olifant77

ok Problem gelöst. Habe herausgefunden, dass das Ganze bei Windows 7 / 2008 R2 unterhalb von User - Administrative Vorlage - Control Panel - Personalization dargestellt wird. Oli

Hallo, ich habe das Problem, dass bei unserer Windows 2003 Pur Domain in den Gruppenrichtlinien unterhalb von "Benutzerkonfiguration-> Administrative Vorlagen-> Systemsteuerung-> Anzeige" der Ordner "Desktopdesign" fehlt, wenn ich die Gruppenrichtlinieneditor von einem Windows Server 2008 R2 / Windows 7 aus starte. Wenn ich das ganze mit dem Gruppenrichtlinieneditor von Windows Server 2003 oder XP aus mache ist der Ordner da... Wer kann mir sagen, woran liegt das und wie kann ich dafür sorgen, dass ich diese Einstellung auch von Windows Server 2008 / Windows 7 sehe? Wir haben den Central Store für die Win2008 Policy entsprechend eingerichtet. Gruß Oli

Hallo, wir haben ein Problem mit einem Windows Server 2008, SP1 der aus uns unergründlichen Gründen immer wieder eingefroren ist. Da wir sehr stark den Verdacht auf einen Hardwaredefekt schieben, haben wir heute die Platten aus dem Server (HP Proliant DL380 G6) ausgebaut und in eine identische Hardware (Cold-Standby) eingebaut und das System hochgefahren. Seihter haben wir nun das Problem, dass im Netzwerk- und Freigabecenter ein gelbes Warnschild sichtbar ist mit dem Hinweis "[Domain] (nicht authentifiziert)" Der Standorttyp ist somit "privat" die Auswahl "Domainnetzwokr" ist nicht mehr vorhanden. Demnach haben sich nun auch Firewall etc. auf das "Privatnetzwerk" gestellt - ist also nun viel restriktiver als ursprünglich im "Domainnetwork". Das Domainnetwork gibt es aber nicht mehr... Woran liegt das? Aufgefallen ist uns auch, dass Aktivierung von Server 2008 wieder neu druchzuführen war - ja klar die gleiche Hardware ist ja auch nicht dieselbe Hardware. Hängt damit unser Problem ggf. zusammen? Wie kann ich das wieder korrigieren? Danke im Voraus für alle Hinweise, Olifant

Ja, der Lizenzserver ist dort eingetragen. Ich meine, dass genau dies bei 2003 nicht der Fall war. Ich rede hier vom technischen Verhalten und nicht von den Lizenzrechten her. Technisch reichte bei 2003 1 User TS-CAL aus, es hat nie jemand eine temporäre Lizenz erhalten. Man hat unter 2003 ja auch nirgendwo einsehen können, welcher User eine Lizenz in Verwendung hat. Da man dies bei 2008 kann war die Frage, ob das somit bei 2008 technisch tatsächlich Deine beschriebenen Auswirkungen hat. Gruß Oli

Hallo, wir betreiben in unserer Zentrale neuerdings einen Windows Server 2008 R2, den wir als Zentralen Lizenzserver für TS-User-CAL 2008 verwenden und aktiviert haben. Verschiedene Standorte können dort entsprechende Lizenzen abbuchen, was auch zu funktionieren scheint, da bereits einige Lizenzen entsprechend im Report des Licservers aufgelistet werden. Ein Kollege aus einem Standort hat nun auf seinem TS2008 entsprechend die Lizenzierungsdiagnose aufgerufen und sich gewundert, dass hier steht er dürfe "unseren" Lizenzserver nicht abfragen aufgrund fehlender Adminberechtigungen. Drei Fragen: 1. Verstehe ich das richtig, dass diese Tatsache für das reine Lizenzhandling (dass der TS2k8 im ext.Standort eine entsprechende Lizenz abholt und auf den User registriert) keine Rolle spielt? Wir möchten unseren Standortadmins nämlich nicht unbedingt Adminrechte auf unserem Zentralen Lizenzserver einräumen. 2. Wenn ich es richtig sehe, ist Microsoft nun bei 2008 technisch in der Lage, Per-User TS_CAL zu protokollieren. Dies war ja unter 2003 nicht der Fall. Wir haben derzeit 100 Per User TS_Cal aktiviert. Heißt dies, dass der 101 User dann keine Anmeldung mehr durchführen kann oder wird es technisch nicht unterbunden. Wer hat hier schon Erfahrung? 3. Muss ein Terminalserver zwingend Mitglied in der Domäne sein, damit er gültige TSCal vom Zentralen Lizenzserver (der ist in der AD) bekommt? Wenn ja - müsste ich dann auf dem "Stand-Alone" Terminalserver einen eigenen Lizenzserver installieren und aktivieren oder gibt es noch eine bessere Möglichkeit? Danke schonmal im Voraus. Gruß Oli

