Du hast oben nicht das Ziel formuliert, sondern schon eine Teillösung, die möglicherweise ungeeignet ist...

Und von 95 bis 97 haben wir interimsweise wieder Rechenschieber benutzt?

VPN von einem "untrusted device" geht gar nicht. ym2c...

Eyes wide shut... Warum hat "die Maschine" noch Windows 7???

Für die praktische Umsetzung verkauft MSFT gerne jede Menge Consulting Service Und da gibt es eh kein "Patentrezept"; das MUSS immer im unternehmensintern möglichen Rahmen passieren. Kein AD-Admin hat unbegrenztes Budget... Oder kann mal eben so das gesamte Berechtigungs- und Zutritts-/Zugriffskonzept auf rückwärts bürsten. In o.a. Thread hab ich ja schon ein paar Sachen gepostet. Vielleicht magst den hier auch noch intensiv studieren: PS: Mit dem Builtin Admin haben wir vor 20 Jahren schon nicht gearbeitet - auf die Idee wäre ich jetzt (kein Witz!) echt nicht gekommen.

1. ABE läßt sich - wenn gewünscht - für alle Server und alle vorhandenen und zukünftigen Freigaben per GPO aktiveren (Preferences können das) 2. Norbert ist doch kein Scherzkeks - er ist nur ein Keks und damit auch der beste Freund vom Krümelmonster SCNR...

Ich verstehe nicht, warum Du die T0-Admins unbedingt aufwändig delegieren willst. Steck sie in die Dom-Admins und fertig. Was ist für dich "das Domänen-Admin Konto"? Ein T0-Admin ist Admin der Domäne(n). Wir machen das so: Ausgewählte named User sind Mitglied der Dom-Admins in einem Red Forest. Über Shadow Principals sind sie auch direkt Mitglied aller Dom-Admins der "untergeordneten" Forests (PAM-Trust). Müßte man eigentlich mit zeitlimitierten Tickets machen, aber wir sind ein Konzern, wir kriegen nicht alles, was wir uns wünschen Alle anderen Accounts liegen in einem eigenen Blue Forest und werden über einen konventionellen Oneway Trust auf den Zielservern berechtigt. Die Dom-Admins dürfen sich nur auf DCs und einer Handvoll T0-Systemen anmelden. Die T1-Admins nur auf den Systemen, die zu ihrer Rolle gehören. Analog für T2. Das klappt ohne Deny, weil wir schlicht schon das Allow-Recht und die lokalen Admins (die ja immer dürfen) passend einstellen. Das Delegationsprinzip basiert auf dem hier: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Wurde ein wenig erweitert auf Umgebungsvariablen, die die Gruppennamen definieren - und die Variablen wiederum kommen aus dem Service, zu dem das System gehört. Exemplarisch: GG-ServerAdmins-SQL -> Variable wäre %ServiceName%=SQL, Gruppe in einer Master-GPO dann GG-ServerAdmins-%ServiceName%. Damit reicht eine GPO für alle. Und weil Namen mir eigentlich wumpe sind - die lauten bei uns natürlich anders, aber das Prinzip ist so umgesetzt. Name des Service = Variable, Name der Gruppe enthält Variable, fertig. Wie die Variable zustandekommt, ist dabei egal. Bei uns kommt sie aus der Parent-OU des Computers, kann aber natürlich auch aus einer CMDB im Deployment gesetzt werden. Was besser wäre - aber siehe oben, man muß mit dem arbeiten, was man hat oder bekommt. Bei den Benutzerrechten machen wir das analog, aber mit zwischengeschalteten computerlokalen Gruppen. Auf jedem (!) Member werden 47 lokale Gruppen für jedes User Privilege angelegt und geleert. Nachrangige GPOs füllen die dann mit Mitgliedern. Funktioniert prima und ist um Größenordnungen einfacher als direkt die User Privileges zu verwenden, die ja bekanntlich nicht kumulativ sind. In der GPO dazu steht dann "Lokal anmelden zulassen" -> "seInteractiveLogonPrivilege". In der gleichen GPO wird über Preferences seInteractiveLogonPrivilege angelegt und geleert. Und die Gruppe GG-ServerAdmins-%ServiceName% hinzgefügt. Mit Item Level Filtering auf den LDAP-Pfad der Gruppe, die MUSS in der OU sein, in der der Computer ist. Sonst könnte irgendwer irgendwo eine Gruppe anlegen und die hätte dann Rechte - geht gar nicht Ein LDAP-Filter im ILT braucht etwa 2 bis 5 ms, ein Performance Issue ist das IMHO also nicht. Muß man mal durchspielen, klappt aber und ist sehr einfach zu verwalten... PS: Kontenverwaltung im Blue Forest macht das Identity Management. Kontenverwaltung im Red Forest ist manuell, weil wir keine 2 IDM-Instanzen bekommen. Delegation von Userverwaltung im Blue Forest (wenn kein IDM da ist) wäre dann an einen Account im Blue Forest, der da auch Dom-Admin sein kann. Oder halt nur Konten-Administrator. Oder sonst ne delegierte Rolle. Du mußt glaub mal Bilder malen und aufschreiben, was Du genau erreichen willst, dann können wir besser über das "wie" reden. Und wenn Du nur einen Forest hast: T0-Admins sind in den Dom-Admins. T1-Admins siehe oben. Konten-Admins für T0-Accounts können selbst nur T0-Accounts sein. Konten-Admins für T1-Accounts können delegiert werden, T0-Admins können das aber immer auf jeden Fall auch machen, da brauchst keinen 2. Account. Das Kernelement der Tier-Trennung IMHO ist nicht "was darf ich im AD", sondern "wo kann ich mich administrativ anmelden".

