NilsK

Moin,
 
das ist ja das, was ich bislang erfolglos aus dem TO rauszukriegen versuche. Ob er sowas machen möchte, hat er bislang ja noch nicht gesagt. In dem Fall wäre es aber eher üblich, mit dem selbstsignierten Zertifikat zu arbeiten, als eine CA einzuspannen.
 
Gruß, Nils
 

Moin,
 
Security?
 
Gruß, Nils
PS. ist auch nur meine Vermutung seit 25 Jahren, ich habe da nie nachgeforscht.

Moin, 
 
Kaum vorstellbar. Woraus entnimmst du denn das? 
 
Die CAL ist in dem Szenario ja Teil der E-Lizenz, die deiner Firma gehört und zum Zugriff auf deren M365-Ressourcen berechtigt. Die CAL gibt den Zugriff auf lokale Server hinzu, und das können ja nur die derselben Firma sein. 
 
So würde ich es mir zusammenreimen, aber ohne Recherche. I may be wrong now - but I don't think so. (Monk, Titelmusik von Randy Newman)
 
Gruß, Nils

Moin, 
 
Ja, die Anforderung als solche ist nachvollziehbar und auch nicht exotisch. Die Umsetzung ist aber, wie wir ja schon andeuteten, falsch. 
 
Das sollte man korrigieren. Wird auch nicht wild sein, aber man sollte es jetzt schon koordiniert tun. 
 
Gruß, Nils

Moin,
 
Ein DC ist ein DC und kein Witness. Er hält also auch kein Share. Punkt. Die Abhängigkeit mag gering und leicht aufzulösen sein, aber sie ist ja vorhanden. Schöne Grüße an den Dienstleister, aber auch so ein Share läuft auf einem DC nicht mal eben mit.
 
Welcher eurer DCs jetzt wie lange aus ist, ist der Teil, den ich hier eben nicht einschätzen oder prüfen kann. Vielleicht muss man die Maschinen auch nicht neu machen, wenn weniger Zeit verstrichen ist. Das musst ihr dann selbst prüfen und entscheiden. 
 
Ist von der prinzipiellen Seite noch was unklar? 
 
Gruß, Nils

Moin,
 
zum O365-Angebot ohne Teams hat die EU Microsoft gezwungen, damit es ein Office-Angebot gibt, das Teams-Konkurrenten nicht von vornherein ausschließt. Bei den Business-Plänen kann man direkt zwischen "mit" und "ohne" auswählen, bei den E-Plänen kann man Teams dazubuchen. Scroll auf der E5-Seite mal runter, dann siehst du das.
 
Gruß, Nils
 

Moin,
 
die Datei kannst du löschen, das hätte eigentlich von selbst geschehen sollen. Die Datei wird, wenn überhaupt, nur temporär beim Start der VM benötigt, danach nicht mehr.
 
Das Smart Paging wird nur dann verwendet, wenn das Start-RAM größer ist als das Minimal-RAM und wenn beim Start der VM nicht genügend physischer RAM für das Start-RAM vorhanden ist. Sowas sollte eigentlich nicht auftreten, weil die Anforderung eher exotisch ist. Die Situationen, in denen Smart Paging genutzt wird, deuten eher auf schlechte Konfiguration und schlechtes Sizing hin.
 
Wenn es also keinen Grund gibt, das Start-RAM größer zu setzen als das Minimal-RAM, dann mach beide gleich groß, dann wird es kein Smart Paging mehr geben und auch keine SLP-Datei, Und vermeide Überbuchung des RAM.
 
Gruß, Nils
 

Moin,
 
Ohne Domäne gibt es nur lokale Konten. Du musst also jeden User, der zugreifen soll, auf dem Rechner anlegen, wo die Daten liegen. Diesen lokalen Konten gibst du dann die Berechtigungen. Wer zugreifen will, muss sich beim Zugriff mit einem dieser Konten anmelden.
 
Falls auf dem zugreifenden Rechner ein User mit gleichem Namen und Kennwort angemeldet ist, muss dieser sich nicht ausdrücklich anmelden. Seine Anmeldung wird in den Fall übernommen. Vielleicht ist das der Effekt, den du siehst.
 
Auch in so einem Konstrukt sollte man die Berechtigungen über NTFS vergeben, nicht über die Freigabe.
 
Gruß, Nils

Moin,
 
keine Lösung, aber die Bestätigung, dass ich das seit vielen Jahren so kenne. Die Angabe auf der Registerkarte "Nachverfolgung" ist meiner Erfahrung nach bestenfalls näherungsweise zu gebrauchen, aber nicht zuverlässig.
 
