wos

Hallo und erst mal Danke für die vielen Antworten! @Nobbyaushb: Na, mindestens einen verwirrten gibts immer ... @t-sql: Bin mir nicht sicher, ob ich das recht verstehe. Bei SQL DBs ist mir bisher noch nirgendwo das Stichwort "Besitzer" untergekommen. Die Begrifflichkeit würde ich eher in den Windows Dateirechen vermuten wollen. Aber scheinbar gibts lt. Google wirklich sowas wie eine Besiter der DB, man lernt nie aus. Und im Management Studio wird der angezeigt (in den Optionen der DB), mit dem ich ursprünglich mal die Sicherung gemacht habe (dem Admin mit seinem Windows Anmeldenamen in Form domäne\benutzername). Wenn dass das Problem ist, dann würde das schlicht unmöglich sein, denn die Datenbanken die am SQL eingehängt werden, sind ausnahmslos von unseren Kunden und der Besitzer dort dementspr. immer ein anderer (und nie derjenige Supporter von uns der so eine DB einhängen möchte). Oder anders herum gesagt, ist der Nutzer der da immer volle Rechte haben will, nie einer von uns selbst. Dann hattest Du noch eine Bemerkung gemacht in Bezug auf den DB_CREATOR "Und mehr ist auch gar nicht nötig". Das ist prinzipiell richtig, so kann man die DB herstellen. Aber ab dem Moment ist auch Schluss. Mit der Widerherstellung verliest man augenblicklich die Berechtigung auf die DB zuzugreifen, wie ich eingangs geschrieben habe. Dann wollen die Kollegen wieder bei mir antanzen, aber ich will eigentlich nichts damit zu tun haben, deren Spielumgebung ... das sollen die schön alleine machen. So mein Wunsch zumindest. @cj_berlin: Ihc bin mir nicht sicher (wie kann man sich jemals beim MS Lizenzdschungel überhaupt sicher sein), aber wenn ich eine 2. Instanz installiere, dann dürfte damit auch ein weiterer SQL Server zu lizenzieren sein?! Damit würde das ausscheiden, nur für den Zweck auch nur einen Cent auszugeben. Oder habe ich da vielleicht durchaus was falsch verstanden? @zahni: Das Problem ist, dass ein entspr. berechtigter Nutzer, das für denjenigen, der die DB eingehangen will, dann machen muss. Es würde mich sehr wundern, wenn sich derjenige die Rechte geben kann, die ihm fehlen. Da die DBs von Kunden kommen, kann da auch keiner unserer Mitarbeiter als Benutzer irgendwo eingetragen sein. Merke schon, ein einfacher Gedanke, ein einfacher Wunsch, stellt sich dann doch wesentlich komplexer dar, diesen technisch auch umzusetzen. Bin mir gar nicht sicher, ob das überhaupt geht, was ich mir vorstelle.

Guten Tag, wir haben hier die fixe Idee gehabt, dass man auf einem MS SQL Server, einigen Nutzern ein Login geben kann und diese haben dann dort innerhalb der ihnen zugewiesenen DB Admin Rechte. Das funktioniert soweit ja auch. Der Gedanke der dahinter steckt, ist dass jeder dieser Nutzer jeweils eine DB am Server hat, mit der er alles können soll, dort quasi Vollzugriff hat. Eigentlich eine Art Hülle, die mit verschiedenen DBs bei Bedarf gefüllt werden kann. Das Problem fängt an, wenn eine DB durch eine andere ersetzt werden soll. Zunächst wollt SQL Server noch das Recht DBCREATOR haben, damit innerhalb der eigenen DB Hülle (in der man bereits/noch Admin ist), dort eine andere DB von einem anderen Server wiederherstellen kann. Das gelingt soweit auch, aber unmittelbar nach dem Wiederherstellen, hat man dann auf diese DB kein Recht mehr. Dort ist in der DB naturgemäß natürlich auch nicht der Nutzer (SQL Anmeldung) enthalten, über den auf diese zugegriffen werden kann. Wie löst man das? Ich will "einfach" eine Möglichkeit schaffen, wo verschiedene Supporter auf "ihre" DB zugreifen können, diese auch immer wieder überschreiben dürfen und dort dann auch im Anschluss noch arbeiten dürfen, ohne das ein dritter gefragt werden muss, der das Recht dann gibt ... ich hoffe man versteht die Intension dahinter. Danke und Gruß

