CoNtAcT2000

ok.Danke Die Befehle habe ich nicht genommen, weil ich das ganze auf ca 40 OUs legen musste - bis ich das geskriptete habe, bin ich damit mit manuellem klicken schon durch :)

ok, danke! noch eine kurze Frage dazu - muss man, also damit der Zähler egal ist,über den Assistenten gehen (Objektverwaltung zuweisen) oder kann man das auch manuell über Registerkarte Sicherheit machen(was ich getan habe)? Wenn ich Nils richtige verstanden habe, sollte es egal sein wie man es macht, hauptsache der User hat das Recht dazu,dann spielt der Zähler keine Rolle! Will nur nochmal sicher gehen :) Danke an alle!!!

ich steh etwas auf dem Schlauch - ich habe in der DDCP nur noch die Domänen-Admins eingetragen die das Recht heben Arbeitsstationen zur Domäne hinzuzufügen (vorher war das Authentifizierte Benutzer). - nun habe ich der Techniker Gruppe die oben genannten Rechte auf die entsprechenden OUs erteilt - diese können nun die Computer in die Domäne aufnehmen, wenn Sie zuvor mit dem Tool ein Konto erstellt haben. Wurde keine Konto zuvor angelegt können Sie den Computer nicht aufnehmen. Also genau so wie ich es haben wollte. Nun stellt sich mir halt die Frage ob ich noch was wegen dem Zähler machen muss, oder es auch so mit mehr als 10 Konten funktioniert.

Danke für Eure Beiträge. Ich habe nun auf die OU´s mit den Computerkonten die Gruppe der Techniker mit den folgenden Einstellungen hinzugefügt und es klappt nun auch wie gewünscht: Untergeordnete Computer Objekte - Bestätigtes Schreiben an Dienstprinzipal Name - Bestätigtes Schreiben an Hostnamen - Kennwort ändern - Kennwort zurücksetzen - Kontobeschränkung lesen - Kontobeschränkung schreiben Was mich jetzt noch interessiert ist die Sache mit dem Counter? Wo kann ich sehen dass der hochgezählt wird? Oder soll/muss ich den jetzt garnicht abändern?

Hallo Leute, ich habe da mal eine Frage. Wir möchten nicht mehr, dass unsere Techniker Kontenoperatoren sind und einfach Computer in die Domäne aufnehmen können - da die Konten dann unter Computers vor sich hin vegetieren bis sich jemand erbarmt hat die Konten in die entsprechende OU zu schieben. - Wir haben ein Werkzeug mit dem die Techniker den Computernamen angeben können und das Tool legt dann ein Computerkonto in der passenden OU an. - Danach können Sie die Maschine in die Domäne aufnehmen. - Ich habe die DomainController Policy so abgeändert, dass nur Domain Admins und Techniker Computer zur Domäne hinzufügen dürfen. Lege ich mit dem Tool einen neues Computerkonto an und versuche es mit einem Test-Techniker-Account in die Domäne aufzunehmen kommt "Zugriff-verweigert". Ich möchte wissen, welche Rechte ich genau (da gibts ja 100 oder so) auf die OU delegieren muss damit Sie nur den Computer in die Domäne aufnehmen können - sonst keine weiteren Rechte. Edit: Computerkonto erstellen und löschen habe ich bereits probiert, das reicht aber wohl nicht aus - es kommt danach immer noch Zugriff verweigert wenn ich versuche den PC aufzunehmen. Kann mir das jemand sagen? Danke im voraus!

Ich fasse es nicht, ich habs endlich hinbekommen. An dieser Stelle hätte ich nie gesucht: In den Einstellungen des INTERNET EXPLORERS !!! Folgedes auf dem TS für jeden User deaktivieren: IE => Internetoptionen => Ereitert => Auf gesperrte Serverzertifikate überprüfen kann man per GPO machen unter Benutzer, Richtlinien, Administrative Vorlagen, Windows Komponenten,Internet Explorer, Internetsystemsteuerung, Seite "Erweitert" dann noch IE => Internetoptionen => Ereitert => auf gesperrte zertifikate von herausgebern überprüfen Hierzu gibt es keine GPO! Ich habe es über GPP gelöst, indem ich HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing State, Typ REG_DWORD mit dem HEX Wert 0x23E00 setze.. gpupdate /force auf dem Server, anschließend neugestartet. Die Anwendung startet jetzt in ca 4-7 Sekunden!!! Man soll dieses Problem mit dem langsamen Anwendungsstart nicht haben, wenn der User auf dem TS in Internet kann, dann kann nämlich das Zertifikat abgefragt werden und man läuft nicht in den Timeout - somit auch keine Wartezeit von ca 20-30 Sekunden! Ich hoffe das hilft einigen weiter. Gruß KangarooJack

