cj_berlin

Da Du nicht schreibst, WARUM Du meinst, die Domäne neu aufsetzen zu wollen/müssen, ist es schwer zu sagen, ob es Sinn macht. Du solltest die Artefakte aus längst vergangenen Zeiten bereinigen, da helfen Tools wie PingCastle, den Überblick zu behalten. Einige dieser Artefakte wirst Du nicht bekommen, wenn Du die Domain neu auf 2019 oder 2022 aufsetzt, aber ob das die Arbeit rechtfertigt? Meiner Meinung nach, solltest Du die Arbeit lieber in folgende Punkte investieren: SMB1 überall loswerden und von den Windows Devices als Feature deinstallieren NTLM möglichst beschränken und am besten blockieren Berechtigungen auf AD-Containern und GPOs gerade ziehen und härten Alle nicht mehr vorhandenen PKI-Bäume aus dem AD entfernen, evtl. vorhandene Enterprise PKI härten Es gibt genug zu tun, und viele dieser Dinge werden an Deinen Usern unbemerkt vorbeiziehen, wenn Du es sauber umsetzt. Der Neuaufbau wird in der Regel Reibungsverluste verursachen.

Hallo zusammen, wir wollen versuchen, eine neue Community-Konferenz auf die Beine zu stellen. Bitte füllt die Umfrage aus und teilt uns mit, was ihr euch von einer Konferenz wünscht/erwartet: https://forms.office.com/r/mxVkVVJ3k7 Für Neuigkeiten, Daten, Orte, CfP usw. könnt ihr gern @WeConfDE auf Twitter folgen. ------------------------------------------- Hinweis der Moderation: Dies ist keine Aktion des MCSEboard.de und die Umfrage wird auch nicht von uns gehostet.

Danke, ist erledigt

So, wir probieren es mal mit einem neuen Format Ich habe mal eine Umfrage und einen Twitter-Account erstellt. Bitte teilnehmen und im Bekanntenkreis weiterverbreiten, damit wir möglichst viele Community-Stimmen sammeln können Hier die Umfrage: https://forms.office.com/r/mxVkVVJ3k7 @Mods: Falls ihr den Wunsch verspüren solltet, daraus einen Pinned Something zu machen, feel free! Ich werde zu gegebener Zeit berichten

Ja, aber diesmal als Aussteller

Nein.

Und, natürlich, wie immer: AUF CROSS-POSTS HINWEISEN! https://social.technet.microsoft.com/Forums/de-DE/4359ac0f-319c-4fd8-91e0-b9d074478a8a/rds-farm-und-rdweb-monitoring?forum=windows_Serverde

Moin, das Herunterstufen vom DC macht erst mal nichts mit den anderen Rollen. Wenn man einen nicht heruntergestuften DC einfach ausschaltet, wird es unter Garantie Nebeneffekte geben. Dokument-Links kann auch ein Fileserver bedienen, der nicht mehr DC ist. Ich würde niemals absichtlich einen noch aktiven DC für einen längeren (als für den Reboot benötigten) Zeitraum ausgeschaltet lassen.

Genau. Bei dieser Gelegenheit wird er Dir ans Herz legen, den DCPROMO-Assistenten auszuführen, was Du dann auch tust. Wenn alles so sauber ist, wie Du beschreibst, müsste er ohne Anpassungen mit den Standardeinstellungen das gewünschte Ergebnis erreichen.

Wichtig ist nicht "false", sondern dass "ForwardingSMTPAddress" leer ist Steht evtl. im AD dennoch etwas im targetAddress-Attribut bei dem Postfachbesitzer?

Moin, wenn's im RESOLVER forwarded ist, dann wird es wohl eine Mailbox-Weiterleitung sein. https://docs.microsoft.com/en-us/Exchange/recipients/user-mailboxes/email-forwarding?view=exchserver-2019

Korrekt, aber ich meine, @phatair würde gern wissen, an wen er die PN schicken soll

...und completely unrelated, aber dennoch sehr wichtig: es heißt "on premiseS"

Mir fehlen noch zwei "Meilensteine" in meiner Karrierre: Buch veröffentlichen und ein "Full-Size" Event organisieren. Eigentlich sollte es der PSDay DE sein, aber vielleicht baue ich irgendwann mal ein themenoffenes Event.