Ich werde das noch einmal probieren, dann wär es aber schon arg seltsam wenn sich das mit dem Defender nicht abbilden ließe. Dürfte sich um eine Funktionalität handeln, die man wohl von wirklich jedem Virenscanner erwarten dürfte. Auch wenn MS ja etliche Böcke abschießt, so dämlich können sie doch nicht sein, das glaub ich nicht. Nach dem Eier suchen werde ich auch das noch mal probieren und hier Bescheid geben. Würde mich weiterhin natürlich auch über eine Aussage freuen, wenn das jemand schon mal gemacht hat und mir dann nett über die Straße hilft ;)

Das kann ich leider nicht brauchen, manchmal muss ich die EXE bei dem Benutzer auf den Desktop legen, manchmal bei einem anderen und manchmal sogar ... ganz wo anders hin. Also auch irgendwelche Platzhalter wie %HOMEDRIVE%%HOMEPATH% bringen mich hier nicht weiter.

Hallo, da hast Du völlig recht. Genau darüber habe ich mich auch gewundert. Aber dann in der GUI, wird es korrekt als Datei angezeigt. In den GPOs habe ich auch nichts anderes gefunden als eine Pfadregel eingeben zu können (von Datei steht da nichts mehr): Wenn man dort nur stattdessen nur die Datei angibt, wird es dann zur Dateiregel. Auf jeden Fall zeigt es die Windows Sicherheits App auch dann so an (im Vergleich mal wie so eine Pfadregel dann dort ankommt aussieht): Ich will jetzt auch nicht das Wort Logik, Benennungen der Dinge und Microsoft in einem Satz erwähnen. Das wär dann doch zuviel des Guten. Fakt ist, das kann man da nicht machen. Oder aber ich blicks nicht, kann ja auch sein, dagegen ist wohl keiner gefeilt. Fühlt sich nur so an, dass ich eigentlich (nach meinem dafürhalten) die korrekten Regeln angegeben habe. Wenn es einen Weg gibt, bin ich froh, wenn den jemand mit mir teilt. Weißt Du vielleicht, wie man es stattdessen machen sollte? Irgendwie muss das doch gehen, dem Defender zu sagen ... hey ... das lässte mal in Ruhe. Hätte ich aus dem Stegreif auf jeden Fall so behauptet, bevor ich es selbst versucht hatte. Alles andere wär ja Blödsinn.

Hallo zusammen, ich hab da mal ein Frage den Defender betreffend. Mir ist ja bekannt, dass wenn man will, das ein Virenscanner die Datei XYZ.EXE in Ruhe lassen soll, ein entspr. Ausschluss für Ruhe sorgen kann. So bin ich in meiner Naivität auch mal beim Defender davon ausgegangen. Habe dann entspr. Ausschlüsse in meiner GPO gesetzt ... ... die auch scheinbar so am entspr. Rechner ankommen: Prima. müsste ja alles gut sein. Mein Problem ist nur, dass das dem Defender ziemlich egal ist. Wenn ich die Datei dann auf den Server kopiere, wird die sofort gelöscht. Auch wenn die Datei nicht harmlos wäre (ist von mir programmiert), so will ich verdammt nochmal das Recht haben eine solche Ausnahme zu erstellen und davon ausgehen, dass diese dann auch so beachtet wird. Na gut, sicherlich ist Microsoft da wieder einmal schlauer oder hat wasweisich für einen hyperintelligenten Automatismus dahinter, der sich dann doch gegen die von mir getroffene Entscheidung stellt und die Datei löscht. Alles nur zu meinem Besten versteht sich. Sicher habe ich mich nur geirrt als ich die Ausnahme anlegen wollte. Insofern mag ich mal hier fragen, ob denn einer das sahnige Geheimnis von Philadelphia kennt .... wie man so eine Ausnahme "richtig" anlegt. Also wie man das macht, was eigentlich damit beabsichtigt war: Der Wunsch wäre, die von mir genannte EXE vom Virenscanner auszuschließen (und damit natürlich jegliche Schutzaktion wie löschen oder in Quarantäne...). Dabei soll einfach nur gegen den Dateinamen gegangen werden (jaa ... ich weiß ...). Aber das sollte doch möglich sein?! Vielleicht kann sich ja jemand erbarmen und mir erklären, warum mein Ausschluss nichts ausschließt, bzw. wie man den dann korrekt anlegen müsste. Danke schon mal!

