CoNtAcT2000

Ich hab vorhin versucht das Acronis Backup zurück zu spielen - und wie soll es schon sein, wenn man eh schon kein Glück hat! Das Backup lässt sich NICHT zurückspielen und hagelt Fehlermeldungen. Ich könnt so k otzen..... Also die letzen Änderungen waren, - die Admins in die Protected Users Guppe zu werfen (wurde ja schon rückgängig gemacht und sogar ein neuer Domain Admin angelegt der da nicht drin ist/war) - kein Erfolg. - Dann hatte ich an dem NTLM und Kerberos einstellungen gedreht, ich vermute das ist dann auch was den Fehler verursacht: - Und die Authifizierten User aus der Gruppe PreWin2000 entfernt

Danke Norbert Das hilft mir grad nicht weiter. In einer kleinen Firma hat man noch viiiiiele ander Dinge die nicht stimmen und nicht passen oder besser sein könnten. Aber aktuell ist es halt Stand der Dinge.

Normalerweise war da ein Autologon konfiguriert für den Domänen Admin - wegen Dienste/Tools starten und so. Das schlägt fehl. Also versuche mich mit meinem Domänen-Admin Konto, dem gleichen wie beim Autologon, manuell mit Benutzername und PW anzumelden. Und dann kommt das Passwort wäre falsch! Mit dem von Evgenij verlinkten Offline NT Password Tool hat es nicht geklappt, bootet am Server nicht. Mit einer normalen Win10 Bootmedium konnte ich zwar in die Reparaturkonsole booten, aber die kommt mangels Treiber nicht auf die Partition. Mit dem Recovery Medium von Acrons konnte ich mir jetzt Zugang verschaffen und hab den "Trick" mit dem Utilman angewandt. Danach neugestartet und das Passwort meines Domänenadmins abgeändert mit net user.... Habe auch alle Domänenadmins aus der Protected User Gruppe entfert. Habe auch einen neuen Benutzer "Disaster" angelegt, ihn in die Gruppe der Domänenadmins aufgenommen. Danach den Server neugestartet. Dennoch kann ich mich an dem Server nicht anmelden - egal mit welchem Konto!! Es scheint also an was anderem zu hängen. Ich würde gerne die GPO mit den Settings aus Pingcastle die ich auf den DC gelegt habe deaktivieren/löschen. Aber kein Plan wie ich da rankommen soll. Die mmc Konsolen lassen sich weiterhin nicht öffnen. Weder über die Systemrechte von Utilman noch mit runas.

Ich verstehe deinen Gedankengang nicht ganz, was das ändern des Passworts bringen soll? Ich kenne ja das Kennwort. Meinst du es ist ihm zu alt oder was? Naja groß ist das nicht, aber NEU machen wäre schon übel. Ich habe noch als letzten Ausweg ein Acronis Vollimage der Maschine. Das wollte ich aber erst versuchen wenn sonst echt gar nichts geht! Ich hoffe es funktioniert wenn ich es einsetzen muss!!!

Ich kann in den Wiederherstellungsmodus booten und mich dort mit .\Administrator und dem Kennwort anmelden. Aber wie es dann weiter geht - was ich da im Wiederherstellungsmodus tun muss - da fehlt mir absolut die Erfahrung. Wie oben beschrieben, die Verwaltungskonsolen lassen sich ja im Wiederherstellungsmodus nicht öffnen. Mit welchem Werkzeug/Vorgehensweise komme ich denn hier zu dem Punkt dass ich die Gruppenmitgliedschaft des Admins wieder ändern kann?

Ja Norbert, sag nix......ich weiß - Okay, ich starte den Server wieder im normalen Modus und teste es mit dem FQDN aus. - Einen Domänen Client mit RSAT Tools habe ich aktuell leider nicht - habe ich heute morgen als erstes versucht, aber ich bekomme auf der Windows 10 Büchse keine RSAT Tools installiert. So, Server wieder normal gestartet. Dann auf nem Laptop mich versucht zu verbinden: runas /netonly /user:IT@domain.local "mmc dsa.msc /server=Server.domain.local" Und nun ? Also das Kennwort der Admins war/ist definitiv schon älter - das hat Pingcastle auch angemeckert. d.h. was soll ich denn als nächstes tun?