Einerseits gebe ich Nils Recht. Andererseits möchte das Volk ja *eigentlich* solch eine "mehr als nur Vorträge"-Konferenz haben. Also wird es wohl wieder eine geben, und grundsätzlich spricht ja nichts dagegen, dass es wieder die CIM sein könnte. Aber falls nicht - wir sind ja noch ein paar Jahre da, und ob's Lingen, Hannover, München oder Berlin ist - wenn jemand ruft, fahren wir auch hin

Moin, was @MurdocX sagt. Holt euch jemanden ran, der sich mit sowas auskennt, und diskutiert das mit ihr konkret, statt mit uns hier im Forum abstrakt. Wäre ich aber derjenige, den ihr einkauft, gäbe es zwei Punkte, über die ich mit mir gar nicht erst diskutieren lassen würde: 1. Admin-Accounts kommen in einen separaten Forest (und nein, es ist kein Aufwand, ihn zu bauen und einen einseitigen Trust einzurichten) 2. PAWs sind auf dedizierter Hardware abzubilden - entweder als physische Notebooks oder als nicht-persistente VDI (ebenfalls auf einer separaten Virtualisierung, deren Management-Schnittstellen aus dem Produktionsnetzwerk nicht erreichbar sind). Und das Betriebssystem. an dem sich Admin-Accounts interaktiv anmelden, hat Ceredential Guard aktiviert.

Moin, schau: der Hersteller eines Programms baut einen Installer, der das Programm so installiert, dass Adminrechte zwar für die Installaiton, nicht aber für die Ausführung des Programms benötigt werden Du gibst User A Adminrechte auf einer Maschine User A installiert das Programm auf dieser Maschine alle anderen können das Programm dann nutzen. Alles by design also, Will damit sagen: Wenn Du verhindern willst, dass alle außer User A ein bestimmtes Programm nutzen können, hat es nichts damit zu tun, wer das Programm installiert hat. Hier brauchst Du Code-Ausführungskontrolle, bei Windows wäre das AppLocker. Damit kannst Du festlegen, wer bestimmte Programme starten darf - egal, wie sie auf die Maschine gekommen sind.

Vielleicht zur Erklärung: Diese Einstellungen weisen den Reader an, den Windows CertStore zu verwenden, und verhindern, dass User ihre eigenen Zertifikate im Reader erzeugen können.

Zum Signieren? Ja, musste ich. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\DC\Security\cPubSec] "bSelfSignCertGen"=dword:00000000 "bEnableCEFBasedUI"=dword:00000000 [HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\DC\Security\cASPKI\cMSCAPI_DirectoryProvider] "bCertStoreImportEnable"=dword:00000001 "bMSStoreTrusted"=dword:00000001 "iMSStoreTrusted"=dword:00000062 [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\DC\Security\cPubSec] "bSelfSignCertGen"=dword:00000000 "bEnableCEFBasedUI"=dword:00000000 [HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\DC\Security\cASPKI\cMSCAPI_DirectoryProvider] "bCertStoreImportEnable"=dword:00000001 "bMSStoreTrusted"=dword:00000001 "iMSStoreTrusted"=dword:00000062 Und wenn Du 64-/32-Bit-Unterschiede hast, dann diese auch berücksichtigen.

Da es ein zyklischer Prozess ist, dürfte das Ergebnis nicht aussagekräftig sein

IMO hast Du nichts übersehen. Ich kann mir drei Erklärungen für das Phänomen vorstellen: Du hast nach dem Hinzufügen des Users zu der Gruppe nicht lange genug gewartet, und Exchange weiß noch nichts davon Es gibt eine höher priorisierte Regel, die zutrifft und mit Action "und keine weiteren Regeln anwenden" versehen ist. Der Absender wird aus irgendeinem Grund als intern erkannt.

Du wendest eine Benutzer-GPO auf Computer an. Entweder musst Du hier Loopback Processing aktivieren (mit allen Folgen) oder die GPO auf User anwenden und in der Security-Filterung oder im WMI sicherstellen, dass sie nur auf dem Terminalserver greift.

Sorry, Du hast dort am Freitag gepostet, jetzt ist Montag früh, und es sind inzwischen überall Sommerferien. Und, völlig unabhängig davon, haben freie Foren, in denen Leute Dir in ihrer Freizeit helfen, keine SLA.

Moin, das mitkopierte Design ist zwar für die Wissenden Hinweis genug, aber die Regeln der Fairness und die Foren-Regeln gebieten es, auf Cross-Posts hinzuweisen: https://social.technet.microsoft.com/Forums/de-DE/04a2c1c0-d157-4c3d-bc65-81f042e0bd07/terminal-server-officeprogramme-nicht-mehr-nutzbar?forum=windowsserver16de

Erstens sind die DNS Zonen in einer (zwei) anderen Partition(en). Man könnte also im Zweifel erst mal nur die wiederherstellen. Und dann kannst Du ja aus einem AD-Backup auch einzelne Elemente wiederherstellen, so auch einzelne DNS Records, falls nötig