Mr.John_Doe

Hallo,

mittels der Kombination "Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichen" und "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" konnte ich jetzt die anonyme Freigabe erstellen was aber leider wieder mal einen Seiteneffekt hat:
 

Die eine Freigabe soll die einzige auf dem Server sein auf die anonym zu gegriffen werden soll. Ich habe noch weitere Freigaben die wiederum mit einem lokalen Nutzer, später mit Domainnutzern berechtigt werden sollen. Versuche ich nun auf die Freigaben zuzugreifen (z.B. beim Imaging oder ähnlichem) dann verweigert er mir den Zugriff, was auf eine Weise leider logisch ist.

Da ich in dem Moment ein lokaler Nutzer auf einem Rechner bin versucht er es mit dem anonymen Nutzer. Dieser hat aber auf der Freigabe keine Rechte. Und anstatt er mich dann nach Nutzerdaten fragt verweigert er mir einfach den Zugriff. Kennt einer von euch das Problem? Kann ich den Server dazu zwingen mich nach Nutzerdaten zu fragen? net use mit credentials ist leider eine subotimale Lösung.

Grüße

Hallo,

da es sich hier um Schulungsräume handelt wären das ein paar 1000 Nutzer ... Gibt es denn eine Möglichkeit jedem Nutzer das selbe lokale Profil zuzuweisen. Also quasi an Mandatoryprofil baut und dieses zu benutzen? Roaming Profiles wären nicht notwendig.

Moin,

 

wobei ich gerade den Unterschied zur vorherigen Mimik nicht sehe. Wenn man sich auf einem zurückgesetzten Windows 7 über Novell anmeldet - was ja am Ende eine lokale Anmeldung mit einem neuen User ist -, dann kann das doch nicht schneller gehen?

 

Gruß, Nils

Hallo, der lokale Nutzer wurde vor dem Image konfiguriert. Das heißt der existiert schon und wird nur geladen. Änderungen werden zurück gesetzt.

Grüße

Hallo,

wir haben folgendes Problem:

Wir stellen derzeit von Novell auf Windows AD um. Unsere Clients sind vorwiegend Windows 7. Derzeit authentifizieren sich die Nutzer via Novell und bekommen dann ein lokales Profil geladen. Nach einem Neustart des Rechners wird der komplette Rechner zurück gesetzt.

Nun wollen wir das System komplett durch AD ersetzen. Also müssen sich die Nutzer (was sinnvoller ist) via AD authentifizieren. Das klappt natürlich. Für diese Nutzer bzw. für diese Rechner sind keine Roaming Profiles eingerichtet. Ziel ist es, dass die Rechner möglichst wenig mit Nutzerdaten belastet werden bzw. diese regelmäßig gelöscht werden.

Unsere Betreuer vor Ort mokieren nun dass die Anmeldung mit "diesem blöden AD" so lange dauert. Das ist ja nachvollziehbar da das Profil jedes mal neu erstellt werden muss. "Mit Novell war da alles besser!" ist dann das nächste was ich höre. Eine Authentifizierung ist natürlich notwendig. Daher meine Frage. Kann ich ein komplettes Profil (mit allen Infos) so vorbereiten dass der Nutzer es sofort laden kann? Oder gibt es eine Strategie für solche Schulungsszenarios? Es muss natürlich verhindet werden dass ein Nutzer die Daten seines Vorgängers sieht (ist bisher eher semierfolgreich da der Rechner ja nur nach einem Neustart zurück gesetzt wird ...

Habt ihr da eine Idee?

Grüße

Er steht im Stall. Wer ist er hier? Der Server oder der Client?

 

 

https://technet.microsoft.com/de-de/library/dd861330.aspx

Hallo,

der Server ist Mitglied einer Domain. Eine zweite Domain hostet unsere Nutzer (bei vertrauen sich). Die PC sind nach zum Zeitpunkt wenn sie auf das Share zugreifen sollen noch nicht Mitglied der Domain. 

Ist es denn grundsätzlich, also vom Anwendungsfall losgelöst, nicht mehr möglich solche Shares einzurichten?

Grüße

Ist der Server denn ein DC oder Member einer Domain oder nicht?

 

Sind die Clients Member der Domain oder nicht?

Er ist Member einer Domain.

Hi,

 

evtl. lässt sich da was über den Gast Account erreichen? Was für eine Softwareverteilung nutzt ihr denn da? Und was heißt "muss ohne Domain funktionieren"? Gibt es keine Domain oder gibt es Clients die nicht Domain joined sind?

