Hirgelzwift

mit W2K3 R2 müsste das gehen. ansonsten brauchst du 3rd party tools.

ad hoc fällt mir da nur ein das du unterschiedliche OU's erzeugst, evtl. auch unter OU's die jeweiligen PC's mit den entsprechenden sprachen da reinschiebst und die software in den unterschiedlichen OU's entsprechend zuweist bzw. blockierst. ob es einen WMI filter für sprachen gibt ist mir momentan nicht geläufig, ich mach zuwenig mit WMI. würde dir aber bei einer mixumgebung aus W2K und WXP eh nichts helfen.

Ich habe das mal mit einem logoff script versucht um in der registry direkt den wert zu setzen, also zu löschen. leider hat das nicht gut geklappt, das logoff script. habt ihr mehrere standorte? evtl kannst du ja den proxy nicht per GPO sondern mit der datei wpad.dat besser steuern. ansonsten: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable auf 0

Heute hab ich mal wieder ein Problem das ich nicht lösen kann. Wir beabsichtigen Sendebeschränkungen auf bestimmte Verteilergruppen nur noch für bestimmte Personen zuzulassen. Das klappt auch wunderbar als solches, niemand der nicht berechtigt ist kann an den Verteiler schicken. Leider hat die Sache einen großen Haken: Auch nicht berechtigte Benutzer sehen den Eintrag in der GAL und können diesen auch auswählen. Versuchen sie zu senden bekommen sie wie gesagt eine Fehlermeldung. Wenn der Benutzer aber mitdenkt dann klickt dieser auf das Pluszeichen das vor der Verteilergruppe steht dann werden alle Mitglieder in dieser Gruppe in einzelne Namen aufgelöst und schon geht es wieder rund. Gibt es eine Möglichkeit diese auflösen der Namen der Verteilergruppen zu verhindern? Am liebsten wäre es mir wenn dieses Pluszeichen gänzlich verschwinden würde, am besten zielgesteuert nur für bestimmte Gruppen aber auch gerne für alle Gruppen wenn es nicht anders geht. Auch andere Lösungsansätze sind herzlich willkommen.

wie wird hier immer so schon geschrieben: IMHO, nein. Das sind Benutzerregeln die der Benutzer jeder einzeln definieren muss.

also ich hab noch mal nachgeschaut: unter OL2K3 gibt es bei der regelerstellung "mit bestimmten wörtern in der nachrichtenkopfzeile", das sollte also gehen. ich bin aber der meinung das du dann das normal OoO nicht verwenden kannst sondern nur wieder mit der 2. regel wie von mir schon angesprochen wenn bei der 1. markiert wird das keine weiteren regeln angewendet werden dürfen.

kann es sein das das image mit dem domänen admin gemacht wurde aber nicht alle PC's nach dem imagen in der domäne hängen, weil z.B. der NIC nicht erkannt wird, und du dich daher mit dem lokalen admin anmelden musst? dann wäre das ein normales verhalten. im grunde passiert das was du beschreibst dann wenn das OS auf das vorhandene profil, meisst aus rechtegründe, nicht zugreifen kann. wenn du auf das eigentliche profil einen rechten mausklick machst und du dir die sicherheit davon anschaust hast du da einen verwaisten eintrag mit SID und nicht dem freundlichen namen findest.

ich denke nur mal laut..... man richtet dann das OoO nicht auf dem eigentlichen OoO ein sondern als regel. in einer 1. regel erstellt man eine bedingung das wenn die betreffzeile einen bestimmten betreff, bzw. teile davon, enthält, ich gehe davon aus das du im betreff was voranstellst was spam markiert, die mail in den spam ordner verschiebt und das keine weitere regeln angewendet werden. als zweite regel mach ich dann das eigentliche OoO. das sollte meiner meinung nach funktionieren.

ohne direkt in die registry einzugreifen würde ich nen skript schreiben der im (lokalen) adminkontext läuft. dazu würde ich ein prog wie pcwrunas verwenden bei dem userid und pw übergeben kann und dann eben regedit startet. das sollte meiner meinung nach problemlos funktionieren. ich nehme pcwrunas gerne für installationsroutinen die im adminkontext laufen müssen. wenn man dann noch ein zweites tool verwendet um aus dem sktipt eine exe zu machen kann man dann auch den "normalen" benutzer daran hindern das PW des lokalen admins aus dem skript auszulesen. dieses tool gibt es aber glaube ich nicht mehr umsonst.

W2K TS? hast du die software mal komplett de-installiert und neu installiert? TS vorher in den installationsmodus versetzt, oder nicht?

ich habe diesbezüglich schon mit GPO's hantiert, sie sind ziemlich wirkunglos oder zu strikt. leider können benutzer den verwaltungordner einblenden wenn die benutzer ihr startmenü selber einstellen dürfen. man kann die eigenschaften des startmenü nehmen dann geht das nicht mehr, hat aber wiederrum andere nachteile. ich arbeite viel mit TS und CTX und daher möchte ich dir nochmals empfehlen einfach auf den ordner verwaltung -> rechte maus -> eigenschaften -> sicherheit -> erweitert -> haken bei übernehmen von übergeordneten rechten raus -> kopieren -> alle raus bis auf admins. dann können die benutzer zwar verwaltung einblenden, sehen den ordner, aber keinen inhalt. er wird dann als leer angezeigt aber alle admins haben zugriff.

