HeizungAuf5

Hallo zusammen, wir arbeiten mittlerweile viel auf Terminalservern im Rechenzentrum. Die Dateien liegen auf unserem OneDrive von Office 365. Das Problem (wenn man es so nennen mag), was wir jetzt haben ist, dass die Outlook Sync App die Dateien lokal auf den Rechnern anlegt. Lässt sich das irgendwie deaktivieren? - Was wir möchten ist, dass die Dateien nicht lokal auf dem Server / Rechner liegen, sondern nur bei Microsoft im OneDrive und wenn sie geöffnet werden heruntergeladen werden. Dadurch dass es Rechenzentrums-Server mit einer ordentlichen Leitung sind, merken die das wahrscheinlich gar nicht. Was ich schon gefunden habe, ist die Aktion zum Sparen von Speicherplatz. Habe ich testweise aktiviert, ich bekomme dann auch nur das "Wolke"-Icon, aber abgelegt werden die Dateien trotzdem noch lokal (Der Ordner auf der Platte ist dann genau so groß, wie das OneDrive) abgelegt. Da wir den Server jedoch pro GB Speicher bezahlen, ist das eher kontraproduktiv. Kennt jemand einen Weg, wie ich das umsetzen kann? Ich beziehe mich hier auf OneDrive, nicht auf das Sharepoint. Danke!

Hallo @testperson Das Problem dabei ist die Menge der Server. Die Anmeldeberechtigungen ändern sich auch oft. Heißt ich müsste die Domäne mit Tonnenweise Gruppenrichtlinien für die Server erschlagen und wenn sich mal was ändert, alle Richtlinien anpassen. Daher würde ich gerne mit der Anmeldebeschränkung arbeiten. Kein Vorwurf an dich, aber wenn das eh nicht ordentlich funktioniert, wozu gibt es die Funktion denn dann? Grüße!

Hallo zusammen, wir möchten bei uns die Anmeldung von bestimmten Userkonten an bestimmte Server binden. Hierfür nutzen wir die Anmeldebeschränkung ("Anmelden an...") bei den AD Benutzern. Allerdings wird die Anmeldung selbst auf den "zugelassenen" Servern verweigert: Der Server, auf den ich mich verbinden will ist auch eingetragen: Lokal kann ich mich an der VM mit den Anmeldedaten anmelden (lokal funktioniert das auch, dass ich mich nur dort anmelden kann). Nur die RDP Verbindung wird weg geblockt. Auf dem Server selbst sind auch alle Domänenbenutzer zugelassen und der Admin-Account auch extra nochmal aufgeführt: Das gleiche gilt für die Gruppenrichtlinie (auf der VM, auf die zugegriffen werden soll) Die Gruppenrichtlinie zum verweigern der Anmeldung ist komplett leer. Der DNS Eintrag wird auch korrekt aufgelöst. Jemand eine Idee? Danke! //edit Noch kurz als Anmerkung, wenn ich im AD das "Anmelden an" für de Benutzer deaktiviere funktioniert die Anmeldung

Was bei mir schlussendlich geholfen hat, dass es jetzt funktioniert: http://www.noelpulis.com/fix-missing-sysvol-and-netlogon-after-domain-controller-promotion/ Noch als Hinweis, wenn das Thema hier über die Suche gefunden wurde: Wenn ihr die Replikation aus dem oben genannten Link neu angestartet habt, macht dazwischen Mittagspause und prüft - bevor ihr dann weiter macht - ob der Server immer noch auf Replikationsstufe 2 Steht. Wenn ja, nochmal nen Kaffee holen. Wenn er fertig ist, bekommt ihr das folgende Ergebnis: <NAME des einen DCs> ReplicatedFolderName ReplicationGroupName State SYSVOL Share Domain System Volume 4 <Name des anderen DCs> ReplicatedFolderName ReplicationGroupName State SYSVOL Share Domain System Volume 4 Grüße und Danke

Auf dem alten DC habe ich dort 2 Eiträge, die sich immer wieder abwechseln: Einmal habe ich noch eine andere Meldung mit bei Auf dem neuen DC habe ich auch ein bisschen was Auf dem alten DC im Domänenstatus krieg ich auch das Folgende angezeigt Grüße!

