daabm

Dann sag dem DHCP doch auf allen Scopes, daß er die Adressen im DNS registrieren soll...

Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all) Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...)

Bewußtseinserweiterung und Erhaltung der Art? Oder noch "schneller mit dem Kettcar um die Ecke"?

Bin jetzt kein DHCP-Profi, aber da könnte was machbar sein mit der Class ID. Ist normalerweise leer, kann per ipconfig oder Registry gesetzt werden. Und der DHCP-Server kann das iwie auswerten und was damit anstellen.

Weil die alten nicht dran denken, daß jemand das über den neuen Kram versuchen könnte?

Abgesehen vom Problem der Verhaltens- und Leistungskontrolle, das vorher unbedingt (!) geklärt werden muß: So funktioniert das garantiert nicht, weil alle "gleichzeitig" in das gleiche File schreiben. Und warum das auf Sysvol liegen sollte, weißt auch nur Du. Entweder gleich richtig (also in eine Datenbank) oder wenigstens in ein individuelles File pro User und/oder pro Client (in der Annahme, daß sich ein User immer nur zu einer Zeit wo anmeldet und daß sich auf einem Client immer nur ein User gleichzeitig anmeldet).

Ohne AD wird das sehr schwer zentral zu steuern. Gäbe noch InTune, kostet aber auch nicht "nichts". Als "Domain Controller" für AD könntet Ihr auch Samba 4 nehmen, dann muß wenigstens nur die HW bezahlt werden. Auch wenn Du da dann bei der Software zumindest in diesem Board eher wenig Support finden wirst. 16x4 gibt bei mir 64 Clients, und ein paar in Reserve sollten auch noch vorhanden sein. In den meisten Firmen stehen bei der PC-Menge 2 VM-Hosts mit ca. 6 bis 12 virtuellen Servern, und das dürfte Gründe haben.

Was Norbert meint: Schlangenöl... Lufthaken... Feilenfett... Ölwannenbeleuchtung... Kolbenrückholfeder... ? Defender reicht völlig, Brain 2.0 ist 1000x wichtiger. Gegen APTs hilft kein AV.

Mein "inspirierender Modus" hängt hinter der Couch an der Wand Nennt sich Regal und enthält Whisky (oder auch Whiskey) in etwa 25 Varianten. Ansonsten konnte ich mit dem Begriff bisher auch nichts anfangen - und ich hoffe sehr, daß mir das auch in Zukunft erspart bleibt. Das ist so "End-User Fitzelkram", der ist der Alptraum jedes Admins. [/OT]

Stand oben schon mal: Wenn das XML ist, gibt es keinen Grund für "Zeile 12 ändern". Wenn Du diese Dateien als XML lädst, kannst Du relativ komfortabel darin navigieren und Eigenschaften (= Properties) sowie Inhalte (= Nodes) ändern. Dazu müßtest Du aber mal zeigen, was Du schon hast und wie so ein XML aussieht. Ansonsten bin ich bei Olaf: Wer's falsch angeliefert hat, könnte es doch auch richtig anliefern? Und "mehrere tausend" hat ja sicher ein Automatismus erstellt, der könnte das ja ein zweites Mal "korrekt tun" PS: VBS spreche ich zwar noch, habe damit aber schon seit ca. 5 Jahren kaum noch etwas gemacht. Powershell wäre wirklich die bessere Alternative.

Ojeh - DHCP/DNS/Firewall/VPN-Änderungen remote klingt nach "Ast, auf dem ich sitze"... Hier sogar gleich 4 Äste. Ich würde das dringend vor Ort machen wollen. Ich würde ja einfach nen neuen Bereich anlegen und dann den alten deaktivieren bzw. entsorgen. Ich weiß ja nicht, was an Reservierungen etc. vorhanden ist (ok, paar Excludes sieht man), aber wenn Du das Bereichsnetz änderst, paßt das ja alles nicht mehr zum neuen Bereich.

Hey, keine Ursache - schön, wenn ich so ein Feedback kriege, danke dafür Und übrigens auch Kompliment, daß Du das mit meinen doch nicht sooo dummy-tauglichen Infos umgesetzt hast. Das ist heutzutage leider selten geworden...

Ändere den Startmodus von Manuell auf Automatisch, dann dürften die meisten weg sein. Oder lebe halt damit

@falkebo wenn ich das richtig weiß, kannst auf jeder Standard-Blechlizenz 2 VMs betreiben. Ein Filer braucht kaum Ressourcen außer ein wenig Netz und Platte (und auch das wird meist überschätzt), ein Spooler noch weniger. Wenn man das heute also auf Blech auf einer Maschine hat, spricht für mich alles dafür, das morgen als VM auf dem gleichen Blech getrennt laufen zu lassen.

Bevor da jetzt einer in die Eigenschaften schaut - nein, die zeigen nicht auf die MSI-Datei. Die zeigen auf das "Installer-Objekt" (ich weiß nicht, wie ich's einfacher beschreiben soll), das triggert dann einen Teil des MSI-Pakets (das dann z.B. trotz computerbezogener Installation noch userbezogene Nachinstallation machen kann) und startet dann die im Installer-Objekt hinterlegte Zieldatei. Aber jetzt ist [/OT]

Ich wüßte spontan nichts - aber im Security Compliance Toolkit war irgendwas drin mit Policy Compare, da würde ich mal suchen... Alternativ kann Quest GPOAdmin das auf jeden Fall sehr gut (das weiß ich sicher), das ist aber nicht ganz umsonst.

