cj_berlin

...und die Frage ist?

Moin, wenn manueller "Transfer from Master" geklappt hat und automatische Replikation nicht, dann fehlen Dir vermutlich Update Notifications. Dies stellst Du in den Eigenschaften der Zone ein, dort, wo Du angibst, an wen sie transferiert werden darf.

Moin, alles unter "RBAC" beschrieben: https://docs.microsoft.com/en-us/exchange/understanding-role-based-access-control-exchange-2013-help

Friends don't let friends run unsigned binaries in production

Moin, solange Du nicht auch noch die Policy "lokale Kopie des servergespeicherten Profils bei Abmleden löschen" gesetzt hast, wird ja gar nichts verschoben, sondern nur kopiert. Policy deaktivieren, Anwendung abwarten, Serverkopie löschen, fertig. Hast Du die o.g. Policy aktiviert, so musst Du sie zuerst deaktivieren, dann muss sich jeder User einmal an jedem Computer anmelden, wo er gern ein Profil hätte, und dann deaktivierst Du die Policy für den Profilpfad.

Moin, Du verwendest die Variable $listViewItem mehrfach, für verschiedene Zwecke. AD-Zeit ist FileTime, Du brauchst [datetime]::FromFiletime($item.lastlogon) Und bedenke: Wenn Du mehr als einen Domain Controller hast, ist LastLogon nicht notwendigerweise bei jedem User auf jedem DC belegt. Du könntest auf LastLogonTimestamp ausweichen - das ist überall gleich, ist aber nicht zwangsläufig der allerletzte Logon.

https://lmgtfy.app/?q=get-acl+permissions+report

Moin, Laufwerksrechte werden nicht im AD, sondern im NTFS-Dateisystem vergeben. Deine Freunde sind Get-ChildItem und Get-ACL.

Nein, wenn es nicht "remote" ist. Remote = von einem Server kommend, der in den Internet Explorer Security Zones nicht "Intranet" ist. Da ein Logon-Skript in der Regel aus SYSVOL kommt, wäre es im Zweifel nicht "remote". Außerdem, wenn Du das Skript im GPO-Zweig "Scripts" ausführst, wird die Execution Policy für diese Ausführung aus "Bypass" gestellt.

Wenn weder AppLocker noch Execution Policy das erzwingen, dann musst Du es auch nicht signieren.

Moin, da es eine filebasierte Zone ist, ist offenbar DC-DOM01-01 der Primary und DC-DOM02-01 der Secondary. Was passiert denn, wenn Du auf DOM02-01 "Transfer from master" sagst? An wen sind Zone Transfers in den Eigenschaften der Zone erlaubt?

Moin, vielleicht beschreibst Du etwas weniger emotional, aber dafür mit mehr Fakten (Screenshots, Logs, Fehlermeldungen usw.), was tatsächlich passiert ist. Auch das Einspielen des Hotfixes hinterlässt massenhaft logs - findet sich da irgendwas sinnvolles?

Ich korrigiere: Jedes Skript, was in eine Allow-Rule fällt, läuft im Full Language Mode. Hier sind nur Default Rules (C:\Windows, C:\Program Files und BUILTIN\Administrators) aktiv PLUS eine Publisher-Rule: @daabm Oder hast Du ein anderes Verhalten gemeint oder beobachtet?

Zu 2. Also *gedacht* ist es wohl schon richtig - Laut Doku (also: gedacht ) sollen signierte Skripte, deren Signierer in AppLocker per Rule berechtigt ist, im Full Mode laufen. Ob das Gedachte tatsächlich so umgesetzt wurde, muss man testen... Finde das Dokument leider gerade nicht :-(

1. wäre ja kein Hindernis, denn man kann im Skript auch gegen die SID der gewünschten Gruppe filtern, die ist ja schnell nachgeschaut. Und ohne Verbindung zur Domäne liefert whoami ja auch nur SIDs. 2. wenn das Skript signiert ist, würde es ja im Full Language Mode laufen - oder?

Was hat Backup mit AD zu tun? Aber mehrere Schedules für verschiedene Bestände in einer Policy (und es gibt im WSB nur eine Policy pro ausführenden Server) halte ich für ein Gerücht. Deswegen wird es auch per PowerShell nicht klappen, sondern Du musst, wie bereits von anderen angedeutet, jeden Zeitplan auf dem jeweiligen Server unabhängig von den anderen eintragen...