Ich hatte einen zweiten Admin - aber ich *** habe im Übereifer, weils an dem Tag ja so gut geklappt hatte ALLE Admins gleich in die protected User Gruppe geschoben! Ich bin lokal Vorort, stehe also direkt am Server und habe physischen Zugriff. Per RDP kommt die angehängte Meldung aber bei mir halt auf deutsch. Hatte vorhin vor dem Boot in den Wiederherherstellungsmodus von einem Laptop mal versucht mich mit RSAT zu verbinden: runas /netonly /user:IT@domain.local "mmc dsa.msc /server=192.168.100.200" das ging aber auch nicht.

Hallo Leute, zum Jahresende habe ich mir noch ein schönes Ei ins Nest gelegt und bräuchte mal dringend eure Hilfe. Windows Essentials 2016 Domaincontroller mit 6 Windows 10 Clients. Ich hatte gestern einige """"Optimierungen""" vorgenommen die Pingcastle vorgeschlagen hat um die Sicherheit zu erhöhen. Nun kann ich mich am DC nicht mehr anmelden! Es kommt immer das Kennwort wäre falsch. Nein, es ist richtig!!! Egal welche Daten ich verwende: User: IT User domain\IT User:IT@domain.local Ich glaube es hängt daran, dass ich den Domain Admin in die Gruppe der "protected Users" hinzugefügt habe, wie es Pingcastle vorgeschlagen hat. Dann nach einem Reboot trat nämlich erst das Probem auf! Ich habe den DC nun mit F8 im Wiederherstellungsmodus gestartet - aber was nun? Ich kann die mmc ActiveDirectory Benutzer und Computer zwar öffnen - aber die sind nicht verbunden. Ich würde den Admin gerne wieder aus der protected Users Gruppe entfernen und dann mal den DC neustarten - ggf. noch die GPO die ich angelegt hatte um einige Einstellungen zu machen deaktivieren. Wie beseitige ich meinen Schlamassel und gehe hier weiter vor? Mir gehen da grad die Ideen und meine Erfahrung aus! VIELEN Dank im voraus!!! VG CoNtAcT2000

Ist zwar schon etwas älter der Post...aber egal. Wir schauen uns ebenfalls aktuell nach einer 2FA um. Um unteranderem OWA, VPN und RDS mit RDGW abzusichern. Diesbezüglich hatten wir uns jetzt gerade DUO angeschaut und mit dem Hersteller besprochen. Für VPN und OWA - passt DUO ganz gut. Aber für RDS mit RDGW passt diese Software einfach nicht, denn bei dem Einsatz der Software fallen quasi die Regelsätze des RDGW komplett weg. Steht auch so in deren Doku. Da macht man also ein größeres Scheunentor auf, als dass man einen Nutzen von 2FA hat. Daher sehen wir uns jetzt nach was anderem um.

Dann probiere es mal aus. Bei mir hat er ohne das umwandeln in String den distinguished name in extensionAttribute1 geschrieben. Warum auch immer. Danke für den Hinweis, das geht natürlich auch.

So, etwas am Code rumgepfuscht, nun hat es funktioniert. Das Write-Host an der Stelle war definitiv störend. Das Umwandeln in String musste allerdings sein. clear $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department,extensionAttribute1,Enabled | Where-Object {$_.Enabled -like "true"}| Sort-Object -Property SamAccountName foreach ($user in $users) { # Pruefen ob Attribut Department gesetzt ist, falls nein, naechstes Objekt if ($user.Department){ # Pruefen ob extensionAttribute1 fuer den Benutzer gesetzt ist, falls ja, extensionAttribute1 zuruecksetzen if ($user.extensionAttribute1) { Set-ADUser –Identity $user.SamAccountName -Clear "extensionAttribute1" } $String = $user.Department.ToString() Write-Host Username: $user.SamAccountName Attribut1: $String # Setze extensionAttribute1 Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } }

Es funktioniert auch nicht, wenn ich das Write-Host weglasse. Fehlermeldung: Set-ADUser : add In C:\Temp\Department.ps1:4 Zeichen:1 + Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (TESTUSER:ADUser) [Set-ADUser], ADInvalidOperationException + FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.SetADUser

Der Inhalt den ich aus user.department auslese wird an der Stelle $String nicht ausgegeben. Das ist das Problem. extensionAttribute1 ist derzeit bei jedem User leer und soll gefüllt werden mit dem derzeitigen Inhalt aus user.department Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} Eigentlich sollte die Ausgabe so aussehen: Set-ADUser -Identity Username -Add @{extensionAttribute1="BisherigerWertAus$User.department"} dann wäre das Kommando in Ordnung und ich könnte es abschicken. Habe ich genauso eben probiert: Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1 = "$($User.Department)" } Habe ich probiert. Funktioniert bei mir nicht. Ausgabe: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry

Das Write-Host ist ja nur mal dazu da die Ausgabe zu checken...