Hallo zusammen, ich habe in einem Netzwerk einen neuen Domain Controller (Win. Server 2019) installiert, das Ganze eine nacht lang zwecks Replizierung stehen lassen und heute morgen die FSMO Rollen übertragen. "netdom query fsmo" zeigt auch überall nun den neuen DC an. Nur kann ich vom neuen DC aus nicht auf die Gruppenrichtlinien zugreifen. Der Rest (z. B. Userverwaltung) geht ohne Probleme. Ich kann die Richtlinien zwar sehen, aber sobald ich diese bearbeiten will, hauts nicht mehr hin Auf dem alten DC kann ich die GPOs weiterhin bearbeiten. Angemeldet bin ich auf beiden DCs mit dem Domänen Admin. Was mir noch aufgefallen ist, auf dem neuen DC gibts keine SYSVOL Freigabe. Die taucht da gar nicht auf. Jemand eine Idee? Danke!

Ja. Nach dem Reboot sieht alles gut aus. Konnte am 2. Standort auch schon einen zusätzlichen Client in die Domäne einbinden. RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen. SyncAll wurde ohne Fehler beendet. Sieht soweit gut aus. Denke wirklich, dass die Server einfach die fast 6 Stunden gebraucht haben (warum auch immer ) Hab ich gerade - trotz Funktion des 2. DCs - nochmal geprüft. Es dürfen alle Ports zwischen den Standorten kommunizieren. Geschwindigkeit ist mit up und down ca 200 mbit/s auch flott genug. Grüße!

Hallo @Nobbyaushb danke für deine Antwort. Nach nun fast 5 Stunden hat er es aber wie es scheint doch mal geschafft. Ist eben von ich aus neu gestartet und nun sieht das alles einigermaßen synchron aus. Noch eine Frage fürs Verständnis: Ich pack die DCs vorher nie in die Domänen rein. Die Zugangsdaten will er ja beim Hochstufen. Gibts es da einen Unterschied? - Ist jetzt auch das erste mal, dass ich höre, dass ein DC in die Domäne soll, bevor er DC wird. Hatte damit auch nie Probleme gehabt. Grüße!

Hallo zusammen, ich bin gerade dabei, eine Umgebung mit einem 2. DC abzusichern. 2.DC ist ein Server 2019 (Datacenter), der "erste" DC ein Server 012R2 Standard. Allerdings bekomme ich den 2. DC ums verrecken nicht dazu, sich zu replizieren. Beim Hochstufen hängt der DC stundenweise hier: Gestern habe ich den 2. DC dann nach ca. 4 Stunden mal neu gestartet. Das Ergebnis war eher weniger, dass was ich gehofft hatte: Der 2. DC hatte ssich zwar halbwegs repliziert (AD Benutzerverwaltung und Gruppenrichtlinienverwaltung war da und auch befüllt, aber der DNS Server nicht). Ebenfalls war der 2.DC im AD nicht als DC registriert. Nach dem Fehlschlag gestern hab ich dann mal mit der Holzhammer Methode bereinigt (2. DC neu installiert und AD bereinigt (dort war der 2.DC im Metadata Cleanup übrigens auch nicht mit drin)). - Nachdem ich nun nochmal versuche den DC der Domäne hinzuzufügen hängt er wieder an der gleichen Stelle (Siehe Bild oben). Neu gestartet habe ich ihn noch nicht, da ich ja weiß, worauf es dann hinausläuft . Jemand eine Idee, wie ich diese 2 DCs zum laufen kriege? Randinformationen, die eventuell wichtig werden könnten: Die beiden DCs stehen an anderen Standorten und befinden sich auch in unterschiedlichen Netzen, können sich aber problemlos gegenseitig erreichen. Hardwaredefekt kann ich am 2. DC ebenfalls ausschließen. Grüße!

