Squire

Wenn VPN, dann nutz ich nur mein eigenes über meine Firewall. Fremdanbieter VPN nutze ich nicht ... die sind übrigens auch nicht wirklich anonym ...

Ja ich weiß - hab ich ja auch gelesen. Das ist aber für die Kollegen dort vor Ort höchst unbefriedigend ... die kommen dann immer mit irgendwelchen chinesischen Versionen/Diensten, die wir nicht wirklich auf den Rechnern haben wollen ...

Hallo Leute, hat hier jemand Niederlassungen in China und verwendet auch Teams mit einem globalen Tenant? SDWAN haben wir im Einsatz, läuft aber nicht wirklich perfekt ... Unsere chinesischen Kollegen beschweren sich über schlechte Performance und Audio Qualität ... Wobei die Internetverbindung dort im Büro schon sehr gut ist ... (Shanghai). Irgendjemand Tipps wo man vielleicht was drehen könnte? MS selbst macht mir ja nicht wirklich Hoffnung https://docs.microsoft.com/en-us/microsoft-365/enterprise/microsoft-365-networking-china?view=o365-worldwide

Das ist richtig - aber somit sieht man halt gleich, dass die Gruppe gemanaged wird ... bei unserer Gruppenanzahl absolut notwendig, sonst blickt niemand mehr durch. Unser Script macht jetzt was es soll und erspart uns einen Haufen Geklicke und verhindert auch Flüchtigkeitsfehler

Ich hab noch bisserl gesucht und ein Codeschnipsel gefunden und für mich angepasst # Verwaltungsrechte "Managed by" für die Managegroup setzen $group = Get-ADGroup -Identity $WriteGroup $manager = Get-ADGroup -Identity $Managegroup $NTPrincipal = New-Object System.Security.Principal.NTAccount $manager.samAccountName $objectGUID = New-Object GUID 'bf9679c0-0de6-11d0-a285-00aa003049e2' $acl = Get-ACL "AD:$($group.distinguishedName)" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $NTPrincipal,'WriteProperty','Allow',$objectGUID $acl.AddAccessRule($ace) Set-ACL -AclObject $acl -Path "AD:$($group.distinguishedName)" # damit es auch in der GUI mit angezeigt wird Set-ADGroup $WriteGroup -ManagedBy $Managegroup die ObjectGUID ist das ManageBy Feld damit wird das WriteMember gesetzt und damit funktioniert auch das Verwalten für die Managegroup. Allerdings wird in der AD GUI das ManageBy nicht angezeigt - das bleibt leer @testperson erst durch Deinen Hinweis mit dem SET-ADGroup wird es dann in der GUI mitangezeigt

@cj_berlin sprich es ist nur das "Write Member" Recht bei der entsprechenden Gruppe zu setzen? Mehr nicht?

Hallo zusammen, ich bin grad bisserl am Basteln (noch Urlaubszeit und noch wenig los). Wir haben uns ein PowershellScript gebaut, bei dem wir einen Verzeichnisowner und einen Verzeichnisnamen per Variable angeben. Das Script legt dann in unserem DFS ein Verzeichnis an, es werden zwei korrespondierende AD Gruppen (Read/Modify)generiert, der Ownereintrag wird im Bemerkungsfeld der Gruppen eingetragen. Die Verzeichnisrechte werden durch das Script auf die beiden Gruppen gesetzt. Zusätzlich legt das Script eine "Verwaltungsgruppe" an. (Diese wird bisher manuell bei den zwei Gruppen als verwaltungsberechtigt eingetragen) ... und hier hänge ich gerade. Wie setze ich per Script die Verwaltungsgruppe als Manager, der die beiden AD Gruppen verwalten kann? (Hintergrund: Ausgewählte Benutzer dürfen als Verzeichnisowner die Gruppenzugehörigkeiten selbst pflegen. (Nimmt uns viel Arbeit ab ) Jemand ne Idee?

sehr merkwürdiges Verhalten ... grenzwertig!

