cj_berlin

Doch, sollten sie, als *vertrauenswürdige Root-CAs*. Die Endgeräte sollen ja dem NPS auch explizit und nicht blind vertrauen.

Niemand greift Dich an. Ruf mal bei Citroen an und frag dort nach Original-Ersatzteilen für die Ente. Vor 30 Jahren war das noch überhaupt kein Problem.

Also Du möchtest im Endeffekt, dass Microsoft einen Web-Service und die Update-Binaries für ein OS, das seit 10 Jahren aus dem Support ist, weiterhin im Internet hostet. Erkennst Du den Fehler?

Normalerweise nicht. Ich habe gerade geschaut: Ich habe hier auf mehreren Servern einen Haufen DB, die alle einwandfrei mit den jeweiligen Anwendungen funktionieren, und bei allen: ist der Besitzer gemäß Deinem Screenshot das Admin-Account, das die Datenbank angelegt hat (bei SCCM dementsprechend der Siteserver) ist das Service-Account NICHT als DB-User eingetragen

Der Besitzer von was? Das Service-Account eines SQL-Servers trägt sich doch nicht selbst als Besitzer von Datenbanken ein, nur von Datenbankdateien. Und wenn die ACL der Datenbankdatei eine Rolle spielen: Wie macht die Anwendung denn das Upgrade? Sie dürfte doch von irgendwelchen Dateien nichts wissen und muss nur mit dem SQL Server kommunizieren...

Moin, Rechte in SQL-Datenbanken haben mit Rechten auf Datenbankdateien im Filesystem nichts zu tun. Wenn die Anwendung also mit einem Konto kommt, welches SQL-Rechte hat, kann sie ihre Datenbanken upgraden, egal in welchem Sicherheitskontext der SQL-Dienst läuft. Wenn Du also von SQL-Rechten sprichst, dann kannst Du ja einem beliebigen Account zusätzlich db_owner-Rolle mitgeben.

Moin, wenn Du wirklich Adressen aus Domains wie t-online.de hast, über deren DNS Du keine Kontrolle hast (Stichwort SPF-Record), dann bleibt Dir nur das Server Based Routing und mehrere Smarthosts / Send Connectors. In dem verlinkten Artikel von Frank Carius wird auf ein Open Source-Projekt eines Transport-Agenten verwiesen, damit kannst Du das kosten- und natürlich auch supportfrei umsetzen.

Moin, Empfehlung = sucht euch einen Smarthost, der nach Authentifizierung beliebige Absender-Domain relayen würde, und tragt ihn bei den beiden Domains im SPF Record zu.

Moin, zwei Exchange-Server in einem AD-Forest teilen sich einen Großteil der Konfiguration und ganz bestimmt die Accepted Domains. Du gewinnst also durch einen zweiten Exchange Server nichts.

Das ist in dieser Pauschalität nicht korrekt. Gerade im Bereich der Überwachungstechnik und der WLAN-Ausleuchtung gibt es genug Gehäuse, die sowohl heizen als auch kühlen können. Spätestens da ist aber mit PoE Schluß, und man braucht auf jedem betroffenen Baum Strom.

Kommt darauf an, was eine "richtige" Umgebung in Deiner Welt ist. Ich kenne schon seit langem keine Kundenumgebung mehr, wo DHCP auf dem Internet-Gateway, auf dem Core Switch oder auf der Datacenter Firewall laufen würde (das sind die Instanzen, die in einer "richtigen" Umgebung "Router" sind), Muss aber nicht bedeuten, dass überall ein Windows-Server für DHCP zuständig ist. Linux, UNIX, MicroFocus, BlueCat - alles ist möglich und kommt vor. Oft auch Windows. Wenn Du intern ein Windows-DNS einsetzt, hat Windows-DHCP den Vorteil, dass Du ganz einfach die Registrierung von A- und PTR-Records vornehmen kannst, selbst für Geräte, die sich selbst gar nicht im DNS registrieren können. Ist die "richtige" Umgebung hingegen so klein, dass sie nur einen Windows-Server umfasst, würde das bedeuten, dass man DHCP auf dem Domain Controller laufen lassen würde. Und bevor ich das tue, arbeite ich schon lieber mit dem "Router" als DHCP-Server und lebe damit, dass ich nicht alle DNS Records automatisch registriert bekomme.

