Mag

Damit meine ich eine Grundlage wie z.B. ein OEM Betriebssystem, dass man als Grundlage unter einer Volumenlizenz Windows 7 Upgrade benötigt, damit es lizenzrechtlich sauber ist.

Wir konnten früher etwas kaufen das hieß Basis-Betriebssystemlizenz. Ich bin mit dem Thema nicht 100% vertraut, da es eigentlich nicht zu meiner Aufgabe gehört, aber nun eine Lösung brauche.

Daher muss ich hier um Aufklärung bitten.

Hallo zusammen. Ich bin aktuell etwas verwirrt über die Konstellation, wie man das Paket aus Windows 7 (Upgrade) mit SA mit einer nötigen Basislizenz legalisiert.

Bis letztes Jahrt konnte man eine "Basislizenz" für knapp 50 € für jeden PC kaufen, die nicht übertragbar war, d.h. für jeden PC immer neu.

Nun gibt es diese Möglichkeit nicht mehr ?! Zumindest bei unserem Partner oder ist das generell so?

Nun stehen uns irgendwie nur noch Möglichkeiten zur Verfügung die weitaus teurer sind. Was gibt es denn noch für Basislizenzen für unseren Fall? Oder bin ich nur falsch informiert worden?

Danke im voraus.

Grüße

Mag

Je nach Anzahl der CPUs in deinem Server, kannst du auch über die Datacenter Edition nachdenken. Wenn du alle deine CPUs lizenzierst brauchst du dir keine Gedanken mehr über die Anzahl der VMs machen. So machen wir das.

Hailo zusammen,

heute haben wir bei uns einen nicht konstante Zustand bei der Berechtigungen in unserer AD festgestellt.

Aufgefallen ist der Zustand in den Logfiles, bei Citrix Anmeldungen. Da ich dafür auch nicht verantwortlich bin, wollte ich diesen Teil erstmal ganz weglassen, bis jemand danach fragt.

In der Active Directory nutzen wir "InetOrgPerson" als Kontentyp (wurde uns vor 8 Jahren mal empfohlen, spielt denke ich keine Rolle) und bei den meisten fehlt die Berechtigung "Terminalserver-Lizenzserver" lesen + schreiben.

Eigentlich bei allen, die nicht ICH persönlich angelegt habe (außer einem, den ich bisher gefunden habe). Sogar bei Usern die von dem Domain-Admin angelegt sind fehlen diese Haken (und wieder außer bei einem). Auch finde ich keine zeitliche Konstante. Es gibt User von 2008 und 2011 die haben die Haken und 2009 welche, die haben ihn nicht.

Ich muss jetzt mal schauen, ob ich per powershell alle User abfragen kann mit "Besitzer" "Erstelldatum" und "existenz dieser Terminalserver Haken" um eine gemeinsamkeit zu entdecken.

Zur Not müsste ich bei allen Usern dieses Recht hinzufügen.

Hat jemand eine Idee, das gleiche Problem oder Einwände gegen das Setzen dieser Berechtigung?

Im Moment bin ich etwas ratlos.

Danke schonmal und Grüße

Mag

Ja Danke.

Das sind Ideen wie ich sie mir vorgestellt habe. Die Favoriten wäre ja fast genau so zentral nutzbar wie die Bibliotheken.

Wenn sonst noch jemand interessante Ansätze hat ...

Hallo zusammen,

ich weiß dass dies kein Windows 7 Forum ist, aber der Hintergrund meines Anliegens ist eher aus Unternehmenssicht und passt hier hin hoffentlich besser.

Ich war anfangs von den Bibliotheken recht angetan und hoffte, ähnlich bei beim DFS lokal für jeden Anwender einen neuen Einstiegspunkt zu erhalten, von dort ich auf alle möglichen lokalen und entfernten Speicherorte verweisen kann.

Nun fängt es aber an, dass man kein einfaches Mittel hat, Bibliothekeninhalte per GPO zu verteilen und das Ordner zwingend indiziert sein müssen, obwohl ich für TB im Unternehmen und das noch mit unterschiedlichsten Dokumententypen, keinen Sinn sehe, dass nun alle Daten indiziert sein müssen. Als da auch Samba Server wären, die nicht auf Windows beruhen.

Da nun jeder User beim Speicher von Daten immer schön mit der Nase auf die Bibliotheken gestoßen wirtd, hätte ich einen Punkt "Unternehmen" in dem viele Netzwerkshares aufgelistet sind, ohne nun überall noch Windows Search zu installieren. Die Konsquenzen darin sind für mich auch auf Anhieb noch nicht abschätzbar, was z.B. Last angeht.

