Hallo erstmal zusammen,

ich habe einen sehr merkwürdigen Fall, in welchem Berechtigungen scheinbar nicht übernommen/akzeptiert werden. Allerdings nur auf einer einzigen (bekannten) Maschine. Die Situation ist folgende:

- Das ganze ist ein Domänennetzwerk, mit einem Server 2008 R2 als einzigem DC und mehreren Clients (alle Windows 7 professional).

- Ich habe einen Freigabeordner mit Folgenden Berechtigungen: 

Domänen-Benutzer: lesen

Gruppe_des_Benutzers: ändern

Nun funktioniert das auf meinem Rechner sehr gut. Melde ich mich als der entsprechende Nutzer an, so kann ich Dateien lesen, anlegen, löschen, schreiben, etc... Melde ich mich jedoch von dem betroffenen Rechner mit demselben Nutzer an bekomme ich beim anlegen von Dateien jedoch ein: "Zugriff verweigert". GPRESULT /R enthält jedoch auch auf dem betroffenen Computer einen Eintrag für "Gruppe_des_Benutzers". Auch beim prüfen auf effektive Berechtigungen auf dem betroffenen PC wird mir der Benutzer als berechtigt angezeigt.

Ändere ich nun die Berechtigungen der Domänen-Benutzer in Vollzugriff funktioniert erwartungsgemäß alles.... ich bin verwirrt. Was könnte es noch sein? Jemand eine Idee?

Hallo zusammen,

ich möchte unter Windows Server 2012 R2 einen Domain Controller einer neuen Domäne einrichten. Das entsprechende Feature kann ich über den Server Manager installieren, aber ich scheitere bei der Konfiguration. Dort komme ich bis zum Schritt der Pfadanagabe für NTDS, SYSVOL etc. und wenn ich dort auf"weiter" klicke, bekomme ich den folgenden Fehler:

Ungültige Pfade: "Fehler bei der Überprüfung der Verzeichnispfade. Der Ordner "C:\Windows\NTDS" bezieht sich nicht auf eine gültige Festplatte. Wählen Sie einen Ordner auf einer Festplatte aus.".

Ich habe die Pfade auf der Standardeinstellung gelassen (C:\Windows\NTDS; C:\Windows\SYSVOL). Die Festplatte ist eine fest integrierte SanDisk FD4032 mit 32GB. Es sind noch ca. 20GB frei.

Leider habe ich in den letzten 2 Stunden via google nichts passendes gefunden.

Auf einem anderen Rechner (mit 250GB Samsung SSD) habe ich den Domain Controller installieren können.

Die Platte ist als Basisdatenträger eingerichtet, das ist die des anderen (funktionierenden) Servers aber auch. Daran sollte es also nicht liegen.

Ich habe auch schon versucht, die Pfade auf ein Netzlaufwerk oder einen USB-Stick zu legen - beides ging nicht.

Was mache ich falsch?

Gruß

Maximilian

Hallo,

Ich habe ein Powershell-Script , wo ich aus einer Vorlage (Excel) Daten einlese und einen Account erstelle. An einer stelle mache ich eine elseif-Abfrage um bestimmt Adressdaten in eine Variable zu  übergeben. Meine Idee war, da diese Parameter für den jeweiligen Standort gleich sind,mehrere  Property zu übergeben. Das funktioniert leider nicht .Bsp:

in meiner Variblen $Adresszuweisung steht folgendes

'-city "Berlin"' '-Company "Quark"' '-PostalCode "10114"' '-StreetAddress "Haputstrasse 8"' '-ScriptPath "BER\$feld_anmeldename.bat"'

Meldung:Set-ADUser : "System.Object[]" kann nicht in den Typ "System.String" konvertiert werden, der für den Parameter "City" erforderlich ist. Die angegebene Methode wird nicht unterstützt.