...und um eine CA zu betreiben, braucht man wesentlich mehr als nur die CA Stichwort AIA/CPS/xyz, da gibt's jede Menge zu beachten, wenn das Bestand haben soll.

Was spricht gegen eine Cloud-Lösung? Gibt genügend Möglichkeiten, die so zuzunageln, daß kein anderer rankommt (BoxCryptor etc.)... Wäre halt deutlich einfacher als alles andere. Ansonsten fehlt mir persönlich noch die exakte Anforderung: Was genau bedeutet "Übergabe der Mess-ID"? Was genau ist mit "sendet Ergebnis zurück" gemeint? Und wie hoch darf der Aufwand dabei sein? In einer idealen Welt hätte der Dienstleister einen SSL-Webservice, der ein Clientzertifikat verlangt. Dir würde er dann ein solches Zertifikat ausstellen, und Du könntest den Webservice per REST ansprechen. So als Idee...

Der Workaround mit wscript und einem VBS-Wrapper scheint aktuell die einzig brauchbare Möglichkeit zu sein. wscript startet immer ohne sichtbares Fenster. Mir ist nichts anderes "brauchbares" für den Busy Admin bekannt.

@NilsK Erwischt Spaß beiseite - ich hatte eine Konversation mit Nils, und da kam ein Aspekt zur Sprache, den ich nicht bedacht habe. Ich bin so unterwegs, daß mir Bücher kaum helfen, meine Wissenserweiterung kommt vor allem aus Blogs und ähnlichem... (Selbstversuch, Bewußtseinserweiterung und all so Zeug ). Das hatte ich bei meinem Kommentar oben dämlicherweise ausgeblendet... Ich würde bei Fachbüchern empfehlen darauf zu achten, daß sie aus einem rennomierten Verlag stammen und daß der Autor auch noch irgendwo im Netz zu finden ist und nicht nur auf dem Buchrücken. Ich nehm mal Nils als Beispiel - bietet sich grad an: Er hat momentan 4 Bücher bei Amazon am Start, aber faq-o-matic.net ist auch noch da und hier ist er auch sehr aktiv. Das ist für mich Berufung. Und ein anderer mir bekannter Buchautor hat zwar auch 2 Bücher geschrieben, ist im Netz aber nirgends zu finden. Kein Blog, keine Website, keine Foren. Das ist dann Beruf.

Die stehen auf privat, weil der jeweilige Server beim Boot keinen DC findet. Warum? Das mußt Du jetzt herausfinden... Könnte helfen, den DC "vorher" neu zu starten und nicht alle gleichzeitig

Typo... Das wird schon ein Outlook-Objekt sein, sonst hätte es nicht diese Properties - auch wenn die nicht leer sein dürften. Ich kann allerdings auch nur die Glaskugel fragen, und die ist ziemlich trübe - hier mit O2016 kommt das raus: PS C:\WINDOWS\system32> $OL = New-Object -ComObject outlook.application $OL Application : Microsoft.Office.Interop.Outlook.ApplicationClass Class : olApplication Session : Microsoft.Office.Interop.Outlook.NameSpaceClass Parent : Assistant : Name : Outlook Version : 16.0.0.13328 COMAddIns : System.__ComObject Explorers : {} Inspectors : {} LanguageSettings : System.__ComObject ProductCode : {90160000-000F-0000-1000-0000000FF1CE} AnswerWizard : FeatureInstall : msoFeatureInstallOnDemand Reminders : {$null, $null, $null, $null...} DefaultProfileName : Outlook IsTrusted : False Assistance : System.__ComObject TimeZones : {System.__ComObject, System.__ComObject, System.__ComObject, System.__ComObject...} PickerDialog : System.__ComObject Kann es sein, daß es auf dem Rechner zwar Outlook gibt, aber kein Profil eingerichtet ist?

