Hallo zusammen,

ich bin hier bei einer Umgebung wo grobe Fehler gemacht wurden und ich jetzt vor dem Problem stehe das diverses nicht mehr funktioniert.

Vorweg das was nach Aussage der Mitarbeiter Vor Ort durchgeführt wurde.

Es gab/gibt eine Domäne mit mehreren Sites.
Pro Site ein DC.
Alle DC'S 2003.

Nun sollten DC's unter Windows 2012 eingesetzt werden und später die Domäne hochgestuft werden auf 2012.

Funktionsebene und Gesamtstrukturebene ist 2003.

Die neuen DC's wurden in einer der Sites installiert und zum DC heraufgestuft.

Nun wurde nach dem Hochstufen (innerhalb von ca 3h) der alte lokale DC heruntergestuft.

FSMO Rollen wurden vom alten DC nicht übergeben. Diese wurden "mit Gewalt" einem der neuen DC'S zugewiesen.

Nach Zeit X wurde bemerkt dass bei der Anmeldung die bisherigen Scripte nicht verarbeitet werden und keine Laufwerke zugeordnet werden.

Und auch das Anlegen neuer User schlug fehl mit der Meldung das directory service keinen identifier erreichen könne.

Nun wurde der alte DC einfach wieder hochgestuft und nach Zeit X- waren Anmeldungen wieder möglich.

Ich habe hier nun folgende Probleme.

Es gibt Unmengen Replikationsfehler.
Der Sysvol-Ordner wurde wohl schon vorher nicht richtig repliziert da die Scripte an jedem Standort einen anderen Bearbeitungsstand hat.

DCDIAG auf dem wieder hochgestuften DC (W2k3) hat keinen Eintrag CN=RID Set und gibt auch entsprechende Meldung im DCDIAG aus

Es ist auch nicht möglich von einem der neuen Server irgendeine FSMO-Rolle dem W2k3 zu übergeben.

Gemäß KB-Artikel soll der server erneut herabgestuft werden und dann wieder hochgstuft, dann wäre der Eintrag wieder da.

Der Server fungiert aber auch als Fileserver und somit kann dies frühestens zum Abend erfolgen.

Gibt es noch andere wichtige Maßnahmen die jetzt noch durchgeführt werden müssen um weitere Schäden zu verhindern?

Ein Backup wurde natürlich vorher nicht erstellt....

Grüße
Mike

Hallo,

wir haben gerade erfolgreich eine Domainmigration durchgezogen (2 Dom > 1 Dom).

Eine der Änderungen ist der Anmeldename (userPrincipalName), der sich jetzt aus Nachname.Vorname ergibt. In unserer Firma gibt es Win7 und noch einige XP-PCs. Bei der Anmeldung wird standardmäßig der samAccountName benutzt, was bedeutet, dass ich da nur 20 Zeichen habe.

Nun gibt es einige User, deren "Nachname.Vorname" mehr als 20 Zeichen beinhaltet. Dass heißt der userPrincipalName enthält den vollen Name, während der samAccountName abgekürzt wird.

Gibt es eine Möglichkeit, die PCs (W7/XP) dazu zu bewegen, den userPricipalName  bei der Anmeldung zu benutzen?

Ich danke schon mal für hilfreiche Antworten.

Rene Hubert - Systemadministrator - DRK KH Lichtenstein gGmbH

Hallo zusammen,

wiedermal eine komische Sache:

Hatten auf einem Hyper-V-FailoverCluster Node (Windows Server 2012) eine Störung bei der Verbindung einer NIC zum WAN, welche als virtueller Switch konfiguriert ist.

Es hat sich herausgestellt, dass auf dem physikalischen Switch, mit dem die NIC über die VM verbunden war, für diesen Port ein falsches VLAN konfiguriert war - also kam es immer zu einer fehlenden Verbindung ins WAN, wenn die VM auf diesem Node lief.

Als wir den virtuellen Switch, dem die entsprechende NIC zugeordnet war, testweise gelöscht hatten, passierte folgendes:

Fast augenblicklich registrierte sich die falsche DHCP-bezogene IP im DNS.