So, das SSO habe ich nun hinbekommen. Es hat in der Tat eines dieser Updates gefehlt :KB953760 sowie KB951608. Es gibt allerdings noch ein Problem. Starte ich ne RDP Sitzung auf den Server ist die in ca 3 Sekunden da. Starte ich ne RDP Sitzung in der ich automatisch das Programm starte - legt der Loginvorgang ca 20 Gedenksekunden ein, bevor die Anwendung startet Probiere ich das mit dem Windows Rechner, oder Wordpad - geht das beides unter 5 Sekunden auf. Hab schon wieder 3 Tage daran rumprobiert, ich raffe es nicht, warum das so ist. Jemand eine Idee?

KB951608 - habe ich eingespielt damit SSO überhaupt unter XP funktioniert KB953760 - ich meine ich habe heute morgen versucht diesen Patch einzuspielen - wollte er aber nicht, da bereits RDP 7 installiert war. Muss ich morgen früh nochmal testen.

Hallo Leute, hab da ein kleines Problem. Folgende Situation. 2008R2 mit Remotedesktopdiensten und einer Remoteapp in Domäne A XP Client +User in Domäne B Der XP CLient soll sich beim starten der RemoteApp mittels SSO anmelden und die Anwendung starten - nach einspielen eines Fixit von Microsoft, Installation von RDP7 und Konfiguration einer GPO funktioniert das auch. ABER!: Ich kann die Anwendung nur einmal starten, SSO wird brav durchgeführt und die Anwendung startet. Beende ich die Anwendung und versuche Sie nochmal zu starten fragt der TS nach Anmeldedaten?! Starte ich den PC neu, kann ich die Remoteapp wieder einmalig ohne Anmeldedaten öffnen - beim beenden und neustart wieder die Frage nach den Daten. Mit Windows 7 kann man die Anwendung mehrfach hintereinander starten beenden und nochmal starten ohne dass nach den Logindaten gefragt wird. Jemand eine Idee was das ist - evtl. ein Bug? oder an welcher Schraube muss ich hier drehen? Danke. Gruß KangarooJack

Hey Norbert, danke für das ADM Template. Funktioniert 1A. Habs mit den GPP irgendwie nicht hinbekommen. Gruß Michael

Scheint wohl so zu sein, dass damit GPP gemeint ist. Hätte dazu noch eine Frage. Wenn ich jetzt in der GPO unter Eintellungen - Windows-Einstellungen-Registrierung einen neuen KEY unter HKEY_Current_User erstelle. Wird der Befehl dann wirklich unter dem aktuell angemeldeten Benutzer ausgeführt? Weil der hat normalerweise ja keine Schreibrechte unter Policies. Mich würden die verschiedenen Aktionen noch interessieren: Erstellen - wird auch ein vorhandener Schlüssel überschrieben? oder muss man Ersetzen nehmen, was ziemlich **** wäre, da man nie genau weiß ob es den schlüssel schon gibt. Ersetzen - genau anders rum, wenn kein Key vorhanden wird dann einer geschrieben oder nicht? Aktualisieren ? Löschen - ist mal eindeutig

Hilfst du mir mal eben auf die Sprünge mit den Group Policy Preferences was ist das genau, wo konfiguriert man die? Ist damit in dem GPO Editor der Punkt Einstellungen-Windows-Einstellungen bzw. Systemsteuerungseinstellungen gemeint? Scheint wohl so zu sein, dass damit GPP gemeint ist. Hätte dazu noch eine Frage. Wenn ich jetzt in der GPO unter Eintellungen - Windows-Einstellungen-Registrierung einen neuen KEY unter HKEY_Current_User erstelle. Wird der Befehl dann wirklich unter dem aktuell angemeldeten Benutzer ausgeführt? Weil der hat normalerweise ja keine Schreibrechte unter Policies. Mich würden die verschiedenen Aktionen noch interessieren: Erstellen - wird auch ein vorhandener Schlüssel überschrieben? oder muss man Ersetzen nehmen, was ziemlich **** wäre, da man nie genau weiß ob es den schlüssel schon gibt. Ersetzen - genau anders rum, wenn kein Key vorhanden wird dann einer geschrieben oder nicht? Aktualisieren ? Löschen - ist mal eindeutig

