cj_berlin

Und? Auch DNS kannst Du unabhängig von der AD-Domäne fahren. Zone mit der "richtigen" Domain anlegen, fertig. Computername: SERVER01.fremde-domain.de DNS Alias: webapps.eigene-domain.de SPN: HTTP/SERVER01.fremde-domain.de (falls Teile des Service intern zwingend den Hostname verwenden wollen) + HTTP/webapps.eigene-domain.de Zertifikat: SAN=webapps.eigene-domain.de

Davon wird nicht nur abgeraten, das funktioniert auch in vielen Szenarien einfach nicht. Aber: Dir geht's doch eigentlich nur um den UPN-Suffix, um den UPN=email setzen zu können. Das kannst Du zum vorhandenen Forest hinzufügen und für die User dort "einfach" ändern. Anführungsstriche können auch weg, wenn Du genau weißt, welche Anwendungen den UPN benutzen und damit angefasst werden müssen

Hat der 2. DC einen Forwarder eingestellt, der ihm erlaubt, Internet-Adressen aufzulösen? Apropos: Moderne Windows-Versionen (seit Windows 7, wenn ichj es richtig im Kopf habe, vielleicht sogar Vista) agieren nicht mehr mit "primärem" und "alternativem" DNS-Server, sondern fragen beide an und verwenden beide Antworten, wenn sie ohne allzu großen zeitlichen Abstand kommen.

Deswegen erlaubt Franky ja auch NTLM auf dem MAPI vDir Auf OutlookAnywhere wiederum nicht, denn das agiert ja als RPC-Proxy.

Oder ich stupse ihn intern an 😎 Darren sagt, schreib support@sdmsoftware.com an.

Doch, ihr wollt die Domain bzw. den Forest neu machen, denn anders wird es nichts. Je nachdem, wie groß das ganze ist, können 3rd Party Tools euch helfen, das relativ geräuschlos über die Bühne zu bringen. Wenn ihr das allerdings noch nie gemacht habt, werdet ihr Schiffbruch erleiden.

Moin, allein schon die Vorstellung, ein Technologiewechsel könnte mich und meinen Job entbehrlich machen, wäre für mich ein Grund, meinen Lebenslauf sofort auf Vordermann zu bringen. Ansonsten, wenn die Leute ohnehin nur Cloud-Dienste nutzen, musst Du die Maschinen aus dem AD raus und ins Azure AD joinen, und die User melden sich ab dann mit ihrem Azure AD Account an. Wie technisch am besten, variiert je nachdem, was für Hilfsmittel Du on prem hast (laut Deinem Post scheinbar keine) und was in O365 vorhanden ist, also welche Lizenzen.

Ja, 4h, und dort ist es auch explizit im FM beschrieben. Deshalb dürfen auch keine Computer- und Service-Accounts in die Protected Users.

Moin, ja, Events zu generieren, die man nicht verarbeitet, ist performance-technisch von Nachteil. Vermutlich auch für euer Audit-Tool...

Moin, wenn man in seiner Härtung so weit gekommen ist, dass die fehlende Granularität bei RPC-Diensten die letzte verbliebene offene Flanke ist, müsste man doch eigentlich genug Zeit übrig haben, um alle Hersteller von Enterprise Firewalls vorzuladen und eine RPC-LAN-Party zu veranstalten, denn nominal kann eine PaloAlto oder eine Fortinet ja durchaus zwischen RPC-Protokollen unterscheiden und Regelwerke auf dieser Grundlage bauen. Wie gut es dann funktioniert, kann man nur selbst beurteilen --> RPC-LAN-Party.

Also bei Umlauten im sAMAccountName kann es schon kritisch werden. Hatte das bei einer Migration - da wurde das Konto des Herrn KÖNIG auf die Frau KONIG gematcht...