Hallo, will in einer OU innerhalb unseres AD ein paar restrikivere Rechte setze und weiß nicht so recht, welche Auswirkungen das haben könnte. Da ich einige Gruppen im AD anlegen möchte, um damit auf etwas sensiblere Freigabe auf einem Fileserver zu berechtigen - hätte ich gerne, dass nicht ein "authentifizierter Benutzer" diese Struktur lesen darf. Geht das indem ich die Gruppen in eine dedizierte OU packe und dann auf der betroffenen OU einfach die "authentifiziete Benutzer" rausnehme oder bringt dies unerwünschte Nebeneffekte mit sich? Wer kann mir da helfen? Gruß, Oli

Ja, dass das Schema an jeden DC repliziert werden muss ist mir klar. Allerdings wurde beim 2000 auf 2003 Schemaupdate bei uns auch das SYSVOL-Verzeichnis komplett neu repliziert, welches bei uns durch die Größe des AD >500 MB aufweist. Und ich meine, dass diese SYSVOL-Replikation mit dem Schalter adprep /gpprep zusammenhing, bin mir aber nicht 100%ig sicher. Kann mir das jemand bestätigen? Unter diesem Aspekt müsste doch der Replikationstraffice nach der Schemaerweiterung R2 deutlich niedricher ausfallen oder?

Hallo, habe eine kurze Frage zum Schema-Update für Windows Server 2003 R2. Läuft das prinzipiell genauso ab, wie das Schema-Update von Windows 2000 auf 2003? Wir haben eine größere Umgebung mit 22 Standorten und 25 DCs. Beim Letzten Mal (Schema von 2000 auf 2003) hat bei das adprep /gpprep für uns etwas überraschend hohe Replikationslast nach der Durchführung hervorgeführt, weil das komplette SYSVOL neu repliziert wurde. Wie ist das beim Schema-Update für R2? Ist da mit ähnlichen Dingen zu rechnen oder geht das schneller von Statten? Gruß Oli

das habe ich gemacht. Ich habe den ersten Patch gar nicht erst installiert - nachdem ich bei heise.de gelesen hatte, dass dieser in Kombination mit HP Share und NVidia Streß macht. MS hat ja Ende April den reparierten Patch gebracht - diesen habe ich installiert. Kann es sein, dass in meinem Fall eine andere Software das Problem verursacht? Nur warum funktioniert das System auch nach der Systemwiederherstellung zum Datum vor dem Patch nicht mehr. Oli

habe bei 2 XP-Rechnern seit den besagten Updates das Problem, dass sich Dateien aus dem Explorer nicht mehr starten lassen - d.h. zB Doppelklick auf eine Excel-Datei bringt ca. 45 Sekunden Sanduhr, bevor Excel startet. Bin mir eigentlich ziemlch sicher, dass es an den Updates die oben genannt wurden liegt - allerdings habe ich eine Systemwiederherstellung gemacht auf ein Datum bevor ich die Updates ausgeführt habe, was aber den Fehler leider immer noch nicht behebt. ... Was kann ich jetzt noch tun?? Gruß Oli

wenn ich da die Replikation auf "None" stelle erhalte ich aber noch mehr Fehlermeldungen im Log des Bridgeheads in der Zentrale. Nochmal: ich würde gerne bewußt die Replikation abschalten und keine Errors im Log, für die Zeit, bis der DC am Standort wieder Online geht. Oli +++++++++++++++++++ Source: NTDS KCC EventID: 1121 Type: Error The format of the schedule attribute of the following object is unrecognizable. Object: CN=c4f2ebf3-021d-4292-aad2-af437b6d4ddf,CN=NTDS Settings,CN=XXXXX,CN=Servers,CN=XXXXXX,CN=Sites,CN=Configuration,DC=XXXXX,DC=XXX A default schedule will be substituted. This event will continue to occur until the schedule attribute on this object has been corrected. User Action Use Active Directory Sites and Services to change the schedule attribute. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. ++++++++++++++++++++++++++