Nun meine Frage :)

Ist mein Ansatz falsch?! Ist das Designtechnisch nicht so gedacht, wie sorgt ihr dafür, dass eure Anwender der Domäne die vielen Speicherorte alle finden?

PS: einen umgeleiteten "Dokumente" bzw. "Eigene Dateien" Ordner taucht ja auch in den Bibl. auf, aber mit Fehlermeldungen bzgl. des Fehlens einiger Features.

Viele Grüße

Mag

Noch ein kleines Update:

Bei wem die Fehlermeldung auftaucht

Der Querverweis für den angegebenen Namenskontext wurde nicht gefunden

könnte wie ich auf dem falschen Server connected sein. Da hatte doch ein anderer die passende Betriebsmaster Rolle " Domain Naming Master "

Danke für die Info :)

Nach einem Tag Urlaub sollte das nun auch klappen!

Hmmmm :mad:

Mist, das steht da wirklich :D

Sorry, den Punkt hatte ich übersehen. Vielen Dank Yusuf!

Wenn ich es nun richtig mache, weißt er mich zuerst darauf hin, dass ich nicht in der domäne verbunden, in der ich den server löschen möchte (geht ja uch nicht) dann sagt er, das dies der letzte dc der domäne ist. Nach der Bestätigung zum Löschen erscheint:

Das Objekt LDAP:\\hauptdc.domain.de\CN=NTDS Settings, CN=AlterDC,CN=Servers,CN=Standardname...,CN=Sites,CN=Configuration,DC=domain,DC=de konnte aufgrund folgenden Problems nicht gelöscht werden:

Eine referenzauswertung wurde vom server zurückgesendet

Hallo zusammen,

ich wollte mich mit der Anleitung LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen daran machen einen alten DC aus der Gesamtstruktur zu entfernen.

Ich habe das früher auf 2k3 schon einmal gemacht. Den ADBuC kann ich leider nicht benutzen, da es sich nicht nur um einen DC handelt, sondern den letzten DC inkl. einer alten Subdomäne die nicht mehr benötigt wird.

Nun steht in der Anleitung ja geschrieben, dass es auch über AD Standort und -Dienste funktioniert. Allerdings ist die vorgehensweise ein klein wenig anders und ich erhalte am Ende eine Fehlermeldung.

Öffnen ADSuD

rechtsklick auf "alterDC" -> Löschen (NTDS Settings darunter noch vorhanden)

Sicherheitsabfrage -> "JA"

Hinweis "Löschen der Unterstruktur bestätigen:

Objekt "AlterDC" enthälte andere Objekte. Sind Sie sicher ...

Nun kann ich da anhaken "Serversteuerelement "Unterstruktur löschen" verwenden" JA oder Nein, aber es folgt immer folgende Meldung:

Das Containerobjekt "AlterDC" darf nicht gelöscht werden. "AlterDC" enthält Objekte, die den Domänencontroller "AlterDC" und möglicherweise andere Domänencontroller darstellen. Stufen Sie den Domänencontroller mit dem Assistenten zum Installieren von Active Directory (DCPROMO) herab, um diese Objekte zu löschen. Falls die Domänencontroller, die von diesem Objekten darstellt werden, permanent offline sind und mithilfe des Installations-Assistenten für die Active Directory-Domänendienste (DCPROMO) nicht mehr herhabgestuft werden können, müssen die Domänencontroller einzeln nacheinander gelöscht werden.

Muss ich es nun doch lieber über NTDSUTIL erledigen?

Danke schonmal im voraus :/

hey klasse, danke ^^

Kann man es noch irgendwie trimmen, dass er am Ende des Anfügens nicht so viele Zeilenumbrüche anhängt? das sieht so doof in der Log Datei aus :)

Hailo zusammen,

ich bastel gerade an einem kleinen Script und möchte am Ende dessen Ablauf das Änderungsdatum der Datei in ein Log schreiben. Soweit so schlecht, wenn ich mir das Ergebnis in der Shell ansehe, sieht es prima aus. Wenn ich es dann umleite in die log Datei, dann steht da:

L a s t W r i t e T i m e : 0 3 . 0 3 . 2 0 1 1 1 3 : 1 1 : 3 5

So in der Art, falls das hier erkennbar ist. Es sind unzählige Leerzeichen dazwischen. Die Codezeile sieht so aus:

Get-ChildItem datei.txt | fl LastWriteTime >> c:\pfad\log.txt

Wie bekomm ich denn die Zeile ordentlich umgeleitet?

