Vestax

Hallo zusammen,

 

ich möchte gerne vom Alias nur die letzten beiden Buchstaben für die E-Mailadressrichtlinie setzen.

 

Die ersten beiden Buchstaben zum Beispiel sind ja kein Thema: %2m@domain.com

 

%-2m@domain.com klappt zumindest schon mal nicht.

 

Hat da jemand eine Idee?

 

Danke und Gruß!

Zur Info; Das ist so leider nicht möglich. Es geht nur über die normalen Credentials (Username und Kennwort), nicht über die Smartcard/PIN

 

Quelle: How to enable Single Sign-On for my Terminal Server connections - Remote Desktop Services (Terminal Services) Team Blog - Site Home - MSDN Blogs

 

[...]

 

Can the user get Single Sign-On experience when logging on using a Smart Card?

 

No. Unfortunately if a Smart Card is used to log on locally to the machine, these credentials cannot be used for Single Sign-On. Please also note that you cannot save Smart Card credentials in TS connections either.

 

[...]

 

Schade! :(

Hallo,

 

ich möchte gerne mit einem Windows 7 Embedded folgendes Szenario herstellen:

 

Benutzer meldet sich per Smartcard am Windows 7 Embedded System an, daraufhin startet per Logon-Skript eine RDP-Datei, die eine Verbindung zu einem Windows 7 Enterprise herstellt. Nun soll per SSO die gerade eben eingegebenen Anmeldedaten an die RDP-Session-Anmeldung übergeben werden, sodass der Anwender nicht nochmals seine Credentials eingeben muss.

 

In de lokalen GPO-Einstellungen des Embedded Clients habe ich die Deligierung der Anmeldeinformationen bereits mit dem passenden Einträgen erlaubt. Trotzdem will es nicht so recht! Muss ich ggf. auch diese RDP-Datei irgendwie signieren. Vor der Anmeldung kommt nämlich immer der Warnhinweis, dass die RDP-Datei von einem Unbekannten Herausgeber stammt

 

Ist das so überhaupt mit Windows 7 Enterprise machbar?

 

Gruß,

Vestax

Hallo,

 

ich habe einen Windows 2008 R2 Server in eine VHD installiert und von dieser gestartet.

Dann habe ich die Hyper-V Rolle installiert, was auch ohne Probleme ging.

Wenn ich nun einen neu erstellten virtuellen Computer starten will, erscheint diese Fehlermeldung:

 

[Window Title]

Hyper-V-Manager

 

[Main Instruction]

Fehler beim Versuch, die ausgewählten virtuellen Computer zu starten.

 

[Content]

"Windows 2008 R2 Referenz": Fehler beim Initialisieren.

 

[Expanded Information]

"Windows 2008 R2 Referenz": Fehler beim Initialisieren (ID des virtuellen Computers: A0E7C794-AC8F-4849-9CE7-328E559809CF).

 

[V] Details einblenden [schließen]

 

Meine Frage, geht das überhaupt so?

 

Gruß

Vestax

Danke für die Aufklärung. Wer lesen kann, ist klar im Vorteil... ;)

Danke für den Hinweis. Nur verstehe ich nicht, weshalb die ACL-Einträge bestehen bleiben, obwohl das AdminCount-Flag auf 1 gesetzt ist.

 

Müssten dann nicht die ACL-Einträge des Benutzerkontos, dessen AdminCount-Flag auf 1 gesetzt ist, auf die ACL-Einträge, die unter AdminSDHolder gesetzt sind, spätestens nach einer Stunde zurückgesetzt werden?

 

Das passiert aber nicht. Oder ist es dem AD egal, ob der Benutzer das Flag gesetzt hat, sobald dieser aus einer der geschützten Gruppen herausgenommen wird?

Hallo,

 

ich habe hier mehrere Benutzer, bei denen das Flag AdminCount auf 1 gesetzt ist. Ist ja an sich auch nicht schlimm, nur ist bei denen auch die Vererbung EINgeschaltet.

 

Normalerweise ging ich davon aus, dass durch den AdminSDHolder bei allen Gruppen und Accounts die ACLs auf die dort konfigurierten Einträge gesetzt werden, inkl. der Ausschaltung der Vererbung.

 

Ich habe jetzt auch mehr als eine Stunde gewartet, die ACL-Einträge bleiben identisch.

