MS Master

Hi, booten von CD/USB ist nicht möglich. Und es geht nicht um Internet Zugriffe. Das war nur ein Beispiel. Die berechtigten Schüler machen auch ihr Wochenaufgaben auf den PCs. Wie oben geschrieben gehört dazu auch mal eine Präsentation zu erstellen. Oder es gibt Aufgaben im Fremdsprachenbereich, wo die Schüler dann mit Headset am PC sitzen und die Aufgabe ist auf das gesprochene/gehörte eine korrekte Antwort einzugeben. Und bevor was kommt bzgl. Schummeln: Wie weiter oben geschrieben sind in diesen Stunden Lehrkräfte mit dabei. Es ist den Schülern lediglich frei überlassen welche Ihrer Aufgaben Sie wann machen. Der eine macht z.b. Mathe am Montag, der andere am Dienstag oder Donnerstag. Am Ende der Woche müssen nur alle gestellten Aufgaben erledigt sein. Hier geht es ja aber eigentlich nicht um diese Form der Schule. Das Konzept hat sich bewährt, und es gibt mehr Bewerber als tatsächlich freie Plätze vorhanden sind.

Hi, der Ursprungsgedanken folgte der Tatsache das eigentlich überall zu dieser Art von Thema immer zuerst von Verbotslisten die Rede ist. Bzw. auf der anderen Seite der Hinweis kam das für die Handvoll Benutzer Lokal zu konfigurieren, das sei einfacher und übersichtlicher. Bzgl. Übersichtlichkeit muss ich den Leute da dann auch recht geben, den leider ist gefordert, das zwar auf allen Schulungsrechnern jeweils Admin bzw. Schulungsaccount Identisch sind. Aber die beiden anderen Accounts für die Verantwortlichen unterscheiden sich. Somit entstehen dann leider Extrem viele GPOs, da diese oft nicht auf mehrere Rechner bzw. die Anforderungen dazu passen. An solchen stellen bin ich dann der Verfechter des klassischen A4 Blatt auf dem das kurz und knapp drauf steht, und eben dann lokal Konfiguriert wird. Das ist wesentlich übersichtlicher als 500+ GPOs zu haben (finde ich zumindest).

Hi, danke erst mal für die Hilfen und Anregungen. Bzgl. der Frage nach Alter etc. Das Konzept greift ab der 5. Klasse, und soll den Schülern den Umgang mit Digitalen Medien näher bringen. Dazu gehört dann auch das schon Fünftklässler in Eigenverantwortung z.b. Präsentationen erstellen sollen. Dabei sind Sie natürlich trotzdem nicht ganz alleine, den in diesen s.g. ILZ Stunden stehen durchaus Lehrkräfte bereit um die Schüler und Schülerinnen zu unterstützen. Wie Sie dabei aber die gestellten Aufgaben erledigen und organisieren ist den Schülern selber überlassen. Bzgl. der Sache mit den Handy: Es mag jetzt überraschen, aber diese sind schlicht strikt verboten. Es stehen (ähnlich den Wertfächern im z.b. Schwimmbad) jedem Schüler ein Fach zur Verfügung wo das Handy/Smartphone und andere Wertgegenstände abgelegt werden können. Diese sind spätestens um 7:50 dort einzuschließen. Eine Nutzung während der Schulzeit, auch in den pausen führt zum sofortigen Schulverweis. Das Konzept hat sich aber bewährt, und wird auch von den Eltern mit getragen bzw. sogar befürwortet. Dafür stehen ja dann die PCs zur Verfügung, auf denen die jeweiligen Schüler bzw. Klassen dann ihre Aufgaben erfüllen können. Nur eben leider nicht genug PCs für alle, so das es in Spitzenzeiten schon mal eng wird. Und so sind jetzt einige Schlauberger auf die Idee gekommen eben die Schulungs PCs zu "missbrauchen", um diesen Engpass zu umgehen. Das Problem ist jetzt eben das im einen Fall es nicht so schlimm ist, wenn da mal 1-2 PCs ausfallen. Bei den Schulungs PCs verlassen sich die Lehrkräfte aber darauf das der geplante Unterricht bzw. auch die Nutzung Störungsfrei stattfinden kann. Das auch unter dem Aspekt das dort ebenfalls Tests ausgeführt werden. @Testuser Habe es jetzt nochmal sauber auf einem separaten Rechner hochgezogen mit eigener OU wie von dir vorgeschlagen. Dort funktioniert es genau wie von dir geschildert. Die GPO wird übernommen, und es können sich nur diejenigen User anmelden, welche dort hinterlegt sind. Warum es nicht geht wenn man exakt das gleiche Lokal konfiguriert wird wohl ein Geheimnis von Microsoft bleiben.

