cj_berlin

Diese Situation ist sehr schön in "Hai-Alarm am Müggelsee" verarbeitet bis zum Exzess ausgeweidet...

Wieso? otto.matthias-otto@company.com Das den Leuten am Telefon zu erklären, steht freilich auf einem anderen Blatt

schnell verkuppeln! Doppelnamen sind wieder erlaubt

In einer Bundesbehörde gab es diesen Fall mal wirklich, und zwar der neue Mitarbeiter war viel wichtiger als der alte und seine neue Adresse wurde bereits veröffentlicht, bevor man festgestellt hat, dass es eine Dopplung gibt. Den Rest darf ich leider nicht öffentlich erzählen Aber um den Kollegen beizupflichten: Es hat sich bisher noch nie jemand über die 2, 3 etc. beschwert.

Genau. Mit NTDSUTIL prüfen, ob er noch in der Replikationstopologie drin steht, und falls ja, bereinigen. Anschließend noch im DNS kontrollieren.

Finde einen Unterschied:

Moin, der *Zugriff* auf die Shares wird ja nicht "durch DFS" geschleust. Wenn die wahrgenommene Performance bei DFS-Zugriff über Standorte hinweg konstant schlechter ist als bei direktem Share-Zugriff, dann sind die Clients noch mit etwas anderem beschäftigt. Wenn der lokale DC auch noch mit ausgefallen ist, dann müssen sie ja bei jeder Konfigurationsabfrage für DFS erst mal einen DC suchen, um die Konfiguration zu laden. Jetzt mal ganz doof gefragt: Funktioniert die Site-Zuordnung bei Clients einwandfrei, sprich: sind alle Client-Subnetze im AD erfasst un den jeweiligen Sites zugeordnet? Target Prioritization spielt bei je einem Server in zwei Standorten normalerweise keine große Rolle, wenn Du Targets nicht global priorisierst (was in dem von Dir geschilderten Fall ja nicht gut wäre, außer vielleicht im Wartungsfenster eines Standorts). Die Default-Konfiguration hier entspricht quasi schon dem, was ihr erreichen wollt: Clients greifen sich den Target aus der eigenen Site, solange er antwortet. Und wenn er nicht antwortet, greift der Timeout, bevor etwas anderes versucht wird. Fakt bleibt aber, dass DFS-N + DFS-R kein "hochverfügbares Fileshare-System" ist, bei dem die Clients den Ausfall sofort erkennen und sich sofort ein neues Ziel suchen und dieses auch sofort finden.

Moin, im Endeffekt ist DFS-N nur "DNS für Fileserver-Zugriff". Am Ende der Signalkette steht eine physikalische Freigabe. Wenn also der Zugriff über DFS-N standortübergreifend zu lahm war, hat es nichts mit DFS-N zu tun, sondern mit der Standortverbindung. Und da bin ich bei @NilsK: Fileservice ist nichts, was sich gut im WAN bereitstellen lässt, da das SMB-Protokoll per se ja gar nicht für WAN geeignet ist.

Die ist auch korrekt. Irrig hingegen ist die implizite, nicht ausgesprochene, aber dennoch bestehende Annahme, dass nicht-fremde Geräte nicht unsicher sind So richtig umsetzen kannst Du aber nur, wenn Du von den Downlevel-Protokollen wie SMB, SQL usw. wegkommst und alles nur über "moderne" Zugriffsprotokolle, also Abwandlungen von HTTPS, läuft. Bis das umgesetzt wurde, bleibt Dir eine Firewall, die Benutzer-Anmeldungen auswertet und das Regelwerk aufgrund der User-Identität dynamisch anpasst.