 

Was stimmt da nicht?

 

Danke und Gruß!

Danke für eure Antworten!

 

Das bedeutet, wenn ich folgende Einstellung wähle, werden die Drucker automatisch nach einer Prüfung rausgeschmissen:

 

GPO Einstellung: Prune printers that are not automatically republished -> Enable -> Whenever printer is not found

 

MSFT schlägt aber in den genannten Knowledge-Artikel diese Einstellung nicht zu machen. Hat das einen bestimmten Grund?

OK, danke für die Info. Aber was mache ich mit dem Rest, der nach dem Großteil kommt... ;)

Danke für die Info, dann habe ich da etwas mehr Klarheit.

 

Wie bereite ich mich denn auf die 70-659 am besten vor. So wie ich das sehe, gibt es keinerlei Kursmaterial (Buch, CD etc.)

 

Oder kann ich weiterhin das Buch für die 70-652 verwenden?

Hallo,

 

ich wollte mich gerade zu der 70-403 anmelden, konnte ich aber nicht. Prometric bietet die Prüfung einfach nicht an.

 

Ich habe gehört, dass diese nicht mehr existiert. Könnte natürlich dann der Grund sein, dass ich sie bei Prometric nicht mehr auswählen kann.

 

Stimmt das? Gibt es Alternativen?

 

Danke und Gruß

Hallo,

 

ich habe ein kleines Skript geschrieben, welches eine Textdatei mit den vorhandenen GPO-Namen einlesen soll und dann die GPOs an eine OU zuweisen soll.

So ganz klappt das leider noch nicht. Es wird immer nur der letzte GPO Eintrag der Textdatei an die OU verlinkt.

 

Der Code sieht so aus:

 

Const ForReading = 1, ForWrite = 2, ForAppend = 8 
' Oblects And Varibles 
Dim Act :Set Act = CreateObject("Wscript.Shell") 
Dim Fso :Set Fso = CreateObject("Scripting.FileSystemObject") 
Dim Wmi :Set Wmi = GetObject("winmgmts:\\.\root\cimv2") 
Dim i, Obj, strText, Results1,Results2, Ts 
'-> Check For gpo.txt 
 If Fso.FileExists(Fso.GetParentFolderName(WScript.ScriptFullName) & "\gpo.txt") Then 
'-> Process The Text File With The Server Information 
  Set Ts = Fso.OpenTextFile("gpo.txt", ForReading) 
       strText = Ts.ReadAll 
       Ts.Close 
'-> Loop One Process The gpo.txt 
    For Each i In Split(strText, vbCrLf) 

	Set objContainer = GetObject _ 
		("LDAP://ou=Test,dc=contoso,dc=internal") 
	strGPODisplayName = i 

	strNewGPLink = "[" & GetGPOADsPath & ";" & strGPOLinkOptions & "]" 
	objContainer.Put "gPLink", strExistingGPLink & strNewGPLink 
	objContainer.Put "gPOptions", "0" 
	objContainer.SetInfo 
Next 
End If 

Function GetGPOADsPath 
   Set objConnection = CreateObject("ADODB.Connection")   
   objConnection.Open "Provider=ADsDSOObject;"   

   Set objCommand = CreateObject("ADODB.Command") 
   objCommand.ActiveConnection = objConnection 
   objCommand.CommandText = _ 
     "<LDAP://cn=Policies,cn=System,dc=contoso,dc=internal>;;" & _ 
         "distinguishedName,displayName;onelevel" 

   Set objRecordSet = objCommand.Execute 
   Do Until objRecordSet.EOF 
'MsgBox strGPODisplayName 
       If objRecordSet.Fields("displayName") = strGPODisplayName Then 
         GetGPOADsPath = "LDAP://" & objRecordSet.Fields("distinguishedName") 

         objConnection.Close 
         Exit Function 
       End If 
       objRecordSet.MoveNext 
   Loop 
   objConnection.Close 
End Function

 

hat jemand eine Idee? Ich vermute, der Loop funktioniert noch nicht so richtig..

 

Danke und Gruß!

Danke für die Anwort! GPOs bleiben also. Wie sieht es mit der Delegierung aus?