Ich bin bei Olaf - das ist ein ungünstiges Format. Du kannst dem Add-ADGroupMember schon ein Array von Usern mitgeben, die aufgenommen werden sollen. Aber dazu muß es aus Powershell-Sicht auch ein Array sein. Wenn Du UPNs bekommst (und zwar wirklich UPNs und nicht Mailadressen), dann kannst Du die auch direkt in ein Array stecken und übergeben, es wäre nicht nötig, sich die User-Objekte dafür einzeln zu holen. In deinem Code dürfte bei mehr als 1 Member schon Get-ADUser scheitern - dem kann man das so nicht übergeben. Weil es einfach keinen User gibt, dessen UPN so aussieht: "user.user01@contoso.com user.user02@contoso.com user.user03@contoso.com" Damit übergibst Du natürlich danach eine leere Memberliste Excel (bzw. Tabellen) gehen als Input für so was schon. Aber da Excel keine "nested tables" hat, brauchst Du als Input eine Tabelle mit genau 1 Gruppe, 1 User pro Zeile. Dann ist es easy. In Powershell würde man dafür ein PSCustomObject erstellen. Property "Name" wäre der Name der Gruppe, und Property "Members" wäre ein Array (!) der Mitglieder. Und genau dieses Array liefert Dir Import-CSV nicht. HTH, auch wenn's etwas wirr formuliert ist...

Ich habe keine validen Infos dazu gefunden - aber anscheinend passiert das nur bei (jedem) Neustart. Wenn in dem Moment (wegen VPN) keine Netzwerkverbindung zum AD vorhanden ist, wird nicht aktualisiert, und später im laufenden Betrieb wohl auch nicht mehr. Irgendwie auch nachvollziehbar - das im laufenden Betrieb immer wieder abzufragen/zu aktualisieren ist ja eigentlich Overkill. Und eine neue OS-Version ist beim Neustart ja spätestens präsent. Insofern mußt die fraglichen Clients wohl anders ermitteln - das Feld ist schreibbar, kannst Du also bei Bedarf auch gleich mit aktualisieren.

Wenn's nicht zu viel Aufwand ist, würde ich dem User mal einen anderen Client spendieren. Ich weiß jetzt nicht wirklich im Detail, wie weit RDP auf lokale HW-Ressourcen zugreift, aber das sieht eigentlich nach einem HW-/Treiberproblem aus. Und mit Dingen wie RemoteFX landet davon ziemlich viel auf der Client-HW.

Central Store wegwerfen und mit dedizierten Admin-Workstations arbeiten eliminiert dieses Problem ziemlich schnell... Und gpmc.msc verhält sich ziemlich genau wie erwartet. Die Fehermeldungen waren vermutlich irgendwas mit "Ressource xyz from blabla.admx not found". Aber das kannst Du ja noch nachliefern. Ich stimme Norbert auch zu - Fettschrift in Forenbeiträgen sollte man sparsam verwenden. Sehr sparsam

Ja, hab ich. Aber wer immer nur nach den Trauben auf Nasenhöhe greift... Spaß beiseite, das war nicht böse gemeint. Aber es gibt viele Bücher, und leider auch viele schlechte, das wissen glaub alle hier. Du eh

Kann man sicher diskutieren (ich finde doch, die Screenshots reichen mir) - aber ein neues gutes Buch dazu wird es auf absehbare Zeit nicht mehr geben, da GPOs bei MSFT irgendwie "deprecated" sind, da entwickelt keiner mehr was weiter... Wenn Du durch meinen Blog stöberst, findest auch ein paar Beiträge zum Thema "Vererbungsreihenfolge, winning GPO" mit Beachtung von Loopback. Und zum Grundsatzproblem von "additiv" vor allem mit Bezug auf "Zuweisen von Benutzerrrechten".

Ich nicht - DDP und DDCP läßt man einfach, wie sie sind... Warum? Sie haben wellknown GUIDs, dcgpofix überschreibt sie, und Änderungen im Domain Head an PW-Policies wandern in die DDP zurück. Nur eine eigene "DDP" kann das übersteuern... Zum Thema "Benutzerrechte additiv statt last writer wins": https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html @michelo82 Du hast das falsche Buch gelesen

Fehlerursachen: #1 Firewalls #2 Schlangenöl und Antivirus #3-xxx alles andere SCNR

Vielleicht auch doch - man kann mMn das Thema nicht oft genug strapazieren, bis auch der letzte Betonkopf kapiert hat, daß Kennwörter a) eh out of date sind und b) regelmäßige Änderungen komplett kontraproduktiv

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"... Und eine Arbeits-VM auf einem Admin-Hostrechner, das ist doch nun wirklich keine große Einschränkung... Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%? Ich kann mir niemanden vorstellen, der das bei einer derart hohen Wahrscheinlichkeit machen würde... Keiner unserer Jumpserver kann ins Internet. Keiner der darüber ereichbaren Admin-Server kann ins Internet. Kein Domain Controller kann ins Internet. Und das ist auch gut so. (Könnte noch besser sein, aber ok...)