Hallo Leute, ich muss den Inhalt des Attribut "department" in ein extensionAttribute umschreiben. Nur leider gibt er mit den Inhalt von $Skript an dieser Stelle nicht aus. Hab auch versucht mit $user.department - aber auch das funktioniert mit dieser Formatierung nicht. Da mache ich wohl was falsch. $users = Get-ADUser -SearchBase "OU=x,OU=y,DC=DOMAIN,DC=LOCAL" -Filter * -Properties Department, extensionAttribute1 | Select-Object SamAccountName,Department,extensionAttribute1 foreach ($user in $users) { $String = $user.department | Out-String Write-Host Set-ADUser -Identity $user.SamAccountName -Add @{extensionAttribute1="$String"} } Ausgabe sieht dann immer wie folgt aus: Set-ADUser -Identity Username -Add System.Collections.DictionaryEntry Könnt ihr mir bitte diesbezüglich weiterhelfen? VG CoNtAcT2000

Gefordert/gewünscht ist ein vollwertiger Windows Desktop. So wie ihn der User gewohnt ist - UND vor allem, dass wir ihn mit wenig Aufwand mit unserer kleinen Mannschaft betreiben und verwalten können - ohne viel zu großen Aufwand noch zusätzlich auf die wenigen halbwegs versierten Admins im Backend zu ziehen - und unsere normalen Techniker kaum noch mithelfen können. Okay, dann scheint das also eigentlich für uns auch nicht von Nutzen zu sein. Wird es wohl am besten sein, wie ich es mir von Anfang an gedacht habe - VMs aufsetzen mit Software vom SCCM versorgen, aus de Maus. Zum Shared Desktop - Wenn man 5 Programme nutzt und nichts anderes darf der User starten etc. dann mag das wunderbar funktionieren. Ist bei uns aber nicht so. Klar könnte man machen, aber das ist nicht gewünscht! Und teilweise auch nicht praktikabel weil wir X unterschiedliche Anforderungen haben. Von technischen Zeichner, Mediengestalter, Werkstattmechaniker, Sachbearbeiter......... Software nicht TS fähig, nutzt keinen normalen Speichern Dialog und die Leute speichern sinnlos auf den Server............. da gibt es soooooo unendlich viele Baustellen mit dem Shared Desktop. Mit genügend Manpower und Aufwand evtl. natürlich betreibbar, aber für uns ist das leider völlig unpraktikabel.

Wir haben uns bereits vor Jahren mit Citrix rumgeärgert - damals mit XenDesktop 7-7.6. Sorry, aber das Produkt und der Hersteller gehen einfach mal gar nicht. Es war ein sehr teures Projekt für uns und für den Hersteller ein absoluter Imageverlust...Aber da will ich gar nicht weiter drauf eingehen. Der Hintergrund warum wir aktuell nach weiterer Virtualisierung schauen ist ganz einfach, dass Homeoffice und flexibles Arbeiten immer mehr benötigt/gefordert wird. Aktuell schalten sich unsere User über das RDWeb - RD-Gateway auf ihren Arbeitsplatzrechner per RDP auf. Dazu muss aber dann der Computer auch laufen - was unter anderem Ärger mit dem Brandschutz gibt etc. Allerdings ist ein einfacher Hardwareclient halt immer noch die preislich günstigste Bereitstellung eines Arbeitsplatzes. Mit der TSFarm2016 haben wir jetzt schon einige Jahre Erfahrung sammeln können. zum Bereitstellen von Applikationen sehr gut. Funktioniert super. Haben dann versucht den Benutzern mal nen shared Desktop zur Verfügung zu stellen, aber das ist nicht praktikabel..... zu viele Dinge die einfach nicht so gut funktionieren wie auf nem vollwertigen Client Desktop. (Auch vor dem Hintergrund, dass die meisten unserer User sind NICHT wirklich IT erfahren sind, auch wenn sie schon 30 Jahre mit nem Computer arbeiten) Da Citrix nicht mehr in die Tüte kommt, haben uns aktuell noch VMWare Horizon und Microsoft angeschaut. Microsoft ist für uns aktuell das Produkt mit dem wir testen möchten. Da man unter anderem in Lizenzangelegenheiten, Patches etc. nur nach einem Hersteller schauen muss. Auch haben wir für uns festgestellt, dass wir die tollen Features von Citrix oder VMware eigentlich überhaupt nicht brauchen. Wir haben nicht die Situation, dass wir 3 Images mit 10 Anwendungen pflegen und zur Verfügung stellen und warten können. Wir haben SEHR viele unterschiedliche Bereiche und XXX Anwendungen. Für uns ist eine vollwertige virtuelle Maschine für jeden User die beste und die einfachste Lösung (auch die technisch teuerste). Diese können unsere Techniker problemlos mit dem SCCM weiterhin in Eigenregie verwalten. Von daher wäre für uns ein hochverfügbarer Hypervisor schon gewünscht. Alles andere bekommen wir auch mit dem zur Verfügung stehenden Personal nicht gehandelt. Im Prinzip könnten wir auch einfach hingehen und unsere VM´s auf HyperV oder VMWare einfach mit nem Skript und ner vorgefertigten Installation erstellen, dann wäre der Drops auch gelutscht. Aber da fehlt mir in diesem Bereich die Erfahrung ob VDI noch entscheidende Vorteile für unseren Zweck bietet - oder ob wir/ich für unser Vorhaben da komplett falsch denken.