Gruß, Nils
 

Moin,
 
und zum Weiterlesen:
 
[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/
(da steht genau dein Thema drin)
 
[Benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/
 
Gruß, Nils
 

Moin,
 
die Frage ist, was du damit erreichen willst. Technisch betrachtet, kannst du das tun. Eine pauschale Empfehlung dafür kann man aber nicht aussprechen, weil so eine Aufteilung wohl nur in sehr speziellen Szenarien Vorteile brächte.
 
Am Ende sind CSVs normale LUNs aus dem Storage. Anders als diese können aber mehrere Server gleichzeitig darauf zugreifen, eben die Cluster-Nodes. Es muss dabei sicher gestellt sein, dass diese nicht dieselben Daten verwenden. Rein technisch könnte man also durchaus die Dateien so aufteilen, wie du es angibst, denn es greift ja jede Instanz nur auf ihre Dateien zu.
 
Bleibt aber die Frage, warum man das tun sollte. Interessant könnte das evtl. sein, wenn etwa das Log-CSV viel schneller im Zugriff wäre als das DB-CSV. Das dürfte allerdings bei den meisten Storage-Systemen gar nicht der Fall sein. Außerdem geht es dann evtl. nach hinten los, wenn mehrere Datenbanken ihre Logs auf demselben CSV haben und damit dann um die Zugriffe konkurrieren. 
 
Zudem ist das CSV die Failover-Einheit, aber da das eher die Verwaltung betrifft als die laufenden Zugriffe, ist das eher weniger relevant.
 
Es ist eine Frage, die im Gesamtdesign des Systems zu beantworten ist, aber keinesfalls pauschal.
 
Gruß, Nils
 

Moin,
 
um mal Daumen in den Ring zu werfen: Bei solchen Projekten reden wir schnell von Laufzeiten von vielen Monaten und von externen Kosten im deutlich fünfstelligen oder sechsstelligen Bereich - bei mittelständischen Unternehmen. Kann man alles machen, aber wenn kein technischer Vorteil entsteht, darf man als Dienstleister schon so deutlich die Sinnfrage stellen, wie es Norbert hier tut.
 
Gruß, Nils
 

Moin,
 
also geht es um RDP-Sessions auf einem bestimmten Server, die nach einer gewissen Zeit beendet werden sollen?
 
Dann dürfte dies hier passen:
https://gpsearch.azurewebsites.net/#8098
 
Oder geht es um etwas anderes? 
 
Gruß, Nils
 

Moin,
 
nur eine Vermutung, aber es könnte sein, dass die Umlaut-Maskierung zuschlägt, die das AD für den sAMAccountName hat. Das hatten wir gerade in einem anderen Thread: das AD unterscheidet intern nicht zwischen einem User "Müller" und einem User "Muller".
 
Ich würde einfach zwei Umbenennungen machen: von einß in einz, von einz in einss. Geht das?
 
Gruß, Nils
 

Moin,
 
um das mit dem Backup einfach mal explizit zu machen: Ihr sichert falsch. Ein geeignetes Sicherungsprogramm kann mit so einer Situation umgehen, wenn es einen Service-Account verwendet, der über das "Backup"-Privileg auf dem jeweiligen Rechner verfügt. Dieses Privileg ist genau dafür da und sorgt dafür, dass der Account sich über (fehlende) Berechtigungen hinwegsetzen kann. Recht einfach lässt sich dieses Privileg zuweisen, indem man den Service-Account in die lokale Gruppe "Sicherungsoperatoren" aufnimmt - wohlgemerkt, lokal auf dem Dateiserver, nicht die Gruppe im AD.
 
Und zur Folder Redirection: Ja, kann gehen, hat aber seine Caveats, wie man heute so schön sagt:
 
[Ordnerumleitung – Denial of Service in Wartestellung | faq-o-matic.net]
https://www.faq-o-matic.net/2011/11/14/ordnerumleitung-denial-of-service-in-wartestellung/
 
Gruß, Nils
 

Moin,
 
es geht um das Serverprodukt, das von der NTP-Organisation gepflegt wird. Das Problem besteht also nur, wenn man selbst dieses Serverprodukt einsetzt. Die Nutzung der Dienste von pool.ntp.org stellt kein Sicherheitsproblem für die Nutzer dar - außer dass evtl. eine manipulierte Zeit zurückkommt, falls diese Dienste tatsächlich mit der nicht gepatchten Version laufen sollten.
 