Eigentlich ist dieser Link besser, weil es um MySQL und nicht um MSSQL geht: https://dev.mysql.com/doc/refman/8.0/en/date-and-time-functions.html Du suchst nach DATE_ADD()

Moin, die Frage, die man heutzutage stellen sollte: Meine ich wirklich "Computer" oder sprechen wir eigentlich von "Usern", denen der Zugriff gewährt werden soll oder nicht? Für Computer im LAN gibt es als Mittel der Wahl das Network Access Control (NAC). Dies verbunden mit VLANs und Firewalls. Für Computer außerhalb sprechen wir entweder von VPN oder von einer "Veröffentlichung". In beides kann man über das Gerätemanagement auch die Computer-Identität einarbeiten. Im Sinne von Zero Trust soll man bei sowas eigentlich immer versuchen, den Zugriff primär durch die Identität des Users zu steuern.

Nun ja, das gibt es genaugenommen immer noch, nur halt nicht im Active Directory Moin, dem DCDIAG nach hast Du nicht das Problem, dass DNS nicht läuft, sondern, dass AD nicht läuft. Versuch mal, den NTDS-Dienst neu zu starten und schau, was für Fehler er dabei im Event Log "Directory Service" wirft. Vielleicht hat die Platte einen Schuss, und die Datenbank ist nicht mehr heil. Dann am besten neu machen, da bist Du aber bei NTDSUTIL, Metadata Cleanup, Seize Role etc. (das sind alles Stichworte, die Dich weiterbringen sollten).

Moin, das wird wohl darauf ankommen, was die Rollengruppen so durften. Solange die Umgebung hybrid bleibt, werden Postfächer ja on premises angelegt, auch wenn sie online gehosted sind. Dafür braucht man die Recipient Management-Rolle on prem. Für Objekte, die ausschließlich online existieren, haben diese Rollen natürlich keine Gültigkeit.

Du verwendest -Credential, während Du für den Zugriff aus einer nicht berechtigten Sitzung sowohl -Credential als auch -DecryptionCredential angeben müsstest. Steht so in der Hilfe.

Also ist Dein Screenshot vom Printserver?

Execution Policy?

Dann würde ich sagen, Hersteller fragen hat die besten Chancen, das nachhaltig hinzukriegen. Ansonsten ProcMon und schauen, wo diese Operation alles hinschreibt. Könnte auch eine INI-Datei oder so etwas sein.

Moin, was für ein Drucker ist es? wozu dient dieser Eintrag? ist er für alle User gleich oder lässt sich der Name am Drucker vom Benutzernamen ableiten? "Definierter Benutzername" klingt ja ein wenig nach "Distinguished Name"... müsstest Du auch das Kennwort beibringen und falls ja, wie gedenkst Du, dieses zu transportieren?

Ein typischer Fall von RTFM, würde ich sagen:

Moin, wenn Du "enable password encryption" einschaltest und "configure authorized decryptors" nicht konfigurierst, welches Verhalten erwartest Du zu sehen?

Moin, Du schreibst nichts zu der Gruppenrichtlinie, die Dein LAPS steuern soll. Magst Du diese mal, am besten mit Screenshots, skizzieren, und auch, ob sie auch laut GPRESULT auf den betreffenden Rechner angewandt worden ist?

BookStack ist cool, ich habe die Preise allerdings aus dem Blickfeld verloren, kann dazu also nichts sagen.

Moin, alles, was *Laps* heißt, bezieht sich auf das neue LAPS, das nur. Bestandteil von Windows ist. Musst oder möchtest Du das Legacy Laps nutzen, sind *AdmPwd* Cmdlets Deine Freunde.

Hast Du dafür eine autoritative Quelle, irgendwas von Microsoft? Die Pipeline ist doch eigentlich nur dann "speicherschonend", wenn die empfangenden Cmdlets die Objekte nach der Verarbeitung sofort verwerfen. Wenn Du am Ende der Pipe Sort-Object stehen hast, kann die die Pipeline in Bezug auf die Performance nicht helfen

Die Praktikanten bei Microsoft halten on-prem für einen Mythos aus lang vergangenen Zeiten. Sogar fest angestellte Mitarbeiter unter einem bestimmten Alter