xrated2

https://www.drwindows.de/news/keine-gratis-lizenzen-mehr-fuer-microsoft-partner https://www.it-business.de/2-update-microsoft-streicht-gratislizenzen-fuer-partner-microsoft-rudert-zurueck-a-845092/ Laut 2. Link soll MS ja wieder zurückgerudert haben, fragt sich wie lange. Der allgemeine Verlauf ist ja schon beachtlich. Irgendwann gibts gar keine Partner mehr und MS regelt alles selbst über die Cloud und verfügt über alle Daten weil es keine Onpremise Server mehr gibt. Da fehlt dann nur noch ein Crash bei MS und die Wirtschaft steht.

Ah verstehe, wo soll ich die Dateien ablegen? Im Moment gibt es noch keinen Fileserver im AD. Ich dachte unter NETLOGON soll alles rein was mit Anmeldung und Skripts zu tun hat.

Hallo ich habe eine GPP die Dateien von einem Folder im Netlogon Share auf den Client kopiert. Das funktioniert soweit, nur ist es so das ich nicht möchte das alle User auf diese Dateien zugreifen können. Deswegen habe ich in diesem Folder bei den NTFS Berechtigungen die Gruppe Authentifizierte Benutzer eingeschränkt in dem ich eine Bedingung hinzugefügt habe, die so aussieht: Benutzer - Gruppe - Mitglied von allen Elementen - Wert - Name der Gruppe Wenn der User (der natürlich Mitglied der Gruppe ist) angemeldet ist kann ich im Explorer weiterhin auf die Dateien zugreifen, nur funktioniert die Policy leider nicht mehr. Was hab ich da falsch gemacht?

ok, egal hab jetzt eine Policy mit BITS Limit in der Geschwindigkeit erstellt welche mit WMI Filter nur für VPN Clients gilt. Praktischerweise kann man da sogar 2 verschiedene Limits je nach Zeit angeben. Und 2 Policies mit mit Downloadmode 3 oder 100, je nachdem in welcher OU der Client steckt. Bei 3 gibts ja kein BITS, ich hoffe das da die Updates wirklich von Peers und nicht vom WSUS runtergeladen werden.

Ich verstehe die Logik von MS nicht. Der Patch ist im WSUS doch eigentlich sprachunabhängig freigegeben, nur runterladen tut er bestimmte Sprachen die man einstellt. Und der Client geht dann her und fragt den WSUS ob er nicht nur der Patch freigegeben ist, sondern ob er auch auf WSUS runtergeladen ist und lädt ihn dann bei Mode 3 letztendlich irgendwo aus dem Netz?

Wie oben beschrieben hört sich das aber so an das die Clients im Downloadmodus 3 den WSUS fragen was freigegeben ist aber dann direkt als erstes versuchen die Patches von peers im Internet zu ziehen.

Also bei englischen Clients einfach Downloadmodus auf 3 und der kann sich die selbst aus dem Netz ziehen? Was ist eigentlich wenn bei einem deutschen OS nachträglich Englisch hinzugefügt wird, braucht der dann deutsche oder englische Patches? Hilft mir da eine OSLanguage Abfrage via WMI? Hier mal 2 Abfragen für die Ermittlung von VPN und Nicht deutscher Sprache: Select * FROM Win32_IP4RouteTable WHERE (Mask='255.255.255.255' AND Destination Like '192.168.200.%') Select * FROM Win32_OperatingSystem WHERE Not OSLanguage='1031'

https://blogs.technet.microsoft.com/mniehaus/2016/08/16/windows-10-delivery-optimization-and-wsus-take-2/ So let’s assume we have a Windows 10 1511 or Windows 10 1607 PC configured to talk to WSUS, and it checks for updates. What happens? Here’s the basic flow with the default settings: -The PC talks to WSUS to determine what updates are needed. -For each needed update, the PC checks with the Delivery Optimization service (on the internet) to find any applicable peer PCs that already have the needed content. -If peers are available,, the PC will try to get the content from the peers. -If some or all of the content isn’t available from a peer, or if no peers are available, the remainder will be retrieved from WSUS. Ist das bei 1903 immer noch der Fall mit Downloadmodus auf 3? Das ist ja genau das was ich brauche für solche "Offshore" Clients. Was passiert eigentlich bei englischen Clients im LAN (also in der Zentrale mit dem WSUS) wenn Downloadmodus auf 100 ist und auf WSUS nur deutsche Updates runtergeladen werden? Bekommt der gar kein Update? Das sind aktuell nur 2 PCs und das lohnt sich ja gar nicht die englischen Updates auf WSUS runterzuladen.