Auch nachdem wir die NIC wieder in den virtuellen Switch eingebunden hatten und eine Verbindung somit nur noch über die VM, zu der der virtuelle Switch verbunden ist, möglich war, blieb der DNS Eintrag bestehen.

Soll heißen, die ursprüngliche Management IP des Node trägt sich nicht mehr im DNS ein und auch wenn wir alle Einträge des FailoverClusterKnoten aus dem DNS löschen und statisch die richtige IP im DNS eintragen, dauert es vielleicht 15 Minuten und die falsche IP ist wieder eingetragen.

Natürlich haben wir alle DNS Einträge zu diesem Server aus allen DNS Servern händisch gelöscht, ClearCache ist auch auf allen DNS Servern erfolgt, sogar ein Neustart aller DNS Server wurde durchgeführt.

Auf dem ClusterKnoten habe ich die Registry nach der falschen IP Adresse durchsucht - ohne Erfolg.

Frage, wie schaffe ich es, dass sich der Server entweder nur mit seiner Managemant IP im DNS registriert oder ein statischer DNS bestehen bleibt.

Bis auf die NIC mit der Management IP sind alle anderen NICs (CSV, Live Migration Netz, etc.) so konfiguriert, dass keine automatische DNS Registrierung stattfindet.

Irgendwie vermute ich als Ursache einen der DCs mit der DNS Server Rolle aber wie löse ich diese Störung?

Vielen Dank für eure Unterstützung...

Viele Grüße

Harald

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo Zusammen,habe ein Problem mit sbs 2011. ein Client, win7 pro, lief bis gestern ganz normal.

heute morgen kommt nach der Anmeldung, § es wurden nicht alle netzlaufwerke verbunden"

im Explorer werden die mit rotem x angezeigt und wenn man darauf zugreit kommt ne auffordung zur benutzer und Kennwort eingabe.

wenn man dann benutzer und kenn wort eingibt funktionieren alle netzlaufwerke wieder.

woran kann das liegen. der Server undalle Clients arbeiten mit dhcp und gem ipconfig ist auch alles in Ordnung.das ist wie gesagt nur bei diesem einen pc bzw benutzer. der benutzer hat admin Berechtigung.

worn kann das liegen?

gruss

volker

Hallo Forengemeinde,

mal ne wahrscheinlich blöde Frage:

Nach einem Kennwortwechsel wird ein AD-Benutzerkonto eines Users unregelmäßig aber sehr oft im Laufe des Tages gesperrt.

Der User hat Dom-Admin-Rechte aber sein Rechner selbst ist es nicht, denn auch bei ausgeschaltetem PC ist meist das Konto am nächsten Morgen gesperrt...

Gibt es ein Tool oder ein Befehl, mit dem man herausfinden kann, von welcher Quelle die "falsche Authentifizierung" herkommt?

Trotz der Thematik danke ich schon mal für jede hilfreiche Antwort...

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo 

ich suche

systemanforderungen / Hardwareanforderung Server 2012 active directory für 1000 User

wie muss die Hardware aussehen Ghz  MB e.z.

Da gibt es doch sicher Empfehlungen von Microsoft 

Danke

Hallo,

Eines Tages kam auf einem Domain Controller DC1 PDC eine EventLog: 36887
“A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 48.“

Im internet habe ich gefunden dass es Secure Channel betrifft. Wenn ich „nltest /sc_query:domain“  auf dem DC1 ausführe, kommt der Fehler. I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Wir haben DC1 PDC in Standort A.
DC2  Standort A
DC3 Standort B
Wir haben keine Probleme mit AD oder SYSVOl Replikation.

Eigentlich dürfte keine Kommunikation zwischen den Domain Controller stattfinden, oder?

Die Vorgehensweise mit netdom /resetpwd /server:server2 /userd:domain.com\administrator /passwordd:password

Ist das die richtige Vorgehensweise?
Was passiert da genau?
Werden die User davon was mitbekommen?

Gruß Orcus

Hallo,

ich suche gerade momenten nen Weg, um rauszufinden welche Objekte bzw. Account innerhalb unserer Domäne inaktiv sind. Wir haben Millionen von Accounts im Active Directory.

