cj_berlin

Viel mehr Rechte gibt es im AD auch nicht

"lokal" ja, aber halt nicht mit AD, sondern mit Exchange (PowerShell).

Eigentlich nicht. Get-* nach Set-* pipen sollte es auch bringen. Dass Du Exchange-Attribute nicht außerhalb von Exchange bearbeiten sollst, ist Dir bewusst, Du hast es zur Kenntnis genommen und weißt über die Auswirkungen bescheid?

Das ist nicht schlimm. Die CSV-Spezifikation schreibt es vor, dass Werte, die den Delimiter enthalten, in Anführungszeichen genommen werden müssen. PowerShell ist da noch rigoroser und setzt alle nicht-numerischen Werte in Anführungszeichen.

Wie gesagt, wenn Du nur Outlook im Einsatz hast, wird das funktionieren. Für jeden anderen Client ist es nicht garantiert.

Was hast Du denn schon versucht? EDIT: Und bitte Code als Code posten!

Jein. Die auf dem Endgerät gecachten Autocomplete-Streams kannst Du nicht zentral bearbeiten. Für OWA und neue MAPI-Profile (die dann den Autocomplete-Stream vom Server herunterladen) ginge es, Du müsstest Dich in die Tiefen von MAPI und EWS Managed API einarbeiten. Als Ausgangspunkt kann das Skript von Michel de Rooij dienen: https://github.com/michelderooij/Clear-AutoComplete/blob/master/Clear-AutoComplete.ps1

Moin, Nein. Du hast ja auch nur eine ausgehende IP (nehme ich an), Ja, wenn Du irgendein anderes Client-Szenario hast als Outlook auf einem Domain-Member, muss mail.domain1. autodiscover.domain1.de und autodiscover.domai2.de ins Zertifikat. Reverse DNS wird meist nur auf das Vorhandensein geprüft, höchstens darauf, ob der MX oder der sendende Server dem aus der IP-Adresse aufgelösten Namen entspricht. Und da weder der MX noch der sendende Server aus der SMTP-Domain stammen muss, reicht ein PTR-Eintrag. Gar nichts. Die hören alle auf mail.domain1.de. ...was allerdings außer Outlook nicht viele Clients unterstützen.

Wenn O365 das sagt, dann ist die Domain irgendwann schon mal zu einem Mandanten hinzugefügt worden. Im Zweifel Ticket aufmachen - wenn ihr schon M365-Seats gebucht habt, seid ihr ja zahlender Kunde und habt Anspruch auf den Support.

Beide Maschinen aus dem AD rausnehmen, umbenennen und nochmal zum AD joinen. Selbst wenn sie ohne newSID/sysprep geklont wurden, dürfte ich das nicht auf die Accounts im AD auswirken.

Aus genau diesem Grund ist es auch für Admins der richtige Ansatz

Moin, meines Erachtens war der openSSH-Server noch nie ein Feature, sondern immer ein separater Download.

Wenn das Programm von euch betreut wird, dann wisst ihr ja sicher, welche Technologie für den Zugriff verwendet wird. Dann weiß man auch, ob der SQL Browser unterstützt wird, um die Instanz zu lokalisieren etc. Normalerweise gehört ein Backslash zwischen Server und Instanz, aber vielleicht setzt euer Programm die INI-Datei ja so um, dass aus dem doppelten Backslash in der INI ein einfacher im Connection String wird... Der Hinweis auf die Firewall ist ebenfalls richtig - Der SQL-Installer fügt selbst keine Inbound-Regeln hinzu.

Das ist nicht korrekt. Bei ODBC 18 ist die Verschlüsselung in der Tat standardmäßig aktiviert. Sie kann aber im Connection String deaktiviert werden, genau dort, wo sie in den früheren Versionen aktiviert werden konnte.

Moin, Du kannst den Remoting-Aufruf in Dein PowerShell-Profil auf dem Management-Server stecken und hast das beste aus beiden Welten. EMS macht im Hintergrund ja auch Remoting, nur dass noch ein bisschen Zusatz-Zauber zur Auffindung eines passenden Servers zuerst kommt.

Ja, und immer daran denken: "eine Lizenz" (als Kauf-SKU) deckt maximal 16 Hardware-Cores ab! Wenn der Server 2x 12 Core CPUs verbaut hat, ist "eine Lizenz" = Basis-Lizenz PLUS 8 Cores, die von 16 bis 24 fehlen. "Zwei Lizenzen" wären somit insgesamt 48 Cores.

Kaspersky ist übrigens keine russische Firma, zumindest nicht im Sinne des Verwaltungssitzes und somit der direkten staatlichen Einflussnahme per Dekret. Und Einsatz bei Behörden ist kein Maß für Vertrauenswürdigkeit. Ich erinnere: Blackberry war bei den französischen Behörden auch jahrelang verboten, mit der offiziellen Begründung, dass die Server in Staaten des Commonwealth stehen.

Third Party Antivirus war schon immer eine gefährliche Angelegenheit, egal welcher Name auf der Verpackung steht. In TrendMicro-Clientkomponenten war vor wenigen Wochen eine ordentliche Sicherheitslücke festgestellt worden. Wäre man jetzt böse, könnte man dazu auch Backdoor sagen. Jeder andere Hersteller von Antimalware, der schon lange auf dem Markt ist, hatte solch einen Fall durchgemacht. Pest oder Cholera, kann ich dazu nur sagen. Müsste ich die Entscheidung heute treffen, wäre Defender for Endpoint die einzige Altarnative (und somit alternativlos). Nicht weil sie die Erkennung besser können, sondern weil sie Windows besser können.

Das ist aber eine sehr gewagte Aussage Nur weil dsa.msc noch genau so aussieht,..

Hi, nur aus dem Kopf: HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates C:\ProgramData\Microsoft\Crypto

Doch, über Fine Grained Password Policy. Das Active Directory Administrative Center ist Dein Freund.

Jetzt nochmal in ganzen Sätzen: Du brauchst keinen Eintrag für die Sammlung, sondern nur einen für die Bereitstellung - das ist im Zweifel der FDQN des Connection Brokers, oder man weist einen anderen DNS-Namen zu, z.B. weil man ein öffentliches Zertifikat verwenden möchte, in dem ein bestimmter Name steht. Bevor Du weiter herumprobierst: Installiere einfach WebAccess als Teil der Bereitstellung, lade eine von diesem generierte .RDP-Datei für Deine Sammlung herunter und schau sie Dir im Texteditor Deiner Wahl an, dürfte einiges klarer werden. Du kannst mit dem Client nicht eine bestimmte Sammlung direkt adressieren, das geht nur mit einer .RDP-Datei.

Moin, der Connection Broker wird den RDP-Client zu dem Server mit der geringsten Auslastung weiterschicken. Dabei ist es egal. zu welchem Host die ursprüngliche Verbindung hergestellt wird. Abgesehen davon: Die von Dir verlinkte Anleitung ist für Server 2008R2, seit Server 2012 hat sich die Methodik geändert. Da konfigurierst Du die Farm einfach mit dem Server-Manager. DNS verweist auf den Connection Broker, und wenn man mehrere hat, dann auf deren Load Balancing-Namen.

Klar. Jeder Prozess, den Du mit erhöhten Rechten startest, kann die Einstellung ändern.