cj_berlin

Er ist halt mit einer 6-stelligen KB-Nummer und seit XP nicht überarbeitet worden, aber dass diese Funktion sich nach XP nochmals geändert hat, steht DORT nicht drin. Aber es gibt tatsächlich eine KB, wo das explizit drin steht: https://support.microsoft.com/en-us/topic/-movesecurityattributes-registry-entry-does-not-work-in-windows-7-in-windows-vista-in-windows-server-2008-or-in-windows-server-2008-r2-c4d5b411-c035-e2b9-d78c-da161b279d8e (zwar wiederum auch nicht, dass es bei späteren Versionen nicht eingeführt wurde, denn immerhin gab es anscheinend für 2008/R2 einen Hotfix Und - wir hatten das hier offenbar schon vor über 10 Jahren:

Moin, das gab's schon mehrmals. Hast Du in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate den Schlüssel "DoNotConnectToWindowsUpdateInternetLocations" egal mit welchem Wert? Falls ja, lösche ihn mal und schau, ob das hilft.

Genau das würde ich in dem Fall tun, denn "aus Excel" hört sich eher nach Skript als nach ECP an...

Moin, was ist denn die eigentliche Intention dahinter bzw. warum sollten Postfächer *nicht* in den anderen DBs erzeugt werden? Wenn es dafür einen kolaren Grund gib (z.B. es sind Archiv-Datenbanken und liegen auf einem langsameren Storage), dann ist es absolut legitim, sie aus dem Autoprovisioning herauszunehmen. Dafür ist die Funktion schließlich da. "Alle bis auf eine" rausnehmen halte ich allerdings auch für fragwürdig - aber auch dafür könnte es vielleicht einen triftigen Grund geben.

Vielleicht solltest Du dir mal *effektive* Berechtigungen anschauen. Irgendwo irgendein unscheinbares Deny eingeschlichen, und schon ist das ganze Konstrukt kaputt.

Wenn das das einzige ist, was sie mit diesem Server machen, ja. Aber wenn sie beispielsweise noch irgendwelche netzwerkfähigen Geräte haben, die von diesem Server per DHCP eine IP-Adresse bekommen, brauchen sie auch eine Lizenz. Es ist sehr selten in einem "normalen Betrieb", dass ein anderes Modell als "User CAL für jeden User" gleichzeitig günstiger und managebar ist.

Und da es so ein wichtiger Vorgang ist, der vermutlich nur von einer kleinen Anzahl Personen und auch nur im Rahmen einer "Projektabschluss-Checkliste" durchgeführt wird, wäre Kopieren + Löschen doch durchaus eine Option... Da hast Du doch sicher auch ne Quelle zu, oder? Aber lustig, habe den Reg Key jetzt entfernt, alles rebootet, und die Rechte werden nach wie vor beim Verschieben vererbt...

Eine Freigabe mit zwei Ordnern angelegt, auf den einen hat Gruppe 1 Schreibzugriff, auf den anderen Gruppe 2. User 1 in Gruppe 1 gesteckt, am Client angemeldet und eine Datei im Ordner 1 erstellen lassen. User 2 in beide Gruppen gesteckt und die Datei von Ordner 1 nach Ordner 2 ziehen lassen. Nur Schreibrechte, ohne "Rechte setzen" --> Rechte werden mitgenommen Schreibrechte + "Rechte setzen" --> Rechte werden mitgenommen Schreibrechte + "Rechte setzen" + Registry Key am File Server --> Rechte werden vererbt ich wüßte nicht, wie ich das noch testen könnte

Moin, wenn wir von Windows CALs sprechen und jeder Mitarbeiter eine CAL bekommt, dann sind die Zugriffswege alle abgedeckt. Du kannst keine CALs sparen, indem alle User denselben Webserver oder dasselbe Terminal benutzen und nur dieses auf den Windows Server zugreift. Wenn das Verhältnis zwischen Benutzern und Geräten krass unausgewogen ist (z.B. 1000 User, zwei PCs in der Logistik und zwei Terminals an den Eingängen), könnten Device CALs die Lösung sein. Für SQL Express brauchst Du keine CALs, für SQL Standard, wenn Du es per Core lizenziertst und nicht Server+User, auch nicht.