Hi, jo, der Eindruck mag für Dich so bestehen. Für mich es keine Sache der Meßbarkeit. Diese Gruppe hat da einfach nix zu suchen. Fertig - aus, bumm, basta. Ich werde das auf jeden Fall noch rauskriegen wie das mit der SID geht, oder wie ich den Namen dynamisch in eine SID auflöse und dass dann hinbekomme. Du musst Dir ja auch nicht die Mühe machen, wenn es Dir zuviel ist. Niemand muss das. Notfalls krieg ich halt auch keine Antwort, ich kann damit leben. Echt jetzt ,). Das will ich natürlich nicht abstreiten, dass auch ihr eure Erfahrungen habt. Ich seh es einfach genau anders rum. Das ist ja auch nicht schlimm. Eigentlich wollte ich diese Diskussion auch nicht führen, weil es einfach sinnlos ist. Wollte nur verhindern, dass bei mir die Diskussion in die Richtung geht, dass erst mal alles zerpflückt wird. Jetzt bin ich schon dabei ... ... dabei will ich ja nur wissen, wie man dieses -eq = irgendwas in ein -eq = $SID ändert. Aber wie gesagt. Ich werd das für mich auf jeden Fall noch rauskriegen. Weil es mich nun einfach auch interessiert und ich das jetzt wissen will. Gruß

Hallo zusammen, Das stimmt, auch mit dem Namen hatte ich es anfangs probiert (hatte diesen mit einem get-acl ermittelt), aber habe auch bemerkt, dass es damit auch nicht geht. Das würde ich auch gern so bevorzugen. Vielleicht fällt einem ja noch ein, wie man das gegen die SID machen könnte. Das liegt bestimmt an dem Namen! Ich werde mich parallel hierzu noch ein wenig durch die Gegend googeln ... falls ich auf die Lösung komme, schreib ich die natürlich hier rein ... Hallo, also nochmal Danke für Deine Bedenken. Ich hab nur zum Ausdruck bringen wollen, dass in den verschiedensten Foren jemand einfach eine Frage stellt und oft, kommen dann einfach Gegenfragen, warum so und nicht so. Dann geht es plötzlich den ganzen Thread um solche Sachen, oft dann gar nicht mehr um die eigentliche Frage. Wenn der Threadstarter Glück hat, bekommt er seine Frage vielleicht nach 30 anderen Posts dann mal beantwortet. Daher denke ich, dass das in 9 von 10 Fällen eigentlich nicht nötig wäre. Ich seh aber, ich komm jetzt wohl doch nicht umhin, das jetzt darzulegen, auch wenn ich mich jetzt dann leider schon wieder aufregen muss *lach*: Unterhalb von x86 Programme erstelle ich ein Programmverzeichnis. Die Vererbung wird unterbrochen. Dort kommt eine eigene Anwendung rein, die nicht im entferntesten irgendein Recht bräuchte, dass eine Windows App oder was das sein möchte, darauf Zugriff haben soll. Wenn ich das Wort App schon hör, dreht sich mir alles um. Dieser ganze App Mist auf einem Server, könnt mich schon wieder aufregen wenn ich nur daran denke was MS die letzten Jahre so verzapft, früher hatte ich die Fahne für die noch hochgehalten. Ich muss jetzt somit auch aufhören zu schreiben, sonst dreh ich gar noch durch ... Auf jeden Fall, handet es sich um eine eigene Anwendung, die einen Webservice zur Verfügung stellt. Ich weiss, wer, welche Dienste und Accounts darauf Zugriff bekommen sollen. Ganz sicher gehört da diese App Gruppe und auch normale Benutzer oder Ersteller-Besitzer nicht dazu und daher will ich auch nicht, dass irgendwelche Apps über die Gruppe darauf zugreifen dürfen. Es wird sich daher auch nicht zu einem Nachteil entwickeln, wenn die Gruppe weg ist. So ... kurz durchatmen ... Om ... Nix für ungut, aber wenn ich über solche Dinge nachdenken muss und warum das bei MS alles so mistig wurde, kann ich mittlerweile nicht mehr ruhig bleiben ,)

