cj_berlin

Vermutlich hat diese Anleitung (von der wir natürlich alle wissen, was drin gestanden hat) die Installation der Management Tools für die WSUS-Rolle ausgelassen. Und hier ist die Anleitung für die Installation der Tools: Add-WindowsFeature UpdateServices-RSAT -IncludeAllSubFeature

Ist es eine Frage ohne Fragezeichen oder eine Feststellung mit verdrehter Wortfolge? Invoke-Command -ScriptBlock { gpupdate } wäre eine funktionierende Lösung. Nativ in PowerShell gibt es keinen Befehl, mit dem man die GPO-Anwendung *jetzt* erzwingen kann.

Also eine VM innerhalb einer Infrastruktur von einem Virtualisierungscluster auf ein anderes verschieben, empfinde ich nicht als Gehampel.

Wenn die gleiche Windows-Maschine auf einen anderen ESXi-Cluster umzieht?

Nein.

Moin, wie Norbert oben sagte, Du sollst nicht an den Rechten rumfummeln, sondern die Vererbung aktivieren. Und das adminCount-Attribut nicht auf 0 setzen, sondern clearen. Danach, wenn Du schnell bist, kannst Du das ActiveSync-Gerät aktivieren. Der SDProp-Prozess läuft alle Stunde, aber Du weißt ja nicht, zu welcher Minute. Vielleicht lässt sich mit dem User vereinbaren, dass man ihn aus den Admingruppen entfernt, *dann* das Attribut löscht und Vererbung aktiviert und wenn sein Gerät eingerichtet ist, ihn wieder in die Admin-Gruppe(n) aufnimmt.

Moin, ich glaube nicht, dass Du an WireShark (oder Microsoft Message Analyzer) vorbei kommst: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd183591(v=ws.10) SBS2016 ist allerdings ein mystisches Wesen.

Huch? Ist ja genau wie meins... Ich hoffe, Du hast die Empfangsquittung nicht nur schriftlich, sondern auch auf Papier. Denn sollten sich Deine Bedenken bewahrheiten, wird vom Mailsystem und der digitalen Dokumentenablage nicht so viel übrig sein.

Ich will nicht wissen, wie das Kennwort von diesem Account ist...

Naja, erstes Learning: Outlook auf Exchange installieren ist doof. Bis inklusive Exchange 2003 war es explizit unsupported, weil die MAPI Client-Komponenten sich gebissen haben. Exchange 2007-2013 war es zwar supported, aber funktioniert hat es nur, wenn man a. MAPI über IP benutzt hat und b. das Profil manuell eingedübelt hat. Sobald MAPI/HTTPS und Autodiscover im Spiel sind, greifen Konfigurationen im IIS, die dem Zugriff auf Webservices zwischen Exchange Servern (und damit auch auf sich selbst) eine besondere Bedeutung beimessen und dort abweichende Authentifizierungs-Einstellungen vornehmen. Ich würde nicht soweit gehen, auszuschließen, dass man Exchange nicht dazu vergewaltigen kann.

Moin, genau wegen sowas wird es jetzt empfohlen, Exchange auf Server Core zu installieren Was genau willst Du damit erreichen? Vielleicht gibt es für Dein tatsächliches Problem eine elegantere Lösung...

Moin, Du musst im XML-Profil alle Subnetze erfassen, zu denen per Tunnel kommuniziert werden soll. Wenn der Client die Pakete schon am falschen Interface rausschickt, kann man das von der Infrastrukturseite nicht mehr heilen. Was Du vermutlich auch noch brauchst, ist eine Rückroute auf den Infrastruktur-Servern, damit die Pakete auch den Weg von den Servern zum VPN-Client finden.

Ist der User hinter diesem Postfach ein Administrator oder war er mal einer? Schau mal im AD ob adminCount=1 ist. Das muss bereinigt werden (sowohl die Admingruppen-Mitgliedschaft als auch der AdminCount-Wert), bevor ActiveSync funktioniert.

Moin, da gibt es mehrere Ansätze: RDS-Server in eine Gruppe stecken und die Anwendung der GPO für diese Gruppe verweigern Namenskonvention im WMI-Filter verwenden PCSystemType=1 und OperatingSystem kombinieren Terminalserver-Namespace abfragen (sollte auf Infrastrukturservern nicht existieren) und bestimmt noch weitere...

Moin, auf dem Fileserver kannst Du ja sehen, unter welchem User von welchem PC aus zugegriffen wird. Ist es nicht der User, der angemeldet ist, trifft die Vermutung von Jan zu und Du musst nach zwischengespeicherten Anmeldedaten suchen. Andernfalls würde ich fast meinen, jemand muss mit dem Central Acces herumgespielt haben. Das würdest Du wiederum auf dem Fileserver in den Zugriffsrechten sehen...

Genau, per XML wäre der sauberste Weg, aber auch der mit der steilsten Lernkurve.

Restore-GPO funktioniert aber nur in derselben Domain. Aber ich würde tatsächlich Backup-GPO skripten, so dass jedes Backup in einen eigenen Ordner kommt, der nach der GPO benannt ist. Dann kann man das Anlegen und das Importieren an Ordnernamen ausrichten.

Einen Exchange-Antivirus kaufen, der einen Transport Agent beinhaltet. Einer ist bei Exchange sogar schon dabei, wenn man ihn nicht deaktiviert hat.

... | Set-VM -AutomaticStartAction Nothing -PassThru | Set-VM -AutomaticStartAction Start -AutomaticStartDelay nnn

...und behindert dabei dennoch die anderen VMs auf dem gleichen Host - dies um so mehr, je mehr vCPUs sie zugewiesen hat.

Moin, für einen DC in solch einer Kleinstumgebung sind 4 vCPU mehr als er braucht. Ein SQL Server kann parallelisieren und könnte durchaus auch 8 vCPU auslasten, beispielsweise wenn das CRM-Programm den SQL Server durch gespeicherte Prozeduren zum Rechnen benutzt. Mein Ansatz ist es, mich dem "sweet spot" von unten anzunähern, denn die Gesamtzahl vergebener vCPUs ist genauso wichtig für die Performance wie die einzelne Zuteilung. PerfMon ist Dein Freund bei Fragen dieser Art.

Ich wollte ursprünglich was anderes schreiben, wollte dann doch lieber niemandem zu nahe treten.

Alternativ: mit JEA oder anderen Mitteln delegieren, statt den Helpdesk mit ADUC arbeiten zu lassen.

Ist es eine Frage ohne Fragezeichen oder eine Behauptung mit verdrehter Wortfolge, verdrehter Großschreibung und weggelassenem Punkt am Ende? Ansonsten: Wenn es eine Anleitung für so etwas gäbe, die für jede zuvor noch nie gesehene Infrastruktur in 100% der Fälle funktionieren würde, könnte diese Anleitung geschätzt 10% der ITler ersetzen. Du wirst Anleitungen für DC, Fileserver und DHCP-Server wie Sand am Meer finden, daraus musst Du halt Dein persönliches Vorgehen zusammen kombinieren.

Web-Frontend schon, aber von da geht es nur entweder per Delegation weiter (erfordert Delegation) oder per WebSSO (erfordert ActiveX und damit Internet Explorer). Du kannst ja UserVoice oder Feedback-Hub bemühen und Microsoft mitteilen, dass das Feature gewünscht ist.