Done und Danke

Hallo @BOfH_666 danke. Das funktioniert

Scheint eher ein Problem der Forensoftware zu sein. Die Fragezeichen gebe ich natürlich nicht mit ein und in PowerShell werden die auch nicht mit angezeigt Habe ich gerade mal ausprobiert, nach dieser Anleitig $LAdmin = "DOMAIN\Administrator" $LPassword = ConvertTo-SecureString "Password!" -AsPlainText -Force $Credentials = New-Object -Typename System.Management.Automation.PSCredential -ArgumentList $LAdmin, $LPassword Get-WmiObject -class Win32_Printer -Computername "Print01" | select Sharename -Credential $Credentials > C:\Drucker\Printer_List.txt Gibt ein Select-Object : Es wurde kein Parameter gefunden, der dem Parameternamen "Credential" entspricht. In Zeile:5 Zeichen:75 + ... 32_Printer -Computer "Print01" | select Sharename -Credential $Creden ... + ~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Select-Object], ParameterBindingException + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Commands.SelectObjectCommand zurück. Gibt es alternativ hier im Forum jemanden, der mir diesen einen Request entsprechend umbauen kann, dass er funktioniert? Ich weiß selbst, dass ich in PS keine Leuchte bin, will aber trotzdem, dass es funktioniert. Grüße!

Hab ich oben schon mal gemacht, zugegeben, mit einem - vergessen. Bei dir sähe das ja dann so aus:? Start-Process -FilePath "powershell?.?exe" -?Wait -WindowStyle Maximized? -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Das bringt ein Start-Process : Der Parameter "WindowStyle" kann nicht gebunden werden. Der Wert "Maximized?" kann nicht in den Typ "System.Diagnostics.ProcessWindowStyle" konvertiert werden. Fehler: "Der Bezeichner "Maximized?" kann keinem gültigen Enumeratornamen zugeordnet werden. Geben Sie einen der folgenden Enumeratornamen an, und wiederholen Sie den Vorgang: Normal, Hidden, Minimized, Maximized" In Zeile:5 Zeichen:64 + ... s -FilePath "powershell?.?exe" -?Wait -WindowStyle Maximized? -Creden ... + ~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Start-Process], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.PowerShell.Commands.StartProcessCommand

Hier: https://blog.friedlandreas.net/2017/01/powershell-programm-oder-skript-mit-credentials-und-als-administrator-ausfuehren/ Danke. Mit Start-Process -FilePath "powershell.exe" -Wait -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Kriege ich ein Start-Process : Es wurde kein Positionsparameter gefunden, der das Argument "-Wait" akzeptiert. In Zeile:5 Zeichen:1 + Start-Process -FilePath "powershell.exe" -Wait -Credential $MyCred ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Start-Process], ParameterBindingException + FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.PowerShell.Commands.StartProcessCommand zurück. Wenn ich das -wait entferne, kriege ich ein Start-Process : Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Das System kann die angegebene Datei nicht finden. In Zeile:5 Zeichen:1 + Start-Process -FilePath "powershell.exe" -Credential $MyCredential ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Start-Process], InvalidOperationException + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcessCommand Ehrlich gesagt, nein ;) - Drum hab ich ja oben schon angemerkt, dass ich mit PS noch nie wirklich zu tun hatte. Grüße!

So? - Sorry fürs doof anstellen Start-Process FilePath "powershell.exe" -Wait -WindowStyle Maximized -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Bringt ein Start-Process : Der Parameter "WindowStyle" kann nicht gebunden werden. Der Wert "Maximized" kann nicht in den Typ "System.Diagnostics.ProcessWindowStyle" konvertiert werden. Fehler: "Der Bezeichner "Maximized" kann keinem gültigen Enumeratornamen zugeordnet werden. Geben Sie einen der folgenden Enumeratornamen an, und wiederholen Sie den Vorgang: Normal, Hidden, Minimized, Maximized" In Zeile:5 Zeichen:63 + ... ss FilePath "powershell.exe" -Wait -WindowStyle Maximized -Creden ... + ~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Start-Process], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.PowerShell.Commands.StartProcessCommand Wenn ich den -WindowStyle weg lasse, bekomme ich ein Start-Process : Es wurde kein Positionsparameter gefunden, der das Argument "powershell.exe" akzeptiert. In Zeile:5 Zeichen:1 + Start-Process FilePath "powershell.exe" -Wait -Credential $MyCrede ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Start-Process], ParameterBindingException + FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.PowerShell.Commands.StartProcessCommand

