cj_berlin

Moin, IIRC brauchst Du zwei AGPM-Server. Es gibt nur die Rollen, die es gibt, und sie sind für jeden Server jeweils global.

Dieses Bild verdeutlich noch einen weiteren Sachverhalt: Wenn Du alles richtig machst, sind in Deinem AD am Ende deutlich mehr Gruppen als User Ist aber nicht schlimm, wenn Du vorher Namenskonventionen festlegst und Dich danach daran hältst.

Das ist nicht nur die Fehleranfälligkeit, sondern Du hast im Nachhinein keine Möglichkeit (außer alle Ressourcen zu scannen) festzustellen, worauf denn ein User Rechte hat. Und bei umfangreichen Shares mit vielen Unterordnern und Dateien ist es auch extrem ressourcenaufwendig, Berechtigungseinträge hinzuzufügen oder zu entfernen, denn sie müssen sich ja in der Regel nach unten durchvererben. Benutzer zu Gruppen hinzufügen ist hingegen billig und braucht lediglich eine Neuanmeldung (oder ein paar Stunden warten) damit es wirksam wird.

@Nobbyaushb Ja und nein. Exchange-basiertes Tool: + kann auch OWA und ActiveSync +/- kann vom User nicht umgangen werden + kann Signatur (bedingt) auch je nach Empfänger anpassen - kann signierte und verschlüsselte Mails naturgemäß nicht sauber verarbeiten - Mail beim Empfänger sieht anders aus als beim Absender - stirbt, wenn Exchange in die Cloud geht, da muss Ersatz gesucht werden Outlook-basiertes Tool: + kann mit Verschlüsselung und Signierung umgehen + kann beim Gang in eine Exchange-Cloud 1:1 beibehalten werden +/- je nach Anwendungsfall - User kann Signatur vor dem Versand verändern - hat keine Auswirkungen auf ActiveSync und nur sehr bedingt auf OWA - muss auf X Clients gepflegt werden statt auf Y Exchange-Servern

Naja, wenn euer VBS-Skript die Signatur aus dem AD mit Daten bestückt, kann es ja auch das Photo-Attribut auslesen und in die HTML-Datei einbinden Oder ihr investiert ein paar Kröten in eine Lösung, und Du kannst Dich wichtigeren Dingen zuwenden.

Einfach die Hilfe lesen. Es steht alles da drin.

Du hast Leerzeichen in Strings. Daher müssen die Stirngs in Anführungszeichen. Und ob die Members per Display Name zuverlässig identifiziert werden, musst Du in der Hilfe nachschauen. Und siehe da, dort steht sogar beschrieben, welche identifizierenden Merkmal Du übergeben kannst:

Siehe meinen Post:

Was meinst Du mit dem ersten zitierten Satz? Wenn Dir an der Shell das Cmdlet New-MailboxExportRequest nicht angeboten wird, sind die Berechtigungen NICHT vorhanden. Wird es Dir angeboten, und Du kannst damit den Export nicht starten, gibt es einen Fehler - entweder gleich beim Aufruf oder im Report.

...und jetzt noch bitte auf Cross-Posts hinweisen: https://social.technet.microsoft.com/Forums/de-DE/8f1ab419-96c1-47c6-a7eb-cfdb639a8495/windows-performance-analyse?forum=windowsserver8de

Moin, wie willst Du denn Gruppen auf der Festplatte speichern? In dem Parameter -Path musst Du nur den Container angeben, in dem das Element erstellt wird, nicht das Element selbst.

Moin, unabhängig von Deiner Frage: dass Du einen Domain Controller später NICHT von Eval in Voll konvertieren kannst, ist Dir bekannt? Deine eigentliche Fragestellung ist unklar - was genau möchtest Du wo anlegen? Was möchtest Du auf der zweiten Festplatte speichern? Fragen über Fragen...

Damit hast Du die Frage ja selber beantwortet

Das ist es aber nicht, denn ein Null-MX hat nicht nur Preference von 0, sondern auch den Namen von "." Priority ist von 0 bis 65535, siehe https://www.ietf.org/rfc/rfc974.txt Each MX matches a domain name with two pieces of data, a preference value (an unsigned 16-bit integer), and the name of a host.

