Cryer

Na das ist ja genau der Punkt Norbert. Ohne Anmeldung keine Kennwortänderung, ohne Kennwortänderung keine Anmeldung. Ich habe den entsprechenden Haken jetzt erstmal rausgenommen und den Benutzer (der sich via VPN von woanders anmeldet) gebeten das Passwort zu ändern. Finde das aber eine äußerst unsaubere Methode darauf vertrauen zu müssen. Deutlich geschickter wäre es, wenn sich der Benutzer via RDP anmelden will und dann das Passwort ändern muss, ohne dass da in einer Datei rumgefummelt werden muss. Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren?

Wie meinen?

Trotzdem total schwachsinnig. Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat.

Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!) Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken) Sowas bescheuertes.

Wir betreiben hier einen RDS2019. Nun habe ich eingestellt, dass Benutzer das Passwort bei der nächsten Anmeldungändern müssen. Tja, doof nur, dass die Verbindung unter genau diesem Hinweis von Anfang an abgelehnt wird und der Benutzer gar nicht die Chance bekommt das Passwort zu ändern. Was kann getan werden?

Du meinst wie viele Benutzer? An dem Standort zur Zeit ~15-20 Benutzer bei 10-15 Ordnern. Ist jetzt nicht viel. Hängt damit zusammen, dass wir an einer übergeordneten Organisation angegliedert sind und daher das meiste über eine Citrix-Farm (die ich nicht betreue) läuft. Nur sehr wenig wird noch lokal gemacht. Man weiß aber nie was die Zukunft bringt und deswegen will ich es jetzt gleich richtig aufziehen bzw. umgestalten. Kann ja sein, dass wir uns irgendwann von der übergeordneten Organisation lösen und dann alles selber machen. Dann sind das auf einen Schlag 150 Leute bei was weis ich viel vielen Ordnern und Berechtigungsstufen (schreiben, nur lesen). Daher auch meine anderen Threads. Einen kleinen Teil (der auf unserem RDS arbeitet) ist bereits losgelöst und kann nicht am Citrix-Programm der übergeordneten Organisation teilnehmen. Für meine kleine Umgebung spielt das meiste keine Rolle, aber ich wills eben richtig machen und nicht so "Hauptsache es funktioniert".

Also das Prinzip von AGDLP habe ich schon verstanden (denke / hoffe ich). Es hapert vielmehr an der Umsetzung im AD. Hier mal ein Teilscreenshot aus dem Video. Kann man das so machen oder ist das schon falsch? Er hat eine OU für die Domain Locals und eine OU für die Globals erstellt und packt die dort dann alle entsprechend rein. Wenn das falsch ist, wie sieht es richtig aus? Es geht mir hier rein um die richtige Abbildung im AD.

Danke euch. Ich habe mir direkt ein Video dazu angeguckt. Was haltet ihr davon? Zumindest die ersten 18 Minuten scheinen mir sehr plausibel. Ist das so richtig und stimmt die Struktur im Active Directory so?

Bislang war die Sache ganz einfach. Ich habe eine OU die nennt sich "Firma1" und eine "Firma2". Darin jeweils die Benutzer und die Globale- und Domäne-Lokale Gruppen. Dann die Ordner entsprechend berechtigen. Fertig. Nun aber gibt es die Situation, dass es eben nicht mehr die Ordner gibt die nur für "Firma1" und "Firma2" relevant sind sondern diverse Teilbereiche. Also muss das Rechtemanagement grundlegend überarbeitet werden. Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. In diesem Beispiel nehmen wir jetzt einfach mal folgende Ordner - Verwaltung - Alle Mitarbeiter lesenden Zugriff, ausgewählte Mitarbeiter schreibend - Buchhaltung - Nur die Leute der Buchhaltung haben lesenden Zugriff, der Rest keinen Zugriff - Personal - Nur die Leute vom Personal haben lesenden Zugriff, der Rest keinen Zugriff - Temp - Alle haben lesenden und schreibenden Zugriff Die Leute sollen aber jeweils in der OU ihrer Firma bleiben, sofern das überhaupt möglich ist, da jeder Firma gewisse Gruppenrichtlinien zugewiesen sind Ich habe irgendwie absolut keine Idee, wie das Active Directory nun auszusehen hat, damit das vernünftig verwaltet werden kann.

