niesfisch

Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen. https://social.technet.microsoft.com/Forums/en-US/e2ebead9-b30d-4789-a151-5c7783dbbe34/patch-tuesday-kb3159398?forum=winserverGP

Hallo, ich habe einen W2K12 Terminaldienste Lizenzserver installiert. Der Server funktioniert soweit. So wie ich das aus den Vorgängerversionen kenn, möchte ich wieder die Richtlinie "Sicherheitsgruppe Lizenzserver" verwenden um nur autorisierten Terminalservern das Abrufen einen TS-CAL zu ermöglichen. Leider verweigert der Lizenzserver nach Aktivieren der Richtlinie allen TS den Lizenzabruf obwohl die Computerkonten in der lokalen Sicherheitsgrupp "RDS-Endpunktserver" enthalten sind. Die TS schreiben auch das entsprechende Event in das Systemlog (1043 - Der Remotedesktop-Hostserver kann keine Verbindung mit dem Remotedesktop-Lizenzserver server.domain.de herstellen. Stellen Sie sicher, dass das Computerkonto des Remotedesktop-Hostservers Mitglied der Lizenzservergruppe "Terminalservercomputer" ist.). Die TS-Hostserver sind noch W2K8R2. Wie gesagt, ist die Richtlinie "Sicherheitsgruppe Lizenzserver" nicht aktiv werden CALs ausgeteilt. Tja ist das nun ein Bug oder habe ich noch etwas vergessen? Gruß Andreas

Und was ist mit der Technik der clientseitig gespeicherten TS-Lizenzen, wie departure das beschrieben hat?

Danke dir für die Erklärung. Soweit ich weiß speichern die linked Clones Deltas zum "Masterimage" es sollten demnach auch etwaige Änderungen wie ein gespeicherte TS CAL erhalten bleiben. Genaues kann ich dazu leider nicht berichten, da die VDI von einem Kunden betrieben wird der bei uns Anwendungen aus Terminaldiensten bezieht.

Hallo, Beim Herstellen von Verbindungen von virtuellen Desktops (vmware linked clones) auf Microsoft Terminalserver (W2K8R2) tritt ein Problem mit der RDS CAL-Lizenzierung auf. Da die Terminalserver auf Device-Lizenzierung eingestellt sind, fordert der Terminalserver bei jeder Verbindung eine Lizenz für das zugreifende Gerät beim Terminalserverlizenzserver ab. Ist einem Client einmal eine RDS-CAL zugewiesen worden, bleibt diese Zuordnung für zumindest 30 Tage bestehen. Die CAL ist für diese Zeit dem Client zugeordnet und kann nicht anderweitig verwendet werden. Soweit sogut und auch bekannt, jetzt zum Problem: Ist der Client eine virtuelle Maschine im speziellen Fall ein persistenter linked Clone (vmware Technik) geht offensichtlich diese Zuordnung verloren. Diese Clientgeräte erhalten immer wieder ein neue RDS-CAL, obwohl ihnen bereits eine RDS-CAL zugewiesen wurde. Dies führt dazu, das binnen kurzer Zeit alle RDS-CALs aufgebraucht sind. Bemerkenswert ist dabei, das der Lizenzmanager als Gerätenamen den Namen des Golden Masters anzeigt. Es scheint demnach im Lizenzmanager so, als wäre ein und demselben Client ständig wieder eine neue Lizenz ausgestellt worden. Kennt jemand das Problem (und weiß eine Lösung ;-)). Hilfreich wären für mich auch Informationen was den TS-Lizenzserver veranlasst neue Lizenzen zu vergeben. Welche Kriterien werden hier herangezogen? IP-Adressen? Hostnamen? xyz-IDs? Danke und Gruß Andreas

Hallo Philipp, Du schreibst "Oder war er es einmal in der Vergangenheit..." was ist dann zu tun, damit die Sicherheitsbeschreibung aus AdminSDHolder nicht mehr angewendet werden? Gruß Andreas

Ich wüsste nicht wie, Du kannst nur lokale Platten (bzw. alles was der Server als solche erkennt) oder Tapes anklemmen. Gruß Andreas