Hallo, wir haben eine W2K Active Directory mit mehreren Standorten. Ab und an kommen weitere Standorte hinzu. Der DC für neue Standorte wird in der Zentrale installiert und anschließend an den Standort geschickt. Nun vergehen da ein paar Tage, bis der DC dort ankommt und ins Netz gehängt wird. Natürlich bekommen wir in diesen Tagen *zig Fehlermeldungen im Log, weil der DC nicht replizieren kann. Wie könnte ich das unterbinden, d.h. die Replikation mit diesem Server gezielt abschalten, bis er wieder ONLINE geht? Oli

Hallo, wir haben eine W2k-ADS mit 22 Domaincotroller - 3 DCs (DC1, DC2 + DC3) in der Zentrale, 19 in Standorten verteilt. DC3 ist als Bridgehead definiert - repliziert also jeweils direkt mit den Standorten. Vor kurzem haben wir das Schema für W2k3 vorbereitet. In der Zentrale haben wir dann den Ersten DC mit W2k3 DC (DC4) in Betrieb genommen - derzeit haben wir dort also 3 W2k und 1 W2k3 DC. Soweit alles kein Problem. Mit Installation eines weiteren W2k3 Servers (DC23) in einem Standort tauchten zum ersten mal Fehler im Log auf, dass der Bridgehead (DC3 / W2k) Teile der Datenbank nicht mit dem neuen DC 23 replizieren könne. Microsoft schreibt zu diesem Problem, dass man dafür sorgen soll, dass der W2k3-Server (DC4) die Bridgehead-Funktion übernehmen soll. Also habe ich DC4 zum weiteren Bridgehead gemacht (derzeit also DC3 und DC4 = Bridgehead). Danach wurde der Sitelink tatsächlich zwischen DC4 und DC23 sauber aufgebaut und alles geht wieder. Frage: Möchte nun den alten Bridgehead DC3 demnächst rausnehmen - kann ich da einfach die Bridgehead-Funktion deaktivieren und die Sitelinks löschen? Tauchen die dann automatisch beim dann alleinigen Bridgehead DC4 auf? Kommt die Datenbank hier nicht irgendwie durcheinander? Wer hat hier Erfahrungen und kann mir weiterhelfen? Danke schomal. Oli

ok. Danke, das ist ein guter Hinweis. Das heißt aber ja für eine AD-Struktur mit ca. 20 Standorten und auch 20 Domaincontrollern, dass ich sowas immer nur dann im Log des entsprechenden DCs sehe, wo es geändert wurde. Richtig? Oli

Hallo, kann ich irgendwie herausfinden, wer ein Objekt verändert hat, wie zB User in eine Gruppe hinzufügen? Via ADSI-Edit sehe ich ja zB, wann das Objekt zuletzt verändert wurde. Mich würde aber auch interessieren, wer an einem Objekt Änderungen durchgeführt hat. Danke schonmal Oli

Hallo, ich suche nach einer Möglichkeit, wie ich per Script NTFS Berechtigungen anpassen kann. Wir haben auf einem Server eine Freigabe die lautet home$. Darunter die User-Shares à la vorname.nachname. Derzeit hat auf die Usershares die Gruppe "JEDER" Vollzugriff. Diese soll rausfliegen und jeder User nur auf sein VZ entsprechend berechtigt werden. Kann ich irgendwie automatisiert einen User entsprechend nur bei seinem Ordner in die ACL eintragen? Danke und Gruß Oli

Wirklich -zig-fach gecheckt. Es steht drin: 1. Festplatte (SATA) 2. CD-Rom 3. USB Leider lässt sich USB nicht deaktivieren - bzw. ich dachte eigentlich, dass ich das mit "Wechseldatenträger booten deaktivieren" erschlagen könnte - aber geht wie gesagt auch nicht.