Würde ich die Property alle einzeln hin schreiben würde es gehen. Was muss ich tun. Vielen Dank

Hallöchen erstmal,

ich brauche eure Hilfe, da ich mir gerade die Zähne an der Bereitstellung eines RODCs (Win SRV 2012) ausbeisse -.-

Wir haben zwei Standorte, am Standort 1 (.30.0/24) habe ich zwei RWDCs und am Standort 2 (.50.0/24) habe ich bisher gar keinen DC (VPN zum DC an Standort 1). Jetzt habe ich an Standort 1 einen RODC aufgesetzt (mit GC und DNS) um ihn später an Standort 2 aufzustellen. Nach dem Heraufstufen zum DC habe ich den RODC in den Standort2 bei AD Standorte verschoben.

Dann habe ich alle Computer- und Benutzerkonten, die sich am Standort 2 anmelden können sollen, auf den RODC gecached (Passwörter auffüllen).

Wenn ich jetzt zum Testen den RODC am Standort 1 vom Domänennetzwerk des RWDCs trenne und an einen "leeren" Switch hänge und dort einen Client dranhänge, der in der Domäne ist und bei dem ich den DNS Server nun auf den RODC geändert habe, und versuche mich auf dem RODC anzumelden, klappt das nicht, da keine "Anmeldeserver verfügbar" sind (heißt wohl, er versucht auf den nicht mehr verfügbaren RWDC zuzugreifen).
Logge ich mich auf dem Client lokal ein sehe ich, dass das Netzwerk als "nicht identifiziertes Netzwerk" angezeigt wird. Allerdings ist als einziger DNS Server auf dem Client der RODC eingestellt. Der erste DNS des RODC zeigt auch auf sich selbst.

Ich hab gelesen, dass per Design so ist, dass der DNS Server des RODC keine Anfragen annimmt, dementsprechend habe ich (erfolglos) bzgl. [URL="https://support.microsoft.com/en-us/help/977510/authentication-fails-when-an-external-client-tries-to-log-on-to-a-wind"]https://support.microsoft.com/en-us/help/977510/authentication-fails-when-an-external-client-tries-to-log-on-to-a-wind[/URL] in der Registry RegisterSiteSpecificDnsRecordsOnly auf 0 gesetzt.

Ich habe jetzt auch den Clients per GPO mitgeteilt, dass sie "Am nächtgelegenen Standort suchen", half trotzdem nicht.

Da es dennoch nicht klappt, vermute ich fehlt es mir einfach am Verständnis, wonach der Client beim RODC denn überhaupt im DNS fragt, da er scheinbar nicht das bekommt was er möchte.

Remotedesktop vom Client zum RODC mit den gecachten Credentials klappt problemlos.

Vielen Dank im Voraus für eure Hilfe!

Nach der Installation von Windows Update 1803 unter Windows10 ist ein Programmstart von Win10 Client vom Netzlaufwerk zwar prinzipiell möglich, allerdings speziell bei Software mit sybase sql anywhere Anbindung scheitert diese dann mit einer Fehlermeldung, dass die Verbindung nicht aufgebaut werden kann.

Dieser db server läuft auch auf dem Netzlaufwerk gleich wie das EXE File das dort gestartet wird, und versucht die Verbindung aufzubauen.

Gab es Änderungen im Bereich Policy/Firewall ? 

Hallo,

bei mir in der Active Directory fehlen Fenster wenn man auf einen Benutzer geht.

http://i.imgur.com/BODxdkT.png

Hallo! Folgende Ausgangssituation:

Windows Server 2012 R2 als Printserver in einer Domäne.

Ein Windows 2000 Client soll über einen Drucker auf dem Printserver drucken. Der Client ist nicht in der Domäne.

Ich kann den Drucker hinzufügen und auch die notwendingen Treiber werden installiert. Will ich dann aber einen Druckjob starten, erhalte ich folgende Fehlermeldung:

"Sie haben nicht die erforderlichen Zugriffsrechte für den ausgewählten Drucker". Wenden Sie sich an den Netzwerkadministrator, um die benötigten Rechte zu erhalten."

Zugriff auf den Drucker hat auf dem Printserver "Jeder", was doch eigentlich die nicht Domänenmitglieder beeinhalten sollte?

Ebenfalls funktioniert das Ausdrucken, wenn ich den Drucker direkt, ohne Printserver, verbinde.

Hatte jemand schon mal so ein Problem und kann helfen?