Alle guten Dinge sind 3 :)

NFS Server auf Windows 2008 R2

Wenn man keinen anonymen Zugriff möchte muss man entweder

- ein AD abfragen mit einer Schema-Erweiterung für GIDs/UIDs oder

- einen externen User Name Mapping-Server (z.b. Windows 2003 R2) abfragen

Ich wollte im Moment lieber den anonymen Zugriff. Dann muss man noch folgendes tun

- NFS Freigabe erstellen

- NFS Berechtigung für den Client erstellen

- Lokale Sicherheitsrichtlinie bearbeiten ( Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigung ... aktivieren)

- NTFS Berechtigungen wie gewünscht hinzufügen und gut.

Sollte klappen :)

Nachtrag:

Wie ich nun gelesen habe (Services for NFS Step-by-Step Guide for Windows Server 2008) scheint die Funktion UserNameMapping nicht mehr als Server, sondern nur noch in Client Funktion zur Verfügung zu stehen

Nun kann ich also einen anderen bestehenden Server mit der Funktion nutzen oder ich lasse den unsicheren anonymen Zugriff zu.

Ich entscheide mich zunächst für den Anonymen Zugriff.

Nun bin ich nach dieser Anleitung (Mounting NFS share on NFS client - Services for UNIX - Interoperability - Site Home - MSDN Blogs) vorgegangen, allerdings sieht der 2. Screenshot bei mir anders aus. Bei mir erscheint nicht (everyone) hinter dem Servernamen. Mache ich dann etwas falsch oder stimmt dieses Bild einfach nir ei 2008 R2?!

Wenn das jemand bei sich nachschauen könnte, wäre ich sehr dankbar.

Du hast also verschiedene "AD Standorte" in der Domäne und darüber lässt du entscheiden welches Programm startet?!

Warum nicht einfach über eine Gruppenzugehörigkeit der versch. Orte/Häuser?

Hallo Leute,

Ich hatte einen 2003 R2 Server mit nfs am Laufen, auf den ich von Unix aus Dateien kopiert hatte. Nun ist das 2003 dem 2008 R2 gewischen und ich hab ein kleines Problem mit dem User Name Mapping oder zu deutsch Benutzerkontenzuordnung. Ich habe vermeindlich alles installiert was zum NFS Server gehört, aber in der GUI erscheint eben dieser Punkt nicht.

Nun ist die Frage, habe ich vergessen etwas zu installieren? Ich habe schon über die GUI (rechtsklick Eigenschaften auf Dienste für NFS) eingestellt dass der lokale Server der Server für die Benutzernamenzuordnung ist und über die Kommandozeile (nfsadmin mapping localhost config mapLookup=yes mapsvr=localhost). Aber ... der Punkt will nicht erscheinen.

Eigentlich würde mir ja reichen, dass ich eine IP zulassen kann ohne dieses UID Mapping. Ich fand das damals schon als zuiemliche Fummelei. Kann aber s ein, dass mir die richtige Anleitung fehlte.

Wenn ich im Moment das nfs vom Unix mounte klappt es, aber beim Zugreifen auf den Ordner kommt "i/o error"

In der MS Doku stand auch npoch etwas von einer maphost Datei, die ich aber ums verrecken nicht finde ...

Hat jemand ne Idee? :suspect:

Vielen Dank für die Anregungen. Ich werde das mit dem GPP nochmals überdenken.

Wir hatten uns damals beim Ausrollen neuer Drucker für die Skript Variante entschieden. Die Umstellung auf GPP würde auf jeden Fall nochmals einigen Aufwand und Erklärungsarbeit nach sich ziehen, aber das sollte natürlich nicht der Grund sein den Fortschritt auszusperren :)

Danke für den Link, das ist ja genau die Lösung 3. Die habe ich gefunden, ich weiß nur nicht genau was das alles bewirkt.

Microsoft sagt ja selbst dazu in Ihrem KB:

"This ist not recommended, not supported and at your onw risk".... Nicht das ist deshalb nun ängstlich wäre, ich suche nur nach einer guten Lösung, die nicht alle Sicherheitsfeatures, die auch mit UAC einhergehen, wieder zu nichte machen.

Ich wäre also begeistert, wenn du mir sagen könntest, was genau das bewirkt :) positiv wie negativ.

