Tylers

Meine "Lösung", dass es keine Lösung gibt, wurde voll akzeptiert und volle Punktzahl gegeben. Eine Alternative wurde in der Bewertung nicht angegeben.

Dafür dass man mir auf Nachfrage sagte, es gäbe eine Lösung, finde ich das etwas unbefriedigend.

Ich habe den Trainer eben angeschrieben und gefragt, ob es für die Aufgabe eine gültige Lösung gibt. Die Antwort: Ja, es gibt eine Lösung.

vor 2 Minuten schrieb Damian:

für diese Aufgabe eine vernünftige Lösung kennt (die würden wir hier gerne lesen),

 

Ich werde euch auf jeden Fall auf dem Laufenden halten. Ich habe in der Lösung noch hinzugefügt, dass man als Alternative Exchange einen dedizierten Server/in einem neuen Forest installiert oder ihn ihn in eine evtl vorhandene Exchange-Organisation einbinden kann, um das Schema nicht zu verändern. Mehr fällt mir dazu nicht ein - und ich sitze an der Aufgabe jetzt den dritten Tag.

Vielen Dank für eure Hilfe. Ich bin mir nun sicher auf dem richtigen Weg zu sein und komme mir nicht mehr komplett b***d vor.

Ich werde in der Lösung die entsprechenden Links einfügen und beschreiben, dass es weder sinnvoll ist, Microsoft selbst davon abrät und eine Installation ohne Änderung nicht möglich ist, ausser in einem neuen Forest. Das sollte mindestens Teilpunkte geben.

vor 4 Minuten schrieb NorbertFe:

Ich würde sagen, ohne die genaue Formulierung und mehr oder weniger die komplette Aufgabe zu lesen, wird man sich da nicht weiter äußern können, als es hier schon passiert ist.

Das ist tatsächlich die komplette Aufgabe. Daher habe ich auch nicht mehr Informationen als die, die ich oben beschrieben habe:

1. Forest, mehrere Domains

2. Exchange auf einem DC installieren

3. Verhindern, dass Schema der Gesamtstruktur sich ändert

Gerade eben schrieb zahni:

Vielleicht ist es eine Fangfrage? Wenn dann tatsächlich so gelehrt wird, schicke den Lehrer hier mal vorbei.

Du solltest bei MS die Links raussuchen, wo klar steht, dass man es nicht macht und Exchange immer eine Schema-Erweiterung macht.

Der Gedanke kam mir auch schon. Ich werde es genauso machen. Danke euch trotzdem

Gerade eben schrieb zahni:

Ist das eine Schulungsaufgabe?

Hi, ja, ich befinde mich auf einem Fortbildung und es handelt sich um eine Schulungsaufgabe. Ihr sollt mir auch keine Lösung abnehmen, aber ich habe hierbei überhaupt keinen Ansatz da eine Lösung mMn einfach nicht möglich ist.

vor 4 Minuten schrieb testperson:

Ich würde aber hinterfragen, ob in einer solchen Konstellation mit solchen "Sicherheitsgründen" dann die Installation von Exchange auf einem Domain Controller keine "Sicherheitsgründe" darstellt.

 

Generell bräuchte es hier vermutlich das ein oder andere "Warum?", um gezielt helfen zu können.

Du hast absolut recht, leider habe ich nicht mehr Informationen auch keine Antwort auf ein "Warum". So ist die Aufgabe.

Man kann aber de Aussage tätigen dass 1. nicht sinnvoll ist den exchange auf einem DC zu installieren und 2. es nicht möglich ist, bei der Installation das Schema nicht zu verändern. Oder kann ich das während der Installation irgendwie "abwählen"? Geht mEn auch nicht, oder?

Vorab: bitte kein rant. Ich weiss dass die Aufgabenstellung unsinnig ist. Trotzdem ist das nunmal die Ausgangslage

Ich stehe vor einer Aufgabe, in der in einen Exchange auf einem DC installieren soll. Dies verändert während der Installation auch die Benutzereigenschaften. Allerdings muss aus Sicherheitsgründen verhindert werden, dass das Schema der Benutzer in der Gesamtstruktur sich ändert. (Der Grund warum das verhindert werden soll ist nicht klar, kann nicht eroiert werden, sondern ist Teil der Ausgangslage.)

Wie kann ich das verhindern?

Mir ist klar, dass man einen Exchange nicht auf dem DC installiert. Mir ist auch klar, dass die Installation des Exchange automatisch eine Veränderung der Benutzereigenschaften mit sich bringt. Also fehlt mir hier komplett der Ansatz zum lösen dieser Aufgabe. Habt ihr grobe Denkanstöße?

Vielen Dank für eure konstruktiven Vor- und Ratschläge

Gruß, Tylers

Ich gehe immer über die Eigenschaften des Ordners. Vererbung ist ausgeschaltet.

Ich habe es mehrfach getestet. Der Benutzer bekommt bei mir als Mitglied der Gruppe immer die Berechtigung "Ändern". Dann ist das doch richtig?

Danke, aber die Frage ist ja eher, wieso der Benutzer die Berechtigung "Mitwirken" (also: Ändern) bekommt, statt nur Lesen.

Hi zusammen,

ich mache gerade eine Weiterbildung in Richtung ServerAdmin und habe ein paar Verständnisfragen.

In einer Aufgabe wird zum Beispiel folgende Situation angenommen:

Kleines Netzwerk zB. mit einem Windows Server und Win10 Client.