Mit folgenden Befehl habe ich tausende Objekte, die inaktiv sind, finden können:

Search-ADAccount -AccountInactive -TimeSpan 365.00:00:00

Allerdings frage ich mich, wie sicher die Aussage ist. Ich habe ein paar Konten gefunden die sich bisher noch nie angemeldet hatten.

Wir haben zum Beispiel Konten die nur für eine bestimmte Software oder Dienste genutzt werden. Wir nennen die Service-Konten. Ich gehe mal davon, dass die Service-Konten die bei Bedarf genutzt werden, auch per Kerberos eine Session bzw. sich anmelden müssen. Dann würde ich doch diese Accounts auch finden, die schon länger von keiner Software oder vom Dienst genutzt wurden. Liege ich da richtig oder falsch? Oder gibt es eventuell bessere Methoden um dies herauszufinden?

Gruß

Dennis

Hallo,

wir arbeiten mit Server2008R2 und Win7x64.

In den letzten Tagen habe ich intensivst unsere Organisation in die AD eingegeben (Feld „Manager“).

Wie kann ich diese Eingaben nun auf z.B. Visio, in ein Organigramm, bringen? Den „Microsoft Active Directory Topology Diagrammer“ habe ich bereits schon gefunden. Dieser bringt aber nur die AD-Struktur auf Visio.

Danke

Hallo Leute
wir haben folgende AD STrukture: (Server 2008 Domäne)
Single forest mit mehreren Bäumen mit eine meinefirma.de als root Domäne daneben existieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.

Wir haben Server 2008R2 als Fileserver im EInsatz.

Nun muss ich bei einer dieser Firmen die 2 factor authentication einführen. Damit der Zugriff auf den Fileserver besser gesichert wird.

Gibt das was schon von MS was ich nutzen könnte oder muss ich da eine DRittanbietertool kaufen und wenn ja was würdet ihr mir da empfehlen?

VG an alle

sieboss systemhaus, Pulheim

Hallo!

Ich habe ein Problem mit der Absicherung von RDP Sitzungen über selbst erstellte Zertifikate auf einem bzw. mehreren Servern 2008R2. Den Werdegang beschreibe ich so kurz wie möglich:

• in einer Windows Server 2008R2 Domäne habe ich auf einem Server die AD Zertifikatdienste installiert und eine Stammzertifizierungsstelle für die Domäne angelegt
• dann habe ich eine Zertifikatvorlage zur Serverauthentifizierung erstellt und diese per GPO einem Testserver als Zertifikat für RDP Sitzungen mitgegeben ("Zertifikatvorlage für Serverauthentifizierung")
• nach Anwendung der GPO auf dem Testserver wird das Zertifikat auch korrekt ausgestellt und bei einem RDP Verbindungsversuch verwendet
• wenn ich mich jedoch nun von außerhalb (mittels VPN oder RD Gateway [der tadellos mit seinem Zertifikat funktioniert]) auf den Testserver verbinden möchte, erhalte ich den Fehler "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."

Ich verwende dazu einen PC mit Windows 8.1 und wenn ich die URL der Sperrliste in meinem Browser aufrufe, wird sie problemlos heruntergeladen. Hier verwende ich die URL, die ich im Zertifikat finde, welches mir in der Warnung angezeigt wird (siehe Screenshot). Auch certutil zeigt keine für mich sichtbaren Probleme. In den Zertifikatdiensten ist entsprechend die Veröffentlichung per HTTP aktiviert und auch von außen anonym erreichbar.

Im Knoten Unternehmens-PKI der Zertifikatdienste sind die Sperrlisten und die Delta Sperrliste mit dem Status "OK" und jeweils einer LDAP und der HTTP Adresse aufgeführt. Das Root Zertifikat meiner Stammzertifizierungsstelle liegt im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" des lokalen Windows 8.1 Computers. Auch die Zertifikatkette stimmt, das Server Zertifikat ist ein Knoten unterhalb des Root Zertifikats.