Die melden sich nicht an "falschen" Clients an, sondern die User versuchen das System zu umgehen, wenn Sie gerade nicht z.b. Youtube Videos schauen dürfen. Es handelt sich nämlich schlicht und ergreifend um Schüler, die je nach Leistung die Systeme nutzen dürfen, oder eben auch nicht (und dazu gehört auch das Sie z.b. YouTube Videos schauen dürfen in den pausen bzw. frei Stunden). Und um Missbrauch zu verhindern, hat kein Schüler einen dauerhaften Login, sondern jeder berechtigte Schüler erhält jeden Tag neue Login Daten. Und nein, das habe nicht ich mir so ausgedacht, sondern ein paar hoch bezahlte Und wenn alle "normalen" PCs belegt sind, wird halt versucht die anderen zu "missbrauchen".

@NorbertFe Wie oben bereits geschrieben ist eine "der darf sich nicht anmelden" Liste in der Umgebung nicht praktikabel und aktuell zu führen. Der Zeitliche Aufwand dafür steht in keinem Verhältnis zum Nutzen. Das ist so, als würde man verlangen das man auf Seiten des Mail Servers nicht die 5-10 erlaubten Dateiformate konfiguriert, sondern eine Liste mit 1.000+ Dateiformaten auf Stand halten soll. Ich habe auch in der Praxis noch nie gehört das mir jemand gesagt hat "Hm, also wer erlaubt ist kann ich Ihnen nicht sagen, aber schauen Sie mal, wir haben hier eine Liste mit x Tausend verbotenen, schauen Sie doch mal ob Sie da dabei sind" ..... Per GPO ist es einfach nicht möglich alle User die sich NICHT anmelden dürfen zu erfassen bzw. aktuell zu halten. Dafür ist die Anzahl der täglichen Änderungen einfach viel zu groß. Insofern macht das "gehampel" am Lokalen PC mehr Sinn, da es tatsächlich weniger Aufwand ist. Es ist einfach auch Logisch, Sinnvoller und vor allem Fehlerfreier eine Liste mit 4 erlaubten Usern pro Schulungs PC zu haben, als eine Liste mit mehreren Tausend nicht erlaubten führen zu müssen.

