Seppim

ja, ist bereits im Gespräch. 2019er Solls werden mit gleich neuer Hardware. Denk ich muss wohl die anderen GPOs wieder deaktivieren und das ganze so lange machen, bis es wieder nicht funktioniert ... dann weiß ich welche das Problem verursacht.

Hallo Thomas, danke: Der Gruppen "Jeder", "Domänen Benutzer" und die Gruppe "user01" der Benutzer haben Vollzugriff. Sowohl Freigabe und NTFS. Es existieren noch alte Sicherheitseinstellungen in anderen GPOs ... mein Test User hat geklappt, drum dachte ich die Freigaben sind OK. Schreibrechte um die Icons zu löschen hat er aber nicht. Auch nicht um auf dem Desktop etwas zu speichern. Theoretisch, mit NTFS Vollzugriff müsste das ja sein, drum meine ich das eine andere GPO eventuell hier etwas verbietet. Ich hatte beim Testuser mal alle anderen GPO deaktiviert ... dann hat es einmal geklappt und danach immer ... eventuell benötigt er beim ersten mal Schreibrechte die eine GPO aber verbietet. Ich habe natürlich GPO bis GPO wieder aktiviert und auf jeweils einen neuen PC getestet ... eventuell wurde die Richtlinie aber nicht Zeitgerecht angewendet, das ich mich da täuschen hab lassen. Bei der Gelegenheit: Mal als Grundsatzfrage: Ich ändere eine GPO am Win 2008R2 ... der Client läuft und user ist angemeldet. Am Client ein "gpupdate" bewirkt das die Richtlinie auf den Benutzer angewendet wird, richtig? PC Richtlinie benötigt Neustart. Oder muss ich beim Server auch ein "gpupdate" machen? was mir aufgefallen ist: Beim testen der GPOs ... manchmal hat er den Befehl "gpupdate" nicht gefunden. Abmelden, Anmelden und dann ging es., Vielen Dank!

Hallo, ich habe in einer bestehender Anlage einige GPO´s .. ich habe nun eine Desktop Umleitung eingerichtet .. aber die "zickt". Bei einem Test User klappt es .. anderer User in der selben OU auf einem anderen PC, welcher auch in der PC OU ist, klappt nicht. Fehler: Der Pfad wurde nicht gefunden. Das hatte ich auch zuerst bei meinem Testuser ... ein paar mal Abmelden und Anmelden und dann hat es geklappt. Ich bin mir aber nicht sicher ob eine andere GPO die Umleitung stört. Wie wäre da der beste Weg den Fehler zu finden. Beim Fehler ist leider kein Pfad dabei ... drum weiß ich nicht warum das passiert ... ich kann die Freigabe mit dem Desktop via Explorer vom besagten User öffnen. Danke! Sepia

Hallo, ich habe per GPO den Usern die Drucker zugewiesen. Nun habe ich den Namen und den Freigabenamen der Drucker geändert. Ebenso in der GPO. Aber diese werden nun nicht neu zugewiesen. Es verbleibt der "alte" Drucker, welchen es nimmer gibt. So als würde er den selben Drucker nicht neu zuweisen, wenn sich der Name geändert hat. In der GPO habe ich den Drucker als Freigegeben Drucker ausgewählt und den UNC Pfad eingegeben "\\srv01\Drucker OG1" als Beispiel. Gebe ich den Namen in den Explorer des Server ein, öffnet sich die Drucker Warteschlange. Auch wenn die User auf "\\srv01" gehen und den angezeigten freigegeben Drucker auf "Verbinden..." klicken, installiert er sich und können drucken. Kann ich das zuweisen der Drucker erzwingen? Danke!

ok, den Gedanken habe ich nun verworfen Danke an alle!

Hallo Nils, ja stimmt schon. Habe dies mal gefunden: https://www.dynasys.de/produkte/emergency-admin-manager/ sowas hatte ich halt im Auge aber theoretisch: Ich erstelle per Script pro PC einen Temporären Admin und erlaube aber nur auf dem eigenen PC sich einzuloggen Kennwort halte ich bei mir vorerst Software muss installiert werden und benötigt einen Admin account Per Script wird das Password zugesendet nach 2min wird ein Abmelden erzwungen (ist das möglich?) neues Passwort per Script neu setzen Was könnte der User machen? Falls er den Account zum anmelden am PC nutzt, könnte er sich nur auf einem Client anmelden und würde nach 2min (oder welche zeit auch immer) automatisch abgemeldet und kein weiteres Login wäre möglich. Er könnte eventuell als Admin ein Script starten. Aber kann man den Temporären Admin Account nicht weiter per GPO einschränken? Ziel wäre das er nur eine Software installieren darf und sonst nichts. Falls ja, könnte man das ja mit einem Script machen, oder nicht?