Ich könnte noch weitere Details nennen, will aber erst einmal keine überflüssigen Informationen geben da ich mein Wissen zu diesem Thema auch nur aus Foren und Tutorials habe. Über Hilfe zu diesem Problem wäre ich sehr dankbar und kann gern weitere Details und Infos geben. Natürlich ist das derzeit nur ein "Schönheitsfehler" der ignoriert werden kann wonach die RDP Verbindung auch funktioniert. Jedoch wäre eine saubere Lösung natürlich schön.

Vielen Dank!

Hi Leute,

wir haben die Domäne über den Jahreswechsel auf W2012R2 umgestellt. Sie besteht aus 3DCs (die auch GCs und DNS sind), 2 am Hauptstandort, eine an der über VPN angeschlossenen Remoteniederlassung.

Von Zeit zu Zeit können sich immer 1-2 Benutzer nicht anmelden, meinst Montags oder Dienstags:

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         03.02.14 07:56:29
Ereignis-ID:   4771
Aufgabenkategorie:Kerberos-Authentifizierungsdienst
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      DC01.XXXX.de
Beschreibung:
Fehler bei der Kerberos-Vorauthentifizierung.

Kontoinformationen:
 Sicherheits-ID:   XXXX\yyyy
 Kontoname:    Kaxxxxx

Dienstinformationen:
 Dienstname:    krbtgt/XXXX

Netzwerkinformationen:
 Clientadresse:    ::ffff:192.168.1.131
 Clientport:    59620

Weitere Informationen:
 Ticketoptionen:   0x40810010
 Fehlercode:    0x18
 Typ vor der Authentifizierung: 2

Zertifikatsinformationen:
 Zertifikatausstellername:  
 Seriennummer des Zertifikats:  
 Zertifikatfingerabdruck:  

Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.

Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.

Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4771</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>14339</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2014-02-03T06:56:29.590517300Z" />
    <EventRecordID>2138835</EventRecordID>
    <Correlation />
    <Execution ProcessID="528" ThreadID="4660" />
    <Channel>Security</Channel>
    <Computer>DC01.XXXX.de</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserName">xxxx</Data>
    <Data Name="TargetSid">S-1-5-21-883177862-1370633589-618671499-1088</Data>
    <Data Name="ServiceName">krbtgt/YYYY</Data>
    <Data Name="TicketOptions">0x40810010</Data>
    <Data Name="Status">0x18</Data>
    <Data Name="PreAuthType">2</Data>
    <Data Name="IpAddress">::ffff:192.168.1.131</Data>
    <Data Name="IpPort">59620</Data>
    <Data Name="CertIssuerName">
    </Data>
    <Data Name="CertSerialNumber">
    </Data>
    <Data Name="CertThumbprint">
    </Data>
  </EventData>
</Event>

Auf den Servern ist IPv6 aktiv, auf den Clients auch. Es ist jedoch nicht entsprechend konfiguriert, d.h. Standardeinstellung. Besteht da evt. ein Zusammenhang?

Desweiteren sehe ich auf diesem DC noch:

Protokollname: Application
Quelle:        Group Policy Environment
Datum:         03.02.14 09:16:16
Ereignis-ID:   8194
Aufgabenkategorie:(2)
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      SYSTEM
Computer:      DC01.XXXX.de
Beschreibung:
Die clientseitige Erweiterung konnte die Benutzer-Richtlinieneinstellungen für Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5} nicht übernehmen. Fehlercode: 0x80090006 Ungültige Signatur Weitere Details finden Sie in der Ablaufverfolgungsdatei.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Group Policy Environment" />
    <EventID Qualifiers="34305">8194</EventID>
    <Level>2</Level>
    <Task>2</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-02-03T08:16:16.000000000Z" />
    <EventRecordID>29447</EventRecordID>
    <Channel>Application</Channel>
    <Computer>DC01.XXXX.de</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data>übernehmen</Data>
    <Data>Benutzer</Data>
    <Data>Preferences {B474FE98-DBCE-4A4D-A614-4D7FD5439AB5}</Data>
    <Data>0x80090006 Ungültige Signatur</Data>
  </EventData>
</Event>

Meist löst sich das Problem nach einem Reboot der DCs. DCDiag ist komplett ohne Fehler, DNS zeigt auch keine Fehler an.