Moin, bei email kann immer und alles sein. Hat der TO: empfänger auch Zugang zu webmail und kann er die Mail dort sehen (das wäre dann ein Problem an seinem Client)? Ist die Mail vielleicht im Spam-Ordner gelandet? Was passiert, wenn derselbe Absender an denselben Empfänger OHNE CC was schickt? Ist die Adresse richtig geschrieben? Falls Outlook im Einsatz ist: Ist die Adresse vielleicht in der Autovervollständigung falsch gecached? Wenn alle Stricke reißen --> All-Inkl. Support, die haben Zugriff auf die Logs und können das nachvollziehen.

da gibt's sogar einen Export-Button, der mittelhübsch formatierte Excel-Sheets erzeugt

Moin, in meinem Test auf Server 2025 (Server und Client, habe kein Windows 10/11 in diesem Lab) funktioniert das mit den Permissions wie auf Deinem Screenshot und dem Registry Key auf dem Fileserver. Allerdings ist es keine Lösung, auf die jemand Bock hat, der andere Hobbies hat als den Fileserver zu streicheln. Wenn ich Usern nämlich das Recht, Berechtigungen zu ändern, einräume, um das gewohnte Verhalten beim Drag & Drop nicht zu gefährden, kann ich sie nicht daran hindern, die Rechte auch anderweitig zu verändern, und Personen möglicherweise Einsicht in Dateien zu gewähren, die sie nichts angehen. Und dieses Recht wird laut Microsoft-Artikel - und auch laut meinem Test - benötigt, damit der Registry Key funktioniert. Wenn man sich Deine, für Organisationen doch recht typische, Ordnerstruktur anschaut, gibt es ja keinen wirklich legitimen Grund, Dateien zu verschieben. Was tatsächlich passiert, ist Dateien werden kopiert (z.B. es entsteht ein Unterbereich UAD, der genau so organisiert ist wie UAA, dann kopiert man halt die wichtigen Vorlagen von UAA nach UAD), und dann benimmt sich der Fileserver auch ordentlich - die kopierten Dateien erben die Berechtigungen vom übergeordneten Ordner. Dateien werden unabsichtlich verschoben (Drag & Drop mit dicken Fingern) - in diesem Fall ist das Mitnehmen der alten Rechte eine Schutzmaßnahme, damit diese Dateien nicht plötzlich von Personen eingesehen oder gar bearbeitet werden können, die sie nichts angehen. Ja, ich weiß, dass ihr das 25 Jahre lang anders gehandhabt habt. Heißt nicht, dass es jemals optimal war Und Datenschutz war vor 25 Jahren auch nicht so ein brisantes Thema. Wenn jemand wirklich eine Datei oder einen Unterordner verschieben muss - was eher selten der Fall sein dürfte - sollte man den Leuten ans Herz legen, die Dateien zuerst zu kopieren und dann an der Quelle zu löschen. Dann werden die Berechtigungen auch ohne überpermissionierte User und Registry Keys von oben vererbt. Andernfalls musst Du, je nach Branche und "Paranoia Level", regelmäßige Audits durchführen, um Dateien mit expliziten Berechtigungen zu finden und zu bereinigen... Der Vollständigkeit halber sei noch der Ansatz genannt, jeden Ordner der zweiten Ebene auf einem eigenen NTFS-Volume zu platzieren. Und wenn man mich als Admin zwingen würde, das Drag - Drop - Inherit - Verhalten zu implementieren, würde ich eher das tun, als jedem User, der ein Dokument anlegen darf, auch die Entscheidungsfreiheit darüber einzuräumen, wer es sehen soll. Und um zum Schluss noch maximal tief in die Trickkiste zu greifen, gibt es seit Server 2012R2 das Dynamic Access Control, wo man effektive Zugriffsrechte abhängig von a. Inhalt der Dateien und b. bei Bedarf sogar von dem zugreifenden Client abhängig machen kann. Das ist aber ein Projekt, das eine höhere Komplexität hat als z.B. einen File Server in SharePoint Libraries zu migrieren

OK, wenn ihr explizit nicht wollt, dass ein User Berechtigungen schreibt (und das ist für das Mitnehmen der Berechtigungen notwendig), warum weist ihr ihnen dann das Recht "Berechtigungen setzen" zu?