 

Gruß

Jan

Hallo, dass heißt dass die Clients noch nicht in der Domain sind. Das Interessante daran ist dass zwar viele das mit Server 2012 darstellen wollen aber irgendwie keiner schafft. Zumindest wenn man etwas googled, Grüße

Hallo,

für eine Softwareverteilung bzw. dessen initiale Installation benötigen unsere Clientbetreuer einen anonymen Zugriff auf eine SMB-Freigabe. Ich wollte diese auf einem Server 2012 einrichten scheitere aber kläglich.

Ziel ist eine Freigabe "Deployment", welche ohne Authentifizierung aufgerufen werden soll, außerdem eine weitere Freigabe mit der man auf diese nach Login (Mitglied einer Gruppe) schreiben kann.

Ich bekomme den freien Zugang nicht hin. Ich habe die Berechtigung Lesend für "Jeder" gesetzt aber trotzdem fragt er mich immer nach einem Nutzernamen und einem Kennwort. Das ganze muss ohne Domain funktionieren.

Grüße

Hallo,

wir hatten gerade eine Diskussion zu folgendem Thema:

Wir bieten Gruppenlaufwerke an auf denen auch Mac-Nutzer (via UNC-Freigabe) zugreifen können.

AD-Nutzer sollen an ihren Arbeitsplätzen diese Freigaben ebenfalls zugewiesen werden (klassische Shared Folders eben).

Nun haben wir derzeit im alten System das Problem das die Apple-Nutzer gerne sehr tiefe Verzeichnisse anlegen, wir also bei den mit net use gemounteten Verzeichnissen in die maximale Zeichengrenze von 250 Zeichen kommen.

Wir würden das im neuen AD gerne verhindern. Uns fällt dazu aber keine sinnvolle Lösung ein.

Ein mounten via Gruppenrichtlinie würde ja den Fehler wieder verursachen. Ein Kollege meinte wir sollten einfach in die Eigenen Dateien eine Verknüpfung zur UNC-Freigabe legen, ich befürchte aber dass man damit andere Probleme beschwört.

Gibt es ein BestPractice dazu?

Danke und Grüße

OK, danke. Könnte man dann aber Richtlinien zum Mappen von Laufwerken auf diese Weise einschränken? Die wären dann auch den Rechnern zugewiesen ...

Kann ich eine Gruppenrichtlinie einer Securitygroup zuweisen welche Nutzer der anderen Domain enthält? Bsp.: Ich erzeuge eine Gruppe "Abt1_Share" und weise ihr die Nutzer userdom.local\User1 und userdom.local\User2 zu und gebe der OU in welcher die Gruppe liegt eine Richtlinie. Wird diese dann auf die beiden Nutzer angewendet?

Grüße

(OT: Euer "Server-Chef" ist ein T****l - Territorialkriege in der eigenen Firma???)

 

http://gpsearch.azurewebsites.net/#320 hast Du aktiviert? Und SID-Filtering auf dem Trust ist deaktiviert?

 

Und warum hängt eine Roaming Profile Regel am Rechner? Das ist idealerweise eine Einstellung des User-Accounts... Wenn Du das per GPO machen willst (was nur auf Computerebene geht, richtig), dann kriegst Du für lokale User natürlich Fehler, also "warum gibt es die überhaupt"?

 

Zum Thema "Loopback Merge": http://support.microsoft.com/kb/953768 kennst Du?

Hallo, Allow-Cross-Forest ist aktiviert für die Richtlinie. Wie kann ich SID-Filtering überprüfen?

Wir haben keinen Zugriff auf die Userdomain, daher können wir nur an den GPOs der Rechner wirken. Warum? Möglicherweise deine erste Zeile oder ernsthafte Sicherheitsbedenken ...

Den Artikel kenne ich. Ich habe unten mal die beiden Richtlinien angehangen. 

Meine Idee war es, die RoamingProfile-Richtlinie via Scope auf userdom.local\Users so einzuschränken dass die Richtlinie nur noch für Nutzer dieser Domain angewendet wird. Bin mir aber nicht sicher ob das so funktioniert. Wir vergewaltigen hier die Richtlinienmethodik schon sehr ...

Die fraglichen Richtlinien habe ich mal angehangen (hoffentlich genügend entpersonalisiert).

Danke und Grüße

Hallo,

wir haben unsere Clients letztens auf Windows 7 migriert. Gleichzeitig haben wir die alte vom IdentyManagement abgegrenzte Domain durch eine neue Domain ersetzt. Da wir von der Clientbetreuung aber nicht im IDManagement rumpfuschen sollen hat unser Server-Chef uns eine abgesetzte Domain zur Verfügung gestellt, welche mit einer "Nutzerdomain" getrustet ist. Die Nutzer liegen somit in einer anderen Domäne als die Rechner. Die Domänen vertrauen sich gegenseitig. Auf die Nutzerdomäne haben wir keinen Zugriff. Die Nutzer melden sich bei unseren Clients standardmäßig mit der userdomain an.

