cj_berlin

Moin, wenn Du eine Berechtigung im AD vergibst, kannst Du immer einen Scope für die Berechtigung angeben, zum Beispiel "alle Computer-Objekte in dieser OU" oder "diese OU, Unterstruktur und Objekte darin". Es gibt keinen PowerShell-Befehl, der "von alleine alles richtig macht", denn "richtig" ist von Organisation zu Organisation unterschiedlich. Das Zoning per PowerShell zu machen, hat trotzdem den großen Vorteil, dass es a. wiederholbar und b. quasi automatisch dokumentiert ist.

Moin, was Norbert sagt, CNAME oder A-Record und ggfls. zusätzliche Kerberos-SPNs hinzufügen, damit die Authentifizierung beim Zugriff unter dem alten Namen klappt.

Hier ist Dein Freund (bei mir heißt die Spalte "payload", denn "string" ist ein echt ungünstiger Name): SUBSTRING(payload, CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">'), (CHARINDEX('</ac:parameter>',payload,(CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">') + 1)) - CHARINDEX('<ac:parameter ac:name="extras">', payload) - LEN('<ac:parameter ac:name="extras">')))

Du musst den Besitz übernehmen und Dir *dann* Vollzugriff geben.

Dann musst Du zuerst den Besitz übernehmen. Dass dabei die ursprünglichen Berechtigungen flöten gehen, ist ja in dem Moment egal, da der Ordner eh zum Löschen vorgesehen ist. Oder Du nimmst einen Account, der bereits Vollzugriff hat. beispielsweise SYSTEM (falls es ein Windows-Fileserver ist).

Kriegst Du diese Fehlermeldung?

...oder man migriert den "Essentials für die alte Software" zu Standard, behält aber die Version vorerst bei - der Bedarf an CALs ist ja durch den anderen Standard schon gegeben, und die Server-Lizenz kostet evtl. nicht einmal etwas extra, wenn man beide auf dem gleichen Blech virtualisiert.

hold my beer Von höchster Stelle abgesegnet: Und hier ist die (IMO) bisher beste Aufarbeitung der ganzen Misere: https://www.theverge.com/2022/10/28/23428132/elon-musk-twitter-acquisition-problems-speech-moderation

Der "Freiheit"-Teil erschließt sich mir nicht. Was macht ein Webforum, dessen Betreibern und Moderatoren ich vertraue (z.B. dieses) weniger "freiheitlich" als einen Newsgroup-Server, dessen Betreibern und Moderatoren ich vertraue? Und würde dieses Forum davon profitieren, wenn man die Beiträge auch über NNTP lesen und schreiben könnte? Das wurde mit dem Technet-Forum ja jahrzehntelang versucht, und ich kann nicht bestätigen, dass es dort mehr Spaß gemacht hat, als der Community Gateway noch funktionierte...

Moin, gibt es handfeste Argumente? Ich halte von einer Menge Menschen nichts, denen Unternehmen gehöre, deren Produkte ich nutze. Aber ist bereits irgendetwas vorgefallen?

Ihr lacht, aber mit Druckern hatten wir das Thema mal.

Moin, beide Knackpunkte wurden schon genannt: 1. Bei Neuinstallationen hat das noch nie funktioniert. 2. Beim Zugriff auf virtuelle Windows Workstation - Instanzen brauchst Du SA oder VDA, in beiden Fällen ist das betroffene Windows Enterprise oder Education.

Der Kollege macht es viel zu komplex, um alle Eventualitätan abzufangen, und baut dafür eine Abhängigkeit von der Sprache ein Hier mal ein einfacherer Ansatz - vorerst ohne Zeiten, aber das geht genauso gut: $result = Invoke-Expression "robocopy /mir <source> <target>" if ($result[-13] -match "\-+") { $folders = $result[-10] -split "\s+" $files = $result[-9] -split "\s+" $bytes = $result[-8] -split "\s{2,}" | Foreach-Object { if ($_ -match "[a-zA-Z]") { "$($_ -replace "\s")B" } else { $_ }} } Die Dezimalzahlen werden nämlich auch in einer deutschen Shell im Computer-Format ausgegeben, zumindest bei mir ist es so.