Das war aber eine Antwort auf "wie oft", nicht auf "wie" - Letzteres würde mich tatsächlich interessieren 😀

Moin, laut Exchange Server prerequisites, Exchange 2019 system requirements, Exchange 2019 requirements | Microsoft Learn ist Message Queuing keine Voraussetzung für die Installation von Exchange. Du müsstest also auf die Suche gehen nach einer anderen Anwendung auf Deinen Exchange Servern, die den Dienst vielleicht benötigt. Der Blick auf die erstellten Queues könnte durchaus etwas verraten.

Moin, existiert denn das Temp-Verzeichnis bereits? Hier funktioniert Dein Code ohne Probleme. Dass Du das per net use auch machen könntest, indem Du die Creds vorher im Windows Credential Manager abspeicherst, ist Dir klar? (/savecred - Switch). Aber das Sicherheitsniveau ist ähnlich.

Vielleicht so einfach?

Moin, mit den Anmerkungen, die bereits gemacht wurden, ist es mittels einer Transportregel möglich. Vor dem Abtippen/Kopieren einer empfangenen Mail in eine neue Mail gibt es freilich keinen Schutz, sofern aus dem betroffenen Postfach *überhaupt* Mails versendet werden sollen.

Wenn man weiß, was man tut, bietet es aus Security -Sicht schon Vorteile. Aber einen Autodiscover-Eintrag braucht die Domain nicht - weder im DNS noch im Zertifikat. Einen SAN für die Domain selbst hingegen schon...

Nein, wieso sinnlos? Möchte ich eine Vorgabe machen, die der Nutzer später anpassen und auch so behalten möchte, wäre das mit "Aktualisieren" ein gefährliches Spiel, denn wenn sich meine Vorgabe ändert, wären alle Nutzer beeinträchtigt, die den Wert angepasst hatten (außer die natürlich, die genau den gleichen Wert gesetzt haben wie die neue Vorgabe ).

Moin, der wichtigste Unterschied wäre IMO, dass die GPP, wenn Du sie setzt oder veränderst, recht bald angewandt wird, und ein Login-Skript läuft ggfls. erst nach dem nächsten Patchday, wenn Du User hast, die sich nie abmelden. Sind die einzelnen Werte an Bedingungen geknüpft, wird es im Skript schnell unübersichtlich, und GPP mit ILT ist ein Stück weit selbst-dokumentierend. Erwägt man den Wechsel von AD/GPO zu Azure AD/Intune, könnte sich das Skript als Vehikel evtl. besser eignen, wenn Du nicht so gut im Automatisieren von Intune bist. Da kann man auch das Phänomen "User meldet sich nie ab" gut abfangen. Warum Du meinst, GPP zweimal setzen zu müssen, ist mir übrigens schleierhaft - Update erzeugt durchaus auch neue Werte, falls sie fehlen.

Backup der CA mit certutil backup Backup der Konfig mit reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc

Moin, das müsstest Du in den Kerberos-Logs sehen. War es ein frisches gMSA oder wurde sein Passwort schon mal durch jemanden gesetzt?

Ich habe noch nicht ganz verstanden, wo es genau klemmt, aber auf meinem SONY-Android mit der offiziellen OneDrive-App ist eine parallele Nutzung von OneDrive und OneDrive Business durchaus möglich... Ist das Problem spezifisch ftdie Bilder-Synchronisierung?

Weil sie ja auch dieselbe ist, mit der sich der User vor 40 Jahren am 3270er Terminal angemeldet hat

Oder zwei Buchstaben des Vornamen und drei Buchstaben der Nachnamen - siehe den bekannten Dialog zwischen Arnold Schneider und dem IT-Supporter Volker Tzenandalis

Aber warum denn? Auf modernen Windows-Versionen sieht der User den tatsächlichen Ordnernamen doch eigentlich nie. Und der Admin kann ihn beim Skripten immer aus der Registry aus der SID ableiten - würde ich sowieso empfehlen, bis der Namenswechsel beim Heiraten irgendwann hoffentlich verboten wird.