Ah, doch was vergessen. Mist :)

Die User sind teilweise Admin, das lässt sich nicht immer ausschließen, leider.

Ich habe irgendwo gelesen, dass das Problem nur als lokaler Admin auftaucht, beim Nachstellen gestern, war das aber nicht der Fall ?!

Hallo Leute,

ich bin mir nicht sicher, wie man mit folgendem Problem umgehen sollte. Es geht natürlich um Skripte via bat (während dem Userlogon an einer Domäne 2008 R2) auf Windows 7 Clients, die bald ausgerollt werden sollen.

Lösung 1: UAC Abschalten.

Das wollen wir eigentlich nicht, UAC bringt ja denke ich ein wenig mehr Sicherheit mit sich.

Lösung 2: Netzlaufwerke per GPO verteilen

Wir waren sehr zufrieden mit unserem Modell, ein zentrales Batch File startet bei jeder Useranmeldung und springt bei veschiedenen Gruppenzugehörigkeiten in Sub-Skripts die dezentral gepflegt werden. Diese greifen dann auch immer, egal wo sich der User in der AD befindet. Bei unserem Modell wäre das bei GPOs nicht drin, da die tiefer in der Struktur ansetzen. Außerdem lässt sich dieses eine zentrale Skript super überklicken, wenn die Struktur etwas gewahrt bleibt.

Lösung 3: EnableLinkedConnections 1

Das war noch eine Lösung, allerdings weiß ich technisch nicht, was das alles bewirkt und hoffe da auf euer Wissen.

Allgemein bleibt die Frage, wie geht ihr mit dem Problem um, falls ihr es schon hattet?! Ich würde ganz gern bei dem Skript bleiben, es war schwer es überall zu etablieren.

Die Suche nach den 3-stelligen Begriffen uac net use bat gehen leider nicht so gut, bzw. sind manche Lösungen ja auch schon bekannt. Also sorry falls es die Frage schonmal gab.

Merci im voraus.

Nochmals Merci!

Ah, vielen Dank für den Ansatz! Das wäre eine Möglichkeit.

Schade ist nur, wenn das Computer erstellen Recht delegiert ist, legen die sich halt auch vorher ****e Namen an ;) Dann müssten wir das machen. Merci!

Hallo,

ich mal wieder. Ich habe schon sehr lange den Wunsch eine Regel zu erstellen, die bei der Aufnahme eines PCs in die Domäne den Computernamen auf eine Norm hin abprüft, als Beispiel FirmaPC1, FirmaPC2, ... und nicht HANSWERNER-LAP oder ähnliches, um den Wildwuchs etwas einzudämmen.

Ich hasse es zwar, dass die IT immer irgendwelche Regel erstellen soll, die organisatorische Unzulänglichkeiten beseitigen soll, aber dem Thema komme ich nicht anders bei.

Ich habe sogar schonmal beim Suchen im Web eine Uni gefunden, die sowas wohl machen, aber eine Anfrage dort verlief leider im Sand.

Hätte ihr da eine Idee? Im Moment weiß ich nicht wo ich da ansetzen könnte.

Also wenn die Aufnahme verweigert würde, wenn der Name nicht zu einer Liste passt, wäre das für mich okay.

Vielen Dank im voraus.

Guten Morgen,

das gleiche habe ich auch gerade hinter mir. Ein bissel was zum Prozedere ist hier zu finden.

Ich habe mich letzendlich für die Neuinstallation anstelle des inplace Updates entschieden. Pro Domäne einen DC dazugehängt und dann die bestehenden nacheinander dem Update unterzogen.

Manche Systeme waren durch den Wegfall einer der beiden DNS Server doch sehr genervt, als die Systeme beim Herunterstufen noch auf der IP erreichbar waren, aber bspw. keine DNS Anfragen mehr beantworteten. Das war das einzigst kritische.

An die DNS Weiterleitungen denken und falls Umleitungen bestehen, die muss man nun woanders eintragen (bedingte weiterleitung) ABER mit dem großen Pluspunkt, dass man sie nun zu anderen DNS Servern replizieren kann. Das is sehr cool :)

Schön gesagt, aber dieser Fileserver auf dem die Backups der DCs landen sollen, wird von mehreren Stellen genutzt. So kann ich dessen Backup-Strategie nicht für jede Teilnutzung perfektionieren.

Aber mit dem Wissen kann ich mir denke ich nun etwas überlegen, was sinnvoll funktioniert.

Merci.