morpheus

Hallo, Hat jemand Erfahrungen zum Thema Umstellung eines VB Loginskriptes auf Powershell? Wie ist der Performancevergleich? Gibt es schon erfolgreiche Projekte? Umgebung Ad2012r2, citrixsrv 2008r2. Im Loginskript werden z.b - gruppenabhängige und userdomainabhängige Mappings gemacht - Regkeys gesetzt - Qds Datei auf Desktop generiert (Inhalt Gruppenabhängig) ....

Hallo, wir führen gerade was ähnliches durch - allerdings haben wir uns für minimales externes Consulting entschieden. Das hängt auch damit zusammen, dass wir von derzeitphysikalischen DCs auf Hyper-V Hosts und virtualisierten DCs wechseln. Im Grunde ist es in den meisten Fällen ein Ringtausch. - Root einen neuen DC 2012 R2 hochziehen, andere nacheinander depromoten und neu hochziehen. Wenn fertig, dann den zusätzlichen wieder außer Betrieb nehmen - selbiges in den Subdomänen Wichtig sind die Rollen der jetzigen DCs - FSMO - sind sie GC und DNS - evtl. noch andere Dienste die beachtet werden müssen nach der Neuinstallation - Domänen- und Gesamtstrukturlevel - bester Zeitpunkt zum "Ringtausch"

Auch ein Microsoft Support Call konnte es technisch nicht ausreichend klären - naja es lebe ANONYMOUS ;-) Zitat: "Das Logging ist in der Tat so, es werden in diesem Zusammenhang (Passwort Änderung durch einen Benutzer)(zwei Events geloggt, eines hat den Namen des Benutzer, das andere "NT Authority\Anonymous Logon" als den Benutzer der dies durchgeführt hat. Auch nach gründlicher Suche habe ich keine veröffentliche Dokumentation dazu gefunden die dies genauer erklärt warum im zweiten Event Anonymous Logon erscheint."

Hallo, auf unseren Domaincontrollern (W2k8) im Securitylog erscheinen massig Eventlogeinträge nach folgendem Schema. Erst ein 4738 (Ein Benutzerkonto wurde geändert) und direkt gefolgt von einem 4723 (Es wurde versucht, das Kennwort eines Kontos zu ändern). Auffällig dabei ist, dass als Antragsteller "ANONYMOUS-ANMELDUNG" erscheint. Kann mir jemand sagen was die Ursache dieser Meldungen ist? Bsp-Event: Es wurde versucht, das Kennwort eines Kontos zu ändern. Antragsteller: Sicherheits-ID: ANONYMOUS-ANMELDUNG Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x99890747 Zielkonto: Sicherheits-ID: DOM\UserA Kontoname: UserA Kontodomäne: DOM Weitere Informationen: Berechtigungen -

Hallo, @Nilsk: Natürlich spricht ein Tokengrössenproblem nicht generell gegen agdlp, es kommt jedoch auf die Situation und Umgebung an. Befindet man sich in der Konzeptphase idt agdlp und konsequente Gruppkonsolidierung die erste Wahl. In einer grossen Umgebung die bereits lange in Betrieb ist, ist ein Redesign oftmals schwieriger als der Weg weg von agdlp - aber die Diskussion ist müsig @Coloneltw:Ein maxtoken Problem kann ab einer Tokengröße von 12000 Byte auftreten. Im ungünstigsten Fall wird dieses bei einem Faktor von 40 Byte nach Adamriese bereits bei 300 Gruppen bzw.270 Gruppen erreicht. Deswegen mein Hinweis - Größenberechnung anschauen. Mit ntdsutil group membership evaluation lässt sich die Tokengröße recht gut berechnen. Wie kommst du darauf die Ressourcen ab 1015 Gruppenmitgliedschaften in eine andere Domäne zu verlagern? Schau dir mal den Artikel an MSXFAQ.DE - ... Ticketsize

Versuchst du es direkt auf dem domaincontroller oder remote? Was schreibt das eventlog?