Da die Nutzerdomäne praktisch nicht angefasst werden soll (Vorgabe) mussten wir alle Richtlinien (z.B. RoamingProfiles) an den Rechnern festmachen. Dadurch haben wir leider ein paar Probleme bzw. bekomme ich einige Sachen einfach nicht zum laufen und weiß nicht genau wieso. Möglicherweise könnt ihr mir helfen.

Ein entpersonalisiertes Schema habe ich angehangen ...

1. Da die RoamingProfile-Regel am Rechner hängt versucht der Rechner auch für lokale Nutzer (Schulungsräume etc.) Profile auf dem Server zu speichern was in einem Fehler endet. Ich habe versucht in der Regel den Scope auf die Gruppe userdom.local\User zu legen, leider ohne Erfolg

2. Einige nutzerseitige Einstellungen (SharedFolder, Office-Einstellungen usw.) werden nicht angewendet. GPRESULT meldet dass die Richtlinien nicht angewendet werden aufgrund unbekannten Fehlers. Ich habe eine Richtlinie eingerichtet, welche Loopbackverarbeitung (Merge) einrichten sollte und der OU MainDepartment angehangen, gpresult meldet, dass die Richtlinie aktiv ist, aber die Nutzereinstellungen werden trotzdem nicht ausgeführt.

Könnt ihr mir bei der Fehlerbehebung helfen? Ich seh die Lösung leider grad nicht ...

Danke und Grüße

Hallo,

wir testen gerade eine AD-Konfiguration, welche wie folgt aussieht:

Die Nutzer werden über ein Idendity-Management in einer Domain "ueber1" bereitgestellt. Uns wurde eine Domain "unter1" bereitgestellt, welche der Domain "ueber1" untergeordnet ist. Auf der Domain "ueber1" haben wir keine Rechte.

Wir sollen die Rechner in die Domain "unter1" aufnehmen. Beim Anmelden verwenden wir dann als Loginnamen "ueber1\username" um uns anzumelden.

Der IDM-Admin möchte damit verhindern dass wir in den Nutzerdaten Dinge ändern könen :-(

Ich möchte jetzt Roaming Profiles und Folder Redirection einrichten was aber anscheinend nicht so funktioniert wie ich mir das vorgestellt habe. Für einen Nutzer, welchen ich in der Domain "unter1" angelegt habe greifen die Richtlinien, leider aber nicht für Nutzer, welche aus "ueber1" kommen.

Ich habe die Richtlinien in einer OU "Gesamt" verlinkt, welche dann Unter-OUs enthäkt für die verschiedenen Departments. Dort werden dann die Rechner angeordnet.

Ich habe mir schon gedachte dass ich mit den User-Adminvorlagen bzw. -Settings Probleme bekommen könnte. Habt ihr eine Idee, wie ich das lösen kann. Die IDM-Admins sind hier ziemlich Windows-Feindlich was meine Arbeit in dieser Richtung erschwert. Daher kann ich nicht hoffen erweiterte Rechte auf der übergeordneten Domain zu bekommen.

Und noch eine Frage. Hier wird der Novell-Client verwendet um Gruppen- und Homedirectories zu mounten. Dies erfolgt erst nach Anmeldung. Kann ich trotzem documents auf eines dieser Laufwerke umleiten? Bei Anmeldung ist dieses ja noch nicht vorhanden.

Das Thema Redirection ist für mich noch ziemlich neu, ich denke aber dass uns das ziemlich entlasten kann ...

Danke und Grüße

Gibt es da bestimmte Voraussetzungen? Ich würde das dann gerne domainseitig machen. Der Nutzer soll halt so wenig wie nötig genervt werden ...

Hab ich mir auch gedacht. Via GPO die Disk verschlüsseln aber ist das sinnvoll bei einer SSD? Wird die nicht zu Tode geschrieben? Hab die Datenträgerverschlüsselung noch nie aktiv eingesetzt. Hab da irgendwie Respekt vor ...

Hallo,

wir statten gerade unsere Arbeitsplätze mit neuen Rechner aus und haben dafür eine neue Server 2008 Domain (bisher 2000er-Domain) bereitgestellt. Ich erstelle nun gerade die Nutzerrichtlinien.

Ein Kollege hat Bedenken angemeldet was denn passiert wenn ein Nutzer via Boot-CD einen lokalen Rechner bootet. Dieser hätte ja dann Zugriff auf alle Profile unter c:\users. In der alten, vorkonfigurierten Domain wurden die lokalen Profile nach Abmelden gelöscht was aber zu ziemlichen Anmeldezeiten geführt hat.

