Daim

Aloha, das ist auch korrekt so! In der Gesamtstrukturfunktionsebene "Windows 2000" können folgende Domänenfunktionsebenen existieren: - Windows 2000 gemischt - Windows 2000 pur - Windows Server 2003 - Windows Server 2008 - Windows Server 2008 R2 Das bedeutet: In einer Gesamtstruktur die sich zum einen im Gesamtstrukturfunktionsmodus "Windows 2000" befindet und zum anderen mehrere Domänen existieren, können Domänen existieren die sich im Domänenfunktionsmodus "Windows 2000 gemischt" oder "Windows 2000 pur" (oder höher) befinden. Im Domänenfunktionsmodus "Windows 2000 gemischt" können NT BDCs existieren. Im Domänenfunktionsmodus "Windows 2000 pur" allerdings nicht. Also hat TechNet nicht gelogen und es existiert auch kein Übersetzungsfehler. :cool: Siehe auch: LDAP://Yusufs.Directory.Blog/ - Domänen- und Gesamtstrukturfunktionsmodus

Salve, du kannst den Besitzer des Benutzerobjekts kontrollieren. Wenn es allerdings ein Kollege mit dem "Domänen-Admin" erstellt hat, erfährt man natürlich nicht welche Person den Benutzer tatsächlich erstellt hat. Kontrollieren kannst du das, in dem du in der MMC "AD-Benutzer und -Computer" unter Ansicht die Option "Erweiterte Funktionen" aktivierst. Anschließend rufst du mit einem Rechtsklick auf dem Benutzerobjekt die Eigenschaften auf, wechselst zum Reiter "Sicherheit", klickst auf Erweitert und wechselst zum Reiter Besitzer.

Der Hotfix ist eine zwingende Voraussetzung! Aber das steht alles in meinem Link beschrieben. ;)

Na klar bringt dir das Vorteile! Du möchtest von deinem Windows Server 2008 R2 (und jetzt kommt das entscheidende) --> Mitgliedsserver <--, also mit den neuen Verwaltungstools AD-PowerShell, AD-Verwaltungscenter... die Domäne verwalten. Diese Werkzeuge benötigen allerdings die ADWS, die standardmäßig nur auf Widnows Server 2008 R2 existieren. Unter Windows Server 2003 und 2008 muss man die "AD Management Gateway Services" installieren, was im Prinzip die ADWS darstellen. Was du dazu benötigst und wie das funktioniert, steht hier: LDAP://Yusufs.Directory.Blog/ - Die AD Management Gateway Services für Windows Server 2003 und Windows Server 2008

Die Vorgehensweise ist in vielen Punkten gleich. Du kannst selbst abschätzen, welche Punkte auf dein Szenario zutreffen und welche nicht. Und was das entscheidende an dem Artikel ist, er zeigt, an was alles du denken musst.

Servus, es gibt verschiedene Möglichkeiten, den Integer Wert umzurechnen. Siehe: LDAP://Yusufs.Directory.Blog/ - Einen Large Integer Wert umrechnen Da fällt mir gerade ein, das umrechnen kann ADFIND selbst aber auch. Verwende dazu die Parameter -tdc oder -tdcs.

Aloha, ja, musst du! Siehe: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

Weil er alt wird... nein, nicht "wird" sondern "ist"! ;)

Jahaa... so sind wir hier. ;) Genau, es wird das AD repliziert und wenn die Forward Lookup Zone (FLZ) im DNS AD-integriert gespeichert wurde (was zu empfehlen ist!) dann auch die DNS-Informationen. Alles andere wird nicht auf den anderen DC repliziert. Nutzt du servergespeicherte Profile oder befinden sich die Profile der Benutzer lokal auf ihren Rechnern? Vermutlich nutzt du nach deiner Fragestellung servergespeicherte Profile. Dann musst du diese durch einen eigens kreierten Kopierjob auf den anderen DC replizieren. So siehts aus! :cool: Dann entfernst du den SBS aus den Metadaten des AD [1] und übernimmst die FSMO-Rollen "mit Gewalt" [2] auf den anderen DC. Achte desweiteren darauf, auf dem zweiten DC auch das DNS zu installieren wobei sich die FLZ im AD befinden sollte und denke daran, beide DNS-Server an die Clients zu verteilen. Wenn du dann alles korrekt konfiguriert und durchgeführt hast, sollten die Benutzer kaum davon etwas bemerken. Im idealfall wenn man es richtig gemacht hat, musst du bei einem Servercrash den Clients nichts "extra" mitteilen. Die Clients authentisieren sich dann automatisch an dem zweiten DC, sofern alles richtig konfiguriert ist. ;) [1] LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen [2] LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Die GPMC-Skripte müssen aber für Vista/2008 erstmal heruntergeladen und installiert werden. Download details: GPMC Sample Scripts Und nicht zu vergessen: Es gibt noch das State of the Art Werkzeug: PowerShell! ;) LDAP://Yusufs.Directory.Blog/ - Die PowerShell Cmdlets für Gruppenrichtlinien

Servus, doch, auch in einer SBS-Domäne können weitere DCs existieren. Du kannst also den neuen Server als zusätzlichen DC zur bestehenden SBS-Domäne hinzufügen. Siehe auch: LDAP://Yusufs.Directory.Blog/ - Die Besonderheiten eines Small Business Server`s (SBS) Füge den neuen Server als zusätzlichen DC zur Domäne hinzu. Damit bleiben dir die Benutzer, Gruppen und Clients erhalten und du ersparst dir einiges an Arbeit. LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen

Hola, das ist in beiden Domänen mindestens ein DC zu wenig! Dann deklariere den DC zum GC. In den meisten Umgebungen ist das ohnehin empfohlen, auf jedem DC das DNS zu installieren und den GC zu aktivieren. Nicht nur in der Subdomäne, sondern auch in der Rootdomäne ist es gerade wegen der Ausfallsicherheit empfehlenswert, mindestens zwei DCs zu betreiben. Nein, so funktioniert das nicht.