Hallo, es ist für einen Kunden. Es kann sein das plötzlich eine Software zu installieren ist. Die Idee wäre, wenn er das Setup als normaler User startet, er ein Admin Konto mit einem "Einmal Passwort" bekommt ... dann kann er die Software installieren. Jedoch soll der Admin Account danach nicht weiter verfügbar sein. Es wäre eine schnelle Notlösung wenn eben eine Software zu installieren ist und kein Admin im Haus ist. Der User selbst ist natürlich schon angemeldet

Hallo, gibt es eine Möglichkeit, einen Domänen Admin User für einen einmaligen Login einzurichten und danach er selber ein neues Passwort vergibt? Hintergrund: Falls eine sehr wichtige Software Installation auf einem Client PC nötig ist, sollte per Email ein Kennwort zugesendet werden, das genau einmal gilt. Wenn man bei der Installation nach einem Admin User gefragt wird, kann man genau einmal nutzen. Danach ist der account automatisch mit einem neuem Passwort versehen und das wird auf meine Mail Adresse gesendet oder sonst wo sicher abgelegt. Der User soll nur zur Installation für Programme genutzt werden. Er soll sich nie auf einen PC oder Server einloggen können. Ist dieses Szenario möglich? Danke!

Hallo, die Schüler sollen nur die Programme in "C:\Users\Public\Desktop" ausführen können, Internet (Firewall regelt was erlaubt ist), auf einen Drucker drucken und auf die Schüler Freigabe zugreifen können. Ähnlich wie ein Kiosk Mode ... aber eben mehrere Programme. Hoffte das es da ein Template gibt! Danke

Guten Morgen, da nun der Server und Rest alles läuft, soll ich die Rechte der Schüler komplett einschränken: Keine DektopIcon löschen oder verschieben, Systemsteuerung gar nicht aufrufen, Hintergrundbild darf nicht verändert werden, ... Gibt es da eventuell ein Template damit ich nicht selbst einzeln alles raussuchen muss? Danke

Ich habe die VLAN´s bei allen Port definiert. Dort wo die APs hängen, damit der VLAn Trunk konfiguriert ist. Bei einigen Port hatte ich tatsächlich VLAN 4 vergessen ... als ich mal statisch getestet hatte, war ich wohl mit einem anderen AP verbunden

Nein, es waren erst 2 Clients von den ca. 50 angemeldet Nein, kein Admin war angemeldet. nur ich ... eventuell war die WSUS.MSC geöffnet über Nacht. Das wäre wmöglich Ja, meine ich habe die Updates frei gegeben. Wäre schon möglich das alle Notebook sich auf den WSUS verbunden haben. Ob ein großer Download läuft kann ich leider nicht sagen, da ich die WSUS Console nicht öffnen kann. Hardware: Intel Xeon E-2124 3.30 GHz, 1 CPU, 4 Kerne RAM: 64GB OS: Windows Server 2019 Standard IIS: Danke, gute Idee: Habe den ganen IIS und auch nur die WSUS Seite neu gestartet. Kein Erfolg. Der Aufruf von "http://localhost:8530/" ergibt HTTP Error 503. The service is unavailable. Habs gefunden: https://jmcblog.de/2017/03/24/loesung-microsoft-windows-was-5002-wsus-webserver-stuerzt-ab/ Der WsusPool war wegen zuviele Fehler beendet. Habe die Warteschlange mal höher gestellt .. mal sehen ob es nochmal passiert

Sorry, habs nun doch noch gefunden. Beim VLAN war ein fehler.

Hallo, habe einen Windows 2019 Standard Server am laufen. Darauf läuft auch der WSUS Server. Per Gruppenrichtlinie habe ich alle Clients (ca. 50) dem WSUS Server zugeteilt. Heute morgen waren 2 in der Verwaltung des WSUS. Ich habe nun alle Notebooks eingeschaltet und der WSUS war danach irgendwann weg. Ich kann ihn nicht öffnen, da er nicht erreichbar sei. Laut log ein Fehler und wenn dieser besteht, soll die WSUS Datei gelöscht werden (hab den Pfad aktuell nicht zur Hand). Danach musste ich den WSUS in der mgmt neu verbinden ... aber keine Verbindung möglich Get-Service wsusservice zeigt das er läuft. Dennoch einmal: Stop-Service wsusservice Start-Service wsusservice Keine Änderung ... beim ersten Ausfall habe ich den Server neu gestartet, dann war er wieder da. Wo könnte ich zum suchen anfangen? Ob der Port offen ist?

