Hirgelzwift

ja so sehe ich das auch....

ja ist klar, loopbackverarbeitungsmodus heisst das zauberwort. du versuchst eine computerpolicy auf benutzer anzuwenden. das funktioniert so nicht, es sei denn du aktivierst den loopbackverarbeitungsmodus. Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien -> Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie -> aktiviert ob ersetzen oder zusammenführen kommt auf weitere GPO einstellungen an. bei ersetzen werden alle anderen benutzereinstellungen weggebügelt und müssen ggf. erneut angewendet bzw. konfiguriert werden.

ich persönlich würde ihn vorher händisch anlegen und die rechte setzen. sonst hat zwar der benutzer zugriff aber du als admin nicht was fatal sein kann wenn du etwas im profil machen musst. dann dauert es eben länger bis du den besitz übernommen hast und die rechte letztlich doch gesetzt hast.

es wäre wahrscheinlich einfacher dir zu helfen wenn du uns unwissenden bitte mitteilen würdest welche einstellungen du wo vorgenommen hast. meine glaskugel hab ich leider gerade nicht dabei ;) :D

das thema ist hier schon oft diskutiert worden: das ist nicht so einfach wie bei einer normalen workstation.... du kannst diesen hacken nicht global setzen. da musst du schon wissen wie man die einträge in der registry machen muss um es global für alle benutzer zu verknüpfen.

frag mich was leichteres aber ich muss auch nicht alles wissen. nachdem bei allen benutzern .0Z steht nehm ich halt .0Z und gut ist. worüber den kopf zerbrechen wofür es sich nicht lohnt ihn zu zerbrechen. man hat sich halt ans format zu halten in ldap und gut ist. ;) wichtig ist das es nun geht. danke für die rückmeldung. edit: wenn ich einen export brauche dann mach ich immer erst einen kompletten ungefilterten und schau mir die felder an. dann lässt sich das format in der regel gut erkennen und dann hast du keine probleme mehr.

achte mal auf deine formatierung. schau dir mal das feld whenCreated ganau an und dann wirst du deinen fehler schnell finden. oder mach es einfach mit dem filter: (&(objectClass=User)(whenCreated>=20060922000000.0Z)) :suspect:

weil dann nur benutzer berücksichtigt werden die gleich = auf diesem zeitstempel erzeugt worden sind. du wirst da mit größer oder kleiner arbeiten müssen

ich würde es mal mit dem parameter "whenCreated" versuchen, dann solltest du mehr glück haben.

danke für die rückmeldung. gut zu wissen das die tipps etwas gebracht haben. übrigens - ich gehe davon aus das du mit dem löschen des reg keys im grunde nichts anderes gemacht hast wie die faxoption aus office zu deinstallieren, wie von XP-Fan angesprochen, nur eben ein anderer weg.

IThome hat schon recht, der faxdrucker wird mit office installiert. die letzten updates könnten aber dafür verantwortlich sein. da waren office updates dabei, die wieder mal, zumindest bei uns, alles durcheinander gebracht haben. vielleicht hilft eine office reparaturinstallation.

dann fehlt wahrscheinlich einfach der treiber für den fax drucker. siehst du diesen drucker in der druckerliste der lokalen drucker? wenn ja lösch ihn doch einfach.

klar, stimmt schon, wenn benutzer die möglichkeit haben sich firefox o.ä. zu installieren, sie also die notwenigen rechte haben, ist meine lösung natürlich für die katz. :D

lt MS wohl: definiere die Gruppe bzw. den (die) benutzer die ändern dürfen. sowohl auf der freigabe als auch auf dem unterordner. ich würde auf freigabe die gruppe domänen-benutzer (ändern), Administratoren und system (Voll) einstellen auf ordnerebene admins (voll) und den jeweiligen benutzer (ändern).

ich bilde mir ein, ich kann mich aber auch täuschen, das die faxsoftware in windows von symantec ist. such mal unter den installierten windows komponenten und deinstalliere mal alles was mit fax und modem usw. zu tun hat. edit: stehen diesbezüglich einträge im eventlog?

die eleganteste und einfachste lösung ist meiner meinung nach eine GPO zu erzeugen in der als proxy 127.0.0.1 eingestellt ist. diese GPO lässt du nur auf eine gruppe wirken z.b. "No Internet" wo alle drinnstehen die nicht ins i-net dürfen. natürlich musst du in der GPO auch einstellen das die benutzer nicht an die proxyeinstellungen randürfen. einmal die GPO und die Gruppe erzeugt kannst du mit einfachsten admin mittlen durch hinzufügen und entfernen der benutzer in dieser gruppe deinen i-net zugang kinderleicht steuern.

