NilsK

Moin, besonders nach einer ADMT-Migration kann es zu Anmelde- und Zugriffsproblemen kommen, wenn die migrierten Objekte schon vor der Migration in vielen Gruppen Mitglied waren. Die ADMT-Migration beruht üblicherweise auf der SID History, d.h. die alten SIDs werden mit den Objekten migriert, und zusätzlich erhalten sie in der neuen Domäne neue SIDs. Überträgt man Gruppen mit, so erhalten diese natürlich auch neue SIDs, sodass für jede Gruppenmitgliedschaft nicht mehr eine, sondern zwei SIDs im Access Token eines Users stehen, der sich anmeldet. Das führt dann schnell zum "Token Bloat", d.h. das Token ist zu groß und enthält nicht mehr alle Gruppenmitgliedschaften. Schon im Normalfall kann ein Objekt nur in ca. 1015 Gruppen gleichzeitig Mitglied sein. Durch das Dual-SID-Prinzip verringert sich das je nach Zusammensetzung der Gruppenstruktur auf etwa 500 Gruppen. Abhilfe: Bereinigung der Gruppen. Dafür ist es notwendig, in den Berechtigungslisten der Ressourcen die Berechtigungen, die auf die "alten" Gruppen lauten, durch solche für die (identischen) "neuen" Gruppen zu ersetzen. Das kann aufwändig sein. Je nachdem, wie die Migration insgesamt abgelaufen ist, gibt es aber vielleicht bereits "Dual-ACL" in den Listen - ADMT umfasst für die Migration etwa von Dateiservern die Option, die ACLs in den Berechtigungslisten um Einträge für die migrierten Gruppen zu ergänzen (es stehen also sowohl die alte als auch die neue Gruppe drin). In so einem Fall braucht man SID History dann eigentlich nicht für den Zugriff. Nach dem Anpassen der ACLs kann man dann die SID History von den Gruppen (und ggf. auch den Usern) entfernen, dafür gibt es Beispielskripte bei Microsoft. Eine weitergehende (und bessere) Option ist, die Gruppen- und Berechftigungsstruktur neu aufzubauen und die Altobjekte und Alteinträge zu entfernen, aber das erzeugt üblicherweise Aufwand, der eher in Wochen zu rechnen ist. Gruß, Nils

Moin, das DSCT hat ein Tombstone Recovery integriert. Mit Snapshots bzw. der darauf aufsetzenden Read-only-Kopie des AD hat das an der Stelle nichts zu tun, die kommen erst später ins Spiel. Lies mal diesen Artikel, dort vor allem den Abschnitt ganz unten ab "AD DS Daten aus einer Datensicherung wiederherstellen". Dort siehst du, wie du das Ganze ohne Snapshots auf Basis einer regulären Datensicherung hinbekommst. faq-o-matic.net » Windows Server 2008: Snapshots des Active Directory Und tu dir einen Gefallen und lies dir mein Tutorial durch, das ich oben verlinkt habe. Gruß, Nils

Moin, die Snapshots haben mit gelöschten Benutzern nichts zu tun! Um das zu erreichen, brauchst du ein Tombstone Recovery oder den Papierkorb, aber keine Snapshots. Snapshots sind interessant, um Attributwerte zurückzusetzen. Für diesen Zweck reichen aber auch Kopien der AD-Datenbank, z.B. aus einem regulären Backup. Snapshots automatisch zu erzeugen, ist dafür nicht nötig. Siehe auch: faq-o-matic.net » Video-Tutorial: Active Directory Object Recovery Gruß, Nils

Moin, hurgs! Wer macht denn sowas - und wieso? Berechtigungen auf den Shares so setzen, dass man keine separaten Anmeldedaten braucht. Alles andere ist Murks. Gruß, Nils

Moin, was genau willst du denn damit erreichen? Gruß, Nils

Moin, "alles redundant" ist keine Anforderungsdefinition, für die man sinnvolle Vorschläge entwickeln könnte. Gruß, Nils

Moin, das ginge nur über einen Trigger. Gruß, Nils

Moin, durch das Ändern der Kennwortrichtlinie beeinflusst du die bestehenden Kennwörter nicht. Nur wenn ein Account ein neues Kennwort bekommt (selbst setzt oder gesetzt bekommt), werden die Regeln geprüft. Du brauchst also keine Vorkehrungen zu treffen. Gruß, Nils

Moin, eine effiziente Möglichkeit dazu gibt es nicht. Da Daten immer in den Tabellen geändert werden (Views sind ja nur Ansichten der Daten!), kannst du auch nur dort sinnvoll auf Veränderungen prüfen. Auf View-Ebene könntest du höchstens Auswertungen machen, z.B. die Zahl der Datensätze prüfen. Ebenso könntest du einen Zustand der Daten in eine temporäre Tabelle schreiben und die View dann damit vergleichen und auf Unterschiede prüfen. Das wäre aber jenseits jeder Effizienz. Zudem kann es durchaus sein, dass die View so definiert ist, dass du bestimmte Änderungen dort gar nicht siehst. Gruß, Nils

Moin, meines Wissens ist es nicht supported, wenn die DCs in einer anderen OU sind. Also zurückschieben und dann den betreffenden DC neu starten. Gruß, Nils

Moin, keine gute Idee. faq-o-matic.net » Windows Server 2008 und IPv6: Deaktivieren führt oft zu Fehlern Gruß, Nils