Somit sollte das 100M-Gerät und der 1000/100/10M-Switch auch durch den Injector ihre 100M aushandeln.

Warum postest Du nicht einfach das Modell, dann reden wir konkret und nicht theoretisch?

Moin, ist der Injector besonders alt oder war er besonders billig? Die Adern, in die Gleichspannung injiziert wird, waren bei 10Base-T und 100Base-T nicht belegt. Wenn der Injector sie am Eingang ignoriert und nur am Ausgang mit Strom versorgt, kann das schon passieren. Allerdings müsstest Du dann auch am Switch nur 100M sehen.

D'accord. Aber der Lerneffekt, der einen in Zukunft davon abhält, über "Software-Verteilung" per GPO auch nur ernsthaft nachzudenken, ist größer und nachhaltiger, wenn man auf die eigene Schnauze fällt. Wir dürfen nicht in dieselbe Falle tappen wie die meisten Eltern dieser Welt, die glauben, ihren Kindern etwas gutes zu tun, indem sie sie vor Fehlern bewahren. That said, ich kenne recht große Firmen, wo kein Endpoint Management-Know-How, dafür aber ein exceptionelles Packaging-fu vorhanden ist, und die seit Jahren eine vierstellige Anzahl Clients per GPO versorgen. Nicht dass ich das beim TO annehmen würde.

Schon richtig, aber wenn man Software verteilt, muss man sie auch aktuell halten. Geht mit demselben Vehikel wie die Initialverteilung.

https://lazyadmin.nl/office-365/deploying-microsoft-teams-client

Moin, Variante 1: Machine-wide installer + GPO. Variante 2: User sollen das Zeug einfach in ihrem User-Kontext installieren, wie es vom Hersteller vorgesehen ist.

Was Norbert gesagt hat. Ansonsten gibt es das Recht, private Items zu sehen, explizit als Ordner-Berechtigung. Kann man aber nur per PowerShell setzen.

Moin, DHCP auf DC bringt akute Sicherheitsgefahren mit sich und sollte heutzutage möglichst nicht mehr gemacht werden. DHCP auf der Firewall kann in der Regel nicht dafür sorgen, dass im Windows-DNS A- und PTR-Records von Geräten erstellt, aktualisiert und gelöscht werden, die sich selbst nicht registrieren können (Stichwort dynamische Updates). Meine Empfehlung wäre, Windows-DHCP zu verwenden, aber auf einem anderen Server als dem DC.

Egal, aber die Annahme, dass niemand das machen würde, hast Du doch irgendwoher? Meine Erfahrung ist, nahezu jeder vernünftige Cloud-Beraterei wird euch beraten, ohne gleich die Umsetzung für euch übernehmen zu wollen.

Mit wie vielen qualifizierten Beratern hast Du schon gesprochen?

Sorry, aber Posts wie Dein letzter zeigen ganz deutlich, was @NilsK schrieb: Du brauchst Beratung. Die Cloud ist schon für die erfahrenen Cloud-Consultants und -Admins verwirrend genug, und Du steigst gleich mit Information Protection ein - einem der komplexesten Themen, die es in M365 gibt, und vor allem mit einem, das gern in Tränen endet, wenn Du es falsch aufziehst...

Genau, und wenn man Jira installiert hat, ist man agil

Hmmm. Ich bin da bei @teletubbieland - auch wenn's nicht die Lösung ist, aber hast Du die Möglichkeit, wenigstens kurz einen anderen AP zu benutzen, der am LAN-Port der FB hängt? Mit der dann gewonnenen Erkenntnis könnte man ja an AVM herantreten. Die Jungs und Mädels sind an sowas eigentlich immer interessiert.