cj_berlin

Am einfachsten: mit einem Filter, wo nicht * drin steht, sonndern das, wonach Du suchst. Damit lässt Du den DC suchen und filtern, und das kann er sehr effizient. Das sollte als Startzündung helfen: https://theitbros.com/ldap-query-examples-active-directory/

Nur mal nebenbei: wenn die Jugendlichen Smartphones mit genug Datenflatrate haben, um die Pornos mit dem Hotspot zu gucken, was hindert sie daran, das einfach auf dem Smartphone zu tun? Da die Maschinen offenbar nicht Mitglied einer AD-Domäne sind, kannst Du keine Gruppenrichtlinien verwenden. Lokale Richtlinie könntest Du zwar verwenden, aber der Aufwand bei netsh ist im Zweifel geringer, da Du ja nur ein Netz erlauben willst.

Oder Du machst für die berechtigten User einen extra JEA Endpoint, der dann halt nur das kann

3389 ist richtig, die eckige Klammer nicht.

Jeder, der Cloud-VMs hat.

Moin, diese PowerShell-Skripte wurden schon lange entwickelt. Da musst Du die Suchmaschine Deines Vertrauens bemühen. Sie könnte vielleicht folgendes ausspucken: https://github.com/canix1/ADACLScanner

Also, wenn ich "vServer" lese, dann ist es scheinbar was Gehostetes. Da ist meistens eine Firewall vom Provider davor, die man für RDP aufmachen muss. Und da gibt es diverse Szenarien, zum Beispiel: Du musstest die Firewall für Deine IP-Adresse aufmachen, damit nicht das ganze Internet auf Deinen Server einhämmern kann. Dann hat sich Deine Adresse geändert, so dass die Regel nicht mehr passt. Du hast wider besseres Wissen Port 3389 für das gesamte Internet aufgemacht, der Provider hat Angriffe festgestellt (kein Wunder) und die Firewall wieder zugemacht. usw. usf. Was mich allerdings etwas wundert, ist dies: Du schreibst, Du kannst nicht mehr per RDP auf den vServer zugreifen, kannst dort aber offenbar Änderungen vornehmen - über welchen zugriffsweg machst Du das?

...und immer schön auf Cross-Posts hinweisen: https://social.technet.microsoft.com/Forums/de-DE/cd36c78b-3c2b-4d4b-80f0-d60459c95782/die-sitzung-von-remotedesktopdienste-wurde-beendet?forum=windows_Serverde

Nur halb richtig Der Auslöser für diesen Post waren ja Berechtigungen, die diese Gruppe hat(te). Und diese, sofern sie auf der SID basieren, würden ja wiederhergestellt werden. Das ist auch der Punkt, der in der Regel mehr Arbeit verursacht als herauszufinden, welche User in der Gruppe waren.

Du hast die Frage doch selbst beantwortet Es braucht das Recht, diese Gruppe zu löschen. Ja, ein Domain Admin hätte dieses Recht auch, aber es könnte auch auf anderen Wegen - durchaus auch unabsichtlich - delegiert worden sein. Weil die gelöschte Gruppe nicht nur an der Share-Ebene, sondern auch im NTFS berechtigt war - oder habe ich Deinen OP falsch gelesen?

Moin, Du kannst in Deinem Outlook-Adressbuch die Reihenfolge der Ordner ändern (Adressbuch aufrufen --> Extras --> Optionen...).

Moin, ad 1: Recycle Bin ad 2: dafür ist eine interaktive Anmeldung nicht erforderlich, und auch die Konsole nicht - wenn die Rechte ausreichen, kann man AD auch mit VBA-Makros aus einer Excel-Datei verwalten ad 3: technisch kannst Du die Share auch an Everyone berechtigen. Würde Dir in diesem Fall vermutlich Recht wenig helfen. Und wenn man die Berechtigungsvergabe automatisiert, ist der Aufwand identisch.

Einfach booten, wie Citrix das seit 20 Jahren macht?

