Jump to content

catao

Members
  • Content Count

    203
  • Joined

  • Last visited

Community Reputation

10 Neutral

About catao

  • Rank
    Member
  • Birthday 07/04/1976
  1. Das ist direkt die Kundenanforderung. Klingt komisch, ist aber so.
  2. Nur ganz ausgewählte Admins sollen sich zu Wartungszwecken am Server anmelden können und alle anderen eben nicht. Die genaue Anforderung wurde mir so mit auf dem Weg gegeben: Es gibt zwei Server, an die sich eine noch zu definierenden Benutzergruppe nur mittels SmartCard anmelden kann. Oder es müssen sich alle Benutzer mittels SmartCard anmelden, bis auf Benutzer, die in einer bestimmten Benutzergruppe enthalten sind, welche sich mit Ihrem Usernamen und Passwort anmelden können. Wunschvorstellung ist die, dass eine Benutzergruppe nur mittels SmartCard und eine andere sich mit Usernamen und Passwort anmelden kann. Alle anderen User können sich nicht an diesen Servern anmelden. Nein, es gibt für die ausgewählten Admins eine ganz eigene Gruppe.
  3. Hi Jan, ja, bei dem Punkt "Interactive logon: Require smart card", handelt es sich um ein Computer-Scope. Mein Gedanke war, wenn ich Loopback auf Replace setze und mit einer extra Admingruppe arbeite, ich dann "hintenrum" doch zum Ziel komme. Komisch ist, dass ich gestern einmal einen Zustand erreicht habe, in dem ich mit dem "normalen" User nur mit SmartCard anmelden konnte und mit einem User, aus der Admingruppe, zwischen Passwort und Smartcard wählen konnte. Ich weiß noch, dass ich dann noch etwas geändert habe, nur bekomme ich nicht mehr genau zusammen was bzw. wie der vermeintlich funktionierende Zustand war. :/
  4. Hallo Zusammen, ich habe eine GPO, in der ich die Anmeldung (für alle Server, in der OU) nur mittels einer Smartcard erlauben darf. Das funktioniert auch, jedoch gibt es eine bestimmte Admingruppe, welche sich weiterhin mit Benutzernamen und Passwort anmelden soll. In der GPO Delegation habe ich hierzu dieser Admingruppe den Punkt "Apply group policy" auf Deny gesetzt. Mein Problem ist, dass ich eine Anmeldung ohne Smartcard nicht hin bekomme. Den Weg, die Authentifizierte User zu löschen und nur einer bestimmten Usergruppe das Recht "Apply group policy" zu geben, hat mich auch nicht zum Ziel gebracht. Wollte zumindest so testen, ob der Weg funktioniert, in dem ich einer Gruppe das Recht auf die GPO gebe und der anderen verweigere. Nur auch das klappt nicht. Eine andere Idee war, dass ich zwei GPOs anlege/verlinke. In der ersten setze ich die Smartcard Anmeldung auf enable und in der zweiten auf disabled. Von der Priorität die SmartCard vor der Admin GPO und dann wechselseitig die Berechtigungen setzen/verbieten. Das hat leider auch nicht geklappt. Ich habe das Problem, dass entweder nur SmartCard-Authentifizierung möglich ist oder die nach Benutzernamen und Kennwort gefragt wird. Das entweder/oder, in Verbindung mit der Gruppenzugehörigkeit, will nicht funktionieren. Die Frage ist, wo habe ich einen Gedankenfehler? Tausend Dank schon mal im Voraus.  Viele Grüße Sascha
  5. Es geht um die Trennung von meinem eigenen AD-Account und einem (lokalen) Benutzeraccount. Über letzteren arbeite ich für meinen eigentlichen Brötchengeber. So habe ich die Outlook-Profile, Daten etc. sauber voneinander getrennt (war auch Vorgabe). Weitere Gründe würden an dieser Stelle zu weit ins Detail gehen...
