fireblade2000 11 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Hi, wir sind hier gerade dabei unser AD und die GPOs aufzuräumen und auszumisten. Da es unsere Domain seit Win2000 gibt ist diese auch ein wenig wirr gewachsen und bevor wir auf 2K8R2 umsteigen wollen wir diese soweit wie es geht sauber haben. Werde hier in dem Thread wahrscheinlich noch öfters Fragen stellen. 1. Wir haben aus irgendeinem Grund in der "Default Domain Policy" diese Punkte gesetzt. Jemand ne Idee warum bzw. ist das soweit in Ordnung oder was haben die Einstellungen für Auswirkungen? [b]Lokale Richtlinien/Sicherheitsoptionen[/b] Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Deaktiviert Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Aktiviert Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Deaktiviert Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Deaktiviert Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) Aktiviert Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung 600 Minuten 2. Wir haben 2 zwei "Microsoft Exchange System Objects" OUs: Microsoft Exchange System Objects Microsoft Exchange System ObjectsCNF:53a545d3-fab3-4867-b9b1-a6b79a080b1c Da is doch eine Mist! 1. was macht die OU? KAnn man eine löschen? Wenn ja welche und wie krieg ich das raus? Danke schonmal für eure Tipps Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Hallo fireblade2000, 1. Wir haben aus irgendeinem Grund in der "Default Domain Policy" diese Punkte gesetzt. Jemand ne Idee warum bzw. ist das soweit in Ordnung oder was haben die Einstellungen für Auswirkungen? Zu jeder Einstellung die irgendwo in den Gruppenrichtlinien gesetzt werden kann, gibts auch eine Erklärung dazu. Warum und ob das soweit in Ordnung ist, kannst nur du uns sagen ;) Gibts vielleicht "non-Microsoft" oder pre-Windows 2000 Systeme die auf deinen Domaincontroller und/oder Fileserver zugreifen müssen? 2. Wir haben 2 zwei "Microsoft Exchange System Objects" OUs: Microsoft Exchange System Objects Microsoft Exchange System ObjectsCNF:53a545d3-fab3-4867-b9b1-a6b79a080b1c Da is doch eine Mist! 1. was macht die OU? KAnn man eine löschen? Wenn ja welche und wie krieg ich das raus? Ich würde mal sagen zweitere ist murks. Sind da noch irgendwelche Objekte drin? Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 Zu jeder Einstellung die irgendwo in den Gruppenrichtlinien gesetzt werden kann, gibts auch eine Erklärung dazu. Warum und ob das soweit in Ordnung ist, kannst nur du uns sagen ;) Ja mit so ner Antwort hab ich irgendwie gerechnet. Meinte eher ob mir jemand ne BestPractise Einstellung sagen kann bzw. was die Einstellungen effektiv in meinem Netz bewirken. Oder was passiert wenn ich sie wieder auf nicht konfiguriert stelle. Gibts vielleicht "non-Microsoft" oder pre-Windows 2000 Systeme die auf deinen Domaincontroller und/oder Fileserver zugreifen müssen? wir haben keine pre-Window 2000 oder non MS Clients welche an nen DC oder Fileserver müssen. Ich würde mal sagen zweitere ist murks. Sind da noch irgendwelche Objekte drin? ist in beiden nichts drin. Was macht der ORdner eigentlich? Hat das vielleich noch mit unserem uralten nicht mehr vorhandenen Exchange 5.5 zu tun? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Servus, zu Punkt 1: In der Default Domain Policy ist das SMB-Signing konfiguriert, was auch in Ordnung ist. LDAP://Yusufs.Directory.Blog/ - Zugriff auf die GPOs verweigert Zu Punkt 2: Der zweite Eintrag ist ein Konfliktobjekt. Das erkennst du an dem "CNF". Wie das Zustande kommen kann, erfährst du hier: LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt Der Container "Microsoft Exchange System Objects" ist ein Systemcontainer, den zwingend Exchange benötigt. Dort verwaltet Exchange z.B. Mail enabled Public Folder etc. Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 Cool Danke! zu Punkt 1: In der Default Domain Policy ist das SMB-Signing konfiguriert, was auch in Ordnung ist. LDAP://Yusufs.Directory.Blog/ - Zugriff auf die GPOs verweigert Hab mir das noch nicht ganz durchgelesen aber kann das auch was mit meinem anderen GPO Problem zu tun haben? http://www.mcseboard.de/active-directory-forum-79/gruppenrichtlinienobjekte-erstellen-delegieren-160653.html EDIT: OK nach dem Beitrag müssten meine Einstellungen zumindest mal "nicht falsch" bzw. "richtig" sein. Kann man somit meiner Meinung nach einfach lassen. Zu Punkt 2: Der zweite Eintrag ist ein Konfliktobjekt. Das erkennst du an dem "CNF". Wie das Zustande kommen kann, erfährst du hier: LDAP://Yusufs.Directory.Blog/ - Active Directory-Replikationskonflikt Der Container "Microsoft Exchange System Objects" ist ein Systemcontainer, den zwingend Exchange benötigt. Dort verwaltet Exchange z.B. Mail enabled Public Folder etc. Somit sollte der mit CNF gelöscht werden können, da dieser nur zur Sicherheit bei einer Replikation als Kopie angelegt worden ist. Oder wäre es denkbar das dieser effektiv genommen wird? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 ist in beiden nichts drin. Was macht der ORdner eigentlich? Hat das vielleich noch mit unserem uralten nicht mehr vorhandenen Exchange 5.5 zu tun? Wenn du keinen Exchange mehr betreibst, dann kann diese OU weg. Wurde der damalige Exchange denn sauber aus der Organisation entfernt? Eventuell gibts ja noch mehr Exchange Leichen im AD, die auf den ersten Blick gar nicht ersichtlich sind. Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 Wenn du keinen Exchange mehr betreibst, dann kann diese OU weg. Wurde der damalige Exchange denn sauber aus der Organisation entfernt? Eventuell gibts ja noch mehr Exchange Leichen im AD, die auf den ersten Blick gar nicht ersichtlich sind. Wir haben weiterhin einen Exchange 2003 Server. Der 5.5er wurde damals korrekt mittels MS Schritt für Schritt Anleitung entfernt. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Hab mir das noch nicht ganz durchgelesen aber kann das auch was mit meinem anderen GPO Problem zu tun haben? In der IT ist zwar alles möglich, aber das SMB-Signing hat mit deinem anderen Problem nichts zu tun. Kann man somit meiner Meinung nach einfach lassen. Korrekt. Somit sollte der mit CNF gelöscht werden können, da dieser nur zur Sicherheit bei einer Replikation als Kopie angelegt worden ist. Oder wäre es denkbar das dieser effektiv genommen wird? Vergleiche beide Container und entferne bei gleichem Inhalt, den CNF-Container. Führe vorher eine Sicherung durch! Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 Vergleiche beide Container und entferne bei gleichem Inhalt, den CNF-Container. Führe vorher eine Sicherung durch! Die sind beide leer :) Sollte da was drin sein? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Die sind beide leer :) Sollte da was drin sein? Japp, da sollten die Public Folder Objekte u.a. inkl. Free/Busy und dem Offline Adressbook, sowie die deaktivierten Userkonten der SystemMailbox drin sein. Sonst mit dem Exchange alles OK? Irgendwelche roten Einträge im Eventlog? Sieht mir irgendwie sehr ungesund aus.... Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 Japp, da sollten die Public Folder Objekte u.a. inkl. Free/Busy und dem Offline Adressbook, sowie die deaktivierten Userkonten der SystemMailbox drin sein. Sonst mit dem Exchange alles OK? Irgendwelche roten Einträge im Eventlog? Sieht mir irgendwie sehr ungesund aus.... Aja, ne läuft alles super hier! Ereignislogs eigentlich bei der letzen Wartung auch. Aber mal em Cybquest sagen der is ja auch Exchange Admin bei uns... EDIT: Anderer Ordner wurde soeben gelöscht, mal schauen was hoffentlich nicht passiert. Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 5. Januar 2010 Autor Melden Teilen Geschrieben 5. Januar 2010 ... Cybquest hats gelöst! Wir hatten den Ordner sogar 3x. Den echten Ordner sieht man erst wenn man die Erweiterten Funktionen einblendet. Und der ist dann auch randvoll mit Zeugs. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 5. Januar 2010 Melden Teilen Geschrieben 5. Januar 2010 Und der ist dann auch randvoll mit Zeugs. So solls sein ;) Danke für deine Rückmeldung! :thumb1: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.