Hallo Coloneltw, Ich kenne das Problem. Tokensizeprobleme können in vielen Formen auftreten, je nachdem welche Gruppenzugehörigkeit gerade im Token fehlt. Auch die änderung des maxtokensize Regkeys ist keine Gewissheit für eine funktionierende Umgebung. D.h. du packst das Thema schon richtig an - nämlich in der Konzeptionierung. Du musst auf jeden Fall Gruppen konsolidieren, indem du z.B. Gemeinsamkeiten findest und dafür nur eine Gruppe verwendest. Du solltest dir auch anschauen welcher Gruppentyp mit wieviel Byte zu buche schlägt und danach dein Gruppenkonzept designen. PS: Meiner Meinung nach ist das klassische AGDLP Prinzip in großen Umgebungen, genau aus dem Tokenproblem, nicht mehr die erste Wahl. Gruß

Hallo, kennt jemand eine Möglichkeit InPrivate Filterung komplett zu deaktivieren? Ich möchte die Funktion auch nicht mehr in Menü "Sicherheit" vom IE8 haben. Außer einen Regkey um die Funktion dauerhaft einzuschalten kann ich nichts finden. [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Safety\PrivacIE] "StartMode"=dword:00000001 Die GPO "InPrivate deaktivieren" deaktiviert anscheinend nur InPrivate Browsing. Gruß

Hallo, sehe ich auch so - DNS scheint nicht sauber zu sein: 3b56b977-d287-4d2c-b624-1adbc0a3d45f._msdcs.gapdom.local kann z.B. nicht aufgelöst werden. Überprüfe bitte die Konfiguration und ein ipconfig/ registerdns auf beiden DCs schadet auch nicht. Gruß

Wirklich strange. Würde erstmal die basics überprüfen: - Uhrzeit synchron - Namensauflösung - PDC erreichbar Gruss

Ich hatte mal ein ähnliches Verhalten - ist der PDC in Ordnung?

Ansichtssache. Dann weis er noch nicht wo sie sind :-)

Hallo, Du findest die im AD veröffentlichten Druckobjekte jeweils im AD unter dem Computerobjekt. Wenn du zum Auswerten kein Skript schreiben möchtest dann versuch es mal mit Softerra LDAPBrowser. Gruss

Hallo -rk-, ein Schema wird nicht stillschweigend erweitert - schon garnicht bei der Inbetriebnahme von ADMT. Damit ADMT sauber läuft musst du die Attribute/Klassen der Umgebung in die ADMT-Datenbank importieren. Für die Passwordmigration musst du in der Quellumgebung einen Dienst installieren ... usw. Wie NorbertFE schon schreibt - alles ein Thema für sich. Google mal nach "ADMT v3 Migration Guide" - wenn du die 292 Seiten durchgeackert hast, dann hast du eine gute Basis für eine erfolgreiche ADMT Migration :( Noch mal zum technischen. ADMT migriert nur die, ich nenne sie mal "AD-Standardattribute". Im Anhang mal eine Liste der Defaultausnahmen. Wenn du in der Quellumgebung noch Schemaerweiterungen eingespielt hast, dann würden diese ebenfalls ausgenommen werden. Gruß Excluded.txt

Hallo, Um einen ge'nauen migrationsplan \ projektplan kommst du nicht herum. Wenn deine firma intern nicht das wissen hat, brauchst du externe unterstützung. Mein erster eindruck (nicht überbewerten) ist, dass du mit der admt migration beginnen solltest. Dabei werden die userobjekte von der 2003 umgebung in die 2008er umgebung migriert/kopiert (mit sid historie). Damit haben die neuen objekte zugriff auf alle ressourcen in der altumgebung. Danach solltest du dann die ressourcen (exchange, sql, usw.) angehen. Dabei ist aber jede ressource eine herausforderung für sich. Unterschätze das nicht. Für die exchange migration gibt es zb kostenlose tools mit funktionsabstrichen, oder kostenpflichtige tools zb von quest.