Der erste DC mit den Fehlens ist zu. DHCP und es ist eine Zertifikatsstelle drauf. Der 2. DC zeigt keinen Fehler im Eventlog. Alle AD-Eventlogs (AD, DFS, DS, FRS) sind ohne Fehler.

Hat jemand eine Idee und einen Tipp für mich?

Viele Grüße Dirk

Hallo!

Nachdem ich nach der Anleitung unter

http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx?PageIndex=2

über unsere AD Zertifizierungsstelle und die entsprechende Gruppenrichtlinie RDP Zertifikate für einige unserer Server und Clients (Server 2008 R2 und Windows 7) in der Domäne bereitgestellt habe, taucht nun ein Problem auf: die meisten der Geräte beziehen mehrfach ein Zertifikat. Teilweise im Abstand von Minuten oder Stunden, manchmal auch Tagen.

Ein Server 2008 R2 hat zwischenzeitlich im 5 Minuten Takt ein neues Zertifikat angefordert, was sich unterdessen aus mir unbekannten Gründen nach einem einfachen Neustart auf Stunden bzw. Tage reduziert hat. Gerade verdichtet sich das Intervall seit einigen Minuten jedoch wieder auf den 5 Minuten Takt.

Die Zertifikatvorlage hat folgende Einstellungen:

• neue Vorlage als Kopie der Vorlage "Computer" erstellt
• Zertifikatvorlagenversion: Windows Server 2008 Enterprise (getestet wurde aber auch 2003)
• es wurde darauf geachtet, den Namen und Anzeigenamen identisch zu wählen
• die beteiligten Geräte haben die Rechte Lesen und Registrieren
• als einzige Anwendungsrichtlinie ist Serverauthentifizierung gesetzt
• das Zertifikat hat eine Gültigkeitsdauer von einem Jahr

Diese Vorlage ist in der Richtlinie

• Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security

gesetzt und wird jedes Mal auch korrekt eingebunden. Eingehende RDP Verbindungen werden mit den ausgestellten Instanzen dieser Vorlage hergestellt und es findet sich korrekt in den RDP-TCP Einstellungen der RDS Hosts. Die Zertifikate erfüllen ihren Zweck also tadellos.

Zwischenzeitlich hat eines der betroffenen Geräte jedoch binnen weniger Stunden hunderte Zertifikate angefordert und auch ausgestellt bekommen. Ich kann dieses Verhalten nicht nachvollziehen. Meine Erwartung wäre, dass nach der erstmaligen Ausstellung eines Zertifikats nach der Vorlage erst dann wieder ein neues ausgestellt wird, wenn das aktuelle abzulaufen droht oder abgelaufen ist. So werden aktuell wieder und wieder Zertifikate angefordert, obwohl das vorhandene noch gültig ist.

Das System- und Anwendungslog der Kandidaten ist sauber, was Meldungen im Zusammenhang mit der AD oder Zertifikaten betrifft. Die Uhrzeit der Geräte stimmt. Zwischenzeitlich sorgten abgelaufene Zertifikate im Speicher für Probleme, diese konnten aber gelöscht werden woraufhin die Warnungen im Log verschwanden. Nur die immer und immer wieder angeforderten Zertifikate finden sich nun dort. Hier ein Ausschnitt des aggressivsten Kandidaten der vergangenen Nacht:

Das ging für mehrere Stunden so. Die anderen betroffenen Geräte weisen nicht diese hohe Dichte an Anforderungen auf, fordern aber auch wiederholt an. Jedoch gibt es auch Server 2008 R2, einen Test - Server 2012 R2 und Windows 7 Clients in der Domäne, die ihre Zertifikate nicht mehrfach anfordern.

Für Hilfe zu diesem Problem wäre ich sehr dankbar, weitere Informationen kann ich gern geben. Ich weiß derzeit nicht, was ich mir noch als potenzielle Fehlerquelle anschauen könnte. Während das Problem auf unseren Servern noch manuell über das Setzen der Zertifikate ohne GPO zu lösen wäre, ist das für die betroffenen Clients leider keine Option.