deswegen habe ich es hier klargestellt: alle GPO's werden sauber und zuverlässig gezogen und angewendet. http://www.mcseboard.de/post26-632549.html

ich verstehe jetzt um ehrlich zu sein nicht ganz was du meinst aber ich war früher auch der meinung das alle GPO's auf loopback stehen müssen, muss aber nicht. nur bei der ersten anzuwendenden GPO ist das quasi so. ich habe das gemerkt als ich meine W2K TS auf W2K3 TS umgestellt habe und das in einer komplett neuen OU mit komplett neuen GPO's abgebildet habe. wichtig ist sicher nur die rangfolge weil wohl erst wenn ersetzen gefunden wird ab dieser GPO ersetzt und dann alles was dannach folgt. wäre es anders würde es ja in meiner doch recht weitverzweigten landschaft nicht funktionieren :D edit: gelinkt sind sie natürlich nur auf die OU der TS

also in meiner admin GPO ist keine loopback an. muss aber dazufügen das es eine GPO darüber gibt die für alle gilt in der der loopback an ist. rangfolge: 1 GPO Computer 2 GPO Admins (sicherheitsfilterung: nur admins anwenden) 3 GPO Benutzer (sicherheitsfilterung: admins anwenden verweigern) 4 GPO Alle (einzige mit Loopback, ersetzen) alle GPO's werden sauber und zuverlässig gezogen und angewendet.

wenn du die standardeinstellungen für die drucker an der richtigen stelle setzt sollte das kein problem sein. es gibt ja die standardwerte für den server sozusagen und einmal für die benutzer. je nach treiber kann es sein das du es nur einmal einstellen musst oder eben mehrfach.

nicht wenn es nur benutzereinstellungen sind, dann klappt das wunderbar. :suspect: die computer sind in der gruppe der authentifizierten benutzer und dürfen die GPO ja lesen eben nur nicht anwenden, admins als benutzer aber schon. also bei mir funzt das absolut problemlos.

frage: was willst du denn im startmenü verbiegen das für den benutzer und nicht für alle gilt? ich nehme immer gerne die rechte von ordnern für die benutzer wenn es im All Users bereich liegt aber niemand drauf kommen soll. ein beispiel ist das ich vorsichtshalber die benutzerrechte auf NTFS ebene für den verwaltungsordner so setzte das nur admins reinkommen auch wenn sich ein normaler benutzer den ordner über das startmenü anzeigen lässt.

kann schon vorkommen das die admins eine GPO brauchen die andere einstellungen macht wie für den rest der welt und eben nicht default sind. hab ich auch auf meinen TS :D wie auch immer, GPO für admins erzeugen, bei authentifizierte benutzer den haken für anwenden raus aber nicht verweigern und für admins den haken anwenden setzen.

einige software pakete, wenn diese auf dem TS installiert werden, erfordern eine neuerlich konfiguration wenn sich ein benutzer das erste mal anmeldet, eben für diesen benutzer. office macht das z.b. auch so. ob das bei navivision auch so ist weis ich aber nicht.

würde blos gerne wissen was das für auswirkungen hat wenn das pagefile nicht genullt wird vor dem herunterfahren bzw. neustart. dauert es dann länger das system hochzufahren?

ja du fügst die admins über erweitert hinzu und klickst bei bei "gruppenrichtlinien übernehmen" -> "verweigern". verweigern hat vorrang vor anwenden. es reicht nicht wenn du den admins nur das recht anwenden nimmst sondern musst explizit verweigern. sonst wenden sie es über die "authentifizierte benutzer" an. bei der gruppe "authentifizierte benutzer" musst du aber alles lassen wie es ist. meisstens wird dort rumlaboriert, mach das bitte nicht.

stimmt ne CTX policy gibt es dafür auch noch. auch hier kannst du filtern wer sie anwenden darf oder wer nicht. am protokoll kannst du nichts filtern, nur an oder aus. daher ist es am besten das immer im AD oder per GPO zu machen, wann immer möglich. eine CTX policy mache ich normalerweise nur policies wenn du unterschiedliche einstellungen brauchst für server die in der selben OU sind oder nicht in einem AD abgebildet sind, oder für einstellungen die es nur für CTX gibt. dieser thread ist aber ein TS thread und hier in diesem thread war nie vom CTX server die rede. daher ist es wohl besser, wie schon gesagt, das du deine eigenen threads aufmachst und keine übernimmst.

sind zufällig servergespeicherte profile im spiel?

hidecalc ist gut damit du lokale laufwerke am TS bzw. CTX server abschalten kannst. für die andere geschichte habe ich dir auch einen lösungsansatz gegeben, das du die lokalen laufwerke der clients per AD bzw. einstellungen am protokoll ICA und oder RDP direkt verhindern kannst.

eigentlich gibt es eine regel hier im board die besagt das man keine fremden threads übernehmen soll sondern dann eine eigene erstellt. http://www.mcseboard.de/rules.php#nr7 wie auch immer du kannst das mit dem von wolke angesprochenen tool machen das du als GPO einbindest oder: Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Explorer - Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden - aktiviert - Komination ausblenden. Wenn dir die angegebenen Kominationen nicht reichen geht es eben mit hidecalc, da hast du alle buchstaben von A-Z zur verfügung. Im AD oder am TS selber kannst du dem client verbieten lokale recourcen zu verbinden.