Gibt es hier einen Trick bzw. ein Best Practice? Könnt ihr noch andere wichtige Einstellungen für Win7-Clients empfehlen. Wir verwenden in den neuen Clients flächendeckend SSDs.

Danke und Grüße

Hallo,

der Exchange wird von einem Dienstleister bereitgestellt. Nicht alle Nutzer sind in unserem AD unterwegs und wie man das im DNS einrichtet wissen unser Admin und ich auch leider nicht.

Grüße

Hallo,

leider weiß ich nicht wo ich das sonst aufhängen soll hier im Forum. Wir verteilen derzeit Outlook 2010 für einen neuen Exchangeserver (ca. 250 Clients). Bisher haben wir für die IMAP-Konfiguration eine .prf-Datei hergenommen. Ich suche nun einen Weg, wie wir die Profileinstellungen einfach zu den Nutzern liefern können. Da nicht alle Nutzer am AD sind und Autodiscover auch nicht funktioniert dachte ich mir, dass das via .prf-Datei ja auch gehen müsste. Leider fehlen mir hier die Informationen und im Internet finde ich nur Anleitungen für IMAP / POP - Konten.

Besonders ist auch, dass unser Anbieter uns vorschreibt, dass wir immer über die HTTPS-Schnittstelle gehen sollen und die Verschlüsselung anpassen müssen. Das müsste ich ja dann auch irgendwie verscripten ...

Danke und Grüße

Melden sich die Benutzer mit dem Account an, der ansonsten mit einem Servergespeicherten Profil verknüpft ist? Wenn ja, dann kannst Du mit Hilfe eines GPOs das auf diesen Clients verhindern.

Welche Einstellungen sind denn das? Die finde ich eben nicht.

Benutzt ihr schon Servergespeicherte Profile?

Melden die Benutzer sich mit vorhanden oder neuen Usern an?

Es könnte sein, dass einige schon ein Profil haben. Das muss aber nicht unbedingt geladen werden.

Hallo,

du meinst, die ntuser.dat in .man umzubenennen? Das würde schwierig werden. Potentiell würden 10.000 User in den Räumen arbeiten können. Das lokale Profil wäre sekundär, aber wichtiger wäre mir, zu verhindern, dass ein serverseitig gespeichertes Profil angelegt wird...

Hallo,

wir haben eine Schulungsraumumgebung (diverse Räume) und beginnen, diese in ein AD hereinzuhängen. Die PC sollen dabei in eine OU-Struktur \Schulungsraum\Raumname.

Das AD soll dabei nur zur Authentifizierung verwendet werden. Die Nutzer sollen eigentlich kein Profil bekommen (können aber woanders schon eins haben). Ist es möglich, via Gruppenrichtlinie das Speichern des Nutzerprofils zu unterbinden? Hat jemand in dieser Richtung Erfahrung?

Danke und Grüße

Verdammt, da hätte ich auch drauf kommen können...

Danke

Hallo,

hier mal das aktuelle Testscript:

set-location "c:\test"

$progs = get-childitem -filter "*install.ps1" -recurse -name

foreach ($befehl in $progs){

start-process $befehl -wait

}

Das klappt in dem Sinne, dass er das ps-Script schon mal im Editor öffnet.

Als test habe ich in den Unterordnern ein testscript-install.ps1 gelegt, welches nur eine Ausgabe auf der Konsole liefern soll. Später sollten diese um Programmaufrufe erweitert werden.

Grüße

PS: Leider geht bei meinem aktuellen Browser die Symbolleiste nicht...

Hallo,

ich habe eine Frage. Und zwar wollen wir einige Programme unbeaufsichtigt installieren als automatischer Admin.

Leider funkt uns dabei die Tatsache dazwischen, dass er bei jedem Programm, welches auf einem Fileserver liegt, eine Warnung ausspuckt.

Nun müssten wir diese scriptbasiert abschalten. Sprich, als erstes wird in dem Startskript die Inhaltswarnung deaktiviert, danach werden die Programme installiert und anschließend wird die Inhaltswarnung wieder aktiviert.

Kann mir da einer helfen?

Grüße

Hallo,

ich möchte einen Prozess starten, dessen Aufruf sich aus einer Variable bilden soll.

Ich möchte also ein Powershell-Script starten, welches sich aus einer Pfadvariable sowie aus einer Variable für den Namen des Scripts zusammensetzt.

Leider bekomme ich das nicht hin. Es kommt die Meldung, dass bei Prozessstart keine Variablen verwendet werden können. Das kann ich mir aber irgendwie nicht vorstellen.

Habt ihr da eine Lösung?

Grüße