Hallo, ich habe über eine Point and Print Richtlinie das Hinzufügen von Druckertreibern mit Benuterrechten erlaubt. Das funktioniert auch auf Win7 Clients. Die W2K8R2 TS bringen beim Versuch einen Drucker hinzuzufügen bei dem der Treiber noch fehlt die Meldung: [Window Title] Drucker hinzufügen [Main Instruction] Druckerverbindung herstellen [Content] Druckerverbindung kann nicht hergestellt werden. Zugriff verweigert [OK] Ohne die Point and Print Richtlinie springt UAC an (die Richtlinie macht also irgendwas) und fordert zur Treiberinstallation auf mit Passworteingabe. Ist bei den Servern noch zusätzlich etwas zu beachten damit Point and Print funktioniert? Gruß Andreas

Das ganze ist doch komplizierter als gedacht, aber wie immer gibts jemanden der das Problem schon gelöst hat: Remove Powershell Pinned Item from taskbar for all users in 2008 R2 RDS server Ich habe mich für Quick and Dirty entschieden und die Rechte für die Links "angepasst". BTW: Durchaus berechtigt die im Link geäußerte Kritik, dass solche Verknüpfungen per default schon nicht mehr auf dem Benutzerdesktop auftauchen dürften, sobald der RD-Hostrolle installiert ist...

Hallo, ok für das Hinzufügen von neuen Verknüpfungen mag das schon so gehen. Aber ich möchte welche entfernen. Der Servermanager steht als Link an der von Dir genannten Stelle im Default-User Profil zwar drin, das Entfernen bringt aber nichts für Nutzer die sich neu Anmelden. Die PowerShell-Verknüpfung steht gar nicht im Ouick Launch Ordner des Default Users, kann ich sie als auch nicht entfernen ;) Es muss anders gehen, gibt es noch sowas wie "AllUser - Quick Launch"? Gruß Andreas

Hallo, leider komme ich mit einem scheinbar trivialem Problem nicht weiter. Ich möchte bei einem W2k8R2 TS das was bei W2K3 noch "Schnellstartleiste" hieß für den normalen Benutzer modifizieren. Konkret sollen die Verknüpfungen für "PowerShell" und "Servermanager" raus, die bei jedem Benutzer der sich neu am TS anmeldet dabei sind. Aus der guten alten Zeit weiß ich, dass ich da im Default oder AllUser Profil (Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch) mal schauen sollte. Nun ist mir auch bewusst das ich in der Windows 6.x Welt den Default User unter C:\Benutzer finde und den AllUser Bereich unter C:\Program Data. Trotzdem werde ich nicht fündig, es muss demnach noch weitere Hebel geben, nur welche? Danke und Gruß Andreas

Hallo, ich habe erstmanlig ein englisches OS als Legacyabbild zum RIS (WDS gemischter Modus) hinzugefügt. Leider erscheint das Abbild nicht in der Auswahlliste am RIS-Client? An der WDS-Konsole unter "Legacyabbilder" ist es aber mit enthalten. Was habe ich falsch gemacht? Ich suche auch immer noch Erleuchtung dazu wie die Abbilderliste (im Textmode) überhaupt zu Stande kommt. Danke!

Hallo, ich muss mit VBS Code herausbekommen, welche Nutzerobjekte im AD keinen Eintrag für das Homeverzeichnis (homedirectory) haben. Ich verwende folgendes Statement: "SELECT sAMAccountName FROM " & strADServer1 & " WHERE objectClass='user' AND HomeDirectory = '' ORDER BY sAMAccountName DESC" Problematisch ist der Vergleich mit der leeren Zeichenkette, ich hatte auch schon mit NULL probiert, leider erfolglos. Wie muss ich "nichts" umschreiben? Gruß Andreas

Welche theoretische Gefahr besteht denn die Replikation über die Registryeinstellung mit "corrupten-Partnern" zu erlauben? Kann ich vorab noch weitere Überprüfungen durchführen?