Wenn das CallCenter nur eine OU administrieren soll, erstelle einen TaskPad und stelle die MMC den Benutzern zur Verfügung. Für die Aufgaben die das CallCenter durchführen soll, musst du ihnen natürlich die entsprechenden Rechte über die Delegierung im AD einrichten.

Hola, die MMC heißt aber dsa.msc. :p Ich denke nicht das der Chef einen Massenimport durchführen möchte. Ich vermute er möchte lediglich bei den täglich anfallenden Aufgaben ab und zu mal einen Benutzer erstellen. @ humpi Unter welchem OS laufen denn die DCs? Ist die MMC "Active Directory-Benutzer und -Computer" nicht einfach genug für deinen Chef? Soll es GUI oder Kommandozeile sein? Man könnte auch ein Skript erstellen in dem der Chef nur die Werte anpassen muss. Es gibt viele Möglichkeiten.

Servus, in wie vielen Gruppen ist denn ein Benutzer Mitglied, bei dem der Zugriff nicht funktioniert? LDAP://Yusufs.Directory.Blog/ - Alle Gruppenmitgliedschaften eines Benutzers exportieren

Aber Bub, dass habe ich doch bereits im letzten Satz meiner vorherigen Antwort geschrieben. ;)

Umständlicher hättest du dich im OP wirklich nicht ausdrücken können... Was du möchtest, sind die Group Policy Preferences (GPPs) nutzen. Die Client Side Extensions (CSEs) die für XP/2003/Vista noch extra heruntergeladen werden musssten [1], befinden sich unter Windows 7 bereits "on Bord". Für die Administration von GPOs/GPPs solltest du auf einem Windows 7 die RSAT installieren und von diesem Client aus, die GPOs/GPPs administrieren. [1] Information about new Group Policy preferences in Windows Server 2008

Servus, von welchem Patch sprichst du? Bitte beschreibe "klar und deutlich" was du erreichen möchtest. Abgesehen davon, auch in einer Windows Server 2003 Umgebung können Windows 7 Clients betrieben werden, auch ohne diesen ominösen Patch.

Servus, nutzt ihr eine leere Root-Domäne, dass hört sich zumindest so an? Das wird heute auch nicht mehr empfohlen. Das lässt sich nicht vermeiden... Meiner bescheidenen Meinung nach, solltet ihr über euer Netzwerk-/DNS-Design nachdenken, ggf. mit einem externen Dienstleister. @ 0l2i Den Gesamtstrukturfunktionsmodus kann man ohnehin erst hochstufen, wenn alle Subdomänen das unterstützen. Abgesehen davon, wenn sich alle Domänen innerhalb der Gesamtstruktur sich im einheitlichen Domänenfunktionsmodus befinden, stuft man automatisch durch das Heraufstufen des Gesamtstrukturfunktionsmodus in der GUI auch alle Domänen hoch.

Eben. Wann immer möglich würde ich das aktuelle OS installieren und nicht ein "veraltetes" mehr.

Merke: Du führst keine Migration, sondern eine Domänenaktualisierung durch. ;) Ja, dass ist möglich. Wenn der "alte" DC erfolgreich mit DCPROMO heruntergestuft wurde solltest du sicherstellen, das der Server nicht mehr im DNS und ggf. WINS zu finden ist. Dann kannst du einen zusätzlichen Server mit gleicher IP-Adresse und gleichem Computernamen zum DC stufen.

Servus, einen anderen Vorschlag gibt es nicht. Um die Subdomäne weiterhin aufrecht zu erhalten, benötigst du nunmal mindestens einen zweiten DC. Erst dann kannst und musst du den ersten DC mit x64Bit neu installieren, da ein Cross-Update nicht unterstützt wird. LDAP://Yusufs.Directory.Blog/ - Einen zusätzlichen DC in die Domäne hinzufügen Warum aktualisierst du nicht auf Windows Server 2008 R2?

Huhuu, doch, dass tun die meisten Unternehmen sogar. Denn in vielen Firmen existiert doch bloß eine "Test" und keine produktive Umgebung. Und ein Clone von einem Testsystem kann ja nicht so schlimm sein. SCNR! :cool:

Du machst aber auch ein Geweih... ;) Das halte ich persönlich für erträglich. Die Zeit des konvertierens hängt von vielen Faktoren ab (größe der HDD, wohin wird konvertiert, Hardware des Quellservers etc.). Bei der online Variante installiert sich ein Agent auf dem Server, der wenige MB beträgt. Dieser ist unkritisch. Aber du kannst auch die Cold Clone Variante wählen, um dein Inplace Update zu testen. Dazu benötigt man doch keine vier DCs, wenn dann reichen höchstens zwei.

Alle virtuellen DCs sind auf einem Host? Solche Effekte können eben bei einem Inplace Update vorkommen. Daher sollte die Domänenaktualisierung mit einer zusätzlichen Maschine durchgeführt werden.