Ein Benutzer ist Mitglied der Gruppe XY

Auf einem Rechner oder Dateiserver liegt ein Ordner mit den Einstellungen für die Gruppe:

Register Freigabe LESEN

Register Sicherheit ÄNDERN

Welche Berechtigung bekommt der Benutzer, wenn er über das Netzwerk auf den Ordner zugreift?

Normalerweise sollte doch die restriktivere Berechtigung (LESEN) angewendet werden, richtig?

Ich habe es in einer Testumgebung nachgestellt und wenn ich im Register "Sicherheit" die Berechtigung anwende, wird im Register "Freigabe" sofort von LESEN auf MITWIRKEN geändert.

Kann mir mal jemand einen Stubs geben? Übersehe ich was?

Nachdem ich Verbindung zum Windows Papst aufgenommen habe, stellte sich heraus dass es tatsächlich mit dem von mir vermuteten DCOM zusammenhing. Ich habe alle Maschinen online und auf den neuesten Stand gebracht und somit das Problem gefixt. Manchmal ist es so einfach. Danke an alle Helfenden und Beiträge

Danke, werde ich machen 👍

Zitat

Das am 8. November 2022 erscheinende Update, bewirkt eine automatische Erhöhung der Authentifizierungsstufe und zwar für alle nicht anonymen Aktivierungsanforderungen von DCOM-Clients, um RPC_C_AUTHN_LEVEL_PKT_INTEGRITY, wenn es unterhalb der Paketintegrität liegt.

Am 14. März 2023 wird die Härtung nicht mehr deaktivierbar seien, bis dahin sollten alle Kompatibilitätsprobleme beseitgt worden sein.

Heißt das es ist seit März nicht mehr möglich den Assistenten zu starten? Kein workaround = Aufgabe nicht lösebar? 

vor 3 Minuten schrieb tesso:

172.110.0.1 ist keine private IP. Die sind RfC1918 definiert. Dort steht 172.16.0.0/12 also nur von 172.16.0.0-172.31.255.255

Das sind die Vorgaben zum Firmennetzwerk in der Aufgabe

vor 1 Minute schrieb tesso:

Hier findest du etwas dazu.Windows DCOM-Server Authentifizierung - Der Windows Papst - IT Blog Walter (der-windows-papst.de)

Mich macht die IP-Adresse stutzig. Das ist eine öffentliche IP.

Das hatte ich zwischenzeitlich auch gefunden. Hatte meinen Beitrag dahingehend geändert (s.o.)

Du meinst 172.110.0.1? Das ist der DC, warum macht dich das stutzig?

vor einer Stunde schrieb NorbertFe:

Naja, dann solltest du das zuerst klären. Es sollte keine Passwortabfrage kommen, wenn du mit dem selben Account auf beiden Maschinen jeweils lokaler Admin bist.

Sorry, war mit unterschiedlichen Admins angemeldet.

Bin jetzt mit dem selben Account auf den Maschinen und \\PC\c$ läuft problemlos.

Ich habe mir das Ereignisprotokoll im ServerManager auf dem Client angeschaut und folgenden Eintrag (Screenshot) entdeckt.

Ich denke, hier liegt das Problem.

Ich habe Folgendes in der Registryhinzugefügt:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat] “RaiseActivationAuthenticationLevel” =dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat] “RequireIntegrityActivationAuthentificationLevel” =dword:00000001

(Quelle: Siehe hier.)

Leider keine Veränderung, Gruppenrichtlinienergebnis-Assistent sagt bei Zugriff auf Client weiter "Zugriff nicht gestattet".

vor 5 Minuten schrieb q617:

Warum keine moderne Cloud-Lösung?

Ich mache einen Lehrgang und wir arbeiten nunmal mit WinServer2019

Ich kann vom Server auf den Client zugreifen, es werden dabei trotzdem die LoginDaten zur Verbindung abgefragt.

Vom Client kann ich auf den Server zugreifen.

Ja 

Grundsätzlich ja, ich habe im AD aber mehrere Benutzer mit den verschiedensten Rollen in unterschiedlichen Abteilungen

Ich bin auf beiden Maschinen als Admin mit Vollzugriff unterwegs

Hi zusammen,

ich arbeite an einer Hausarbeit und habe ein virtuelles Firmennetzwerk mit 2 Servern und Clients als VM in einer Domäne erstellt, alles läuft soweit reibungslos. Ich habe zwei Probleme:

Erstens:
Ich kann den Gruppenrichtlinienergebnis-Assistenten vom DC auf einen Win10 Client nicht anwenden, ich bekomme ein „Zugrif nicht gestattet“. Die Maschinen befinden sich im selben Netzwerk/Domäne, sind online und Antivirus und Firewall sind aus (zu Testzwecken wegen der ports, keine liveumgebung!). Ich versuche das bereits seit einigen Wochen zu lösen, komme aber nicht dahinter. Es handelt sich wohl um ein Berechtigungsproblem, ich kann aber die Lösung nicht finden. Was kann ich noch tun?

Zweitens:
Der PowerShell Befehl "Get-WsusServer" dieser führt bei mir ebenfalls zu einer Fehlermeldung. 
Zuweisung über CMDLET funktioniert. Jedoch alle Befehle mit "Get-WSUS[...]" geben eine Fehlermeldung aus. Rolle ist im AD natürlich installiert und konfiguriert.
Auch hier ist ales online, im selben Netzwerk, Pingen läuft einwandfrei.
Was könnte ich übersehen?