 

Leider kann ich nicht so schnell eine Test-OU erstellen, da muss ich erst an den Provider herantreten, der leider nicht sehr offen ist für solche Tests...

 

Eine Kons gibt es aktuell leider auch nicht.

Hallo,

 

ich muss einige OU-Objekte verschieben, an denen teilweise Gruppenrichtlinien verknüpft sind und Delegationen drauf hängen.

 

Werden diese mitverschoben, wenn ich die OU verschiebe, oder muss ich die Verknüpfung der Gruppenrichtlinien und die Delegationen neu erstellen?

 

Vielen Dank und Gruß

Hallo,

 

ich bin auf der Suche nach einer Möglichkeit alte Druckerobjekte, die über einen Windows 2003 Druckerserver im Active Directory veröffentlich sind, zu finden. Hintergrund ist, ich möchte veraltete (älter als ein Jahr) Druckerobjekte aus dem AD löschen.

 

Gibt es da eine Möglichkeit? Evtl. über csvde o.ä.?

 

Vielen Dank und Gruß!

Hallo,

 

gibt es per WSH eine Möglichkeit leere OUs einer Domäne herauszusuchen?

 

Ich habe dieses Script dazu gefunden:

 

Option Explicit

 

Dim adoCommand, adoConnection, strBase, strFilter, strAttributes

Dim objRootDSE, strDNSDomain, strQuery, adoRecordset, strADsPath

Dim objOU, lngCount, objChild

 

' Setup ADO objects.

Set adoCommand = CreateObject("ADODB.Command")

Set adoConnection = CreateObject("ADODB.Connection")

adoConnection.Provider = "ADsDSOObject"

adoConnection.Open "Active Directory Provider"

Set adoCommand.ActiveConnection = adoConnection

 

' Search entire Active Directory domain.

Set objRootDSE = GetObject("LDAP://RootDSE")

strDNSDomain = objRootDSE.Get("defaultNamingContext")

strBase = "<LDAP://" & strDNSDomain & ">"

 

' Filter on all OU objects.

strFilter = "(objectCategory=organizationalUnit)"

 

' Comma delimited list of attribute values to retrieve.

strAttributes = "ADsPath"

 

' Construct the LDAP syntax query.

strQuery = strBase & ";" & strFilter & ";" & strAttributes & ";subtree"

adoCommand.CommandText = strQuery

adoCommand.Properties("Page Size") = 100

adoCommand.Properties("Timeout") = 30

adoCommand.Properties("Cache Results") = False

 

' Run the query.

Set adoRecordset = adoCommand.Execute

 

' Enumerate the resulting recordset.

Wscript.Echo "Empty organizational Units:"

Do Until adoRecordset.EOF

' Retrieve values.

strADsPath = adoRecordset.Fields("ADsPath").Value

' Bind to the OU object.

Set objOU = GetObject(strADsPath)

' Check if empty.

lngCount = 0

For Each objChild In objOU

lngCount = lngCount + 1

Exit For

Next

If (lngCount = 0) Then

Wscript.Echo objOU.distinguishedName

End If

' Move to the next record in the recordset.

adoRecordset.MoveNext

Loop

 

' Clean up.

adoRecordset.Close

adoConnection.Close

 

 

An sich funktioniert das schon ganz gut. Es wäre genial, wenn dann nur die erste (Parent-)OU ausgegeben wird, wenn sich mehrere leere OUs unterhalb davon befinden.

 

Kann mir da einer weiterhelfen?

 

Vielen Dank! :)

Hi,

 

danke für eure Antworten! :)

 

Das mit der GPO für die Computer kenne ich, danke für den Tipp!

 

Ich dachte nur, man kann das auch irgendwie für die Benutzer machen.

 

Zum Verständnis, das Flag "sitzt" sozusagen direkt im AD und kann also nicht per GPO manipuliert werden, richtig?

 

Hat der Benutzer ein bestimmtes Flag, so steht das also nicht in der Registry sondern ist im AD gespeichert?!

Hallo,

 

ist es möglich per GPO einem Benutzer ein bestimmtes AD-User-Account-Control Flag zu setzen? Zum Beispiel "Smartcard Login erforderlich"?

 

Theoretisch sollte das ja nicht möglich sein, weil die GPO für den Benutzer ja erst beim Anmelden greift. Oder?

 

Danke und Gruß!

