cj_berlin

Das war auch meine erste Reaktion

Moin, im SCP und im SRV, falls vorhanden, kann es mail.doma.in sein, und Outlook wäre zufrieden. Für alle anderen Clients muss es ein A/CNAME für autodiscover.doma.in geben.

OK, das Skript entfernt also die VMware-Produkte. Du müsstest aber auch die nun nicht mehr sichtbaren Netzwerkadapter rausputzen.

Man kann sie nachbauen, er muss die msTS-* Attribute beschreiben können.

Moin, Exchange Online geht einen anderen Weg: es gibt eine primäre Adresse, autodiscover.outlook.com, und auf die lautet auch das Zertifikat. Alle Kundendomänen haben einen Alias (CNAME) namens autodsicover, der auf diese allgemeine Adresse verweist. Das kannst Du auch so machen mit dem bestehenden Zertifikat. Speziell für Outlook könnte man das auch mit SRV Records lösen, aber alle anderen Clients werden das nicht respektieren.

Moin, ein RD-Lizenzserver müsste in der Gruppe "Terminalserver-Lizenzserver" Mitglied sein, damit Per-User-CALs funktioneren. Es sei denn, er ist auf dem Domain Controller installiert. Erkennen, welche Rollen installiert sind, kann man m.E. nur indem man dort direkt enummeriert.

Da gab's mal einen Talk von Thorsten Butz auf der PSUG Hannover. Keine Ahnung, ob er aufgezeichnet wurde, aber das könnte dem IT-Leiter helfen.

Frag doch den IT-Leiter, was er sich davon erhofft. Operativ hat PowerShell in einer Windows-Umgebung Null Vorteile. Alle Vorteile, die es hat, sind ausschließlich für Entwickler. Daher hieß mein diesbezüglicher Talk auf dem Scottish Summit 2022 "Revenge of the Devs" 😊

Das war die Antwort an @testperson

Das ist neu. Welche Server-Version?

Zumindest die Umgebungsvariable wird nicht aktualisiert.

Das Problem mit Registry und Umgebungsvariable ist, dass es den Client beinhaltet, mit dem die Sitzung ursprünglich aufgebaut wurde, nicht den aktuellen Client. Falls sie nicht identisch sind, natürlich 🤣

Schau mal, ob https://www.powershellgallery.com/packages/RDExSessionInfo/1.1.0.0 hilft. Ich habe es vor 8 Jahren geschrieben, weiß nicht mehr, was es ausgibt, aber ich meine, es war aus demselben Grund wie bei Dir....

Scheinbar nicht:

Moin, klappt es denn, wenn Du den neuen Buchstaben erst mal nur hinzufügst und nicht änderst?

Moin, Du suchst Register-ObjectEvent (Microsoft.PowerShell.Utility) - PowerShell | Microsoft Learn

Die stellen ein, glaube ich

6h mit 4GB für das Security Log ist doch super Objekt-Auditing direkt in Splunk zu blasen ist sicherlich selbst für ne Bank eine recht unerschwingliche Nummer, da muss man vorher Profile bilden und vorfiltern...

Re Ausgabe von Get-Member: vergiss es einfach Du kannst die Werte ins . Net-Objekt schreiben, und nur das sagt Dir die Ausgabe. Du kannst sie aber nicht ins Verzeichnis schreiben Re Bedingungen in Skripten verändern: das Zauberwort lautet "Parametrisierung". Wenn Du dein Test-AD auf Teufel komm raus verbiegen willst, leistet Mimikatz DCShadow (online) oder DSInternals (offline) wertvolle Dienste.

Moin, "Set by the system" bedeutet nicht "Set by NT_AUTHORITY\SYSTEM", sondern, dass es durch das Verzeichnis selbst gesetzt wird und nicht per LDAP. Nur aus Interesse: warum würdest Du so etwas wollen?

Ich konnte den Verlag noch nicht davon überzeugen. Das war der ursprüngliche Vorschlag. Ich plane aber noch was anderes, ausschließlich Hands-On, das wird vor Ort sein. Muss sich aber erst manifestieren. EDIT: Also vermutlich frühestens Ende des Jahres, und dann schon unter Berücksichtigung von Server 2025.

Da gibt es auch einen dreitägigen Kurs beim IT-Administrator-Verlag, wo solche Sachen (unter vielem anderen) aufgedröselt werden War das noch innerhalb der Forums-Richtlinien?

Noch nie. Aber mit 2012 hast Du ja noch keine volle Funktion bei Protected Users und keine Authentication Policies. Diese Arbeitszeit gilt aber nicht für Service- und Computer-Accounts

10 Stunden und eine Minute, sofern die TGT-Lebensdauer nicht vom Default weg verändert wurde. wenn es wirklich 2012 ohne R2 ist, dann ist es nicht unkritisch, d.h. muss gemacht werden, zumindest bevor man mit Protected Users anfängt. Aber der Vorgang an sich ist in der Tat unkritisch.

Lege die Policy vielleicht einfach neu an, geht schneller. Und wenn es die DDCP ist, hilft dcgpofix /ignoreschema /target:DC