Vielen Dank!

mit 0 bis wenig Vorwissen im Administrieren eines Windows Servers sitze ich hier an der Aufgaben einen neue Maschine (Server 2016 Essentials) in ein existierendes Büro zu integrieren.

Bisher läuft hier ein Windows Small Business Server 2018, der 

1. per DHCP Server IP Adressen and 10 Win7 Klienten (10 Stück), ein paar Drucker und IP Telefone vergibt
2. per AD (nehme ich an) Benutzerverwaltung betreibt
3. Files (Spreadsheets, Textverarbeitung, Photos) and die Klienten serviert

Ich habe einen neuen User (der im alten Server nicht existiert hat) der sich am neuen System anmelden kann

Benutzer die im alten System existiert haben fangen sich die oben genannte Fehlermeldung. Der neue Server hat eine andere Domain als der Alte. Ausserdem läuft er noch in einem getrennten Testnetzwerk mit 1-2 Clients. 

Einen Vielversprechenden Thread habe ich hier https://virtualcurtis.wordpress.com/2011/03/02/fix-the-security-database-on-the-server-does-not-have-a-computer-account-for-this-workstation-trust-relationship/ gefunden. Als Lösung wird vorgeschlagen in "Active Directory-Benutzer und Computer" in die Eigenschaften des Domaincontrollers zu gehen und Einträge im "Attribute Manager" nach folgendem Muster anzupassen:

dNSHostName: 
srv1.mydomainname.com

servicePrincipalName: 
HOST/SRV1
HOST/srv1.mydomainname.com
RestrictedKrbHost/SRV1
RestrictedKrbHost/srv1.mydomainname.com
TERMSRV/SRV1
TERMSRV/srv1.mydomainname.com

Allerdings existieren alle genannten Einträge nach diesem Muster, darüber hinaus gibt es zudem noch eine Masse anderer Einträge.

Was kann ich sonst noch versuchen? Der Fix gibt leider keinen Rat, ob man ausschließlich die genannten Einträge braucht (also die anderen weg sollen). Im ersten Moment Schrecke ich davor zurück hier mal so eben 48 Attribute zu Enfernen

Moin  Moin!

Ich muss zwangsläufig auf die harte Varriante die FSMO-Rollen von einem toten Server bzw. DC auf einen neuen Übertragen.

Alle Rollen wurden auch ohne Probleme übertragen, ausser der Schema Master. Dort bekomme ich folgende Fehler:

Der Benutzer, mit dem ich das ganze tue, ist in allen Admin-Gruppen eingetragen, Schema Admin, Org.-Admin etc.

CMD ist auch als Admin gestartet.

Wenn ich die MMC für das Active Direktory Schema starte auf den "toten" DC, kann ich darüber das Schema nicht ändern. (Button "Ändern" ausgegraut")

Wenn ich die MMC auf den neuen DC laden möchte, kann diese bereits die .dll Datei zum aktivieren dieser MMC nicht laden.

Ich weiß absolut nicht, was der Fehler oben im Bild zu bedeuten hat bzw. wo ich welche Berecchtigungen ändern muss oder kann.

Könnte mir jmd. weiterhelfen? vielen DANK!

Liebe Grüße

R. Gwisdala

Hallo,

ist der Dienst Funktionssuche - Resourcenveröffentlichung seit dem Update 1803 mit Absicht auf manuell umgestellt worden?

Zumindest werden keine Clients mehr über die Netzwerkumgebung angezeigt.

Desweiteren ist auch auf den Servern 2016 dieser Dienst beendet.

Best Practice wäre hier nicht schlecht (was hat sich MS dabei gedacht)

Gruß Andreas

Andreas Sturma

Mahlzeit,

vielleicht hat hier einer 'ne Idee. Wir verteilen Netzwerkdrucker über eine GPO.