Moin, das "nicht vertragen" hat meistens damit zu tun, dass UPNs in der Authentifzierung (Kerberos und sogar NTLM - ja, auch dieses respektiert in manchen Szenarien UPNs) auf den alten Namen zeigen und somit keine Authentifizierung möglich ist, wenn man den Host über den neuen Namen anspricht. Da zu vermuten steht, dass bei VoIP kein Kerberos zum Tragen kommt, sollte das eigentlich funktionieren. Manche Dienste prüfen aber auch explizit, ob der aufgerufene Namen dem enstspricht, den sie selber kennen (SMB Strict Name Checking wäre ein Beispiel). Da musst Du bei Swyx schauen, ob so etwas zu konfigurieren ist. Und last but not least: Wenn TLS zum Tragen kommt, muss der Name im Zertifikat stehen, der durch die Clients aufgerufen wird.

Moin, grundsätzlich so etwas in der Art. Aber wieso Registry? Dafür gibt es doch Policies, oder sehe ich da irgendwas nicht?

Moin, an NPS-Test, QM und Systemtechnik verknüpfen. Wenn aber in der OU "Computer" auch Computerobjekte von Maschinen drin sind, auf die die GPO wirken soll, müsstest Du entweder die OU "Entwicklung" aus "Computer" rausnehmen oder irgendwelche Sicherheitsgruppen zaubern (Schatten-Gruppen) und die GPO darauf filtern oder für Entwicklung eine Gegen-GPO bauen.

Die Idee ist, dass Deine Clients gar nicht mehr ins AD kommen, sondern nur zum Azure AD gejoined sind. Wenn sie zwingend ins AD müssen, dann kannst Du mit einem davon auch die GPOs verwalten - RSAT installieren und als Admin-User starten. Dafür muss man sich nicht an irgendwelchen Servern anmelden. Mit Cached Credentials kann ein Client beliebig ohne Verbindung zum Verzeichnis auskommen - bis es Zeit wird, das Kennwort zu ändern.

Wieso? Das Exchange-Team wird irgendwann die 2022er DCs freigeben, aber es ist bisher noch nicht erfolgt. Ein ganz normaler Vorgang - oder haben alle deine Branchensoftware-Anbieter bereits die Freigabe für 2022 gegeben? Um Dich endgültig zu verwirren: Exchange 2016 ist nur auf maximal Server 2016 installierbar.

Moin, was Jan gesagt hat. Ergänzend: 1. den lokalen Exchange *brauchst* Du, wenn die User per AADC synchronisiert werden sollen. Somit ist derzeit nur Server 2019 als DC zulässig. 2. Du kannst den UPN-Suffix contoso.de (und somit UPN=mail) auch dann verwenden, wenn die AD-Domain contoso.local heißt 3. In Abhängigkeit davon, was Du noch on-prem nutzen möchtest, solltest Du genau prüfen, ob ein lokales AD und somit überhaupt lokale Server wirklich notwendig sind. Wenn "weitere Server und Dienste" tatsächlich nur per LDAP (also nicht per AD) angebunden sind, kannst Du ein Azure AD DS im User Forest-Modus prüfen. Kostet ca. 80 € im Monat, und alle User und Gruppen werden aus dem Azure AD repliziert.

Da hast Du bald ganz viele neue Freunde

Moin, Re 1: Schwer zu sagen. Exchange vNext hat außerhalb von Microsoft noch niemand gesehen, und in allen derzeit unterstützten on-premises-Versionen ist EWS die einzige unterstützte API. Re 2: Definiere "genauso anfällig". Es sind unterschiedliche Anwendungen, die in unterschiedlichen Anwendungspools laufen. Ein Angriff, der auf OWA abzielt, wird bei EWS nicht unbedingt weiterkommen. Re 3: Wieviele Wochen hast Du Zeit zum Lesen? Portforwarding sollte heute wirklich ein No-Go sein. Ein Reverse Proxy, der den Traffic nicht bloss durchleichtet, sondern auch analysiert, also praktisch ein Web Application Proxy, ist das Mindestmaß bei Veröffentlichung. Wenn das Fachverfahren im Internet steht, wird dessen Anbieter nicht immer VPN zu den einzelnen Endkunden anbieten können oder wollen.

Ja, aber als angehender Akademiker sollte er schon in der Lage sein, diesen Wunsch zu artikulieren

...und was genau erwartest Du von der Community?

Mit einem Key konnte man noch nie irgendwas lizenzieren, sondern nur aktivieren. Und das geht mit dem ROK-Key tatsächlich nur, wenn das Branding im BIOS korrekt ist. Die erworbene Lizenz berechtigt tatsächlich dazu, zwei VMs zu lizenzieren. Wie man sie aktivieren soll, ist dem Erwerber dann selbst überlassen.