Es geht um ne VDI Infrastruktur mit der wir mal testen wollen, ob das was für uns ist. ohhhh ooookkaaaayyyy. Dann lasse ich da mal lieber die Finger von dem Cluster. Dann müssen wir doch noch Hardware zusätzlich beschaffen Danke für die Info. Aber dann mal die Frage, warum ist der Cluster danach aufgelöst? Ich mein, man will doch auch unter einer VDI Struktur nen hochverfügbaren Hypervisor haben?

Hallo Leute, ich habe heute eine neue RDS-Farm mit Server 2019 aufgebaut. Nun bin ich an dem Punkt, dass ich den Virtualisierungshost hinzufügen soll. Hier wurde ich gerne unseren bestehenden Hyper-V 2016 Cluster eingeben. Dann kommt das Menü "Blah blah...auf Server X wird Rolle Y installiert wollen Sie wirklich, Server wird bei Bedarf neugestartet". Ähhhhhhhh, normal Mut zur Lücke. Aber da auf den Hyper V Maschinen """ein paar""" Server rennen, wärs echt uncool, wenn der da was platt macht und evtl. sogar noch die Server rebootet. Hat das schonmal jemand gemacht? Ich würde sagen er erkennt, dass da die Rolle schon verfügbar ist und macht nichts, außer dass die RDS Konfiguration dann vollständig ist. Aber äh, kann ja mal nicht schaden in die Runde zu fragen :) VG Michael

Hallo Leute, wir nutzen in unserer Umgebung einen Proxyserver. Diesen bekommen die Benutzer per GPO/GPP gesetzt, inkl. Ausnahmeliste. So nun arbeiten ja immer mehr User von unterwegs aus und müssen sich dann mit dem Proxy rumärgern und diesen aus/einschalten je nachdem ob Sie sich im internen Netz bewegen oder nicht. Die User sind in der Regel keine Admins auf den Computern. Meine Idee - ich schreibe ein Skript, welches diesen Aufwand übernimmt. $Status = Test-Connection yourdomain.local -Quiet if ($Status) { #Write-Host "Proxy aktivieren, da im internen Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "1" }else { #Write-Host "Proxy deaktivieren, da im privaten Netz" Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "ProxyEnable" -Value "0" } dieses Skript checkt ob die Domäne erreichbar ist. Falls ja, BENUTZER PROXY aktivieren, falls nein, den BENUTZER PROXY deaktivieren. Dieses Skript wird an 3 Events geknüpft und funktioniert auch soweit wunderbar. (Die Idee stammt von hier: https://www.gruppenrichtlinien.de/artikel/proxy-automatisch-an-und-ausschalten-proxy-switcher) So, nun möchte ich allerdings auch, dass der SYSTEMPROXY geändert wird! Im obigen Skript ne Zeile zusätzlich einhängen fürs dazufügen netsh winhttp set proxy proxy-server="yourproxyserver:8080" bypasslist="yourbypasslist" bzw. fürs rausnehmen netsh winhttp reset proxy funktioniert schon mal nicht => fehlende Berechtigung. Okay, dann mal versucht per GPO einen geplanten Task anzulegen, der im System Kontext gestartet wird und ausführbar ist. Task wird angelegt, funktioniert aber leider auch nicht, da dem User die Rechte fehlen. Habt ihr eine Lösung für meine Idee? Mir fällt gerade sonst nichts dazu ein. Vorab vielen Dank. Gruß Michael