Hilfst du mir mal eben auf die Sprünge mit den Group Policy Preferences was ist das genau, wo konfiguriert man die? Ist damit in dem GPO Editor der Punkt Einstellungen-Windows-Einstellungen bzw. Systemsteuerungseinstellungen gemeint?

Danke für eure Antworten. Wir haben auf den Clients noch XP und Office 2003. Wir wollen das umstellen auf Office 2010 und Windows 7. Daher werden wir Office erst bei dieser Umstellung ausrollen. Zumal es noch einiges an Aufwand ist die User zu schulen... und bei 1500Clients ist so ein Office Rollout mal nicht so nebenbei gemacht, da wir auch noch Anwendungen haben die mit dem Office verknüpft sind. Danke für die Info mit der RPC Encryption in SP1, muss ich mal prüfen lassen ob die nicht durch das einspielen ausgeschaltet wurde. Warum soll es beim Einsatz von Exchange 2010 und Outlook2003 zu Problemen kommen, und welche genau? Wir haben das hier im Einsatz. Group Policy Preferences ist mir bisher unbekannt - muss ich mir mal anschauen. Würde ich alle Möglichkeiten kennen hätte ich schließlich nicht gefragt ;)

Hallo Leute, wir sind dabei unsere User auf nen neuen Exchange umzuziehen. Dazu ist es nötig die Verschlüsselte Kommunikation mit dem Exchange einzurichten. Ich habe dazu über die Benutzer GPO den folgenden REG Key eingefügt: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Outlook\RPC\EnableRPCEncryption als REG_DWORD mit dem Wert 00000001. Ich habe ein Skript geschrieben, das beim ersten Anmeldevorgang des Users Outlook startet und eine prf importiert. Allerdings klappt das des öfteren nicht, weil die Richtline noch nicht sauber verarbeitet worden ist und wohl der Reg Key noch fehlt. Jetzt die Frage, wenn ich diesen Key unter HKey_Users\.Default\... anlege, ist er dann für alle User gültig und würde daher schneller verarbeitet werden?

AccessEnum 1.32 Von Bryce Cogswell Veröffentlicht: 01. Nov 2006 AccessEnum

Nabend Leute. Ich habe hier mal zusammen geschrieben, was ich gerne an der Installation ändern möchte und würde mich freuen, wenn mir jemand erzählen könnte wie ich diese Dinge als Default Profile realisieren kann. Startmenü: - Erste Schritte entfernen (ausblenden) - Verbindung mit Projektor entfernen (ausblenden) - Remotedesktopverbindung entfernen (ausblenden) - XPS Viewer entfernen (ausblenden) - Windows-Fax und -Scan entfernen (ausblenden) - Bildschirmlupe entfernen (ausblenden) Alle Programme: - Windows Media Center entfernen (ausblenden) - Windows Update entfernen (ausblenden) - Internet Explorer (64 Bit) entfernen (ausblenden) - Standardprogramme entfernen (ausblenden) - Windows DVD Maker entfernen (ausblenden) - Windows Update entfernen (ausblenden) - Windows-Fax und -Scan entfernen (ausblenden) - XPS Viewer entfernen (ausblenden) - Spiele entfernen (ausblenden) - Wartung entfernen (ausblenden) - Zubehör -> Systemprogramme entfernen (ausblenden) - Windows PowerShell entfernen (ausblenden) - Tablet PC entfernen (ausblenden) - Username (umleiten auf Homeshare?) - Dokumente entfernen (ausblenden) - Bilder entfernen (ausblenden) - Musik entfernen (ausblenden) - Standardprogramme entfernen (ausblenden) Ansichtsoptionen im Explorer: Ansicht: Details Ordneroptionen Allgemein - Automatisch auf aktuellen Ordner erweitern Ordneroptionen Ansicht: - Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren - Freigabe-Assistent verwenden, deaktivieren - Leere laufwerke im Ordner "Computer" ausblenden, deaktivieren Sonstiges: - Sprachleiste entfernen (ausblenden) - Windows Media Player Konfigurieren (Benutzerdefiniert, alle häkchen raus machen), Link von Taskleiste entfernen - Immer alle Symbole und Benachrichtigungen auf der Taskleiste anzeigen - Wartungscenter deaktivieren - Systemsteuerung in Ansicht "Kleine Symbole" öffnen - Computersymbol auf Desktop anzeigen - In Minianwendungen nur Kalender, Uhr, Währungsrechner und Wetter nutzbar - Einige Optionen in der Systemsteuerung ausblenden für den normalen User, lokale Admins sollen diese jedoch haben - z.B. Verwaltung

