daabm

Lustig - grad antworte ich in einem anderen Thread mit einem Link, der auch hier prima paßt If it's not compromised, there's no need to change it.

...und für das Ändern von Computerkennwörtern (und auch das des krbtgt) gilt grundsätzlich das gleiche wie für alle anderen Kennwörter: If it's not compromised, there's no need to change it.

Was die MFA dabei helfen kann, entzieht sich mir komplett. Und "a device that is not trusted" kann man bei der ersten Anmeldung "abhaken" - da gibt's diese schöne Checkbox Vielleicht wäre Aufklärung besser als Regulierung - jede Regulierung hat Lücken und führt automatisch zur Suche nach Umgehungsmöglichkeiten. Und wenn Du bei der Regulierung bleiben willst: Was spricht dagegen, dem zweiten Account einen Zeitplan zu geben, der an die Schulzeiten angepaßt ist?

Oh ja, das unterschreibe ich. Gerne auch dreimal und mit einem goldenen Stift...

Gelitten dot com. Sorry, ist hart, aber gelöscht ist in dem Fall gelöscht. DFS-R hat keinen "Papierkorb".

Für Outlook gibt's immer noch Redemption von Dimastr. Aber die Lernkurve ist relativ steil - ob sich das lohnt?

Full ACK für Jan. Application Whitelisting, alles andere ist Schlangenöl...

Vielleicht wäre es einfacher, die Integration des Firmen-Device in die heimische Peripherie zu verbessern... Ich bin hier auch umgestiegen - Dell 3415UW hat einen Dual USB-Uplink, da reichen 2 Kabel am Firmen-Laptop (USB und HDMI) und ich bin "integriert". Mit einer USB-C Docking Station würde ggf. sogar 1 Kabel reichen. Ansonsten wird's wohl die Windows-FW sein, der eine passende Inbound-Regel für 3389 fehlt.

Also hier laufen 2 Synologys, die auch Gateway sind. Nur so, um etwas Verwirrung zu stiften

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

Was in Homeshare steht, resultiert aus dem Homedrive-Eintrag im AD-Account. Was auch immer Ihr da eingetragen habt.

Vielleicht ist das bestehende Rad nicht schön genug, und jetzt soll halt ein neues erfunden werden? Ich würde das - wenn ich es denn schon selbst baue - auch über einen FSW erledigen. Funktioniert prima und erzeugt - wenn das Watcher-Ziel ein lokales Dateisystem ist - null Systemlast. Ein WMI Event Sink ginge auch, läuft unter der Haube aber auf das gleiche raus wie der FSW.

Bei 165 Clients? Wir haben möglicherweise unterschiedliche Perspektiven auf "sinnvoll"

Hilft alles nichts, solange in einem der aufgerufenen Batches "Exit" steht. Exit ist kein Batch-Befehl, sondern ein cmd.exe-Befehl - und Exit beendet die laufende cmd.exe und damit alle darin laufenden egal wie verschachtelten Batches. Korrekt wäre "GOTO :EOF"... Oder - wenn da keine Subroutinen enthalten sind - einfach "nichts", am Dateiende endet eine Batchdatei nämlich automatisch. Und das schon immer

Den NLA-Restart haben wir als "Notnagel" auch eingebaut. Funktioniert eigentlich immer.

RPC auf nur einen Port festzunageln ist ein Schuß ins Knie - da läuft ziemlich viel drüber. "Moderne" Firewalls können das dynamisch freischalten, wenn das nicht geht, empfehle ich 1000 Ports als Range. RPC kann leider nicht auf einem einzigen Port mehrere Sockets bedienen, da sind immer glaub 10 aktive Listener, und für jeden belegten kommt dann ein weiterer dazu. Und Jan hat's schon gesagt - der Artikel scheint ziemlich viele Ports zu fordern, aber die braucht's leider auch. AD-Replikation, DFS/NTFRS-Replikation, Netlogon High Port usw usw, die Liste ist leider lang

Du mußt konkreter werden - der MS-Artikel ist eigentlich erschöpfend, und alles, von dem Du weißt, daß Du es nicht brauchst, kannst Du natürlich rausnehmen. Was soll mit den restlichen Ports sein?

Ach guck, der lustige Wolpertiinger ist auch noch da Hallo Olaf! Ja, stimmt. Aber ehrlich, "einzigschter" ist tatsächlich badisch für "einziger". Und "anderschter" steht dann für "anders". Andere Länder, andere Dialekte...

Ne, aber in meiner Firma - Hauptsitz Karlsruhe, da gibt's komische Auswüchse

Hm - Scope... Ich glaub ich hab das nicht deutlich rübergebracht: Scope, Scope, Scope! $ZeitServer_Test_Ausgabe=$Ausgabe_Ergebniss | fl | out-string; Das ist in zweierlei Hinsicht - sorry - Mist. Einerseits zerstörst Du mit "| fl | out-string" jedwede Objekteigenschaften und machst $Ausgabe_Ergebniss zu einem Stringhaufen. Andererseits existiert diese Variable nur INNERHALB ihres Scopes und das ist diese nested Function. "get-help about_scopes" wäre meine erste Empfehlung in dieser Situation Und wie Olaf schon schrieb: Wenn Funktionen etwas tun, was dann woanders benötigt wird, dann speichern sie das nicht in Variablen (die dann nur im Funktions-Scope existieren), sondern sie geben es zurück. Entweder per Return $var explizit oder einfach per $var in die Pipeline. Zweiteres klappt aber nur, wenn man darauf achtet, daß man keinen "Kruscht" in die Pipeline schreibt. Weil auch ein simples "Hallo" in ebendieser landet.

"Einzigste" bitte. Und wenn das ein virtueller DC auf einem gescheiten VM-Host ist, spricht da noch nicht mal soo viel dagegen. AD kaputt wäre auch bei 2 DCs der Fall. Aber ich würde auch immer einen 2. DC haben, läuft ja inzwischen problemlos sogar auf nem preiswerten NAS mit. Das man dann auch gleich noch als preiswertes First Level Backup Target verwenden kann... ym2c.

Vermutlich so ne Art "Site-Awareness" auf Umwegen Aber ich weiß es auch nicht genau.

It's all about scope... Eine Funktion, die Du INNERHALB einer andere Funktion erstellst, existiert auch nur IN dieser anderen Funktion. Denn "global gesehen" ist eine Funktion auch wieder nur ein Objekt, und jedes Objekt hat seinen Scope.

Ich bin fast überzeugt, daß sie genau so abgearbeitet werden, wie es eingestellt ist. Nur entspricht das nicht Deiner Erwartung....

Spitzer Bleistift: Das ist kein NAT, das ist Port Forwarding