Die Beschreibung ist aber ganz ordentlich Ich würde niemals in einen an sich gesunden AD-Forest ein Backup, geschweige denn Snapshot, eines DC zurückspielen. Entfernen und neu hinzufügen, dauert genauso lange und bringt ein gesichertes Ergebnis, wenn man sauber arbeitet.

Moin, füge irgendein harmloses Feature hinzu, boote und entferne es wieder. Hat hier schon 1000x bei diesem Phänomen geholfen. Der Fairness halber muss ich aber zugeben, dass der Erfolg nicht ganz 100%-ig war.

Moin, das von mir bisher beobachtete Verhalten in dieser Situation ist so, dass die Lizenz zwischen den Versionen wandert, und zwar jeweils zur Version des letzten Logins. Damit entspricht die Anzahl ausgecheckter Lizenzen zwar immer noch nicht der Anzahl Menschen, aber immerhin der Anzahl ihrer Accounts.

Welche? Ich habe Umgebungen, wo Clients noch nie einen schreibbaren DC gesehen haben, vom PDCe ganz zu schweigen. Was bei DFS-N sein kann, ist, dass es im "Consistency Mode" konfiguriert ist (Default-Einstellung). Du brauchst den "Scalability Mode".

Klar.

Du musst im AD das PAM-Feature aktivieren und dann auch am Trust. MIM braucht man dafür aber nicht.

Ich vermag hier keinen Widerspruch zu erkennen

Moin, die DNS Records muss der DHCP-Server aktualisieren und nicht der Rechner selbst. Wenn DHCP und DNS beide auf Windows laufen, lassen sie sich miteinander integrieren. Was dabei auch hilft, sind kurze Lease-Zeiten - aber natürlich nicht so kurz, dass der DHCP-Traffic das ganze Netz flutet

Es geht ja darum, DASS die DCs im produktiven Forest nicht kompromittiert werden. Und ein wichtiger Schritt dahin ist, Admin-Accounts nicht kompromittieren zu lassen. Und Admins, die sich nur per Shadow Principal aus dem Bastion-Forest authentifizieren, können im Prod-Forest gar nicht kompromittiert werden. Patch-Management einer nicht-persistenten VDI ist nur bei Microsoft RDS ein Problem, andere Systeme beherrschen dies nativ. Und nicht-persistent deshalb, weil man bei VDI (zu der man sich aus der unsicheren Zone verbindet) nicht alle Mittel einsetzen kann, um das Hinterlassen von Credentials zu verhindern, die einem bei einem physischen Rechner, an dem man sich direkt interaktiv anmeldet, zur Verfügung stehen. Bei einer physischen PAW setzt man nicht bewusst auf persistent, aber eine nicht-persistente physische PAW zu kreieren, die auch beispielsweise offline hochfahren kann, ist halt viel schwieriger. Das konnte man früher recht charmant mit XenClient abbilden, aber den hat Citrix ja nun eingestampft. Thin Clients mit Write Filter könnte man hier durchaus in Betracht ziehen, wenn man ein passendes OS findet. Meistens laufen die Dinger aber nicht ohne die ganzen Spezial-Softwaretitel des Herstellers, die dann wieder Löcher aufreißen. ASAI-I-Kurs von NTSystems. Die Jungs kann man auch für Umsetzung buchen.

Sind sie. Mein Szenario wäre, dass ich an das Join-Account komme, weil es in der Software-Verteilung im Klartext hiterlegt ist.

Moin, Quest GPOAdmin ist das beste wo gibt. AGPM aus dem MDOP funktioniert auch, da musst Du aber MDOP haben.

Naja, im CVE steht auch Complexity=High. Sowas einfaches wie log4j kriegt man nicht jeden Tag geschenkt.