groszmann

Hallo, Profil löschen (bzw. Profilordner umbenennen, damit Du die Einstellungen wieder ins neue Profil kopieren kannst) halte ich zwar auch nicht für die schlechteste Idee, aber zunächst könntest Du versuchen, die anwendungsbezogenen Einstellungen im Profil zu löschen: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Microsoft\Office\Powerp12.pip und C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Microsoft\Outlook\*.* Gruß Hans

Hallo, Fragen 1-4 beziehen sich auf Zugriffsberechtigungen. Diese kann man mit SharePoint recht feingranular regeln, damit das Management der Zugriffsberechtigungen aber nicht zu aufwendig gerät, sollte eine sorgfältige Planung vor der Umsetzung erfolgen. Man kann SharePoint mit 3d-Party-Tools und -Anwendungen aufbohren (z.B. um eine Aggregierung der Dokumente aus verschiedenen Webs oder Listen), ohne vertieftes Verständnis von xml und xslt kommt man aber bei Anpassungen nicht weit. Zu Frage 5 kann ich nichts sagen, aber grundsätzlich lässt sich sagen: Wenn man mit SharePoint-Bordmitteln arbeitet (und damit diverse Einschränkungen akzeptiert) kann man recht schnell ansehnliche Intranet-Funktionen auf die Beine stellen. Braucht man aber sehr spezielle Workflows und Strukturen, dann geht das feilen, bohren und schweissen los. Diese Handwerke muss man beherrschen und einen langen Atem mitbringen, also sollte man sich gut überlegen, ob man sich auf ein solches Projekt einlässt, zumal ohne Vorkenntnisse. Gruß Hans

Asche auf mein Haupt, da war ich wohl etwas oberflächlich beim Lesen. Die Überschrift suggeriert da etwas anderes, als im Folgenden beschrieben wird. Tja, da bin ich jetzt auch ratlos, wie das über GPOs zu realisieren wäre. Gruß Hans

Das ist, glaube ich, genau das, was Hansi nicht machen möchte. Aber guckst Du hier:HOW TO: Limit User Logon Time in a Domain in Windows Server 2003 .. und dann die Übernahme der GPO für den Administrator in den Sicherheitseinstellungen verweigern. Gruß Hans

Hallo, das dürfte kein einfaches Unterfangen werden, da diese Tools über http bzw. https laufen und von intern initiert werden und somit Firewalls in der Regel problemlos passieren (womit die Hersteller z.T. auch werben). Ich sehe nur die Möglichkeit, die Verbindungen zu den IP-Ranges der Hersteller zu blocken, diese muß man aber erstmal in Erfahrung bringen. Bei der umgekehrten Aufgabenstellung (also Zulassen von NetViewer-Verbindungen) in einer Umgebung, in der nur dezidiert zugelassene Verbindungen möglich sein sollen, habe ich dies über IP-Range-Sätze gelöst. Darf man fragen, warum Du diese Verbindungen verhindern willst? In der Regel werden diese Tools ja durch externen Support angeboten und sind erstmal erwünscht. Ein Sicherheitsproblem sehe ich auch nicht, da die jeweilige Sitzung im Nutzerkontext läuft und nur über dessen Rechte verfügt. Gruß Hans

Hallo, irgendwie kam mir kürzlich der Gedanke, ob es wohl Sinn macht, einen Terminalserver mit einer leistungsfähigen Graphikkarte auszustatten. So ein TS hat ja eine Menge Monitore zu bedienen, werden diese Ausgaben eigentlich von der Graphikkarte generiert oder gibts da auf TS eine andere Technik? Falls die Graphikkarte das zu bewältigen hat könnte man die CPU(s) mit einer hochwertigen Karte doch entlasten, oder? Ich bin gespannt auf Eure Infos/Meinungen. Gruß Hans

Hallo, auch Dir ein frohes Neues! Normalerweise wird in der TS-Sitzung die Auflösung des Clients übernommen, es sei denn, es ist in den TS-Client-Optionen unter "Anzeige" -> "Größe ihres Remotedesktops" eine feste Auflösung eingestellt. Ich hatte mit Verzerrung des Desktops noch keine Problemme, nur bei Notebooks mit hoher Auflösung (1660 dpi) bleibt an beiden Seiten ein schwarzer Streifen. Ich vermute, die Grafikkarte des TS kann diese Auflösung nicht darstellen. Gruß Hans

Hallo, also so sehen beispielsweise vollständige Registry-Einträge der Clients aus: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://wsus:8530" "WUStatusServer"="http://wsus:8530" "TargetGroupEnabled"=dword:00000001 "TargetGroup"="Clients" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAUShutdownOption"=dword:00000000 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000003 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:00000003 "UseWUServer"=dword:00000001 "DetectionFrequencyEnabled"=dword:00000001 "DetectionFrequency"=dword:00000001 Wenn ich das richtig sehe fehlt bei Dir die ganze ...\AU - Abteilung. Sehr detaillierte Ausführung zum WSUS 3 findest Du z.B. hier: MSXFAQ.DE - WSUS Gruß Hans