Nabend, um die ganze Prozedur genau zu testen habe ich das System mit Win7x64 manuell installiert als VM und mir nen Snapshot erstellt. Ist wie gesagt ne Enterprise Standard Installation ohne geschnörkels. Dann habe ich mir eine extra unattend.xml erzeugt, in der nur das copyprofile und glaube ich noch skip rearm drin sind. Hab dann sysprep /audit /generalize /unattend:unattend.xml ausgeführt und danach das Profil des lokalen Admins (vorher aktiviert, alle anderen Profile gelöscht) angepasst. Dann habe ich mir eine Aufzeichnungs cd des SCCM erstellt und ins Laufwerk gelegt und den Assi gestartet, welcher dann ein Image geschrieben hat. Danach habe ich das System einfach mal neugestartet, kommt ja dem gleich als wenn ich das Image erneut eingespielt hätte - und siehe da, das Profil ist wieder komplett neu ohne die Änderungen die ich gemacht habe.

@ Torsten: Das Dokument an sich kannte ich noch nicht, jedoch die genannten Möglichkeiten. A scheidet halt wie schon beschrieben aus, weil unsupported und unvorhersehbare Fehler auftauchen. B mit Sysprep und dem Copyprofile hatte ich ja schon versucht, mit dem Ergebnis, dass das Admin Profil nach dem Restart dann wieder wie ein Default Profil ausgesehen hat. und C - das gefummel mit einzelnen REG Keys möchte ich echt keinem antun. @jarzul:siehe Antwort an Torsten und meinem ursprünglichen Posting - die Methode mit Sysprep /copyprofil hab ich schon durch, bekomms aber nicht hin und ne wirklich detailierte Anleitung hab ich keine gefunden. Da ich ja auch das "Image" mit dem SCCM erstelle findet man noch weniger Antworten dazu. SCCM scheint beim aufzeichnen des Images nochmal ein Sysprep drüber zu jagen - was dann evtl die copyprofile einstellung zu nichte macht, ich weiß es einfach nicht. Daher wäre es genial mal zu erfahren wie das jemand macht, der auch den SCCM im Einsatz hat. Bleibt wohl wirklich nur die GPO's übrig. Group Policy Preferences muss ich gestehen hab ich bisher noch nicht gehört und muss mich da mal schlau lesen.

Ok, danke Nils. Ich werde noch etwas mit der jetzigen Lösung probieren...und dann wohl mit der Situation leben müssen, dass der Dienst evtl. mal hängen bleiben kann. Ist dann halt für mich die akzeptabelste Lösung.

Hallo Daniel, ich weiß, dass das mit dem SCCM viel Arbeit ist...ich schraube da auch schon locker ein halbes Jahr dran. Und habe mir bisher alles soweit selbst erarbeitet bzw. viel im Internet gelesen und getestet. Die Anforderung ist, dass der User nur die Dinge sieht, die er auch tatsächlich zum Arbeiten benötigt. Aus Standardisierungsgründen wollen wir eine Windows 7 Enterprise so installieren wie es von der DVD kommt, aber diverse Sachen einfach ausblenden. So z.b. Start -> Alle Programme -> Wartung oder Windows Media Center, XPS Viewer, Windows Fax und Scan...... Derzeit schau ich mir die GPO´s genauer an, was ich damit alles erreichen kann. Dennoch wäre es schön genau zu wissen wir man ein Default User Profil korrekt einrichten kann. z.b. auch um ein schlankes Servergespeichertes Profil zu erstellen.