Hallo MurdocX, da hast Du völlig recht, das vermutest Du richtig. Logo, dass das so nicht kann. Asche über mein Haupt. In meinem Skript, wo vorher alles mögliche passiert, lege ich aber unterhalb des x86 Programmverzeichnisses ein neues Verzeichnis XXXXX an. Dann breche ich die Vererbung mit der Powershell auf und übertrage alle vorher vererbten Rechte direkt als ALC an dieses Verzeichnis. Bei "Geerbt von" steht dann "Keine". Wollt gerade noch einen Screenshot anhängen, aber das ist mir irgendwie nicht erlaubt, wird mir angezeigt. Egal - musst Du mir glauben, dass das aufgebrochen ist. Bei meinem ersten Test, hatte ich mir blöderweise erspart, dass vorher noch aufzubrechen. Lasse ich jetzt das Skript aber auf einem Verzeichnis mit aufgebrochener Vererbung laufen, dann klappt es mit deinem Beispiel, die ERSTELLER-BESITZER rauszulöschen. Rufe ich es ein 2. mal mit dem gleichen Verzheichnis und der gleichen Gruppe auf, so kommt ein Fehler, dass irgenwas nicht NULL sein darf. Wohl die nun nicht mehr in der ACL vorhandene Gruppe. Insofern logisch und ok ... Rufe ich dein Skript dann wieder mit der Gruppe VORDEFINIERT\BENUTZER auf (was mit meinem geklappt hat), so kommt auch der NULL Fehler. Die Gruppe bleibt dann auch in den ACLs erhalten. Er kann diese wohl wegen eines Namensproblems nicht finden. Ich habe Versionen mit $_.IdentityReference -eq blabla und -like blabla gesehen. Die kann ich so leider nun nicht mehr raus löschen. Auch bei ALLE ANWENDUNGSPAKETE klappt es nicht, wohl auch wegen der Benennung. Um all diesen Namensproblemen aus dem Weg zu gehen, würde ich auch gerne einfach die SID nutzen. Aber so einfach wie sich das anhört ist es wohl nicht. Auf jeden Fall komme ich nicht dahinter, wie man das schreiben muss, dass die Gruppe über die SID quasi als Objekt gefunden wird. Die SIDs selbst in Erfahrung zu bringen, wäre nicht das Problem. Mit der SID könnte ich das Objekt wohl bestimmt da raus löschen, wenn ich wüsste wie die Syntax ist bzw. wie das geht.

Hallo zusammen, erst mal danke für die Antworten, ich hab es aber auch damit nicht hingekriegt: Dank Dir für Deine sicherlich besten Absichten mir diese Frage zu stellen. Ich bin aber generell (so wie in meinem Fall auch) der Meinung, dass in 9 von 10 Fällen die Frage an sich am Problem vorbei geht und man sich diese meist sparen kann. Ich hab mir auch abgewöhnt, anderen diese Frage zu stellen. Für die meissten würde ich unterstellen, dass diese schon einen guten Grund haben, das machen zu wollen. Nix für ungut - ist nicht böse gemeint, nur meine Meinung. Aber so viel vielleicht dazu: Diese Gruppe ist bspw. standardmäßig im Programmverzeichnis eines Servers vorhanden auch auf einem W10 wird man die wohl finden. Danke auch für den Hinweis, wie man das besser über das Objekt lösen kann. So ist es sicherlich auch eleganter. Ich hab ich mir den bisherigen Powershell Code auch nur über Google zusammen geklaut, in der Hoffnung dass die, von denen ich abschreibe, vielleicht halbwegs einen Plan haben, was die da so machen. Habe auf meinem Server 2012 R2 einen Ordner C:\Program Files (x86)\Test angelegt. Das Skript läuft durch und macht auch keinen Fehler. Es löscht aber nicht den Ersteller-Besitzer, das was ich vorher schon mit meinem so machen konnte. Das mag sein, dass das nicht so elegant geschrieben ist, wie es sein könnte. Leider krieg ich es mit den aufgezeigten Alternativen gar nicht mehr hin, dass auch nur eine Gruppe entfernt wird. Danke, an so was hab ich auch schon gedacht, dass es u.U. daran liegen könnte. Daher ja auch der Gedanke, wenn man meinen Ansatz (der vielleicht nicht so elegant gecodet ist, aber im Prinzip in der Lage ist, so eine Gruppe raus zu löschen) so umbauen kann, dass es bspw. direkt mit einer SID umgehen kann. Die SID für diese Gruppe wäre lt. MSDN ... https://msdn.microsoft.com/en-us/library/cc980032.aspx ... die S-1-15-2-1. Ich weiss nur nicht, wie ich dem Skript quasi ein ... where Identity = "S-1-15-2-1" ... (oder wie man dass dann auch immer vom Syntax her schreiben muss) beibringen kann. Dann wäre das Ganze nämlich auch noch Sprachunabhängig. Vielleicht hat ja noch einer den entscheidenden Tipp auf Lager. Irgendwie muss das doch mit dieser Powershell hinzubekommen sein (ist es auch sicherlich). Danke schon mal an alle für Ihre Antworten.