Grundsätzlich bin ich Deiner Meinung, aber ab einem bestimmten Punkt bricht dann der Pragmatiker in mir durch. Warum reicht da nicht einmal? Ich finde, da gibt es noch einige Webfehler im WSUS-Konzept, z.B. sollte man IMHO die Clients von der WSUS-Konsole aus hinzufügen können, dieses Beten und Hoffen ob die Clients sich nun anmelden finde ich nicht wirklich professionell. Gruß Hans

Hallo, danke für die Hinweise, ich habe es jetzt über manuelle Registry-Einträge gelöst. Gruß Hans

Hallo, das hat jetzt eine Weile gedauert, bis ich mich wieder kümmern konnte. Dein Tip hat das Problem leider nicht gelöst, die VM ist und bleibt aus der WSUS-Konsole verschwunden. Auch ein Entfernen aus der Domäne, Löschung des Computerkontos aus der Domäne und anschliessende Wiederaufnahme in die Domäne hat nichts gebracht. Offensichtlich wird die entsprechende GPO nicht angewendet, die entsprechenden Registry-Einträge existieren aber. Könnte allerdings sein, dass dort noch die alte WSUS-ID drinsteht. Ich werde also jetzt diese Registry-Einträge löschen, und die VM neustarten. Wenn das auch nichts bringt, werde ich es über manuelle Registry-Einträge lösen. Gruß Hans

Hallo, das hört sich so an, als sei der TS-Client auf V.6 upgedatet worden. In dem hat es nicht mehr die drei Felder "Benutzer", "Passwort" und "Domäne", sondern die Domäne muss im Feld Benutzer mitgegeben werden, also in der Form Domäne\Benutzer oder Benutzer@Domäne. Jetzt wird da scheinbar die DynDNS-URL statt der Anmeldedomäne mitgegeben, es gibt aber eine Möglichkeit, die Anmelde-Credentials dauerhaft zu speichern, ich weiss jetzt nur nicht wo, da ich keinen V.6-Client vor mir haben. Bei Bedarf kann ich aber gerne nachschauen. Gruß Hans

Hallo, hast Du zum Thema keine Anleitung vom Hersteller des eToken? Ich beschäftige mich grade (allerdings sehr oberflächlich) mit dem Thema, da ich zeitlich nicht dazu komme. Die eToken habe ich schon da liegen und die Konfigurationsanleitungen des Herstellers mal quergelesen. Das Zauberwort scheint mir dabei "Radius-Server" zu sein, also ein zusätzliche Instanz in der Authorisierungskette, ein Zertifikat allein reicht meines Wissens nicht aus. Wenn Du neue Erkenntnisse hast, bitte eifrig posten, ich werde den Thread interessiert weiterverfolgen. Gruß Hans

Hallo, wegen Unverträglichkeit einer Anwendung mit einem Security-Update musste ich in eine VirtualMachine (Win2k3 R2) unter VirtualServer 2005 auf einem älteren Stand wiederherstellen. So weit so gut, das Problem ist nur, dieser Server ist Member einer Domäne und die automatischen Updates werden GPO-gesteuert über einen WSUS 3 abgewickelt. Auch das hatte wohl zunächst funktioniert, im WSUS wurde der alte Patch-Stand (z.B. vor SP2) angezeigt, das SP2 wurde heruntergeladen und konnte installiert werden. Das Problem ist nun: Seither passiert nix mehr (seit mehreren Tagen) und im WSUS-Report des Servers stehen offensichtlich noch die Einträge des vorherigen Servers drin. Meine Frage ist nun, wie kann ich diesen Server neu in WSUS einlesen? Es gibt ja die Option, den Server im WSUS zu löschen, ich vermute aber, dann ist er eben einfach futsch und taucht auch nicht wieder auf. Könnt Ihr das so bestätigen? Eine andere Methode ging mir durch den Kopf: 1. Entfernen der VM aus der Domäne 2. Löschen der VM aus WSUS 3. Wiederaufnehmen in die Domäne Dann müsste die GPO ja wieder greifen, und die VM neu im WSUS eingelesen werden. Kann das jemand bestätigen oder hat sonstige Lösungsansätze? Gruß Hans

Hallo, mich wundert, das NOD32 in den AV-Threads (ausser von mir) nie genannt wird. Ich bin damit sehr zufrieden, es ist gut skalierbar, vom Einzel-PC bis zur Enterprise-Edition, sehr gut in Erkennungswerten und Geschwindigkeit der Signatur-Updates und preislich sehr vernünftig. Man braucht ein bisschen Einarbeitung in die zentrale Administration, aber dann ist es sehr pflegeleicht. Gruß Hans

