cj_berlin

Gerade eben schrieb MurdocX:

Ich muss ja zugeben, dass mich deine Umgebung schon mal bizelt.... Automatisierung, Systemnahes Troubleshooting etc. :) 

Die stellen ein, glaube ich  

6h mit 4GB für das Security Log ist doch super  

Objekt-Auditing direkt in Splunk zu blasen ist sicherlich selbst für ne Bank eine recht unerschwingliche Nummer, da muss man vorher Profile bilden und vorfiltern...

Re Ausgabe von Get-Member: vergiss es einfach

Du kannst die Werte ins . Net-Objekt schreiben, und nur das sagt Dir die Ausgabe. Du kannst sie aber nicht ins Verzeichnis schreiben 

Re Bedingungen in Skripten verändern: das Zauberwort lautet "Parametrisierung".

Wenn Du dein Test-AD auf Teufel komm raus verbiegen willst, leistet Mimikatz DCShadow (online) oder DSInternals (offline) wertvolle Dienste.

Moin,

"Set by the system" bedeutet nicht "Set by NT_AUTHORITY\SYSTEM", sondern, dass es durch das Verzeichnis selbst gesetzt wird und nicht per LDAP.

Nur aus Interesse: warum würdest Du so etwas wollen?

vor 17 Minuten schrieb testperson:

OT: Ist dieser Kurs evtl. auch als vor Ort Kurs geplant?

Ich konnte den Verlag noch nicht davon überzeugen. Das war der ursprüngliche Vorschlag. Ich plane aber noch was anderes, ausschließlich Hands-On, das wird vor Ort sein. Muss sich aber erst manifestieren.

EDIT: Also vermutlich frühestens Ende des Jahres, und dann schon unter Berücksichtigung von Server 2025.

Da gibt es auch einen dreitägigen Kurs beim IT-Administrator-Verlag, wo solche Sachen (unter vielem anderen) aufgedröselt werden  

War das noch innerhalb der Forums-Richtlinien?

vor 2 Minuten schrieb NorbertFe:

Aber auch von 2012 aus ist es im Allgemeinen "eher unkritisch". Oder an welcher STelle ist dir das mal auf die Füße gefallen.

Noch nie. Aber mit 2012 hast Du ja noch keine volle Funktion bei Protected Users und keine Authentication Policies.

vor 2 Minuten schrieb NorbertFe:

Ja, aber ich ging dabei davon aus, dass üblicherweise eine Arbeitszeit von 8h in Deutschland gilt. ;) Ansonsten hast du natürlich Recht.

Diese Arbeitszeit gilt aber nicht für Service- und Computer-Accounts  

vor 44 Minuten schrieb NorbertFe:

6. Ja kannst du mit entsprechender Vorlaufzeit (innerhalb von 8h problemlos _2x_ ändern.

10 Stunden und eine Minute, sofern die TGT-Lebensdauer nicht vom Default weg verändert wurde. 

vor 46 Minuten schrieb NorbertFe:

1. Unkritisch

wenn es wirklich 2012 ohne R2 ist, dann ist es nicht unkritisch, d.h. muss gemacht werden, zumindest bevor man mit Protected Users anfängt. Aber der Vorgang an sich ist in der Tat unkritisch.

Lege die Policy vielleicht einfach neu an, geht schneller. Und wenn es die DDCP ist, hilft 

dcgpofix /ignoreschema /target:DC

Moin,

ist es (im Editor) nur bei einer bestimmten GPO der Fall oder bei jeder?

ist es (im GPRESULT) nur bei bestimmten Maschinen der Fall oder bei allen?

vor 39 Minuten schrieb NorbertFe:

Macht man heute so, wenn man KI Eingaben gewöhnt ist ;)

Vielleicht würde die sog. KI ja auch andere Antworten liefern, wenn man höflich ist?

Oh, Home Office... dann sind die beiden letzten Punkte aus meiner Aufzählung umso wahrscheinlicher  

Moin,

so was hat meistens mit:

• Grafikkartentreibern
• UDP vs TCP im RDP-Transport
• Bitmap Cache in MSTSC

zu tun.

Kannst Du mal probieren, ob das mit der "Remote Desktop"-Anwendung aus dem Store anders ist?

Gott, bin ich froh, dass wir seit 1998 kein Fernsehen haben...

Moin,

WMI und Change-Methode der Win32_Service-Klasse: https://learn.microsoft.com/en-us/windows/win32/cimwin32prov/change-method-in-class-win32-service

Ohne AD gehen nur Device-Lizenzen. Euer DL kann per GPO erzwingen, welche Server welchen Lizenzserver nutzen.

Und was man versucht Dir zu sagen @Wolke2k4 ist, dass Du

https://www.microsoft.com/de-de/microsoft-365/exchange/exchange-online?market=de

ebenfalls berücksichtigen sollst  Kein Teams.

Moin,

hast Du den Fehler einmal oder seit dem Neustart regelmäßig? Einmal ist, je nach Startreihenfolge, normal und, wenn REPADMIN und DCDIAG keine Fehler anzeigen, zu ignorieren.

vor 5 Minuten schrieb Quirk18231:

Du kannst das doch per powershell machen

Die Frage ist, solltest Du das auch?

Deine nächste Aufgabe ist nun, herauszufinden, ob es einen Grund für diese Konfiguration gab, und die jeweiligen Einstellungen zu prüfen. Respektive, wenn es nur eine "wir haben es schon immer so gemacht"-Konfiguration ist, auf SET umbauen.

Allerdings wenn Deine VMs ihre NIC-Konfiguration verlieren, solltest Du parallel schauen, welche Event IDs dort zu finden sind.

vor 9 Minuten schrieb Quirk18231:

 

ich habe eine ganze Umgebung von VMWare zu HyperV konvertiert.

Hast Du dabei auch die nicht mehr vorhandenen VMware-Netzwerkkarten eingeblendet und gelöscht?

Moin,

natürlich wäre ein Edge Server auch eine Art Gateway vor dem Exchange, und da würden Mail Flow-Regeln (a.k.a Transportregeln) unterstützt werden. Aber das vermutlich nicht ganz das, was Du mit der Frage bezweckst, somit ist den Antworten der beiden Norberts wenig hinzuzufügen.

Moin,

warum macht man das 2024 noch per CMD?

Moin,

ist das Verhalten anders, wenn Du den Server-Manager direkt am Connection Broker startest?

Moin,

versuche mal, die ÖO-Mailbox in  eine andere Datenbank zu verschieben. Eventuell ist ein Defekt irgendwo in den Daten.

vor 32 Minuten schrieb tomcek:

ausschließlich auf die Server (Tier 0) zugreifen 

Domain Controller.

Fileserver, Datenbankserver und sowas sind nicht Tier 0. In der ursprünglichen Microsoft-Denke wäre das Tier 1, und Clients + Terminalserver sind Tier 2. Du kannst beschließen, nicht päpstlicher zu sein als der Papst und nur den Tier 0 vom Rest zu isolieren.

vor 10 Minuten schrieb tomcek:

Die Umgebung ist aber in der Tat aber auch so klein, dass Tiering hier ein ganz schöner Overkill wäre. Obwohl der Sicherheit wäre es natürlich zuträglich - da kann der Aufwand manchmal nicht hoch genug sein.

Wieso denn? Du musst ja nicht 20 Tier bauen, sondern - weil die Umgebung so klein ist - nur einen  Eine Policy, die verbietet, dass Tier 0-Accounts sich an Nicht-Tier 0-Maschinen anmelden, ein zweites Admin-Account für jeden der beiden Admins plus das Kennwort für bestehende Accounts rollen, that's it.