Ich habe das mal in einer recht illustren Entscheidungsrunde beim Kunden gebracht. Ging in etwa so: Ich verfüge über das Fachwissen und die Erfahrung, um diese Transformation mit minimaler Disruption für Ihr Business und Ihre Mitarbeiter zu planen und durchzuführen. Wenn Sie uns diesen Auftrag erteilen, können Sie versichert sein, dass diese Qualitäten bei Ihnen maximal zum Einsatz kommen werden. Doch wird es stets mit dem Wissen geschehen, dass ich Ihrem Business damit vermeidbaren Schaden zufüge. Irgendwann sind dem neben mir sitzenden Sales die Gesichtszüge dann doch entglitten

Ich kann nicht für die Orga sprechen, aber aus der bisherigen Diskussion würde ich sagen, 50/50.

zu Hause versauern <--> geilen Tag verbringen

Moin, danke! #CommunityRocks Beste Grüße und bleibt gesund!

Das ist aber nur eine mögliche Meinung dazu. In einem Bundesministerium, wo ich mal im Projekt war, wurde ein Client nach *jedem* clientbezogenen Sicherheitsvorfall neu ausgerollt. Hat auch in der Regel nicht wirklich wehgetan.

Hallo liebe Freunde der (PowerShell-)Communty, die PowerShell User Group Hannover veranstaltet am 16. September den traditionellen PowerShell Saturday: kostenlos und werbefrei nur in Person ausschließlich deutschsprachige Speaker Ihr seid natürlich herzlich eingeladen! Alle Details (Agenda wird gerade ausgearbeitet) und Anmeldung: https://www.meetup.com/de-DE/psugh-hannover/events/291224383/ Ich hoffe, wir sehen uns zahlreich in Hannover! Ich bin jedenfalls als Speaker, vermutlich mit einem kleinen Workshop, dabei. Beste Grüße und stressfreie Ferienzeit!

Wenn keine Exchange-Dienste mehr laufen, kann der Ordner weg, sind vermutlich nur Performance- und andere Logs. Aber willst Du nicht eh den ganzen Server abmanagen?

Nope, 2019 ginge: https://learn.microsoft.com/en-us/windows-server-essentials/get-started/hardware-limits

Solange keine Lizenzprüfung kommt, passiert technisch gar nichts. Kommt eine Prüfung, bist du am ars***.

Bei den verbauten CPUs deckt übrigens die "Mindestlizenz" für Windows Server nicht alle Cores ab! Du brauchst die Basislizenz mit 16 Cores und noch 8 Cores als Ergänzung!

Moin, Variante 1: ihr habt tatsächlich kein Active Directory und keine weiteren Server am Start, die irgendwas anderes noch machen. Dann brauchst Du: einen Server (sollte schon mindestens 16GB RAM haben und, wenn der Server physisch ist, schadet eine Grafikkarte auch nicht, ist aber nicht Voraussetzung für das Ganze) ein Installationsmedium für Windows Server Standard 2019 eine Lizenz für Windows Server Standard 2019 für 16 CPU-Kerne Windows Server 2019 Device CALs für jedes Gerät, das auf den Server zugreifen wird (das ist nur Papier, wird nirgends installiert) Windows Server 2019 Remote Desktop Services Device CAL für jedes Gerät, das auf den Server zugreifen wird (diese werden tatsächlich ausgecheckt und getrackt - wenn ein User also abwechselnd seinen Laptop, sein iPad, sein Smartphone und seinen Fernseher für den Zugriff auf den Terminalserver nutzt, braucht er 4 CALs) Da Du hier keinen HTML5-Client nutzen kannst und ein Connection Broker Dir nicht wirklich hilft, musst Du auch keine vollwertige RDS-Bereitstellung einrichten, sondern brauchst lediglich die Rollen "RDS Session Host" und "RDS Lizenzserver". Der Vorteil für Dich, keinen Broker und keinen Web Access zu bauen, liegt darin, dass Du dich nicht mit SSL-Zertifikaten aufhalten musst, und die User greifen einfach mit MSTSC.EXE auf den Server zu und fertig. Variante 2: ihr habt Active Directory oder bereit, euch damit zu beschäftigen. Dann brauchst Du: einen Server wie oben - falls noch kein Domain Controller vorhanden ist, kann der Server ein Hyper-V-Host werden und zwei VMs fahren: Domain Controller und Terminalserver, welcher dann Mitglied der Domäne wird. Allerdings kann der Terminalserver dann nicht von der Grafikkarte profitieren, falls im Server eine verbaut ist. Installationsmedium und Server-Lizenz wie oben Server und RDS CALs für das, wovon ihr weniger habt (siehe Beispiel oben)

Abreißen, neu bauen, mit der richtigen Lizenz und mit dem richtigen Installationsmedium.