Du übersieht ein wichtiges Stichwort: Rechtssichere und rechtskonforme Archivierung. Und nein, wir akquirieren hier nicht (danke für die Unterstellung) Frag einen, der sich mit den rechtlichen und steuerrechtlichen Vorschriften und Gesetzen auskennt. Kannst ja mal beim Finanzamt nachfragen, was du mit Rechnungen per Email bei einer Steuerprüfung ohne rechtssicheres Archiv machen sollst... Und nein Ausdrucken reicht nicht

Wie Norbert oben schon geschrieben hat. Entweder 3rd Party oder eben live with it. 3rd Party EnterpriseVault (komplex) oder im kleineren Umfeld Mailstore. Beide Produkte können öffentliche Ordner, haben ein Outlook Plugin und ebenfalls Web Zugriff auf die Emails. Schnelle und umfachreiche Volltextsuche, Dedup und Kompression der Mails ... Sie bieten rechtskonforme Archivierung (wie handhabst Du das eigentlich mit einem "nackigen" Exchange ohne Archivierung? Oder wird der Exchange nicht für geschäftliche Korrespondenz verwendet (inkl. Lieferscheine, Rechnungen per Email etc.) sondern nur als Hobby System?

Direkte Buchung in der Ressource gehen nur, wenn Du auf den Kalender Vollzugriff hast

Kleiner Tipp noch ... ich würde Gruppen für die Postfachzugriffe verwenden. Macht das tägliche Leben leichter

:D Drum machen wir sowas auch selbst Aber wie gesagt bei 3rd. Party ist das immer sehr schwierig ... Sehr prägnantes Beispiel ist bei Siemens NX und Teamcenter ... Vom DL kamen die Standardsprüche bzgl. SSL, von wegen braucht es nicht, umständlich, kompliziert ... wir haben dann ein Zert erzeugt, selbst eingebunden ... Thema war in 5min erledigt und wir hatten einen geknickten und verduzten DL "... aber meine Kollegen sagen immer, dass das so kompliziert und umständlich sein" ... Problem ist halt oft, dass viele "Scheuklappen-DLs" unterwegs sind oder andere Bezeichnung gerne auch "Fach***en", die ihr Produkt gut kennen, aber keine 5mm weit über den Tellerrand gucken können, geschweige dem was davon verstehen, was auf OS Ebene außerhalb ihrer Anwendung vor sich geht.

Wo bei das durchaus schwierig sein kann, einen DL zu finden, der sich mit PKI und CA Design auskennt. Für viele DLs is so was Teufelszeug. Nebenbei, es ist erstaunlich, wie vielen DLs für 3rd. Party Software versuchen einen riesengroßen Bogen um das Thema zu machen ... wäre ja alles so kompliziert und bis man dann ein Zertifikat hätte ... und das sei doch alles nicht nötig ...

Blöde Frage - ihr habt doch sicherlich eine Firewall im Einsatz. Kannst Du nicht darüber ein VPN machen? Solltet ihr keine dezidierte FW verwenden ... Installier Dir in einer VM oder auf Hardware eine Sophos Firewall (selbst in der kostenlosen Basisvariante ist ein VPN mit dabei). Auf den Clients dann den Sophos VPN Client und fertig

@kaineanung - ich glaub du verdehst da was. Wenn Du für 2FA Gerätezertifikate benötigst, dann sind das Clientzertifikate. Diese müssen kein SAN Zertifikat sein, Du rufst ja die PCs nicht im Browser auf. Bei Serverzertifikaten (sprich, alles was Du per Website aufrufst (Gerätemanagement, Webserver, etc. brauchst Du ein SAN Zertifikat. Ich müsste mich jetzt sehr täuschen, dass man für das SAN Zertifikat nicht automatisch Parameter aus dem AD mitgeben könnte. (Allgemeiner Name, DNS Name, UPN ...) Du musst halt ggf. die Zertifikatsvorlage anpassen bzw. eine neue erstellen. Aber wie gesagt, ich denk mal, Du redest von Computerzertifikaten für 2FA - da brauchst Du keine SAN Zertifikate

ihr habt doch sicher einen "Fileserver" oder sonstige zentrale Ablage. Was spricht dagegen, diesen als Printserver zu verwenden?

nö ... Chrome und Edge nützen den Windows Zertifikatsspeicher. Anders bei Firefox, dem muss man das erst in der Konfig beibringen!

wenn es nur für zu Hause und zum Spielen ist ... probier die 6.7 - die könnte noch gehen. Ansonsten würde ich bei Hyper V bleiben. VMware ist da rigoroser was die HCL angeht ...