Danke für die schnelle Antwort. Du hast recht, es hat einfach ein paar Tage gedauert. Der Titel ist nun gelistet! Alles gut also! :)

Habe jetzt dazu noch eine Frage. Und zwar habe ich die Prüfungen 70-648, 70-643. 70-647 und 70-680 abgelegt (auch in dieser Reihenfolge).

 

Die Prüfungen erscheinen zwar auch alle auf dem Transcript und ich kann auch fast alle Zertifikate dafür herunterladen (außer für die PRO-Prüfung 70-647), aber ich habe nicht den Titel MCITP:EA.

 

Ich kann auch kein entsprechendes Logo erstellen, o.ä.

 

Weiß jemand woran das liegt? Habe ich eine Prüfung übersehen, oder ist meine Reihenfolge falsch gewesen? Was läuft hier falsch?

 

Danke und Gruß

Vestax

Scheint nicht so trivial zu sein...

 

Hat das noch nie einer gemacht? Oder vielleicht eine Idee, wie man anfangen könnte? Ich vermute, wie gesagt, dass die Authentifizierung nicht klappt. Müsste ich evtl. dem Apache erst noch z.B. Kerberos beibringen?

Im Moment lade ich einfach eine REG-Datei per Login-Script. Hab dazu den Reg-Wert exportiert.

 

Man könnte zwar per reg.exe query "HKEY_CURRENT_USER\Control Panel\Desktop" /v "ForegroundLockTimeout" den aktuellen Wert abfragen, nur weiß ich nicht, wie ich sagen kann; wenn der gefundene Wert ungleich 00000000 ist, dann setze ihn 00000000, ansonsten tue nichts. Aber vielleicht weißt das jemand anderes ja?!

 

Konkret sieht der Eintrag gerade so aus:

 

regedit /s %logonserver%\netlogon\windowinfocus.reg

 

Die Reg-Datei so:

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ForegroundLockTimeout"=dword:00000000

Bei mir funktioniert folgender Tipp 1 aus dem Microsoft Windows Forum. Der Vollständigkeit halber habe ich den zweiten Tipp mit reingesetzt. Es reicht, wenn der Benutzer sich einmal ab- und wieder anmeldet. Ich habe am Login-Script geschraubt, das bei einem Login eines Benutzers diesen Wert setzt. Adresse zum Forumsbeitrag: windows 7 (x64 pro) window focus issues:when i open a - Microsoft Answers

 

Fix:

 

Follow the steps below:

 

 

 

1. Open Start >> Run and type “regedit” (without quotes)

 

2. Navigate to the following path:

 

[HKEY_CURRENT_USER\Control Panel\Desktop]

 

3. Right Click on the empty space and create a new DWORD value, or modify the existing value named ‘ForegroundLockTimeout’, set or modify the value to 0. (this value will cause the application to take the focus instantly.)

 

4. That’s it Done, exit registry and restart windows for changes to come into effect.

 

Fix number 2

 

TIP: You can also set the registry keys to auto focus for a windows where you drag your mouse. Follow the procedure below

 

1. Open Registry Edit as explained above, Navigate to the following path in the registry:

 

<tt>[HKEY_CURRENT_USER/Control Panel/Mouse/ActiveWindowTracking</tt> ]

 

2. Set the value to 1

Hallo,

 

ist es möglich einen RD-Gateway über einen Apache Reverse Proxy zu veröffentlichen? Und falls ja, was muss ich dafür tun.

 

Ich habe bereits einen OWA 2003 über einen Reverse Proxy veröffentlicht. Und ich glaube, der Zugriff auf das Gateway an sich funktioniert irgendwie, nur die Authentifizierung nicht.

 

Ich konnte die WebApp-Applikation veröffentlichen, d.h. man kommt mittels https://servername/rdweb auf die Anmeldeseite und ich sehe auch die veröffentlichen Apps, leider erscheint jedoch immer die Fehlermeldung "Computer wurde nicht gefunden". Ich vemute, das liegt daran, dass das Gateway nicht gefunden wird.

 

Hat das schon mal einer gemacht? Irgendwelche Tipps?

 

Danke und Gruß!

Hallo,

 

danke für Deine Antwort. Ja, das SP1 ist installiert. Der Server ist updatemäßig auf dem neusten Stand.