Hallo, ich hatte schon mit REPADMIN /removelingeringobjects <veralteter DC> <GUID eines “aktuellen” DCs> <Verzeichnispartition worin sich die veralteten Objekte befinden> /Advisory_Mode 11 Objekte in der Partition "Configuration" ermittelt und anschließend gelöscht. Die Situation bleibt aber unverändert. Die EventID 1988 habe ich bis jetzt allerdings noch nie irgendwo gesehen. Auf dem veralteten DC gibts die 1925 und 2042. Andere DCs in der Gesamtstruktur bringen auch die 2042 und die 1864. Ich weiß nun nicht weiter

Hallo, Durch eine Nachlässigkeit ist ein Domänencontroller in einer Unterdomäne sub.net.dom.de für längere Zeit nicht eingeschaltet gewesen. Nun ist die Tombstone Ablaufzeit überschritten und der DC, der auch noch der einzige in der Domäne war, repliziert nicht mehr mit der Gesamtstruktur net.dom.de. Ich hatte mich nun auf die von MS vorgeschlagene Handlungsweise mit dem Tool repadmin die verwaisten Objekte zu löschen eingelassen. Ich habe die Schema und Configuration Partition nach lingering Object durchsuche lassen. In der Configuration Partition fanden sich dann auch elf herumlungernde Objekte die ich entfernt habe. Trotzdem kommt nun die Replikation nicht in die Gänge und nach wie vor kommen solche Events: Verzeichnispartition: CN=Schema,CN=Configuration,DC=net,DC=dom,DC=de Quelldomänencontroller: CN=NTDS Settings,CN=Server4,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=net,DC=dom,DC=de Adresse des Quelldomänencontrollers: 4563fa5b-f424-4b43-8f8d-2db6b4496c60._msdcs.net.dom.de Standortübergreifende Übertragung (falls vorhanden): Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 8614 Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat. Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition. Verzeichnispartition: CN=Configuration,DC=net,DC=dom,DC=de Quelldomänencontroller: CN=NTDS Settings,CN=Server4,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=net,DC=dom,DC=de Adresse des Quelldomänencontrollers: 4563fa5b-f424-4b43-8f8d-2db6b4496c60._msdcs.net.dom.de Standortübergreifende Übertragung (falls vorhanden): Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 8614 Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat. Was kann ich nun noch für Anstrengungen unternehmen? Ich hatte in dem informativen Blog von Yusuf: Yusufs Directory Blog - Lingering Objects (veraltete Objekte) noch gelesen dann anschließend die Replikation wieder erzwungen werden muss. Dies gelingt mir leider nicht: C:\>"C:\Programme\Support Tools\repadmin.exe" /repl server1.sub.net.dom.de 4563FA5B-F424-4B43-8F8D-2DB6B4496C60 DC=net,DC=dom,DC=de /force DsReplicaSync() failed with status 8437 (0x20f5): Es wurde ein ungültiger Parameter für diesen Replikationsvorgang angegeben. Wäre für jeden Hinweis dankbar, da mir bis jetzt nur noch das Herabstufen des DCs und manuellen Löschen der Domäne einfällt. Da es nur den einen DC gibt wäre das dann Ende von Domäne sub... Danke und Gruß Andreas

Ich kann das Problem nun eingrenzen. Die RDP-Datei ist mit einem Zertifikat signiert. Aufgerufen wird sie aber mit weiteren Parameter: "mstsc.exe" /REMOTEFILE:"%1" "C:\Programme\RemotePackages\CorelDRW.rdp" das ist in dem Fall aber nicht zulässig. Verzichte ich auf die Signatur kommt aber wieder das gefährlich gelbe Warnfenster vor der Verbindung, dafür startet Corel... ein Teufelskreis.

Danke, das war's!

Wenn WINS am Clienten aus ist bzw. nicht konfiguriert ist, dann auch NetBios over TCP/IP abstellen, dann ist auch Schluss mit dem Broadcast und die "Netzwerkumgebung" stillgelegt. Dieses unsägliche Relikt sollte sowieso endlich mal abgeschafft werden. Wenn ich schon höre "ich sehe meine Computer nicht" könnte ich brechen... :rolleyes:

Hallo, ich kann im AD für die Konten zwei verschiedene Benutzerprinzipalnamens-Suffixe auswählen (Eigenschaften --> Konto --> die Klappbox neben dem Benutzeranmeldenamen). Eine Auswahl ist @FQDN der Domäne (wie sich das gehört) und die zweite Auswahl ist @xyz.FQDN der Domäne. Meine Frage, wo kommen die zwei Suffixe her und wie bekomme ich den einen wieder weg. Der zweite Suffix scheint mir noch von meinem Vorgänger zu stammen, der ihn wohl (irgendwie) im Rahmen von Tests dort hinein gebracht hat, leider kann ich ihn nicht mehr danach fragen, darum nun die Frage an das Forum hier. Gruß Andreas