Wir haben 11a im Einsatz, allerdings in Verbindung mit VMware ... da hatten wir "früher" ab und an mal dieses Problem. Trat vor allem bei großen VMs auf, wo das Erstellen des Snapshots zu lange gedauert hat. Abhilfe schaft da, das VSS Timeout hochzusetzen. Wir verwenden die Storageintegration für unser Storage, da ist das dann kein Thema mehr.

bzgl Backup ... für deine kleine Umgebung z.B. Veeam Community (hat aber Einschränkungen was SQl und Exchange angeht) und benötigt eine VM oder einen physikalischen Host. Alternativ bei NAS mein Favorit Nakivo kann komplett vom NAS laufen und gibt es auch in einer freien Version (Limit 10VMs) - bei Kaufversion deutlich günstiger im Vergleich zu Veeam bei ähnlichen Funktionsumfang

Wenn Du vorhast mit einem NAS zu arbeiten. Schau Dir mal Nakivo an. Das kann prinzipiell dasselbe, was Veeam auch kann, jedoch lässt es sich komplett auf einem NAS von Synology, Asustore, QNAP oder Truenas installieren. Sichert dann virtuelle und physikalische Server. Hat Agents für SQL und Exchange. Kann Dedup und Compress und bietet auch inmutable Backups ... Man könnte tagsüber inkrementelle Sicherungen laufen lassen ... Ich hab das bei mir im Einsatz ... kannst Dich gerne mal bei mir melden Wie Du sicherlich weißt, ist nächstes Jahr Schluss mit 2012R2. Ich würde auf einen HyperVisor wechseln (gal ob ESXi oder HyperV). Damit bist Du im Restore Fall, sehr viel flexibler, da Du nur begrenzt von der Hardware abhängig bist (Du musst nur den HyperV einrichten, das ist schnell geschehen - bei ESX max 5min incl. kompletter Config zurücksichern) und die VM vom NAS zurückspielen ... und Du bist wieder VOLL arbeitsfähig

ich hoffe doch, dass Dein Kunde eine einigermaßen brauchbare Firewall vor dem Exchange hat ... ich hab sowas immer mit Sophos UTM gemacht. Den Exchange über die WAF der Sophos veröffentlicht und die kümmert sich auch gleich um die Letsencrypt Zertifikate

ohne genau die Software zu kennen ... ich behaupte mal, die SSDs sind unnötig! Ich betreue u.a. eine kleine Firma mit rund 50 Clients mit SQL Server und Dynamics NAV. ... da laufen insg. 14 VMs unter VMware ESX7 auf einer DELL VRTX mit 2 Blades und 8x1.2 TB HDDs. Neben dem SQL für Nav laufen noch weitere Express (für Datev, Trumph Laser, EasyArchiv) weil man sich vor Jahren das Geld für einen vollen SQL sparen wollte und der volle SQL nur für NAV lizenziert und freigegeben ist ... Wie auch immer ... Performanceprobleme hab ich da nicht wirklich ... Die Systeme dümpeln i.d.R. vor sich hin ... Ich würde von dem KOnstrukt mit TrueNas Systemen etc. abraten - keep it simple! Wie die Kollegen schon geschrieben haben ... eine vernünftige Ansage der GF was die IT machen soll und dann einen entsprechenden Vorschlag erarbeiten!

ich auch! Guckst Du hier: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7240/126_Firewall-fur-FRITZ-Fernzugang-einrichten/