Achso, dann hatte ich schon wieder einen Denkfehler. Dachte das wegen der WMI Abfrage das der Client erst erneut ziehen muss. Werd wohl langsam zu alt dafür

Wenn die GPO erst nach 1-2Std. aktualisiert ist hat der PC die Updates vielleicht schon mit voller Geschwindigkeit gezogen. Hab mal geschaut, als Installationszeitpunkt für Updates habe ich Freitag 12:00 festgelegt, wenn man davon ausgeht das die Leute nicht erst Mittags zum arbeiten anfangen müsste das wohl so ok gehen. Dann werde ich das mal auf 1mbit/s drosseln, danke soweit.

Ja das ist momentan der einzige Client (von insgesamt 2) im Ausland der neu ausgerollt wird, deswegen. Das mit der WMI Abfrage ist interessant. Also default zieht sich der Client die GPO wohl alle 90 + 0-30min gemäß Refresh Interval, macht dann wohl auch Sinn zu verkürzen.

Es arbeiten an manchen Tagen sehr viele von daheim und da würde man die ganze Leitung lahmlegen. Vor kurzem waren es noch 1MBit/s Upload, jetzt sind es immerhin 10MBit/s. Deswegen hab ich den IIS so eingestellt das nur LAN drauf kommt. Zweiter WSUS wäre zuviel Aufwand. So eine Art dynamische Einstellung zum runterladen von Updates gibts ja leider nicht z.b. im LAN vom WSUS und sonst über Inet.

Da ist was dran. WSUS muss ich da sowieso raus nehmen. WPP schießt man dann wohl auch ab aber geht wohl nicht anders.

Es wäre gut wenn man das alles zentral steuern kann, gerade hinsichtlich GPO. Gibt einige Sachen die blockiert werden sollen. Verwaltung über Teamviewer ist ätzend.

ok, siehst du denn Gründe die dagegen sprechen den ins AD aufzunehmen wenn er den DC nur über VPN sieht? Die "normalen" GPO müssten ja im Background alle x Std. ausgeführt werden.

Hallo wenn jetzt ein MA ausschließlich im Ausland arbeitet und nie in der Zentrale ist wo das Active Directory ist, frage ich mich gerade ob es Sinn macht das Windows 10 Gerät ins AD aufzunehmen. VPN läuft über OpenVPN also ist beim anmelden kein DC erreichbar. Dann funktionieren doch schon mal einige Policies (GPP, Loginscript, Netzlaufwerke, Drucker ?) nicht so wie ich verstanden habe, richtig? Macht das mit AD Mitgliedschaft Sinn oder nicht? Gehen dann nur die genannten Features nicht? Eine synchrone Anmeldung wird bei allen Clients nicht forciert. Edit: Wenn kein DC zur Verfügung steht kann sich der Client auch nicht unendlich lang anmelden? Siehe: https://theitbros.com/active-directory-cached-credentials/ Wenn der CachedLogonsCount auf 10 steht, was passiert wenn sich ein User beim 11. mal offline anmeldet? Oder wird immer nur der älteste Login überschrieben?

Danke da hatte ich einen Denkknoten. Also hab ich den jetzt einfach manuell in die RDP Gruppe gesteckt. Im AD hat er User und Gruppenverwaltungsrechte in einer bestimmten OU.

Hallo ich möchte einem User die lokale Anmeldung auf einem einzelnen Server erteilen weil er dort RSAT benutzen möchte. Auf seinem PC mag der Chef nichts installieren Jetzt gibts ja mehrere Möglichkeiten, die eine wäre auf dem entsprechenden Server die lokale Gruppenrichtlinienverwaltung zu starten und den dort hinzufügen. Oder über AD mittels GPO Computer->Richtlinien->Windows-Einstellungen->Sicherheitseinstellungen->Lokale Richtlinien->Zuweisen von Benutzerrechten, wenn man dann bei Sicherheitsfilterung die entsprechende Gruppe auswählt, ist das dann Safe? Die folgenden lokalen Gruppen muss man dann wohl noch extra hinzufügen: Administratoren, Benutzer, Sicherungs-Operatoren. Oder steckt man den AD User besser in die lokale Benutzergruppe vom Server die sich anmelden darf? Das kann man ja via GPP steuern. Ich tendiere mehr zu letzterem aber darf ein User überhaupt RSAT starten oder werden da wieder Adminrechte benötigt?