und wenn du mal dieses faxprogramm deinstallierst und ggf. bei bedarf neu installierst? natürlich den change user / install bitte nicht vergessen.

hmm, gute frage, ich kenne kein tool das das für dich erledigen kann, aber ich weis auch nicht alles ;) :D

das basisverzeichniss brauchst du nicht, aber die benutzer brauchen auf den jeweiligen ordner \\Server\profile$\ts\%username% mindestens das recht ändern (change). auf dem DC auf dem die profile liegen musst du auch auf die freigabeberechtigung profile$ ändern. standardmässig ab w2K3 gibt es nur noch leserechte für alle auf der freigabeberechtigung. da muss dann für die benutzer auch mindestens ändern rein.

also ich würde in jedem standort einen druckserver, der muss ja nicht dediziert sein, aufsetzen und nur die drucker an die jeweiligen clients zuweisen die der einzelene benutzer wirklich braucht. wahrscheinlich hast du ja diese printserver sogar schon. ob du das per skript oder manuell bzw. halbautomatisch, so wie wir, machst ist meiner meinung nach geschmackssache. ich veröffentliche für alle druckserver einen shortcut im startmenü. der benutzer sucht sich im standort seinen drucker -> rechte maus -> verbinden und schon hat er seine drucker die dann in sein profil wandern. funktioniert bei unseren 1000 leuten problemlos, haben aber nur 6 standorte. da du R2 schreibst gehe ich davon aus das deine TS W2K3 sind!?

die genaue fehlermeldung wäre schon hilfreich....:suspect:

dann wurden dem benutzer expliziet rechte auf ordner und dateien gesetzt und nicht über gruppen. daher sollte man auch nie, auch wenn es nur ein benutzer ist, nie rechte auf personen sondern immer nur auf gruppen setzen. wenn man dann diese person aus der gruppe löscht, z.b. durch löschen des ganzen benutzers werden nie die verwaisten SID's in der ACL auftauchen. wenn du rechte auf gruppen setzt und die gruppe löscht hast du natürlich das selbe problem, du siehst die verwaiste(n) SID('s) der gruppe(n)

wie steht denn der parameter bei: Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste/Standardprogrammgruppen aus dem Startmenü entfernen evtl. aktiviert? klingt nämlich so. mit GPMC einen richtlinenergebnisssatz erzeugen und die effektiven einstellungen kontrollieren um sicher zu stellen das es nicht aktiviert ist.

ich gehe davon aus das du sicherheitseinstellungen des IE, von einem admin PC aus oder direkt auf dem DC, in eine GPO importiert hast, evtl. auch unwissentlich. Da kann der client noch soviel verstellen dann ist das wirkungslos. du musst die GPO finden und wieder zentral importieren und zwar mit den richtigen einstellungen für active X. dabei ist es auch wichtig ob auf dem computer von der du die sicherheitseinstellungen für den IE importierst die verstärkte sicherheitskonfiguration für IE aktiviert hat oder nicht. mit der GPMC würden sich die (falschen) einstellungen sicher schnell finden lassen. dort findest du auch die meldung ob die einstellungen nur für computer mit oder ohne verstärkerter sicherheiskonfiguration gelten. in welcher gruppe ein benutzer ist dürfte keinerlei auswirkungen auf die einstellungen von active x haben, es sei denn das die GPO mit den sicherheitseinstellungen für IE nur auf mitglieder der gruppe der Remote Desktop Benutzer wirkt.

auf das thema habe ich schon mehrfach geantwortet. XP SP1 ist nicht (immer) in der lage, auch wenn das immer wieder behauptet wird, mit WUS zu komminizieren. da fehlt ein patch der z.b. bei SP2 dabei war. erst mit diesem patch sind XP SP1 clients in der lage mit wus zu kommunizieren. um das problem unkompliziert zu lösen würde ich SP2 in einer GPO zuweisen und dann wird es ab diesen zeitpunkt meiner meinung nach keine probleme mehr mit WUS geben. hier noch ein downloadlink für WUS relavanten tool und software: WSUS.DE - Die Infoseite zu den Microsoft Windows Server Update Services