+1 Ich habe mir auch inzwischen abgewöhnt, darauf zu klicken oder auch nur danach Ausschau zu halten. Und auf meinem privaten Notebook ist sogar "Desktopbenachrichtigung anzeigen" aktiviert, aber ich kann mich nicht erinnern, sie jemals gesehen zu haben...

Moin, eine Lösung, die zumindest eine einheitliche Plattform (Batch) einsetzt, wäre whoami /groups /fo csv | findstr <Gruppenname> > nul if ERRORLEVEL 0 net use Z: \\server\SHARE Eine Lösung, die gar keine Skriptsprache nutzt, habe ich bereits vorgeschlagen. Ob es sich lohnt, sich mit dem API-Wrapper für PowerShell (und somit ja auch für VBS, ist ja alles P/Invoke) zu beschäftigen, muss ich noch bewerten.

Mein Problem ist doch nicht, *wie* man genügend PowerShell oder VBS um einen DOS-Befehl strickt, damit es tut, sondern *dass* man es machen muss, um etwas zu erreichen, das evtl. mit einem API-Aufruf bessere (z.B. von der Systemsprache unabhängige) Ergebnisse liefert. Und in dieser unseren Zeit ist das Ereignis "powershell.exe spawned a child process" etwas, was regelmäßig für Gesprächsbedarf sorgt.

Moin, etwas, was unformatierten Text, der auch noch Locale-spezifisch ist, auf den stdout ausspuckt, ist für mich ein DOS-Befehl. Es steht nirgends geschrieben, dass "Befehle" ausschließlich als Teil der cmd.exe implementiert sein müssen, es geht also eher um die Art der Eingabe und Ausgabe - UND darum, ob ein neuer Prozess gestartet werden muss, um das gewünschte Ergebnis zu erreichen. Für einen gelegentlichen beaufsichtigten Aufruf durch den Operator mag das Prinzip "lieber sich ums Bewährte verrenken als das Neue debuggen zu müssen" durchaus ökonomisch sinnvoll sein. Wenn man aber Tools baut, die jahrelang unbeaufsichtigt, zum Teil in vorher unbekannten Umgebungen, laufen sollen, sieht die Ökonomie bisweilen anders aus.

Um nicht DOS-Befehle in Skripten aus anderen Sprachen verwenden und deren Ausgabe parsen zu müssen. Aber performance-technisch hast Du absolut recht. Eigentlich müsste man mal schauen, welche API whoami aufruft, und einen Wrapper in PowerShell bzw. VBS basteln.

Kommt vielleicht noch. @BOfH_666 hat sich ja noch nicht geäußert.

Ja. Nicht die memberOF-Funktion in VBS benutzen GPP, oder halt die Funktion erweitern, so dass sie Rekursion benutzt. Oder, wie @NilsK angedeutet hat, whoami und dann die Ausgabe nach der gewünschten Gruppe durchflöhen.

Bedenke jedoch, dass Du, wenn Du einen Mailgateway vorschaltest, die Filterung der zugelassenen IP-Adressen dort machen muss, denn am Receive Connector kommen dann alle mit der gleichen IP an.

Als erstes eine realistische Schätzung treffen (lassen), wann es eine SaaS-Variante des ERP gibt, und wenn die Antwort "nie" oder "irgendwann" lautet (was dasselbe bedeutet, denn das P in ERP steht für Planung ) mir Gedanken um Anbieterwechsel machen. Denn; Wenn eure IT-Strategie eine Umstellung auf SaaS beinhaltet, ist jede "Insel" prohibitiv teuer, da sie keine Ressourcenteilung mit den bereits vorhandenen Diensten zulässt. Ist der Anbieterwechsel noch teurer als jedes Mietangebot (bei ERP durchaus vorstellbar), würde ich schauen, ob man Teile der Leistung, beispielsweise die Datenbank, in PaaS-Angebote auslagern kann. Das macht die verbleibende IaaS-Leistung erschwinglicher und nimmt Dir Administrationsaufwand ab.