Ja, wie geschrieben, kann man das händisch über die GUI machen. Ich weiss nicht, wie man das in Einzelschritten debuggen könnte oder geschweige denn, wo da irgendwo ein Log wäre. Aber es geht ja mit allen anderen Gruppen, die ich rausmachen wollte, nur mit dieser ALLE ANWENDUNGSPAKETE halt nicht. So falsch kann das Skript nicht sein, wahrscheinlich findet er den Namen nicht?! Wenn jemand weiss, wie man das auf die SID umbauen könnte, statt über den Namen, würde das sogar Sprachunabhängig gehen ...

Hallo zusammen, bin jetzt nicht so der Powershell Guru, aber ich google mir mein Zeug so zusammen. Ein aber bereits funktionierendes Skript, welches den Ersteller-Besitzer aus einer Verzeichnisberechtigung entfernt ... # ERSTELLER BESITZER aus ACLs entfernen $IdentityRef = "ERSTELLER-BESITZER" $ACL = Get-Acl $LocalInstDir $ACEs=(Get-Acl $LocalInstDir).Access | where {$_.IdentityReference -eq $IdentityRef} $ACEs | foreach{ try{ $null=$ACL.RemoveAccessRule($_) Set-ACL $LocalInstDir $ACL "ACE für $IdentityRef erfolgreich entfernt" } catch{ #keine ACE mehr vorhanden } } ... funktioniert einfach nicht, sobald ich ALLE ANWENDUNGSPAKETE (anstatt ERSTELLER-BESITZER) entfernen will. Mit anderen Gruppen geht es schon, aber nicht dieses Anwendungspaketdingens. Ich hab es auch schon mit der englischen Benennung versucht, das hat nichts gebracht. Dann dachte ich, ich kann das evtl. mit der dazugehörigen SID realisieren (die steht ja im MSDN für die Gruppe drinnen), das krieg ich aber auch nicht hin-/umgebaut (weiss gar nicht üb das überhaupt geht). Weiss einer, warum das Skript offensichtlich mit allen Gruppen geht, aber nicht diesem konkreten Ding? Per Mausklick ist die ganz einfach entfernt, es ist also nicht so, dass das gar nicht ginge. Wäre das mit der SID ein gangbarer Weg?