Wenn du also diese Software nicht selbst einsetzt, besteht kein Handlungsbedarf.
 
Gruß, Nils
PS. die heise-Meldung ist ziemlich schlecht geschrieben.

Moin,
 
Die kurze Antwort ist: das wirst du mit einem Allzweck-System wie Windows nicht hinbekommen. Selbst näherungsweise wird das nichts, wenn du Flexibilität zulassen willst wie "mal eben eine Verknüpfung anlegen".
 
Die längere Antwort würde umfassen, dass ihr vor allem eure wichtigen Daten und Systeme mit Berechtigungen schützt. Dann ist es egal, welche Werkzeuge jemand hat und man muss auch keine Verrenkungen wegen Cmdlets anstellen. Den Desktop einzuschränken, ist immer nur ein Versteckspiel. Gerade wenn jemand fit ist, wird er Mittel und Wege finden.
 
Unterschätze auch nicht die Wirkung rechtlicher Vereinbarungen, betrieblicher Regeln usw. Wenn es wirklich ein Praktikant ist, wird er sich daran halten. Wenn es ein Verbrecher ist, werden ihn simple Desktop-Sperren auch nicht aufhalten.
 
Und um es noch mal zu betonen: eine Einschränkung per GPO lässt sich nicht mit "höheren Rechten" umgehen. Man muss sie explizit aufheben. 
 
Gruß, Nils

Moin,
 
wenn ihr einen passenden Supportlevel bei Microsoft habt, kannst du dich dorthin wenden. Ich denke, das dürfte bei diesem speziellen Anliegen der einzig realistische Weg sein.
 
Gruß, Nils
 

Moin,
 
an sowas denke ich dabei auch. @druckerheini, versuch mal
dir /X  
Hilft das Ergebnis, die Sache aufzuklären?
 
Gruß, Nils
 

Moin,
 
in den meisten Fällen ist es kontraproduktiv. Eine zusätzliche Instanz erzeugt zusätzlichen administrativen Aufwand und erschwert dem System die Ressourcenverwaltung. Solange es also keinen technisch triftigen Grund gibt (und den gibt es nach meiner Erfahrung fast nie), sollte man nicht mit mehreren Instanzen auf demselben System arbeiten.
 
Das ist ein Feature, das für Spezialfälle gedacht ist und sehr häufig missverstanden wird.
 
Gruß, Nils
 

Moin,
 
du findest hier die Doku des cmdlets. Sowas erhältst du schnell über Suchmaschinen.
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adobject?view=windowsserver2022-ps
 
Ich habe keine AD-Testumgebung im Zugriff, daher kann ich es nicht ausprobieren, aber vom Prinzip her:
Get-ADObject -Filter {(objectClass -eq "contact")} -Searchbase "OU=Consulting,OU=Kontakte,DC=cvn,DC=local" -Properties name,telephoneNumber  
Gruß, Nils
 

Moin,
 
bestimmt wolltest du uns den Link zu der Quelle noch nennen, aus der das Zitat stammt?
 
Und sonst würde ich jetzt mal vermuten, dass der Schalter -SendOofMessageToOriginatorEnabled im PowerShell-Kommando Set-DistributionGroup dafür zuständig ist.
https://learn.microsoft.com/en-us/powershell/module/exchange/set-distributiongroup?view=exchange-ps
 
Gruß, Nils
 

Moin,
 
zwei Ideen:
der Papierkorb ist schon aktiv das Konto, mit dem du angemeldet bist, hat keine Org-Admin-Rechte Gruß, Nils
 

Moin,
 
ich stimme Dukel zu. "Cloud" ist nicht gleichbedeutend mit "meine VMs nach Azure umziehen". Wenn man das tut, kostet es einfach nur unnötig viel mehr und man hat nahezu nichts gewonnen.
 
Allgemein sind "VMs in der Cloud" eher eine Übergangs- oder Notlösung. Der Witz bei der Cloud fängt da an, wo man Dienste, also Applikationen und Funktionen, durch eine Cloud-Variante ersetzt. Erst dann ergeben sich Skaleneffekte, die der Provider kostenmäßig an dich weitergibt. Deine plakative Aussage 
geht da durchaus in die richtige Richtung. Wer Cloud nutzt, will das ganze Zeug ja gar nicht mehr selbst betreiben.
 
Gruß, Nils
 

Moin,
 
aber wäre es in so einem Szenario nicht ohnehin besser, die VM herunterzufahren und dann zu exportieren? (Oder einfach zu kopieren ...)
 
Gruß, Nils