Mo-oin, hier ist die Beta 2: .: www.kaczenski.de :. » José 3.2 Beta 2 Neu hier: Im GUI kann man jetzt weitere Felder hinzufügen (mit dem LDAP- bzw. ADSI-Feldnamen), die dann im Report bzw. in der Definitionsdatei auftauchen (sofern vorhanden) José kann nun auch mit der neuen Exchange-SMTP-Weiterleitung “msExchGenericForwardingAddress” ab Exchange 2010 SP1 umgehen. Dabei erkennt José auch, wenn “Weiterleiten als Kopie” aktiviert ist (hierbei nutzt Exchange nämlich dieselbe Technik wie bei der herkömmlichen Weiterleitung, es ist das Boolean-Feld “deliverAndRedirect”) Gruß, Nils

Moin, du hast eine falsche Vorstellung von "Hardware durchschleifen". Gruß, Nils

Moin, wenn die Umgebung wirklich so groß ist, wie du angibst, empfehle ich zwei Dinge: 1. Arbeitet mit jemandem zusammen, der sich mit den Best Practices für große AD-Umgebungen auskennt 2. Setzt ein Provisioning-Tool ein, das euch bei der Delegation von Rechten in AD und im Dateisystem Probleme und Fehler erspart Zu 2. ist meine Empfehlung der Operations Manager von Unicat, es gibt aber auch einen Haufen anderer Werkzeuge dieser Art. Mit Bordmitteln sind das Delegieren von Aufgaben und eine verteilte Rechteverwaltung nicht sinnvoll machbar, sobald die Umgebung etwas größer ist. Gruß, Nils

Moin, und Zeit hast du 180 Tage, nicht zwei. Gruß, Nils

Moin, gegen AG*D*LP ist in einer Domäne auch nichts zu sagen, geht auch mit Clustern problemlos. Problematisch wäre hingegen AG*L*P. faq-o-matic.net » Windows-Gruppen richtig nutzen Sollten es tatsächlich lokale Gruppen sein: Dann hilft nur Nachbilden oder ein Drittanbietertool ansetzen. SecureCopy von ScriptLogic ist da, soweit ich mich erinnere, ein Kandidat. Gruß, Nils

Moin, Nachtrag: In Windows Server 2012 wird das unter bestimmten Umständen möglich sein, was du möchtest. Windows Server 2012 – CDN (Consistent Device Naming) | Thomas Maurer Gruß, Nils

Moin, nein, gibt es nicht. Das ist zwar unübersichtlich und ärgerlich, hat aber seine Logik: Den geänderten Namen gibst du nämlich dem logischen Objekt in der Parent Partition. Die virtuellen Netzwerke (besser: virtuellen Switches - ab 2012 heißt das auch so) basieren aber auf den physischen Karten eine Ebene darunter. Daher wäre der Parent-Name hier streng genommen gar nicht richtig. Das Grundproblem ist, dass Microsoft bislang keine vernünftige Übersicht für die verschiedenen Ebenen ermöglicht und spätestens in der Parent-Ansicht alles durcheinander geht. faq-o-matic.net » Hyper-V und Netzwerke Gruß, Nils

Moin, ich habe eine neue Fassung als Beta online gestellt: .: www.kaczenski.de :. » AD-Dokumentation: José 3.2 Beta 1 Bitte testen und rückmelden. Interessant ist alles, was euch auffällt. Da es nur kleine Änderungen sind, wird die Betaphase nur wenige Tage dauern. AD-Schema und -Modus für Windows Server 8 DP/Beta Exchange-Schemaversion 2010 SP2 Unterscheidung bei Exchange-Mailweiterleitung (Weiterleitung/als Kopie) neues Logo Update-Prüfung entfernt (ging sowieso nicht) Danke und viel Spaß, Nils

Moin, da ein Computerstartskript unabhängig von der Benutzersession läuft, gehe ich davon aus, dass man es nicht sichtbar machen kann. Bleibt also nur intensives Logging. Ich lasse mich aber gern eines Besseren belehren, falls es doch geht. ;) Gruß, Nils

Moin, gemeint ist: "PST Dateien sind auf Shares NICHT supportet." Gruß, Nils

Moin, na, dann ist ja gut. Danke für die Rückmeldung. Gruß, Nils

Moin, es handelt sich um LAN, nicht um WLAN oder Ähnliches? Die IP-Konfiguration ist so, dass der Router erreicht werden kann? Du hast das virtuelle Netzwerk als "extern" eingerichtet? Im Host laufen die aktuellsten Netzwerktreiber? Der Router betreibt kein MAC-Filtering oder Ähnliches? Gruß, Nils

Moin, du richtest in Hyper-V ein virtuelles Netzwerk vom Typ "extern" ein, das mit der (einzigen?) Netzwerkkarte des Hosts verbunden ist. Das Häkchen "Gemeinsame Verwendung ... zulassen" muss aktiviert sein. Nun siehst du "im Host" zwei Netzwerkverbindungen. Die ohne IP-Konfiguration lässt du in Ruhe. Die mit IP-Konfiguration richtest du so ein, dass die Parent Partition (= "der Host") ins Internet kommt. Nun verbindest du deine VM bzw. deine VMs mit dem oben eingerichteten virtuellen Netzwerk (in den Einstellungen der VM) und richtest innerhalb der VMs die IP-Konfiguration so ein, dass die VMs ins Internet kommen. Ich hoffe, dass das nur ein Test- oder Spielsystem ist. Falls nicht, lass dir jemanden kommen, der was vom Hyper-V-Design versteht und plane auf jeden Fall weitere Netzwerkkarten ein. Und lies bei Gelegenheit den Artikel und andere Hintergründe ... mit "will ich nicht lesen" kommt man in der IT nicht sehr weit. Gruß, Nils

Moin, trotzdem ist der Verweis auf den Händler bzw. den Distri korrekt. Gerade wenn es um ein Projekt geht ... Gruß, Nils