Ich erinnere mich dunkel, daß hier im Board keine Unterstützung kommt, wenn es um Lizenz-"Konstrukte" geht...

Nein, tut es nicht. Das ist ein Windows-Recht, das man per GPO jedem geben kann, wenn es Not tut. Und ich persönlich finde diesen Weg nicht sooo falsch - bei Picasa ging das ja seinerzeit auch nur mit Symlinks, wenn man eine gemeinsame DB auf mehreren Rechnern nutzen wollte. Die Ordnerumleitung von "Bilder" ist natürlich der insgesamt schlüssigere Weg https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/create-symbolic-links

Die ISE hat den von Olaf erwähnten Vorteil: Ist Powershell da, ist auch eine ISE da. Der Rest ist immer nur optional...

Moin im Board. Hast Du eine alte Fritzbox übrig? Die ist Switch, Access Point und Router in einem und kann damit alles erfüllen, was Du für B haben willst. Und wenn in A auch schon eine FB steht, geht's mit dem AVM Mesh sogar für Einsteiger relativ einfach, nur das Cat6-Kabel muß noch einer durch das Rohr ziehen

Merke - nicht jedes Postfix ist ein Mailer

Fast Ich hab ein Startskript, das den Namen und den DN der OU in eine Umgebungsvariable schreibt. Kurzname in Deinem Beispiel "WEBSERVICE", DN dann OU=Webservice,OU=irgendwas,DC=contoso. Die Gruppen in der GPO sind generische definiert als %ServiceOU%-Admins, %ServiceOU%-Users etc. Die Zielgruppenadressierung geht auf nen sAMAccountName %ServiceOU%-Admins mit ner Searchbase von LDAP://%ServiceOUDN%. GPP löst diese Variablen zur Laufzeit auf (was ja in den "alten" Benutzerrechten nicht geht). Die GPO hängt über allen Services. Leg ne neue OU an, steck nen Server rein. Nach dem ersten Reboot sind die Umgebungsvariablen da, nach dem 2. Reboot stimmen die Benutzerrechte. Der Rest (diese 47 Rechtegruppen) funktioniert nach dem gleichen Schema. Jeder Service hat natürlich auch ne Standardgruppe für Serviceaccounts - Du ahnst es schon, %ServiceOU%-ServiceAccounts. Die stecken in der seServiceLogonRight Gruppe (und in seBatchLogonRight). Das kann man beliebig granular weiter runterbrechen, aber Admins, Users, Serviceaccounts reichte uns. Ich glaub, ich muß da mal ne Blogpost dazu machen Die Gruppen dürfen nur Domain Admins bearbeiten - und der Service Account des IDM, über das man die zugehörigen Rollen beantragt. Da es aber immer nach "Schema F" läuft, ist sogar das relativ easy. PS: Die Gruppennamen bei uns sind anders - wir haben noch ein paar Prä- und Postfixe. Aber für das Prinzip spielt das keine Rolle.

Der Link läuft vermutlich ziemlich vielen über den Weg - nur verstehen leider auch ziemlich viele nicht, was darin für Möglichkeiten liegen, diese lästige Delegation von Admin-Rechten zu vereinfachen. Aber wie schon mehrfach geschrieben wurde: Gut, daß wieder einer anfängt, den alten Kram aufzuräumen BTW: Wir haben im aktuellen Neu-Design nur noch eine Policy, die Admin- und User-Rechte auf allen (!) Member-Servern regelt. Alle Server eines "Service" liegen in einer OU. Für diese OU wird eine Umgebungsvariable gebildet (Startskript). Und diese Variable ist auch Bestandteil der Namen der delegierten Admin- und Usergruppen. Neuer Service? Kein Problem - OU anlegen, Maschine reindeployen. Gruppen anlegen, fertig. GPO ist schon da... Und natürlich hat diese GPO für alle delegierten Gruppen eine Zielgruppenadressierung - die Gruppe MUSS sich in der OU befinden, in der auch der Server ist (LDAP-Filter - braucht keine 5 ms). Sonst könnte ja wer irgendwo anders eine entsprechende Gruppe anlegen.

Wie wär's mit nem gebrauchten Business-Rechner? Gibt's ab ca. 150,- dann noch SSD rein und mit deutlich unter 300,- hast ne Kiste, die mit jeder Windows-Variante kompatibel ist... Nix gegen Bootcamp, aber alles hat Grenzen

Das mit "Sicherheit herabsetzen" ist eine Folge von NLA - dann klappt die Anmeldung mit abgelaufenem Kennwort per RDP nicht mehr... Das mit der Sinnhaftigkeit der regelmäßigen Kennwortänderung wurde ja schon erwähnt - Microsoft und das BSI sind von dieser Empfehlung abgerückt, könnte diese Cyberversicherung ja mal nachziehen. Besser "lang - sehr lang". PS: Rein aus Neugier - wie implementiert man eine FGPP für "4 OUs"? Bei mir war das bisher immer für "Gruppen", nicht für OUs