  6. Habe jetzt für mich einen Workaround gefunden, der bei allen bisherigen Tests funktioniert hat. Folgendes habe ich hierbei gemacht: "Computerkonfiguration\Administrative Vorlagen\System\Anmelden\Lokale Benutzer auf Computern, die der Domäne angehören, auflisten." [Aktiv] In der GPO habe ich Computer- und Benutzerkonfiguration jeweils unterhalb von "Windows-Einstellungen\Scripts" bei Herunterfahren rsp. Abmelden folgendes gesetzt: C:\Windows\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnDisplayName /t REG_SZ /d "Benutzer der Domäne" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnSAMUser /t REG_SZ /d "Domain\Benutzer" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnUser /t REG_SZ /d "Domain\Benutzer" /f DD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnProvider /t REG_SZ /d "{ }" /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v LastLoggedOnUserSID /t REG_SZ /d " " /f ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI /v SelectedUserSID /t REG_SZ /d " " /f LastLoggedOnProvider, LastLoggedOnUserSID und SelectedUserSID habe ich mir aus der Registry geholt, als ich mit dem betreffenden AD-Benutzer angemeldet war. Ob es vielleicht noch einen besseren Weg gibt, kann gut sein, nur ist dieser der einzige den ich aktuell ausmachen konnte und der zudem funktioniert. Vielleicht hilft das ja auch mal jemanden von euch.
  7. Mit der GPO-Rule "Computerkonfiguration\Administrative Vorlagen\System\Anmelden\Lokale Benutzer auf Computern, die der Domäne angehören, auflisten." bin ich schon weitergekommen. Nun werden alle lokalen Benutzer angezeigt. Auch mein AD-Benutzer wird angezeigt, jedoch nur dann, wenn ich mich als letztes mit diesem Account angemeldet habe. Nehme ich einen lokalen Benutzer, wird der AD-User nicht mehr angezeigt und muss wieder manuell eingegeben werden.
  8. Die GPO habe ich auf dem DC schon geprüft, wobei ich auf den ersten Blick nichts finden konnte, was dem gewünschten Ziel im Wege stehen könnte. Gibt es eine Möglichkeit trotz AD-Memeber die Benutzerauswahl zu realisieren?
  9. Guten Morgen Zusammen Habe bei meinem Notebook mehrere lokale Benutzer angelegt und zudem ist es in der AD angemeldet. Wenn ich jetzt den Anmeldebildschirm habe, wird mir immer nur der letzte angemeldete Benutzer (lokal oder AD-Benutzer) angezeigt. Bei meinem Surface habe ich auch mehrere Benutzer angelegt, die mir bei der Anmeldung auch zur Auswahl angezeigt werden. Hier muss ich aber sagen, dass das nicht in der AD angemeldet ist. Ob dieser Unterschied für das "Problem" verantwortlich ist, weiß ich nicht. Es ist sicherlich kein Problem den entsprechenden Benutzer manuell immer einzugeben, jedoch ist es etwas nervig. Alles was ich in Verbindung "Multiple User on Startup/Sign-In Screen" finden konnte, bin ich schon durchgegangen. Userswitch ist auf enable=1, die GPO habe ich kontrolliert und so weiter. Auch habe den Weg versucht über "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" und dort die Benutzernamen aufzuführen, jedoch brachte mich das nicht weiter. Hat jemand eine Idee, wie ich alle angelegten Benutzer bein Anmeldebildschirm sehe und auswählen kann? Tausend Dank schon mal im Voraus. Viele Grüße Sascha