habe ein Problem mit einem HP OfficeJet 7400. Dieses ist lokal über USB am PC (HP dc5100) angeschlossen. Beide Geräte sind neu. Betriebssystem ist WindowsXP, SP2. Wenn das All-in-One per USB eingesteckt ist, startet der Rechner nicht, sd. zeigt nur "Disk error" an. Stecke ich das USB-Kabel aus, läuft Windows korrekt hoch. Sobald dann der Windows Startbildschirm erscheint kann ich das Kabel wieder einstecken und wenn das Bertriebssystem geladen ist funktioniert das Gerät auch einwandfrei. Am PC habe ich bereis eine aktuelles BIOS-Version eingespielt. Im Bios selbst wird neben der 40 GB Festplatte auch das HP Officejet als 0 MB Festplatte angezeigt. Ich vermute mal, dass das von dem integrierten Cardreader kommt. Sämtliche Einstellungen im BIOS, wie zB dass die Platte zuerst booten soll oder dass das Booten von Wechseldatenträgern nicht erlaubt ist, haben keine Änderung gebracht. Auch das Gerät ausschalten bringt keine Lösung. Langsam weiß ich nichts mehr... Wer kann mir helfen?

Bin wieder an dem Thema dran. Vielleicht bekomme ich es mit etwas Aufwand doch mit dem Tool "pewa" hin. Ich kann mir das Ganze ja in eine Textdatei schreiben lassen - dann bekomme ich als Ausgabe folgenden Inhalt: ******************************************** ******************************************** Total of NT user accounts enumerated: 1234 ExpAcct: hans.mustermann ExpAcct: franz.mueller ExpAcct: dieter.maier ExpAcct: hugo.schulze Total of NT accounts expiring within 7 days: 4] Für alle enthaltenen Personen möchte ich nun mit einem SMTP-Tool eine Mail generieren, die den User auf den Ablauf des Kennwortes hinweist. Konkret heißt dass: Ich will alle enthaltenen Namen auslesen und ein "@Firma.de" anfügen und dann per SMTP-Tool eine Mail versenden. Wie bekomme ich die Namen hier raus? Dachte da an FIND bzw. FINDSTR Doch der Ausdruck "ExpAcct: " zu Beginn jeder Zeile sollte ja nachher rausfliegen. Wer kann mir weiterhelfen?

GPMC kenne ich - ich meine aber hier speziell Zugriffe auf Fileserver! Oli

würde gerne "auf Knopfdruck" wissen, wer auf einen speziellen Ordner alles Zugriff hat. Tools wie AccessEnum oder SomarSoft kenne ich, ich hätte aber gerne die Möglichkeit - direkt zu sehen, dass zB auf das Verzeichnis "XY" Herr Maier und Herr Schulze Zugriff haben - also nicht irgendwelche Gruppen, wo ich dann anschließend wieder nachschauen muss, wer in den Gruppen jeweils din ist. Kennt jemand eine Möglichkeit? Schön wäre auch, wenn man folgendes prüfen könnte "Worauf hat Herr Müller überall Zugriff" Gibt es so was? Olifant

Habe mir das Tool mal angesehen. Wäre eigentlich genau dass, was ich suche. Leider lassen sich zwei Dinge allerdings für mich nicht damit lösen: 1. Wenn ich es recht sehe, wird für die Mail/SMS-Generierung ein Exchange-Konto benötigt (wir haben aber Lotus Domino/Notes) 2. Würde ich die Abfrage gerne auf bestimmte Gruppen anwenden und nicht auf alle User der Domain. Jemand noch eine Idee? Oli

Ja, das hört sich sehr gut an! Kann es sein, dass das Tool nur im Exchange-Resource Kit enthalten ist? Habe ich nämlich leider nicht verfügbar. Oder gibt es dieses Tool auch irgendwo for free? Olifant

Hallo! Ich möchte gerne einen User in einer W2k-Domain vorher per Mail benachrichtigen, dass sein Passwort abläuft. Müsste doch irgendwie mit "net user /domain" zu machen sein. Wer hat eine Idee`? Olifant

irgendwie betreiben wir unseren MS-Cluster immer noch mit Windows 2000 Advanced Server, SP2. Wir wollen jetzt endlich mal auf SP4 updaten. Gibt es etwas besonderes zu beachten oder sollte das sich ähnlich verhalten wie auf dem "normalen" Windows 2000 Servern? Danke für Info's. Olifant