Hallo, Ich habe 25 TP-Link EAP245 am laufen. Darauf sind 5 VLAN´s mit dem Omada Server konfiguriert worden. Jede SSID => VLAN. Klappt an sich, aber beim VLAN 4 erhält der Client keine DHCP Adresse. Ich sehe an der pfSense Firewall das das Request eintrifft und beantwortet wird. Kommt aber beim Windows Client nicht an oder wo immer das Problem ist. Alle anderen klappen. Wenn ich das VLAN 4 per LAN anstecke, erhalte ich die Ip Adresse. Daher muss der DHCP und Firewall ja passen. Mir scheint das die EAP245 daran schuld sind. Ich hatte mal die SSID 4 mit VLAN 4 gelöscht, neu erstell und dann hat es einmal kurz funktioniert ... danach wars das Problem wieder da. Muss das wohl mit dem Wireshark am PC mal mitschauen, aber ist jemand eine solche Problematik bekannt? Danke!

Hallo Norbert, https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus Port 8530 wird es dann wohl sein? Von einem Fileserver für reinen Datenaustausch wurde es dann ein DC um die rechte auf den Schüler PC zentral verwalten zu können. Das bekomme ich schon hin, aber eben schon sehr lange her. Daher trage ich einige Punkte hier im Forum zusammen, wenn etwas nicht kappt. Wie man halt ein Forum nutzt Was die Update Strategie betrifft: http://wsuspraxis.de/wsus-gruppenrichtlinie/ Gibt an, ob das Windows Update-Energieverwaltungsfeature verwendet wird, um das System automatisch aus dem Ruhezustand zu reaktivieren, wenn Updates zur Installation geplant sind. Die Notebooks müssten alle im Standby sein und werden am Abend immer zum laden in einen Kasten verstaut. Das könnte klappen, das diese automatisch starten, updaten und wieder "schlafen" gehen?

Die Notebooks bleiben so lange am Tisch, bis die fertig sind .. der Lehrer räumt dann weg (Wurde mir gesagt). Alle Notebooks kommen in einen Schrank und hängen am Strom. Leider habe ich wohl beim hinzufügen zum WSUS noch ein Problem. srv01 ist der Wsus Server .. muss ich noch einen Port angeben oder das irgendwo sonst noch aktivieren? GP wurde manuell aktualisiert.

Hallo, hat nun alles gut geklappt Nun wäre noch ein Punkt zu erledigen: Die Schüler Notebooks sollen nicht automatisch Updates installieren. Wenn diese die Notebooks starten und ein großes Update läuft, behindert das den Unterricht. ich habe per Gruppenrichtline: mal alles deaktiviert. Passt das soweit? Am Server ist WSUS installiert ... kann ich ein Update per Script oder Kommando manuell auf allen Rechner starten? Dann ist einmal in der Woche am Ende der Stunde ein Update check und Installation. Oder wir würdet ihr das machen?

dein Wort in Gottes Ohr

nein, da passt schon alles eines ist das WLAN für die Musikschule das im selben Gebäude ist, aber von der Schule selbst getrennt sein soll. Teilen sich nur den Internet Zugang eines ist ein allg. Gäste WLAN das letzte ist das Admin WLAN

ja, ein neues VLAN wäre das beste, danke!

Hallo, vielen dank. Die restlichen 3 VLAN´s sind allgemein und haben mit der Schule nichts zu tun. Dann belasse ich den DHCP auf der pfSense und gebe als DNS den Server an Die Schüler Notebooks werden in die AD eingebunden. Daher benötigen diese Zugriff auf den Server sowie einige Dateien Freigaben. Auch ist der Wunsch das die Netze an sich getrennt sind. Ein zweiter DC als eigenständigen Server ist nicht möglich. Hier wäre nur der Hyper-V möglich. Ich habe nur einen Physikalischen Server. Wenn dies für den DC ein großes Problem ist, würde ich noch eher die beiden Netze zusammenlegen. Das das Netz Schüler auf das Netz Lehrer kommt und da nur auf die eine Server IP und sonst nichts im Lehrer LAN. Vielen Dank!

Hallo, ich habe: 1x pfSense mit 5 VLAN´s mit je einem DHCP auf der pfSense 1x Win2019 Standard 2 der 5 VLAN´s soll für eine Schule genutzt werden und der Win2019 soll als DC arbeiten. Wenn ich den Server zum Domänen Controller hochstufe, ist DNS ja sehr wichtig, richtig? Da soll also DHCP und DNS unbedingt vom DC verwaltet werden? Ich habe 2 physikalisch NIC´s (1x für VLAN Lehrer, 1x für VLAN Schüler) Lehrer dürfen ins LAN der Schüler, aber nicht umgekehrt. Ich benötige also auf dem DC also 2 DHCP Bereiche die je auf die passende NIC arbeiten. Muss der Win2019 Server einen Primären DHCP Bereich haben? DNS gibt es nur eine interne .local Das würde soweit passen? Danke!

Hallo, vielen dank ...anfrage an den Händler ist draussen. Vielen Dank an alle!

Hallo, ja, such mir einen Händler. Aber dann gibt es wohl CAL´s für Schulen? Denn die Server Lizenz habe ich gefunden, aber keine CALs. Danke!