Danke für den Link. Schaue ich mir mal genau an. Man muss also wenn man von betrieblichem Windows auf eine betriebliche virtuelle Maschine mit Windows zugreift auch ne VDA Lizenz haben? Dachte das wäre mit der Betriebssystemlizenz abgedeckt (oder war das nur bis Win7 so?) Das hab ich bisher so noch nie gehört. Dachte nur wenn der Zugriff von privaten Geräten oder Linux aus ist, dass man dann VDA benötigt. Das hier hatte ich dazu gefunden, war mir jetzt aber nicht sicher ob das aktuell ist, deswegen mein Post hier. Windows 10 VDA Anwendungsbeispiele VDA (Virtual Desktop Access) wird benötigt, wenn von Nicht-Windows-Rechnern (Mac, Thin Client, Linux PCs etc.) auf virtuelle Windows-Desktops zugegriffen werden soll, beispielsweise: Ausführung von mehreren Windows-Instanzen auf dem eigenen Rechner für Test und Entwicklung. Ausführung von Windows 10 auf Servern im Rechenzentrum oder in der Azure-Cloud (VDI bzw. Virtual Desktop Infrastructure). Von Thin Clients, von Tablets und beispielsweise von Zuhause wird auf den virtuellen Desktop zugegriffen. Reines BYOD. Mitarbeiter nutzen ihren virtuellen Desktop ausschließlich von eigenen Devices wie Notebooks oder Tablets. Externe Mitarbeiter bekommen Zugriff auf einen im Rechenzentrum gehosteten virtuellen Desktop.

Ooookay. Bist dir da sicher, dass man auf jedenfall SA aufs Windows braucht bzw. VDA Lizenzen? Wenn die Ubuntu Clients allerdings Windows Maschinen wären, bräuchte man kein SA/VDA? Gibts das irgendwo konkret nachzulesen. Hab da bisher noch nichts zu gefunden.

Danke für Eure Antworten. Kannst mir grad noch sagen auf was und wie ich das genau prüfe, damit auch alles korrekt gelöscht ist?

Hallo Leute, evtl. könnt ihr mir bei dem folgenden Vorhaben weiterhelfen. Ausgangssituation: 2x Domänencontroller 2012R2, Funktionsebene und Schema ebenfalls 2012R2 Diese sollen auf 2019 upgedated werden. Hier ist es mir am liebsten über ne saubere Neuinstallation statt Inplace Upgrade. Allerdings sollen dabei IP und NAME der Domänencontroller beibehalten werden. (da gibt´s mit Sicherheit X Firewall Regeln und Einstellungen die entweder auf IP oder den Namen verweisen - kein Bock daran auch noch zu fummeln.) Außer DNS und DFS haben die DC´s keine weiteren Rollen. Meine Überlegung war, einen DC runterstufen und entfernen, dann einen frischen 2019er aufsetzen, dem identische IP und Namen zu vergeben und dann als neuen DC aufzunehmen. Dann das Ganze nochmal mit dem zweiten DC. Spricht da was dagegen? Gibts da Stolpersteine wo man aufpassen muss? Finde im Netz immer nur Postings wo neue DC´s mit neuem Namen IP aufgesetzt werden um die alten abzulösen. Vorab vielen Dank! VG Michael

Hallo Leute, folgende Überlegung. Man hat 6 Clients mit Ubuntu. Man hat einen "Server" ebenfalls mit Ubuntu, dieser stellt 6 Windows 10 Pro (oder 11 Pro) Maschinen virtuell über VirtualBox zur Verfügung. Es wird von den 6 Ubuntu Maschinen per RDP auf die virtuellen Windows 10/11 Maschinen zugegriffen und gearbeitet. Ist es in dieser Situation mit den Windows10/11 Pro Lizenzen getan, oder benötigt man noch weitere Lizenzen? Danke für Eure Hilfe. VG Michael