Naja, das mit dem Brain.exe finde ich nicht sehr hilfreich als Antwort. Man hat es mit diversen Nutzergruppen zu tun. Die einen können eher mit Technik, bei anderen muss man froh sein, wenn sie den PC einschalten können. Man muss seine Systeme entsprechend schützen. Von daher wäre mir an sinnvollen Antworten und den Vorgehensweisen der hier aktiven Admins schon gelegen. Wenn dann mal das System verseucht ist hilft es wenig die Schuld den Anwendern zuzuschieben. Als Administrator bin schlussendlich ich für die Sicherheit der Systeme zuständig und muss im Zweifel Rechenschaft ablegen.

Also das Video ist echt super gemacht und er erklärt auch was zu tun ist, wenn etwas nicht sofort klappt. Ich denke nicht, dass es unnötig gestreckt wurde. Ich bin da ohne Fallstricke durchgekommen. Ich nutze gerne Videotutorials, da ich nur ungerne viel lese. Hängt aber vielleicht auch mit meiner Sehbehinderung zusammen. Bin auch großer Fan von LinkedIn Learning, früher Video2Brain, dass ich regelmäßig mal abonniere.

Mithilfe des Videos habe ich das "Upgrade" problemlos hinbekommen und es funktioniert scheinbar alles bestens. Zumindest was ich aus der Ferne alles testen konnte. Näheres erfahre ich wohl ab Montag. Den Printserver habe ich auf eine eigene VM ausgelagert. Den Fileserver aber nicht.

Ich habe im Netzwerk folgende Server: Windows Server 2019 als DC und Fileserver Windows Server 2016 als RDS Windows Server 2019 als Printserver Windows Server 2019 als "Datenbankserver" (Es kommt SQL Express im Rahmen von SFirm 4 drauf) Auf welchen Servern ist ein AV-Programm notwendig? Ist heutzutage überhaupt noch ein AV-Programm notwendig oder reicht der Defender? Welches AV-Programm würdet ihr empfehlen? Auf dem alten DC nutzten wir Eset File Server Security.

Ja, ich bin mir in gewissen Dingen unsicher, deswegen frage ich hier um Rat. Natürlich könnte ich das Ganze auch an eine IT-Fachfirma geben, aber dagegen spricht, dass ich eigentlich der Admin im Haus bin. Außerdem wäre der Lerneffekt gleich Null, wenn ich das jemand anderen machen lasse. Ich bin in der glücklichen Lage mich ausprobieren zu können und das will ich auch entsprechend nutzen.

Nochmal zurück zu meinen letzten Fragen. Die sind glaub etwas untergegangen. Könnt ihr Bitte darauf nochmal eingehen? Wozu LTSC? Was spricht gegen die "normalen" Versionen, bzw. welche Probleme sind zu erwarten? Was haltet ihr diesem Video von Haiko Hertes? Lohnt ein eigener Printserver wegen nur zwei physikalischen Druckern?

Nur den Profilordner zu löschen reicht seit Windows 7 (vielleicht auch schon seit Vista) nicht mehr. Du musst dann manuell in der Registry noch den entsprechenden Benutzereintrag entfernen. Möglich das Windows darüber stolpert. Den Benutzer findest du im Schlüssel Oder halt den Benutzer gleich über die Systemsteuerung entfernen.

Doch

Zum Thema Upgrade habe ich dieses Video von Haiko Hertes gefunden. Was meint ihr? Das Thema FRS auf DFS kann ich wohl überspringen, weil ja der DC bereits auf Server 2012 R2 basiert und der Befehl "dfsrmig /getglobalstate" bereits "Aktueller globaler DFSR-Status: "Entfernt"" ausgibt. Des Weiteren überlege ich, ob ich bei der Gelegenheit den Printserver auf eine eigene VM auslagere wie ihr es mir ja immer wieder empfehlt, aber mal ganz ehrlich: Wegen 2 physikalischen Druckern? Andererseits beziehen wir als gemeinnützige Einrichtung unsere Lizenzen bei Stifter-Helfen. Auf eine VM mehr oder weniger kommt es da nicht an. Trotzdem möchte ich auch nicht überdrehen. Ist es ein Problem die jetzige Build (im VLSC gibt es eine vom September 2020) zu verwenden und dann regelmäßig das Feature-Upgrade zu machen?