Hallo, die Möglichkeit "einfach" am jeweiligen RD Sitzungshost nachzusehen, wie lange eine Sitzung getrennt oder inaktiv ist, gibt es ja so nicht mehr. Der Taskmanager zeigt das leider auch nicht ähnlich an. Das ist ja bei 2012r2 jetzt alles in die Sammlung gewandert. Irgendwie habe ich aber vom Verständnis her eine andere Interpretation von Trennungszeit und Leerlaufzeit, oder das Ding erzählt einfach Blödsinn. Mir ist nicht klar, wie ich erkennen kann, ob ein bestimmter Nutzer nun noch in einer Sitzung aktiv arbeitet, oder eben nicht! Fangen wir mal an ... Noch abgemeldet und F5 gedrückt wird in der Sammlung logischerweise das Login nicht angezeigt. Nachdem ich mich angemeldet habe, wird die Anmeldezeit angezeigt (m.E. nach die einzige Zeit, die korrekt ist). Trennungszeit und Leerlaufzeit wird mit einem "-" angezeigt. Das erste komische ist, auch wenn ich ein paar Minuten gar nix mache, ist die Leerlaufzeitweiterhin mit "-" angezeigt (auch nach F5). Da müsste doch jetzt was stehen. Oder ist Leerlauf etwas anderes wie Leerlauf? Da kann man aber bis zum St. Nimmerleinstag warten. Da steht nie eine Zeit. Trenne ich mich, so wird die Trennungszeit korrekt angezeigt. Jetzt Plötzlich auch die Leerlaufzeit. Erst wird 36.06:26:27.8330000 angezeigt (auch nach F5). Sollen das 36 Tage sein?! Na, so ein Windows ist kein D-Zug, nach einer Minute und zigmal F5 wird die Leerlaufzeit dann richtig angezeigt. Immerhin etwas. Richtig Cool wird es dann beim wiederverbinden in die getrennte Sitzung. Die Trennungszeit bleibt bestehen?! Auch die Leerlaufzeit zeigt nichts anderes an?! Ach was! Ich halbe also bei Anmeldezeit, Trennungszeit und Leerlaufzeit eine Zeit stehen. Mit meinem einfachen Weltbild, hätte ich jetzt geglaubt, dass die Sitzung nicht mehr aktiv offen ist. Läuft bei mir irgendwas falsch? Würde da normalerweise schon die Zeit so drinnen stehen, wie es mit meiner Interpretation so erwarten würde? Oder habe ich einfach nur die aktuell gültige Microsoft "Logik" nicht begriffen? Vielleicht kann mir da einer auf die Sprünge helfen. Aber erst mal schönes Wochenende!

Auch Moin, > ich wage zu prophezeien, dass du mit Windows 10 deine helle Freude haben wirst. das glaub ich Dir. Nach dem Debakel 8.X fand ich Windows 10 ganz nett, man hat sogar wieder Dinge gefunden, bei denen man auch ohne Einsäuseleien von MS Astroturfern von alleine darauf kam, dass die nicht schlecht sind. Und sie hatten mich auch wirklich fast schon im Sack ... ich war kurz davor, mir das Ding daheim auch anzutun. Während der Installation habe ich mir allerdings mal das Kleingedruckte, was man sonst eigentlich nicht liest, mal überflogen ... nee ... aber wirklich nicht ... dann nicht mal "geschenkt" ... nicht mal wenn ich was gezahlt bekommen würde. W10 will wohl meiner LG "Smart" Glotze Konkurrenz machen?! Sicherheitsupdates gibt es noch bis 2020 bei W7, dann werde ich wohl Richtung Linux tendieren müssen. Nicht das das so schon ist, aber was bleibt schon. Wenn ich mich daran gewöhnt habe, wird es eh Jacke wie Hose sein. Bis dahin kann ich ja noch rauskriegen, welcher der 43237 Distis und Fenstermanager der richtige ist, hehe. Nicht angenehm, aber ist mir lieber als der andere Mist. Aber in der Firma wird auf Grund von Sachzwängen logischerweise nicht klappen. Was ist nur aus MS geworden, ich war zwar nie ein Fanboy, meine Meinung vor Dekaden über die Firma war aber eine andere als heute. Gruß

Hi, Jo, da brauchst Du aber dann schon User, die rechtsklicken können ... und die die könnten ... da passiert nichts bei einem Rechtsklick, hihi. Irgendwas wird ja wohl an dem Citrix Ding ja besser sein, so dass sich das auch mit den Lizenzen lohnt. Man kann sich natürlich irgendwo reinfuchsen. Und scheinbar komme ich nicht da umhin, ein riesen Faß aufzumachen, bloss weil MS dämliche Voreinstellungen macht und gleichzeitig nicht mal eine GPO anbietet um da rum zu kommen. Was diese Icons überhaupt bei normalen Usern wollen, weiss ich eh nicht. Wer sich so was einfallen lässt. Da muss man schon eine Spezialausbildung bei MS geniessen um auf sowas zu kommen. Natürlich kann man scripten ... man kann auch Assembler programmieren, mit dem 40 Tonner zum Brötchen holen fahren ... das ist m.E. nur etwas über das Ziel hinausgeschossen um ein Problem zu lösen, das FailedByDesign ist. Egal - jammern hilft nix. Geht halt nicht anders, werd mir den Mist mit dem Script mal ansehen. Darf ich wie so vieles nicht in die TCO mit reinrechnen. Danke aber für Deine hilfreichen Tipps. Gruß wos