Hi, danke erst mal für die Hilfe und deine Tests. Aktuell versuche ich es direkt auf dem Client zu konfigurieren. Dort habe ich aus der Gruppe der Benutzer den Eintrag für "domain.de\Domänen Benutzer", als auch versuchsweise den Eintrag "NT-AUTORITÄT\Authentifizierte Benutzer" entfernt (so wie eben in diversen Beiträgen beschrieben). Dadurch sollte man eigentlich an der lokalen Richtlinie nichts mehr ändern müssen, da diese ja nur auf die jeweiligen lokalen Gruppen verweist. In der Gruppe der Administratoren sind lokal nur der Lokale, die Domänen Admins sowie ein Benutzer als "domain.de\xyz" vorhanden. In der Gruppe der Benutzer aktuell nur noch ein Eintrag "domäne.de\abc" und "NT-AUTORITÄT\INTERAKTIV". Lokale Richtlinie habe ich sicherheitshalber ebenfalls überprüft, diese steht noch alles auf den Default Einträgen, verweist also nur auf die lokalen Gruppen, in welchen die Einträge jetzt ja eigentlich nicht mehr vorhanden sind. Ergebnis ist das sich trotzdem weiterhin alle Domänen Benutzer anmelden können. Laut rsop werden aber keine Einträge mittels GPO übergeben bzw. übernommen die dieses Verhalten ändern/überschreiben (logisch, habe auf den Servern nichts dergleichen Konfiguriert) Entferne ich zusätzlich den Eintrag "NT-AUTORITÄT\INTERAKTIV" hätte ich theoretisch das gewünschte verhalten. Danach können sich tatsächlich nur noch die Lokal eingetragenen Domänen User anmelden. Also User welche z.b. als "domain.de\xyz" in der Gruppe der Administratoren, oder in der Gruppe der Benutzer vorhanden sind. Nur das funktioniert natürlich nicht auf Dauer, den spätestens beim nächsten Neustart würden auch viele Dienste nicht mehr laufen, da diese ebenfalls auf "NT-AUTORITÄT\INTERAKTIV" angewiesen sind. Da der Eintrag "domain.de\Domänen Benutzer" ja erst nach dem Beitritt zu einer Domäne auf einem Client entsteht (welcher dafür sorgt das sich überhaupt erst mal alle Domänen User einloggen dürfen), ist für mich nicht logisch nachvollziehbar, warum es auch ohne diesen Eintrag weiterhin geht, sofern auf den jeweiligen User keine andere Beschränkung zutrifft. Trage ich im AD bei einem Test User ein, das er sich nur an PC X anmelden darf, erscheint auf dem Versuchs PC auch korrekt die Meldung das er sich hier nicht anmelden darf. Es ist echt zum Haare raufen

Hi, das hatte ich weiter oben ja schon geschrieben. Entferne ich den Eintrag, welcher beim Eintritt in die Domäne hinzugefügt wird, hat das keine Auswirkung. Es können sich weiterhin sowohl die Explizit vorhandenen, als auch alle überhaupt in der Domäne vorhandenen Accounts einloggen. Den Artikel kenne ich, und habe diesen sowie viele weiteren schon mit einbezogen. Teilweise finden sich ja auch Treffer im Netz, wo User exakt das gleiche Problem haben, sprich Sie erhalten den Tipp die allgemeine Angabe der Domänen User aus "Benutzer" zu entfernen, und den Hinweis, nur diejenigen hinzuzufügen, die sich auch anmelden sollen. Hilft nur relativ wenig in Beiträgen von z.b. 2004 oder 2006 die sich auf Windows 2000/XP beziehen, und evtl. damals auch funktioniert haben. Windows 10 scheint der Eintrag augenscheinlich völlig egal zu sein. Zumindest das entfernen aus den erlaubten hat keine Auswirkung, wohingegen das hinzufügen zu den verboten alle Benutzer Sperrt (dort scheint er es also zu interpretieren). Prüfung mit rsop zeigt aber das die Einstellungen nicht Domänen weit überschrieben werden. Problem ist aktuell das die Praxis zeigt das es immer wieder Accounts gibt, die beim Verbot durchrutschen, sich anmelden und dann z.b. beschweren das bestimmte Programme etc. nicht so funktionieren wie erwartet oder angeblich fehlen (schlicht weil der Desktop anders aussieht wie auf den fertig eingerichteten PCs). Von den vielen "Profilleichen" mal abgesehen die dabei übrig bleiben. Problem ist hier jetzt halt das es klassisch nicht sinnvoll ist jeden User einzeln zu konfigurieren, auf welche PCs Er/Sie zugreifen darf. Dafür sind es zu viele User/PC Kombinationen als das so was sinnvoll handelbar wäre. Da könnten wir hier gleich 10 Leute einstellen, die jeden Tag 8 Stunden nichts anderes tun als genau das zu tun, sprich für jeden User einzeln jeden Tag aus neue festzulegen auf welchen PCs sich dieser heute Anmelden darf, und auf welchen nicht. Das ist völlig Praxisfern, wenn man aus der anderen Richtung weiß, das es für jeden dieser betroffenen PCs immer nur 4 !!! exakt definierte Accounts gibt welche zugreifen dürften. Da das Verbot immer gewinnt geht halt kein "Sperre alle bis auf die 4 erlaubten". Die Sperre schließt ja leider immer auch die erlaubten ein. Und die Liste der gesperrten Benutzer ist einfach zu groß als das man diese sinnvoll aktuell halten kann. Und wie auch in anderen Beiträgen dazu nachzulesen ist, verwundert es wohl das Windows beim Eintritt in eine Domäne diese Domänen User Gruppe hinzufügt, aber das entfernen scheint keine Auswirkung zu haben bzw. wird augenscheinlich ignoriert. Den dafür sollte diese GPO doch sein, nämlich festzulegen wer Anmelde berechtigt ist. Wenn man aber nicht in der Liste stehen muss, um trotzdem Anmelde berechtigt zu sein, führt das diese GPO ja irgendwie ad absurdum.

