daabm

Das Typisieren hat Vor- und Nachteile. Einer der größten Vorteile - für mich und wenn möglich - ist das Typisieren von Input-Parametern. Wenn Du da passende Enums findest, gibt es Intellisense vom feinsten Leider muss aber ggf. das passende Asssembly vorher geladen sein. Alles nicht so einfach 😂 Und bei den Outputs, ja ein wenig Intellisense gibt es da dann auch dazu. Die Typ-Namen kannst Du - wenn erforderlich - durch using-Direktiven verkürzen, aber das verbessert die Lesbarkeit nur teilweise, weil man jetzt halt wissen muss, zu welchem Namespace der Typ gehört.

Das stand da bestimmt nicht - oder wirklich? Fehlermeldungen helfen nur im Wortlaut, nicht aus der Erinnerung. Und die Fehlerdetails helfen dann auch gerne.

War auch mein Gedanke - "zaubern" hat wohl unterschiedliche Bedeutungen Kriegst Du Provision dafür und für den folgenden Abschnitt?

# for hex 0xc00002e2 / decimal -1073741086 : STATUS_DS_INIT_FAILURE ntstatus.h # Directory Services could not start because of the following # error: # %hs # Error Status: 0x%x. # Please click OK to shutdown this system and reboot into # Directory Services Restore Mode, check the event log for # more detailed information. Und da Du ja in den DSRM booten kannst - hast Du denn da dann mal ins Eventlog geschaut?

Genaugenommen (aber @cj_berlin weiß das natürlich auch) braucht niemand LDAPS, der einen SASL-Bind hinbekommt. Die meisten sind nur zu faul, das zu implementieren

Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose.

Auf den Synos läuft ja i.d.R. noch jede Menge App-Kram, vielleicht ist was davon dafür verantwortlich. Aber so tief steck ich in den Dingern nicht drin

Weil sie Apple nacheifern? "Restricted environment - bonded to manufacturer"... SCNR

Wie @Gu4rdi4n schon passend festgestellt hat: Eine vorgebliche Preissenkung impliziert kein günstiges Angebot

Rollen transferieren/seizen macht man entweder per Powershell (siehe oben) oder per NTDSUTIL. Nicht per dsa.msc

Ja, was soll es auch sonst machen? Kein SPN -> kein Kerberos-Ticket Wir haben da übrigens ziemlich raffinierte Konstrukte, um recht dynamisch Domain Realms zu konfigurieren. Wenn Disjoint Namespaces bei Euch ein Thema sind (DNS-Zone != AD-FQDN), kannst gern auf mich zukommen. Natürlich auch ebenso gerne hier im Forum, dann haben alle was davon.

DS - "Disk Station"? Dann wäre es ein Synology... Und LLMNR kann man - wenn man eine brauchbare DNS-Infrastruktur hat - problemlos deaktivieren, vermeidet dann auch ganz viel unnötigen Traffic im Netz.

Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen

Das Umbenennen ist kompletter Quatsch. Es gibt eine LDAP-Funktion "SID Lookup"... Deaktivieren und Shadow Principals nutzen, dann sind die "wertvollen" Gruppen nämlich leer bis auf Break-Glass-Accounts.

LOL... Get-ADUser "$(( get-addomain -Current LocalComputer ).DomainSID.Value )-500"

Sysinternals Process Explorer sollte Dir sagen können, wer da die Finger drauf hat. Oder auch Process Monitor. Mehr kann ich nicht dazu beitragen, wenig Ahnung von VSS...

Wieso, die haben doch 2 SFP+ Ports - um die zu verbinden, wird das Kabel schon lang genug sein...

Lass das mit "per GPP kopieren", das ist #grütze... Warum? Entweder kopiert man immer (obwohl sich nichts geändert hat - und nein, "Update" tut hier nicht, was man denken würde...) oder nie, wenn einmal erfolgreich kopiert wurde (auch wenn sich die Quelle geändert hat). "Nur wenn neuer" geht nicht. Zudem ist GPP synchron und blocking bei der GPO-Verarbeitung. Ist die Quelle ein nicht erreichbarer UNC-Pfad, geht das Gejammer los, dass die Startzeiten so lang wären...

Ich verwende noch nicht mal setspn - das ist nämlich grenzenlos unfähig, wenn es über Forestgrenzen hinweg geht. Du kannst den Inhalt von servicePrincipalName auch "einfach so" direkt schreiben, und das geht dann immer und gegen jedes System, gegen das Du Dich authentifizieren kannst: Set-ADxyz <AccountName> -add @{ servicePrincipalName = 'HTTP/Tresor.Raffgier.com' } -Server 'Bank.Raffgier.com' ADxyz kann dabei ADServiceAccount, ADComputer, ADUser, ADObject sein. Aber wir schweifen ab

Ich vergesse immer, daß es dieses "Glomp" ja auch noch gibt... Haben wir in einer domain wide GPO deaktiviert über GPP Registry.

SetSPN macht nur AD, nichts mit DNS oder gar Registry. Ist i.d.R. auch nicht erforderlich, das ist alles altes Kompatibilitätsgeraffel Um AlternateComputerNames in der Registry zu setzen, wirst Du wohl Adminrechte brauchen. Aber wie gesagt, ich wüsste nicht wozu. Aber wieder was gelernt und ein Grund mehr, einen Bogen um netdom.exe zu machen. Ich hasse so "kombinierte" Tools, die an 4 Stellen gleichzeitig rumschrauben...

Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht.

Hisense irgendwas... Egal bei 280,-. Wenn ich demnächst unzufrieden damit wäre, wird er im Bekanntenkreis als echter Fernseher weitergegeben.

Wieso "wie viele Bildschirme betreiben"? Das ist genau 1 (ein) Fernseher = 1 (ein) Bildschirm... Lüfter sind egal, das ist kein Denk-Arbeitsplatz, sondern eine Unterhaltungs- und Bastelecke, da ist immer Grundlärm @NilsK Welches Problem hat Windows denn Deiner Meinung nach? Hier hängt am Hauptfernseher (auch 4k) schon seit Jahren ein PC, der hat überhaupt kein Problem. Und die Surface-Reihe von MS hat ja auch "etwas mehr" als Full-HD

netdom verwendet AFAIK den WinNT-Provider (wußte bisher auch nicht, daß das SPNs setzen kann?!?), SetSPN verwendet ADSI. So gesehen stimmt "netdom ist die alte Variante". Sollte aber nur eine Rolle spielen, wenn irgendwas mit dem Builtin-Container in AD gemacht wurde. Frau kann auch einfach direkt das Attribut servicePrincipalName bearbeiten mit LDAP-Mitteln ihrer Wahl (System.DirectoryServices, Powershell Set-ADObject/Set-ADComputer, dsmod.exe, csvde.exe, ldifde.exe usw... )