Ich habe an den Standorten unterschiedliche IP-Adressbereiche. Was bei gleichen Rechner-/Servernamen passiert ist klar, aber ob der Domänename gleich sein muss, damit es ggf. mal verbunden werden kann ist die Frage.

Danke schonmal für die Antwort. Wir haben ja 13 Dienststellen, die komplett unabhängig voneinander agieren. Zwei davon sind etwas größer und haben jeweils DC-Server, sind aber nicht miteinander verbunden. Man weis aber nie was in Zukunft einmal sein wird. Macht es daher Sinn vorausschauend Domänen wie ad1.firma.de, ad2.firma.de zu nehmen oder reicht schlichtweg ad.firma.de, das ich immer verwende?

Ich bin gerade am überlegen, ob, bzw. wie ich eine neue Domäne aufbauen soll. Bislang habe ich immer firma.local genommen. Das soll ja heute nicht mehr ganz so üblich sein. Empfohlen wird ja sowas wie ad.firma.de. Meine Fragen hierzu sind: 1) Macht es sicherheitstechnisch irgend einen Unterschied? Ist das Netzwerk angreifbarer, wenn man ad.firma.de nimmt? 2) Muss ich bei unserem Webhoster eine Subdomain ad.firma.de anlegen oder ist das komplett unabhängig? Wie wäre mit der Subdomain zu verfahren? 3) Welche konkreten Vorteile habe ich, wenn ich anstatt firma.local zukünftig ad.firma.de nehme? Welche Nachteile ergeben sich daraus? 4) Was gibt es allgemein zu beachten? Wir verwenden keinen Exchange-Server. Die Remote Desktop Services sind nur via VPN erreichbar. Das soll auch so bleiben. Ich bitte um einfache Antworten, die ich als kleiner Admin auch verstehe.

Also Grund ist, dass ich ja mit dem Gedanken spiele eine ad.firma.de-Domäne zu nehmen, anstatt der vorhandenen *.local und selbst wenn ich die *.local behalten wollte, würde ich gerne einen peinlichen Fehler korrigieren. Bei der Einrichtung damals habe ich nämlich firma.locale geschrieben, anstatt firma.local. Technisch gesehen ist das natürlich egal, aber das Ego ist etwas angegriffen ;)

Wäre es eigentlich möglich einen komplett neuen DC mit neuer Domäne aufzusetzen, aber Benutzer- und Computerobjekte zu übernehmen?

Also die IP des DC im Nachhinein zu ändern soll wohl (auch im späteren Verlauf des Betriebs) zu Problemen führen, wenn man auch nur eine Stellschraube nicht richtig dreht oder im System irgendwo die alte IP noch quer sitzt.

Also die beiden Server sind natürlich virtualisiert. (ESXi 6.7U2) Den Druckserver auf eine extra VM zu packen halte ich wegen 2 physischen Druckern für übertrieben. Der Server ist in keiner Weise ausgelastet und wir reden hier über 22 Benutzer und 9 Rechner. Beim Upgrade der Domäne würde ich gerne die IP des DC beibehalten. Ist das irgendwie möglich? Ich bin auch am überlegen, ob ich die Domäne komplett neu aufsetze. Bislang habe ich eine blub.local-Domäne. Die neue wäre dann ad.blub.de Ich bin mir aber die Unterschiede und Konsequenzen noch nicht im Klaren. Franky hat dazu was geschrieben, ist aber eher nur angerissen das Thema. @Nils: Danke für deine Ausführungen. Gibt es dazu irgendwo eine vernünftige, möglichst deutschsprachige, Anleitung?