Ich hab das probiert, wie es in "Example 5" ausgeführt wurde Start-Process -WindowStyle Hidden -filepath "powershell" -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Leider weiterhin Verzeichnisfehler Start-Process : Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Der Verzeichnisname ist ungültig. In Zeile:5 Zeichen:1 + Start-Process -WindowStyle Hidden -filepath "powershell" -Credential ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Start-Process], InvalidOperationException + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcessCommand //edit Wenn ich den Filepath auf das Verzeichnis zeigen lassen, in der die Datei liegen soll Start-Process -WindowStyle Hidden -filepath "C:\Drucker" powershell -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Bekomme ich zumindest schon mal einen anderen Fehler Start-Process : Es wurde kein Positionsparameter gefunden, der das Argument "powershell" akzeptiert. In Zeile:5 Zeichen:1 + Start-Process -WindowStyle Hidden -filepath "C:\Drucker" powershell -C ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Start-Process], ParameterBindingException + FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.PowerShell.Commands.StartProcessCommand

Hallo zusammen, zuerst, ich bin in PowerShell absoluter Neuling und freue mich schon, wenn ich mal ein Hallo-Welt zusammen bekomme. Daher ist die Frage eventuell unter dem Durchschnittsniveau der Leute hier ;) Ich versuche derzeit eine Druckerliste vom Printserver zu erzeugen und als Textdatei abzulegen. Da wir als Terminalserver WS2016 betreiben funktioniert das allerdings nicht mehr mit Benutzerrechten, weswegen ich das Script als Admin ausführen will. In einem Blog habe ich auch eine entsprechende Anleitung gefunden, wie das gehen soll. Nur leider bekomme ich beim Start des Scriptes nicht das raus, was ich will. Start-Process : Dieser Befehl kann aufgrund des folgenden Fehlers nicht ausgeführt werden: Der Verzeichnisname ist ungültig. In Zeile:5 Zeichen:1 + Start-Process powershell -Credential $MyCredential -ArgumentList '-co ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Start-Process], InvalidOperationException + FullyQualifiedErrorId : InvalidOperationException,Microsoft.PowerShell.Commands.StartProcessCommand Mein Script sieht bisher so aus: $User = "DOMAIN\USER" $Password = "PASSWORT)" | ConvertTo-SecureString -asPlainText -Force $MyCredential = New-Object System.Management.Automation.PSCredential($User,$Password) Start-Process -WindowStyle Hidden powershell.exe -Credential $MyCredential -ArgumentList '-noprofile -command &{Get-WmiObject -class Win32_Printer -Computer "Print01" | select Sharename > C:\Drucker\Printer_List.txt -Verb RunAs}' Jemand eine Idee, wie ich das noch zum Laufen kriege? - Und wegen des Clear-Text Passwortes: Die Datei wird vom Monitoring aus gestartet. Deswegen bekommt die nie einer zu Gesicht. Grüße und Danke!

Konntest du was finden?

Automapping haben wir hinbekommen. Allerdings haben wir dort - gerade beim Versenden - großflächigere Probleme, wesswegen wir das Postfach bisher händisch als "volles" Postfach bei jedem Nutzer der es haben soll eingebunden haben. Das möchten wir nun automatisieren.

Ich möchte ein (weiteres) Postfach von einem Exchange (2010) in ein Outlook (2016) einbinden lassen per Script. Also dass sich der Nutzer den Weg durch die Kontoeinstellugen => Neues Konto hinzufügen usw. sparen kann.

Hallo zusammen, kennt jemand eine Möglichkeit ein Exchange Postfach per Script ins Outlook (2016) einbinden zu lassen? Wenn geht, gleich den Benutzernamen und Kennwort mitgeben, so dass ich die Script Datei nur noch an die ca. 50 Nutzer weiter geben muss "Macht da einfach nen Doppelklick drauf". Danke und Grüße!

Hallo zusammen, wir haben das nun erstmal wie folgt gelöst: Unser Monitoring führt alle 15 Minuten das oben verlinkte Script aus und kuckt drauf, wann sich der NotfallAdmin das letzte mal ABgemeldet hat. Das ganze wird schwer zu verwischen sein, denn jedes mal, wenn sich der admin dann wieder abmeldet, wird der wert wieder neu geschrieben. Unser Monitoring kennt den "Normalen" Wert, den das Script zurückgibt. Sobald der Wert abweicht -> Alarm. Somit müsste - sollte jemand wissen, wie man das Abmeldedatum ändert - den Wert auf die Minute genau anpassen. Ausstecken des Servers würde auch nicht wirklich funktionieren, da der Server dann bei uns im Monitoring in nen Timeout geht -> Alarm. Wir werden das erstmal evaluieren und dann mal drüber sprechen, ob wir das weiträumig ausrollen. Grüße!