Vielen Dank!

Hallo zusammen,

ist es möglich auf einen RODC nur die User einer bestimmten OU zu replizieren und nicht alle User die im AD angelegt sind?

Das gleiche bräuchten wir auch für DNS und DHCP, aber da gibt es wohl keinen Weg das ganze einzuschränken.

Vielen Dank für Eure Hilfe im Voraus.
Viele Grüße

Thomas

Hallo zusammen,

ich habe bereits eine bestehende Benutzerdatenbank in Office 365 (250 Benutzer). Jetzt möchte ich ein Server 2008-basiertes Active Directory einrichten und die bestehenden Benutzer aus der Office 365 Domain in mein AD übertragen und stets synchronisieren. Ist dies für diese Richtung überhaupt möglich?

Freue mich über jede Hilfe!

VG

mcfish3000

Hello,

i've got a Problem with an SBS 2008 Server.

It's not possible to logon on to the Server anymore!

when i try to Login with the admin account it says "username or Password is wrong". But i know it's correct.

i even tryied the utilman.exe replacing with cmd.exe hint. now i got a commandline.

but dsa.msc says unkown username or wrong Password. Did active the "Administrator" account and set a new Password, but also can't Login with this.

when running dcdiag /u:Domain\Administrator it says:

Default-First-Site-Name\SBS2008
starting test: connectivity
The Host aab9f3...._msdcs.Domain.local couldn't be resolved to an ip address. Check DNS-Server, DHCP, Servername...

So i think it might be an DNS Problem

anybody an idea?

Thanks

Niko

Hallo zusammen,

vorweg: Ich habe gesucht, aber keine Antwort gefunden :-(

Folgendes Problem:

AD, Win2003 Server, auf dem alle Ordner und Dateien liegen und ich dort auch die Berechtigungen vergebe.

Beispiel: Ich habe einen Ordner, in dem verschiedenen Dateien, wie Word und Excel liegen.

Für den Ordner und die Dateien gibt es "Ausführen" und "Schreiben.

Wenn ich es richtig verstanden habe, gilt für "Schreiben":

Neue Ordner und Dateien erstellen, aber Umbenennen und Löschen nicht mehr möglich.

Es kann der Inhalt von Dateien geändert werden und diese Datei kann auch unter dem selben Namen und Speicherort wieder abgespeichert werden, was auch soweit alles funktioniert.

Das Problem beim Speichern sind die ~WRD0001.temp,  ~WRD0002.temp usw., welche unzählig erstellt werden.

Diese können mit dem "Schreiben"-Recht nicht mehr entfernt werden, sondern nur mit "Ändern".

Es sollen aber nur bestimmte Personen "Ändern" bekommen, alle anderen "Schreiben", um z.B. versehentliches Löschen von Ordnern und Dateien zu verhindern.

Da aber MS selbst empfiehlt, die Berechtigungen grundsätzlich so niedrig wie möglich zu vergeben, ist das für diesen Fall wohl nicht angebracht. Ich müßte also wieder allen "Ändern" geben, damit diese Dateien nach schließen des Dokuments wieder gelöscht werden.

Oder gibt es eine andere Möglichkeit, damit diese ~xxx.tmp-Dateien auch mit nur "Schreiben"-Recht gelöscht werden?

Vielen Dank schon mal im voraus für Eure Hilfe.

Gruß

Hallo zusammen,

ich habe ein 2012 AD am laufen.

Wir haben eine Fileserver Migration vor uns die ein Kollege durchführen soll.

Ist es möglich das der Kollege sich mit einem Domänen-Account nur auf bestimmten Servern anmelden darf, dann die Fileserver-Struktur aufbauen kann und die entsprechenden Zugriffe auf die Ordner vergeben darf und auch noch PC´s in die Domäne aufnehmen kann? Er soll weder Rechte im AD verändern dürfen noch sich an unseren Domain Controllern anmelden dürfen.

Geht sowas?

Vielen Dank für Eure Hilfe im Voraus.

Viele Grüße

Thomas