Außerdem ist beim Großteil der Benutzer ein gewisser Drucker als Standard definiert und das wird von der GPO auch immer wieder so gesetzt. Allerdings, es gibt wie immer einen Kreis von Personen, bei denen diese Einstellung nicht getroffen werden soll. Dementsprechend hab ich zwei mal den gleichen Netzwerkdrucker in der GPO, aber einmal hab ich definiert, dass der Benutzer Mitglied dieser Gruppe sein muss (dann soll sein Standarddrucker nicht verändert werden) und einmal hab ich definiert, dass er eben nicht Mitglied dieser Gruppe sein darf (damit der Standarddrucker gesetzt wird). Außerdem sind in den Druckern noch Subnets definiert, um je nach Standort den nächstgelegenen Netzwerkdrucker zu verbinden. Die Subnets sind alle mit "OR" verknüpft, der Punkt der Gruppenmitgliedschaft mit "AND". Häkchen bei "Run in logged-on user's security context (user policy option)" ist gesetzt - funktionierte aber auch nicht, als der Haken nicht da war. Die Richtlinie ist verlinkt auf 3 OUs.

ADC ist ein Windows 2008.

Kann mir jemand helfen? Welche Infos sind noch notwendig?

Hallo zusammen,

in unserer AC-Struktur haben wir jetzt 2 Serverals DC mit Windows 2008. Wir brauchen noch einen DC-Server aber mit Windows2012.

Meine Frage:

Kann man gemischte DCs mit verschiedenen Windows-Versionen haben (in unserem Fall mit Windows2008 und2012)?

Wenn ja, mit welchen Problem müssen wir dann in Zukunft rechnen?

Ich bedanke mich im voraus

Liebe Community,

ich betreue unter anderem eine relativ kleine und recht einfach gestrickte IT-Umgebung, die sich vor meiner Zeit eine 2-Tier-Windows-PKI mit zwei SubCAs gegönnt hat. Eine dieser SubCAs signiert mit MD5 (sic!), aber keiner kann sich daran erinnern, warum das notwendig wurde. Blöderweise wurden alle Vorlagen auf allen CAs veröffentlicht, so dass man anhand der ausgestellten Zertifikate auch nicht sagen kann, für welche Geräte/Applikationen diese MD5-CA benötigt wurde.

Daher die Frage an euch: Ist jemandem eine handfeste Erfordernis für MD5-signierte Zertifikate bewusst und würde der- oder diejenige dieses Wissen teilen wollen? Die CA läuft nämlich bald ab, und ich würde sie gern auf SHA-2 hochziehen.

Danke im vorab für jede Erkenntnis / jeden Denkanstoß!

Grüße aus Berlin

Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Moin,
wir haben aktuell eine kleine ADFS Umgebung mit folgenden Komponenten:

Intern
Zwei ADFS Server, 2012R2, HA über LB
DMZ
Ein Web Application Proxy (WAP) verbunden mit der internen ADFS Farm
 
Die Kommunikation zwischen den ADFS Servern ist mit mir soweit klar (Port 80 und 443) und auch die Kommunikation zwischen dem WAP und der Farm (Port 443)
 
Nun wollen wir einen zweiten WAP in die DMZ stellen und mit der Farm verbinden. Meine Frage - Müssen die WAPs in der DMZ miteinander kommunizieren oder reicht die Verbindung zu der internen Farm? Können die WAPs voneinander isoliert betrieben werden?

Gruß

Guten Morgen,

wir haben eine Fine Grained Passwort Policy im Einsatz um die Passwortpolicy gesteuert umzusetzen, über Gruppen, satt per GPO.

In der Default Domain Policy (DDP) ist somit nichts hinterlegt zum Thema Passwort. Soweit so gut, das Problem haben wir mit Client/Usern die von Remote arbeiten.

In der Passwortpolicy ist momentan als Maximales Alter des Kennwortes 9999 Tage hinterlegt.

Eine Kollegin arbeitet per VPN Client mit Ihrem Geschäftslaptop von zu Hause. (bei Ihrem User ist im AD das Attribut "Kennwort läuft nie ab" aktiv.) Sie meldet sich alle 4-6 Wochen das ihr User gesperrt ist, und sie aufgefordert wurde das Kennwort zu ändern. (ohne aktive VPN Verbindung)

Verbindet sie sich dann per VPN stimmen natürlich das AD Kennwort und ihr geändertes nicht mehr überein.

Ich denke das hier die lokalen Sicherheitseinstellungen greifen (Secpol), der Standardwert hier ist 42. Ich verstehe aber nicht wieso diese überhaupt aktiv werden.