Hallo Leute, ich bin (so nebenbei...) damit beschäftigt nen SCCM Server zur Verteilung von Windows 7 und diverser anderer Software aufzubauen. Die Verteilung von Windows 7 über PXE funktioniert soweit auch. Auch die einzelnen Softwarepakete bin ich nach und nach am zusammenbauen. Was mich aber in den Wahnsinn treibt ist die Profilerstellung eines Default Users unter Windows 7 (x64). Unter XP ging es ja noch halbwegs gescheit (wenn auch nicht ganz sauber) indem man ein möglichst bereinigtes Profil unter Default User rein kopiert hat. Dies funktioniert nun unter Windows 7 definitiv nicht mehr. D.h. es geht zwar schon noch, augenscheinlich, es treten dann aber nicht abwägbare Fehler auf...hab ich bereits ausprobiert. Nun steht auf dieversen Seiten man soll dies über registry Werte und skripte fummeln. Das kanns doch wohl nicht sein? Hab es auch mit Sysprep /audit /generalize /unattend:blah.xml versucht, dann nach dem Neustart das Admin Profil konfiguriert und dann mit SCCM ein WIM Abbild gezogen - danach sieht der Admin Account aber aus wie ein normales Standard Profil. Hat da jemand Ratschläge für mich? Vielen Dank im voraus.

Nun ja, viele Wege führen nach Rom...;) Da wir halt schonmal nen Failover Cluster hier rum stehen hatten, dachte ich mir, es wäre ganz geschickt einen Dienst der halt nunmal immer verfügbar sein muss auch darauf einzurichten. Die Anforderung besteht in dem Fall aus der möglichen Situation, dass "jemand" unbedachter weise ein einzelnes Scope, bzw. diverse Reservierungen versehentlich löscht. Dann könnte man halt definitiv sagen man schraubt nur das einzelne Scope zurück und gut is. So hat man halt die Gewissheit nicht noch andere Bereiche zu stören oder halt was daran zu ändern. Daher meine Anfoderung nur einen Teilbereich einspielen zu können.

@NilsK: dann lies meinen Text, dann erkennst du die Anforderung. Die integrierte Backup Funktion kann entweder alles oder nichts zurückspielen - der Dienst bleibt dabei online. Wir haben hier aber XX Scopes und da kann es nicht sein dass ich den kompletten DHCP wieder zurückspielen MUSS wenn ich nur ein einzelnes Scope brauche. Bei der export Funktion wird der Dienst halt beendet. So, da das Teil als Clusterdienst läuft probiert der den Dienst wieder hoch zu fahren. Das gelingt ihm auch und zwar bevor der Export erfolgreich durchgeführt werden konnte. Stelle ich den Clusterdienst so ein dass er nicht automatisch startet - läuft man halt in die Situation, dass der Dienst evtl. wegen einem Fehler offline ist und nicht mehr versucht wird ihn zu starten.

Diese integrierte Backup Funktion sichert den ganzen DHCP alle 60 Minuten. Diese kann man auch über Aktion - Wiederherstellen wieder zurücksichern, das geht - aber nur komplett! Was ich aber möchte ist eine Sicherung mit der ich auf mehrere Tage zurückgreifen kann und auf einzelne Scopes. Bisher konnte ich das nur erreichen mit der täglichen export funktion (des gesamten DHCP Servers) in einen Unterordner. Mit restore bzw. der integrierten Backup funktion ist dies so wie ich das möchte garnicht möglich?! Oder ich bin dazu zu dämlich Versuche ich diese standard Sicherung über die Konsole zurückzuspielen mittels netsh dhcp server restore, kommt zwar ne Meldung Befehl erfolgreich....es ist nicht nötig den DHCP-Serverdienst neu zu starten blah blah. Es ist aber auch nichts passiert. Er hat dann keinerlei Scopes wiederhergestellt. (mache ich das über Aktion - Wiederherstellen klappts seltsamer weise mit der gleichen Sicherung? - muss man nicht verstehen) Wie gesagt, backup and restore scheint mir nur zu gebrauchen zu sein um alles zu sichern und aber auch ohne kompromisse alles wieder zurück zu kurbeln - das kanns nicht sein!