Bei Mark Z glaube ich's aber

Moin, das wäre ein *privater* Switch.

Das hat Nadella gesagt. Manchmal möchte ich auch das, was er raucht...

Dann hat halt niemand ein Store-Package für diese Version gemacht. Das ist immer so, wenn man aus Repositories schöpft, die "jemand" pflegt

Moin, Deine gewünschtre Zielversion ist also schon mal nicht dabei.

Nein, alles, was auf Domain- und Site-Ebene verknüpft ist.

Seit 2022 gibt es leider keinen Hyper-V-Server mehr. ich sag's ja nur Bevor jemand anfängt, sich "VDI" in RDS anzugucken Obwohl ich zwei Firmen kenne, die damit sehr zufrieden sind...

Das ist auch durchaus verständlich. Ein Cluster ohne AD hat aber Limitierungen, die man halt vorher kennen und auch langfristig akzeptieren muss. Spätestens wenn Themen wie S2D, Shielded VMs oder zumindest vTPM für Bitlocker/VBS in den VMs ans Tapet kommen, müssen die Hosts in (eine) AD-Domäne. Wir haben in mehreren Projekten einen kleinen Infrastrukturforest aufgebaut, der halt nur Hyper-V-Hosts und die dazugehörigen Fileserver beinhaltete, damit war dann einiges mehr möglich, und man hatte dennoch keinen Durchgriff zwischen Infrastruktur und Produktion. Für kleine Regional-Standorte oder so spielt das alles keine Rolle, und da kann (und sollte) man solche AD-lose Cluster bauen.

Moin, für Horizon findest Du sicherlich keine echte Alternative für on-prem mit reinen Microsoft-Mitteln. Je nachdem, wieviel Du in Teradici investiert hast, könnte Citrix interessant sein, oder eben auch nicht. Allerdings würde Citrix mit Hyper-V SCVMM voraussetzen, was wieder nichts für schwache Nerven ist. Also vielleicht doch Azure Virtual Desktop, kann man auch on-prem hosten. Für Server-Virtualisierung ist Hyper-V absolut praxistauglich. Ich würde frühzeitig mit WAC beginnen, macht vieles einfacher, und Du kannst damit sogar VMs in einem Arbeitsgang klonen. Wenn Du mit Storage Spaces Direct anfängst, führt eh kein Weg am WAC vorbei. íSCSI konfiguriert man am besten per PowerShell. Oder man nutzt SMB3, wenn der Storage das hergibt und für Windows Clustering freigegeben ist. Also der reine Storage-Footprint ist bei ESXi 8 höher als bei Server 2022 Core

Ich würde sagen, die EXE schreibt die Ausgabe in den Error-Stream statt nach StdOut, und PowerShell interpretiert es korrekterweise als Exception Wäre nicht das erste DOS-Tool, das sowas macht. Kannst vor dem Aufruf $ErrorActionPreference auf 'SilentlyContinue' und danach zurück auf den vorherigen Wert setzen. Besser wäre natürlich, einfach PowerShell zu nutzen Es gibt den System.DirectoryServices-Namespace, es gibt das OpenAD-Modul von Jordan Borean in der Gallery, die Möglichkeiten sind schier endlos.

Die Inhalte in Profile$ Schon, in der User-Registry, aber Du schriebst ja, dass es die Erstanmeldung dieses Users an diesem Client ist. Da er kein Roaming-Profil hat (und selbst wenn er eins hätte, liegt der Verdacht nahe, dass es mit DC01 vom Netz gegangen ist) ist es aber unwahrscheinlich. Mach einen GPRESULT und schau, ob Dich was anspringt. Vielleicht ist es etwas, was per Computer, aber im User-Kontext gesetzt wird? Registry-GPP, Login-Skript, Scheduled Task, sowas..

Anhand der Fehlermeldung würde ich sagen, es kann nur Folder Redirection sein. Und diese kann eigentlich nur aus einer Group Policy kommen. Ich hoffe, Du hast den alten DC noch nicht entsorgt, denn demnach sind da echte Benutzerdaten drauf....