Nun die Frage: Liege ich mit der Vermutung richtig? Wenn ja, wie kann ich die lokalen Sicherheitseinstellungen ändern, nicht manuell sondern per GPO?
Ist dies eine Folge da die Passworteinstellungen nicht in der DDP eingestellt sind und daher irgendwann die lokalen Sicherheitseinstellungen aktiv werden, wenn der Client X-Tage nicht mehr in der Domain war/ist.

Das Problem tritt aktuell bei 4 Mitarbeitern auf, die alle auf diesem Weg arbeiten: Geschäftslaptop zu Hause, per VPN in die Firma.

Danke und Gruß

Sven

Hallo.

Wir haben ein DC mit einer Gesamtstruktur (aaa.de). Darunter haben wir eine ein OU mit dem Namen "Firma". Darunter befinden sich die Firmen (aaa.de, aaab.de, bbb.de, cccc.de und ffff.de). Für die Firmen wurden jeweils die entsprechenden UPNs eingerichtet.

Die Firmen sollen jetzt alle nach Office365 umgezogen werden. Dafür haben wir ein lokalen Exchange 2010 im Hybridmodus wo alle Firmen darauf Ihre Postfächer haben.

Die Firmen aaa.de und aaab.de wurde mit Azure AD Connect die Benutzer zu Office365 gesynct   und die Postfächer migriert.

Aber wie bekommen wir die anderen Firmen zu Office 365? Jede Firma soll dazu Ihren eigenen Office365 Account bekommen.

Oder wäre es besser weitere DCs zu erstellen und die Firmen Ihre eigene Gesamtstruktur zu geben und die entsprechenden User umzuziehen?

Was wäre denn da die Empfehlung?

Hallo zusammen

ich habe den Auftrag erhalten das tier model in unserer Single Domain umzusetzen so wie es hier beschrieben ist. Nun habe ich ein paar GPO's gebaut welche deny und allow Logon für gewisse "tiers" erlauben. Aber das ganze scheint mir noch nicht ganz secure. Kennt jemand einen Link oder eine Beschreibung wie das umzusetzen ist?

Meine Tiers sind

Tier0 (DC/Exchange/CA/HyperV/Backup)
Tier1 (Applikationsserver und Datenbanken)
Tier2 (Helpdesk und WS-Admins)

Ich habe 3 GPO's welche wieder auf die jeweiligen User im Tir zugewiesen ist:

Tier0 Allow Login/RDP/Batch/Service für Domain und Exchange Admins / Deny ist in diesem Fall nicht nötig oder?
Tier1 Allow Login/RDP/Batch/Service Tier1_Admin (Group) / deny Tier0 und Tier2
Tier2 Allow Login/RDP/Batch/Service Tier2_admin (Group) /deny Tier0 und Tier1

Nun die Frage ob das so richtig ist und genügt.

Besten dank & Gruss

Florian

Hallo zusammen,

ich habe ein Anliegen. Ich möchte User bestimmter untergeordneter OUs in eine csv exportieren. Bislang habe ich aus der übergeordneten OU alle User aus untergeordneten OUs exportiert.

get-aduser -searchbase "ou=users,DC=example,DC=example" -filter * -properties * | select-object samaccountname,givenname,sn,objectclass,title,department,mail,telephoneNumber,streetAddress,company,description,AccountExpirationDate,lastlogondate | export-csv C:\temp\testexport-aduser.csv -notypeinformation -delimiter "," -encoding utf8;

Dies soll ich jedoch splitten, sodass ich für jede untergeordnete OU eine separate Export-Liste erstelle. Wie komme ich aber nur auf genau die User, der OU, die ich möchte. Wie zum Beispiel hier:

(übergeordnete OU) users -> (untergeordnete OU) Standortxy-user

Ich möchte nur eine Export-Liste mit den Usern der OU Standortxy-user

Kann mir jemand weiterhelfen?

Hallo,

ich muss eine größere Menge an Kollegen auf der AD anlegen und möchte hierfür das Tool DSADD nehmen. Die Anlage funktioniert super einfach bis auf das Feld "Vollständiger Name". Wie kann ich dieses per Script ändern?

Ich schaffe es einfach nicht. Wer hat einen Tipp für mich?

Danke