Nein das sind keine Lizenzprobleme, ist nur eine zusätzliche Maildomain die im Ausland verwaltet wird und in der Cloud ist (Office 365 E3 müsste das sein).

VM wäre denkbar, darf der normale User diese auch auf dem PC starten? z.b. HyperV Habe was gelesen das man das über den Authorization Manager steuern könnte. Habe nur grad keinen Hyper-V zum probieren da.

Es gibt hier 1-2 Entwickler die für spezielle Programme Adminrechte auf ihrem PC haben, was eigentlich nicht so sein soll. Gibt es eine Möglichkeit diese Domänenaccounts weiter einschränken oder dem normalen Benutzeraccounts mehr Rechte zuzuteilen damit sie z.B. innerhalb Python die Pakete installieren dürfen? Ich habe da keine Möglichkeit bis jetzt gefunden, sobald jemand in der Admingruppe vom lokalen PC ist, ist er Admin.

Outlook benutzen alle, teilweise weil sie nichts anderes kennen oder weil es noch Exchange Konten anderer Firmen gibt. Weisst du warum Outlook alles als OST speichert selbst wenn es kein Exchange Konto gibt? Und wie lässt sich so ein OST überhaupt aus einem Restore in Outlook benutzen? Beim Import gibt es ja nur PST.

Mailsystem an sich gibts gar keins, dass liegt alles bei 1&1. Wenns dem Chef mit Exchange Konten zu teuer ist kann ich ihn auch schlecht zwingen ;) Derzeit gibts nur 2 Exchange Konten für die Chefs der beiden Firmen. Insgesamt sind es um die 15 Mailkonten. Momentan werden nur alle Mails älter als 1 Woche in Mailstore archiviert und noch ältere Mails vom IMAP Server gelöscht damit der nicht volläuft weil das 2GB Postfächer sind. Wobei die Lösung mit Mailstore ja auch jährlichen Support kostet, ich persönlich hätte da gleich eine Groupware genommen. Die PCs werden gar nicht gesichert und der Terminkalender soll eben gesichert sein bei Ausfall. Wobei auch nichts dagegen sprechen würde wenn man eine Lösung mit shared Kalender hätte aber die sind preislich nicht viel anders wie Online Exchange Konten. Und da rumpfrimmeln mit Caldav Addin in Outlook mit Owncloud oder ähnlich wollte ich auch nicht. Vom Ausland benutzen manche noch Exchange Konten einer anderen Firma, dass ist auch nicht so unproblematisch in Zusammenhang mit dem Default Kalender weil der auf das Exchange Konto festgelegt wird und nur mit Tricks wieder der Kalender vom lokalen Outlook als primärer Kalender verwendet werden kann.

Momentan ist es IMAP und Exchange ist zu teuer, auch Online (4€ pro User) Langzeitarchivierung erfolgt mit Mailstore Server.

Hallo ich habe unten stehende Settings am Client. Die Updates sollten Freitag Mittags installiert werden. Ich höre das jemand erst heute (Do) Probleme beim Neustart mit Updates hatte (vermutlich 1903). Kann das sein das der immer nur auf herunterfahren geklickt hat ohne das Updates installiert wurden? Edit: Laut Schilderung des Users stand: Neustart Neustart mit aktualisieren Und der hat eben auf zweites geklickt ;) Allerdings meinen die User das Meldung nach 3 Std. bekommen hätten wie in der Option unten, kann das sein? Wie geht ihr da denn vor? Automatische Updates konfigurieren: 4 - Autom. Herunterladen und laut Zeitplan installieren Die folgenden Einstellungen sind nur erforderlich und anwendbar, wenn die Option 4 ausgewählt wurde. Während automatischer Wartung installieren: Aktiviert Geplanter Installationstag: 6 - Jeden Freitag Geplante Installationszeit: 12:00 Automatische Updates sofort installieren Aktiviert Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren: Aktiviert Nutzungszeit Start: 07:00 Ende: 22:00 Erneut zu einem Neustart für geplante Installationen auffordern Aktiviert Folgenden Zeitraum (in Minuten) warten, bevor zu einem Neustart aufgefordert wird: 180 Frist angeben, nach der ein automatischer Neustart zur Updateinstallation ausgeführt wird Aktiviert Geben Sie die Anzahl von Tagen an, nach denen ein ausstehender Neustart außerhalb der Nutzungszeit automatisch ausgeführt wird: Qualitätsupdates (Tage): 2 Funktionsupdates (Tage): 2 Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind: Nicht konfiguriert