Die schlechte Performance und der hohe Traffic sind bei dieser Konstellation doch völlig logisch. Die angeforderten Files werden von Standort zu Standort transportiert und beim Speichern von Änderungen auch wieder zurück. Das coole bei TS-Lösungen ist ja eigentlich, das alle Ressourcen zentral liegen und über schnelle lokale Verbindungen miteinander kommunizieren können. Bei einer zentralisierten Lösung werden dann also keine Files mehr über WAN transportiert, sondern nur noch der RDP- oder ICA-Traffic. Sinnvoll scheint in Deinem Fall also eine zentrale, ggf. geclusterte Lösung zu sein, am besten in einem Rechenzentrum mit sehr guter Bandbreite bei der WAN-Anbindung plaziert. Gruß Hans

Hallo, wären vielleicht Mandatory Profiles auch eine Lösung für Dich? Die User können zwar während der Sitzung Änderungen im Profil vornehmen, diese werden bei der Abmeldung aber verworfen und der User startet bei der nächsten Anmeldung wieder mit dem jungfräulichen Profil. Das geht m.E. aber nur mit sehr gut erzogenen Usern, denen klar ist, dass sie nichts in "Eigene Dateien", "Meine Bilder" etc. ablegen dürfen. Gruß Hans

Hallo, aus Gründen der Vereinfachung für die User arbeite ich für beide Anwendungsfälle mit nur einem AD-User. Um die Gruppenrichtlinien differenzieren zu können, gibt es die Loopback-Verarbeitung, mal reinlesen, es gibt hier im Forum und im Internet reichlich Info. Damit kann man z.B. regeln, dass der "Herunterfahren"-Button in der TS-Sitzung ausgeblendet, in der Sitzung am lokalen PC aber verfügbar ist. Gruß Hans

Hallo, meines Erachtens die einfachste Möglichkeit: mit TotalCommander mit der Option "NTFS-Berechtigungen kopieren". Gruß Hans

Das ist ganz egal, wichtig ist nur, dass der Treiber installiert wird, Du kannst den Drucker anschliessend auch wieder löschen. Ich meine mich zu erinnern, dass ich in einer ähnlichen Konstellation zusätzlich zum Spooler-Dienst einen Apple-spezifischen Dienst aktivieren mußte. Ich weiss jetzt nicht mehr aus dem Kopf, wie der heisst, kann aber bei Bedarf morgen nachschauen. Gruß Hans

Hallo, ich glaube, ich habe das Problem immer noch nicht genau verstanden. Was meinst Du mit: ?RAM-Zuweisungen bei VS sind nicht dynamisch, sondern statisch. Das kann man sehr schön im TaskManager des Host beobachten: wird eine VM gestartet greift sie sich sofort den ihr zugewiesenen Arbeitsspeicher. Wieviele VMs laufen denn auf dem Host? Vielleicht kannst Du die Konstellation mal im Detail schildern (Prozessoren, RAM im Host; VMs mit zugewiesenen Ressourcen). Gruß Hans

Ich habe einen ISA 2006 in einer VM mit 300 MB RAM-Zuweisung laufen, der frühstückt ca. 15 Regeln für verschiedene Protokolle für das ganze dahinterliegende LAN bisher ohne Probleme (tock, tock, tock) ab. Wie gesagt, die Dinger sind recht genügsam. Gruß Hans

Hallo, also ich habe mit der automatischen Ressourcenzuweisung keine Erfahrung (ich nehme an um sowas gehts bei "maximalen Ressourcen"). Den Effekt, das sich eine VM nicht einschalten lässt kenne ich aber in dem Zusammenhang, daß den VMs soviele Ressourcen zugewiesen sind, daß für den Host nicht mehr genügend übrig ist. Dann wird der Start der VM, die diese Grenze überschreiten würde einfach kommentarlos verweigert. Hast Du es mit manueller Ressourcenzuweisung schon versucht? Gruß Hans

Hallo, hast Du schon über Virtualisierung des ISA-Servers nachgedacht? Das wäre m.E. eine annehmbare Lösung, wenn der ISA die externe NIC kontrolliert (auf der physischen Ebene werden für diese alle Dienste ausser den Virtual Machine Network Services deaktiviert). Ein ISA-Server ist relativ bescheiden, was die Ansprüche an Ressourcen angeht. Virtual Server ist kostenlos, allerdings brauchst Du ein eigenes Betriebssystem für die VM. Meines Wissens läuft ISA 2004 aber sogar auf Server 2000 mit SP4, wenn man also noch eine Lizenz brachliegen hat... Gruß Hans P.S.: Ein wenig langsamer als Grizzly, aber vielleicht hat die Idee mit Server 2000 ja noch Sparpotential.

Hallo, das geht bestens mit Total Commander: Suche nach den benötigten Dateitypen (*.doc *.ppt *.xls *.dot, nur durch Leerzeichen getrennt), das gibt Dir schon die Anzahl aus. Wenn Du auf "anwenden" gehst kannst Du von da aus die Suchergebnisse weiterverarbeiten, z.B. die Dateinamen in eine Textdatei ausgeben etc.. TC gibt es als ShareWare, für den privaten Gebrauch kostenlos, ansonsten ca. 30 € (gut angelegtes Geld). Gruß Hans