  10. Danke schon mal für eure Anregungen. Der Adobe Reader ist wie bei so vielen Umgebungen, wie auch in dieser gesetzt. Die Isolierung der Treiber bin ich durch durchgegangen, ohne Erfolg. Die Druckertreiber selbst sind über den Druckserver/Treiber installiert worden. Druckerprobleme, in Verbindung mit den RDS kenne ich eigentlich eher aus XenApp Umgebungen, wobei sich das auch schon "verbessert" hat. Die lokale Druckerinstallation werde ich einmal testen...
  11. Hallo Jan, auf dem Server sind neben UTAX auch Keyocara (ist im Kern ja identisch) "Universal Printing System (UTAX/TA)" bzw. "KX Driver for Universal Printing" oder Konica " Konica Minolta Universal PCL" aber auch HP, Brother Drucker installiert. Es ist absolut gleich, über welchen Drucker gedruckt wird oder welcher beim Benutzer als Standarddrucker hinterlegt ist. Ist schon verwunderlich. Wenn es bei einem Drucker langsam ist okay, aber bei allen?? Viele Grüße Sascha Ps. Es sind die x86 und x64 Druckertreiber installiert worden.....
  12. Hallo Zusammen, ich habe einen Windows 2016 Server, (AD und File-Server...) auf dem etwa 12 Drucker (UDP-Treiber) installiert und freigegeben sind und einen Terminalserver 2012. Die Drucker werden via LoginScript in die User Session gemappt, was auch problemlos funktioniert. Das Problem ist jedoch, dass es beispielsweise beim Adobe Reader lange dauert, bis der Druckdialog überhaupt angezeigt wird - nachdem man auf drucken gegangen ist. Klickt man einfach auf OK bzw. hat zuvor den betreffenden Drucker ausgewählt, dann dauert es selbst bei einer Seite bis zu 20 Sekunden, bis der nachfolgende Druckdialog weg ist und der Drucker druckt. In den Druckereinstellungen habe ich die Option "Druck auf Client....." schon herausgenommen, jedoch ohne das es eine Änderung brachte. Es gibt Arbeitsplätze die drucken 500-600 Belege pro Tag und da ist es enorm nervig, wenn es zu solchen langen Wartezeiten kommt. Was zudem sehr merkwürdig ist, ist der Umstand das spez. bei einem Drucker die Schachtauswahl (Fach 2) immer über den 1. Schacht druckt (selbst wenn man zuvor über die Eigenschaften die Einstellungen kontrolliert hat). Die UTAX UDP-Druckertreiber sind aktuell. Insgesamt ist der Drucker 3 mal im System (Schacht 1, Schacht 2 und Schacht 3). Irgendwas läuft da schief... Komisch ist, es gibt noch einen alten Terminalserver (2008), auf dem die Drucker direkt installiert sind und da gibt es diese Probleme (Geschwindigkeit & Schachtansteuerung) nicht. Hat jemand von euch ganz spontan eine Idee? Viele Grüße und 10000 Dank schon einmal im Voraus Sascha
  13. @lefg Die Festplatte wurde mit mehreren Tools geprüft, ohne das Auffälligkeiten angezeigt wurden. Staubsauger und Co kann ich natürlich nicht ausschließen. Mit den Windows Boradmitteln habe ich die HDD auch schon einmal überprüfen lassen. Klar könnte es die Platte oder ein Schuss auf dem SATA-Bus vorhanden sein. Wenn es neben dem wiederkehrenden Profil Problemen auch noch andere Störungen aufgekommen wären, hätte ich hier schon intensiver geschaut. Bin mit den Tools von Tool House über die Hardware gegangen, nur war hier auch alles in Ordnung. Klar der Teufel ist ein Eichhörnchen .... nichts ist unmöglich .... @Esta Das mit dem Schnellstart muss ich mir morgen einmal anschauen. Die fehlerhaften Profile wurden gelöscht (inkl. auf Fileebene). Was die SID angeht, müsste ich jetzt lügen. Laut Kunde wurde zuvor nichts (de)installiert.
  14. Das es an der Installationsquelle liegen könnte kann ich nicht so recht glauben, da ja im Kern schon von zwei unterschiedlichen Quellen installiert wurde.
×
×
  • Create New...