Hi, habe ich aktuell, ist aber leider nicht so toll. Es gibt regelmäßig neue User, und andere die Wegfallen, und das macht das ganze dann auf Dauer unübersichtlich. Eigentlich bin ich ein Verfechter des Ansatzes, was ist einfacher. Und dabei geht es nicht um Bequemlichkeit, sondern was ist in der Praxis besser gegen Fehler gesichert. Und da ist es nun mal Sicherer zu Sagen das sich nur die User A,B,C und D anmelden dürfen, als dauernd eine Liste von 1000+ Usern dahingehend zu prüfen, ob alle in der Liste derer welche sich nicht anmelden dürfen enthalten sind.

Hi, also Anforderung ist ein Schulungsrechner unter Windows 10. Auf diesem sollen sich nur zuvor explizit eingerichtete User anmelden können (zusätzlich zum vorhandenen lokalen Admin Account). Konkret 1x Domänen Admin, 2x berechtigte Accounts zum Einrichten/installieren von Programmen und 1x der eigentliche Schulungs-Account (nur Benutzer Rechte). @testperson An diversen stellen wird aber explizit davon abgeraten den Eintrag "xxxx\Domänen-Benutzer" in der GPO unter "Lokal anmelden verweigern" einzutragen, weil die Verbote immer über dem was erlaubt ist stehen bzw. gewinnen. Hatte ich auch schon mal getestet, und es ist dann tatsächlich so das sich überhaupt niemand mehr anmelden kann. Nicht mal ein Domänen-Admin. Selbst wenn der jeweilig User davor bereits auf dem System eingerichtet war.

Hi all, ich habe aktuell ein Problem mit dem "verbieten" von Anmeldungen an bestimmten Rechnern. Eigentlich ganz einfach, denkt man zumindest, den Lösungen und Vorschläge gibt es ja zur genüge. Gesagt getan, und erst mal geschaut, wer sich Lokal anmelden darf. Dort findet sich unter anderem die Gruppe "Benutzer". Einige Tipps im Netz besagen, man solle aus der Lokalen Gruppe "Benutzer" einfach die Domänen User raus werfen, und nur diejenigen Eintragen bzw. übrig lassen, welche sich anmelden dürfen. Laut Aussagen in diversen Beiträgen soll das so gehen. Rein von der Logik her würde das ja auch passen, den diese Gruppe wird ja automatisch beim Eintritt in eine Domäne hinzugefügt. Man sieht auch zusätzlich, das alle Lokal hinzugefügten User aus der Domäne separat aufgeführt werden. Theoretisch wäre das also eine durchaus perfekte Lösung, um festzulegen das sich nur bestimmte User anmelden dürfen (nämlich diejenigen, welche Explizit auf dem jeweiligen Rechner hinzugefügt werden) Scheint aber nicht wirklich so zu wirken wir erwartet. Trotzdem können sich weiterhin alle Domänen Benutzer anmelden. Etwas Verwirrung scheint es bezüglich des Eintrages S-1-5-11 zu geben. Laut Beschreibung bezieht sich das ja auf " Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert." Leider erwähnt Microsoft nicht, ob das automatisch ebenfalls alle Domänen Benutzer mit einschließt (was dann aber den anderen Eintrag obsolet machen würde, welcher ja erst beim Beitritt zu einer Domäne hinzugefügt wird). Kennt jemand das Problem?