MonitoringHallo zusammen, vielen Dank für eure Antworten! Das Spiel können wir sowieso nicht gewinnen. Spätestens beim physikalischen Zugriff ist Ende. Grundlegend ging es uns darum, es dem "Kundenadmin" so schwer wie möglich zu machen. Diese tollen Logon Scripte, die eine Textdatei "Ich wurde um XX:XX angemeldet" anlegen, sind meiner Meinung nach deswegen ungeeignet, da sie den kompletten Pfad (und somit ja schon fast eine Anleitung zum Spuren verwischen) auf dem Silbertablett servieren. Das Problem hierbei ist, dass ich dem Script ein (verschlüsseltes) Passwort für den Mailserver mitgeben muss. Selbst wenn wir uns bei einem Free-Hoster der Wahl einen "Dumb-Account" für anlegen, steht einem Missbrauch auch Tür und Tor offen. Was ist gestern beim stöbern noch gefunden habe: Man kann abfragen, wann sich ein Nutzer zuletzt an/abgemeldet hat (klick). An sich wäre das schon das, was wir brauchen. Das Script binden wir in unser Monitorring mit ein, welches die Ausgaben des Scriptes überwacht. Ich denke wir werden damit - und mit den von euch vorgeschlagenen Vorgehensweisen - ein bisschen experimentieren und mal schauen, was wir raus bekommen. Grüße und Danke!

Ich will ja niemanden überwachen (und schon gar keine Mitarbeiter), sondern nur sicher stellen, dass sich niemand an dem Server anmeldet, der es nicht darf. Mitarbeiterüberwachung ist meiner Meinung nach "Ey Klaus, ich hab gesehen, du hast gestern um 17:32 ausgestempelt, aber dein Rechner war um 17:18 aus! Was hast du in der Zeit gemacht?"

Hallo zusammen, ich habe heute mal eine Frage, welche sich vielleicht nicht direkt auf den Privatuser Bereich übertragen lässt, aber vielleicht hat trotzdem jemand eine Idee. Wir bieten Kunden Server (Physikalische Maschine) komplett als Managed Service an. Heißt der Kunde bezahlt im Monat Betrag XY und wir verwalten die Kiste zu 100%. Wenn wir eine solche Kiste bei einem Kunden aufstellen, bekommen die entsprechenden Ansprechpartner in einem Versiegelten Umschlag das Kennwort für einen Notfall-Admin User auf dem Server. In den MS-Verträgen steht dann bei uns, dass sobald dieser Umschlag geöffnet und das Kennwort verwendet wird, wir sämtliche Pflichten und Haftung umgehend abgeben. (Verkürzt: Kunde meldet sich mit dem Kennwort als Admin an, macht was kaputt -> Nicht mehr unser Problem). Das Problem dabei ist die Überwachung von dem ganzen. Aktuell lassen wir uns bei vor-Ort Einsätzen den Umschlag zeigen und prüfen, ob die Siegel noch vorhanden sind. Allerdings ist das bei weiter entfernten Kunden, oder bei welchen, bei denen vor-Ort Einsätze nicht oft notwendig sind sehr dünn. Da schaut sich vielleicht einmal im Jahr jemand den Umschlag an. Daher die Frage: Bietet Windows Server eine Art "Siegel" auf Benutzerkonten? Gedacht hatte ich mir sowas in der Art, dass sobald sich dieser "Notfalladmin" auf dem System anmeldet, dies irgendwo vermerkt wird. In vielen Blogbeiträgen wird das mit einer Batch-Datei im Autostart gelöst, die dann einfach ein Textdokument irgendwohin legt von wegen "Notfalladmin hat sich angemeldet". Diese Lösung finde ich allerdings etwas dürftig, da diese Datei ja auch einfach wieder gelöscht werden kann. Heißt wir bräuchten so etwas wie einen "irreparablen" Wert, der sich nicht zurücksetzen lässt. Eine Idee war, zu überprüfen, ob der Benutzerordner auf C:\User\ erstellt wurde. Funktioniert an sich schon, da sich mit dem Notfallaccount nie einer von uns anmeldet, allerdings würden wir das Passwort für den Fall der Fälle schon einmal testen, was dann wiederum den Ordner anlegt. Ich hoffe ihr wisst was ich meine. ;) Kennt jemand einen entsprechenden Lösungsansatz? Grüße!