Hallo, ich habe Corel X4 über RemoteApp zur Verfügung gestellt die Verknüpfung wird über msi deployed. Die Anwendung startet einwandfrei, klickt man jedoch auf ein abgespeichertes Corel-Dokument um so die Remote-Anwendung zu starten kommt nur folgende Fehlermeldung: --------------------------- RemoteApp --------------------------- Diese RDP-Datei besitzt Einstellungen die durch die Befehlszeile nicht überschrieben werden können. Die Remoteverbindung kann nicht hergestellt werden. --------------------------- OK --------------------------- In den Eigenschaften der Remote-Anwendung hatte ich dann "Befehlszeilenargumente" auf "alle Befehlszeilenargumente zulassen" gestellt, nützt leider nicht. Hat noch jemand eine Idee woher dieser Fehler kommen könnte? Gruß Andreas

Hallo Nils, danke für deine Ausführungen und den interessanten Link. Bei dem "Profilzugriffstest" ist mir noch etwas aufgefallen. Wie Du richtig vermutest hast bekomme ich den Zugriff auf die Ordner anderer Benutzer nicht sondern nur auf den des wirklich angemeldeten Benutzers. Allerdings nicht mit der Meldung "Zugriff verweigert" sondern mit dem [Window Title] [Main Instruction] Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. [Content] Klicken Sie auf "Fortsetzen", um Zugriff auf diesen Ordner zu erhalten. [Fortsetzen] [Abbrechen] bei "Fortsetzen" steht anschließend der Nutzer der es versucht hat mit "Lesen, Ausführen" in der ACL. Wie kommt es zu diesem Automatismus? Gruß Andreas

Hallo, ich mache mich gerade mit dem 2008 als Fileserver vertraut. Folgender Effekt ist mir jetzt unangenehm aufgefallen: Auf einen Ordner sind die NTFS-Rechte System und Administratorengruppe "Vollzugriff" ohne weitere Zugriffsrechte gesetzt. Ein lokaler Admin kann auf den Ordner zugreifen, logisch er hat schließlich Vollzugriff. Wird nun die UAC zugeschaltet, bekommt der lokale Admin plötzlich "Zugriff verweigert" beim Öffnen des Ordners. Im Prinzip auch klar da UAC den Zugriff nun verhindert, aber ohne Möglichkeit den Ordner mit erhöhten Rechten zu öffnen, seltsam. Noch seltsamer ist, das wenn der Explorer "als Administrator" gestartet wird, ebenso der Zugriff auf den Ordner verwehrt wird. Nur das Abschalten der UAC hilft dann wieder. Wie kann ich also bei diesen NTFS-Rechten mit aktivierter UAC auf den Ordner zugreifen? Danke! Andreas

Ja, das ist sicher und bisher ging es auch. Es ist egal an welchem Terminal sich der Nutzer bei dem es nicht geht anmeldet. Die ThinClients speichern eigentlich keine Nutzereinstellungen und haben mehr oder weniger schreibgeschützte Flash-Speicher. Trotzdem danke!

Hallo, bei der Verbindung zum Terminalserver W2K3 werden lokale Laufwerke z.B. für USB Sticks verbunden. Die Client-Geräte sind auf Linux basierende ThinClients. Neuerlich funktioniert bei einem bestimmten Benutzer das Laufwerksmapping nicht mehr. Das Verbundene Laufwerk wird im Explorer wie immer unter der Rubrik "Andere" angezeigt. Allerdings ist das Ordnersymbol das Standard "kann Icon nicht finden" Symbol anstelle des normalen Explorer-Ordner-Icons und in den Ordner kann auch nicht gewechselt werden. Das Problem liegt irgendwo im Profil des Nutzers. Meldet sich ein anderer Windows-Nutzer am selben Thinclient und TS an, geht’s mit dem selben USB Stick tadellos. Das Löschen der lokalen Profilkopie (Serverprofil) nützt nichts. Der Fehler wird wohl in Serverprofil weiter geschleppt. Hat jemand noch eine Idee, außer das Serverprofil zu löschen? Das hat einst schon mal das Problem "behoben" ist aber keine schöne Lösung. Gruß Andreas