Hi, das habe ich schon, und die Ausgabe ist 100% die gleiche (habe die Ausgabe extra in eine Datei umleiten lassen und dann mit BC verglichen -> keine Unterschiede bis auf Datum/Zeitangabe bei der Lease). Info: DHCP Server ist übrigens ein Server 2008 R2, Clients sind alle Windows 7. So, nach etwas rumprobieren mit netsh und dem vergleich diverser Ausgaben bin ich ein Schritt weiter gekommen. Und zwar wird per DHCP keine passende Route konfiguriert. mit DHCP: Nein Manuell 256 fe80::/64 11 LAN-Verbindung Manuell: Nein Manuell 256 xxxx:xxxx:xxxx::/64 11 LAN-Verbindung Nein Manuell 256 fe80::/64 11 LAN-Verbindung d.h. es wird nur die Route für die link-lokal adresse automatisch erstellt, aber keine für die vom DHCP Server vergebene Adresse. Füge ich diese bei der DHCP Konfiguration nun von Hand hinzu klappt es sofort. Hat jemand eine Idee wo man da jetzt drehen müsste damit auch für die vom DHCP Server kommende Adresse automatisch die fehlende Route erstellt wird. Den passenden Befehl in das Loginscript zu schreiben wäre ja eher mehr ein "würgaround"

Hi, habe den oben genannten Fehler -> "PING: Fehler bei der Übertragung. Allgemeiner Fehler." wenn ich versuche Rechner im Netz per IPv6 zu pingen. Nach diversen versuchen konnte das "Problem" aber immerhin schon etwas einschränken. Erhalte ich die Adresse vom DHCP, können sich die Rechner NICHT pingen, es kommt sofort die Meldung "Ping: Fehler bei der Übertragung. Allgemeiner Fehler". Konfiguriere ich die Rechner von Hand mit exakt den gleichen Adressen die vorher der DHCP vergeben hatte geht es. Sprich manuell konfigurieren geht, was aber den Sinn eines DHCP Servers "ad absurdum" führt. Hat da jemand vielleicht eine erklärung für das Phänomen oder noch besser eine Lösung?

Hi all, mir ist aufgefallen das man bei der Benutzung von RDP von einem Server 2003 System aus einen Anmelde Dialog bekommt (ähnlich wie z.b. der Windows 7 Startbildschirm) auf welchem man sieht welcher Benutzer aktuell angemeldet ist, so das man diesen auswählen kann, oder eben einen anderen User nutzen kann. Mit Server 2008 R2 SP2 kommt hingegen dieser Dialog nicht (bei zugriff auf das gleiche System. Also nur zur Sicherheit: Server 2003 -> Server 2008 (A) = Anmeldedialog kommt Server 2008 -> Server 2008 (A) = kein Anmeldedialog Kann man dieses verhalten irgendwie beeinflussen? Ich persönlich finde es praktisch das man sieht wer gerade Lokal angemeldet ist und man die Auswahl hat ob man diese Sitzung übernehmen möchte, oder eine neue mit einem anderen User erstellen will. Danke schon mal im voraus für evtl Tips dazu.

Hi, danke für die Antwort. Mit "pause" funktioniert es, das hatten wir schon getestet. Problem ist halt das es automatisch erfolgen soll. Natürlich könnte man jetzt mit z.b. mehreren pings auf localhost und ähnlichen Tricks eine Zeitverzögerung einbauen. Aber mir geht es darum das Problem bzw. die Ursache zu beheben oder zumindest zu verstehen warum es da zu "Verzögerungen" kommt (z.b. ob das eine Einstellung von Win7 oder Server 2008 ist). Das wäre ansonsten ja z.b. so als würde man bei Zahnschmerzen einfach nur eine Aspirin einnehmen. Der Schmerz wäre damit erst mal weg, aber die wirkliche Ursache bleibt.