olc

Hi,

in dem Szenario würde ich (wie oben angesprochen) falls möglich und lizenziert AGPM verwenden.

Ansonsten könntest Du eine Prä-Produktionsumgebung oder Testumgebung etablieren, in der solche Vorlagen geplant, generiert und getestet werden können, um sie dann wie von Nils beschrieben per Expert/Import in die Produktion zu bringen.

Der SCM ist für Dein Vorhaben nicht vollständig.

Eine andere Variante wäre mir aktuell nicht bekannt.

Viele Grüße

olc

Hi,

mir ist nicht ganz klar, was Du eigentlich erreichen möchtest. Beschreib doch bitte einmal das Szenario, so daß wir ggf. sinnvolle Vorschläge unterbreiten können. ;)

Grundsätzlich solltest Du Dir einmal "AGPM" anschauen, sofern Du ein Enterprise Agreement hast + Software Assurance.

Ansonsten ist vielleicht der Security Compliance Manager einen Blick wert: http://www.microsoft.com/en-us/download/details.aspx?id=16776 - hier kannst Du GPOs anlegen, dokumentieren, exportieren und importieren.

Zuletzt bleibt noch das Test-Lab bzw. die Vor-Produktionsumgebung, über die sich solche Workflows abbilden ließen.

Viele Grüße

olc

 

Moin, moin,

grundsätzlich ist die Systemzeit in Domänen-Umgebungen ein wichtiger Faktor. Jedoch ist eine verschiedene Zeit zwischen Client und DC in diesem Kontext kein allzu großes Problem (DC zu DC sieht es etwas anders aus).

Ohne zu sehr ins Detail zu gehen: Sofern sich die Systemzeit des Clients von der des DCs unterscheidet, welcher ein TGT ausstellen soll, sendet der DC seine Systemzeit an den Client und der Client wird diese Uhrzeit zur Authentifizierung nutzen. Hier dürfte es also erst einmal keine Probleme geben. Beim TGS bin ich mir gerade nicht ganz sicher, aber da sollte es ähnlich laufen.

Für mich klingt das eher nach einem Problem mit dem Computerkennwort. Kann es sein, dass der von Dir angesprochene "HD Guard" die Systeme per Image o.ä. immer wieder auf den Urzustand zurücksetzt? Damit würde nach 30 oder spätestens 60 Tagen das Computerkennwort zwischen AD und PC nicht mehr synchron sein (n-1 Prinzip bei einem Kennwortwechsel standardmäßig alle 30 Tage) und die Probleme ließen sich erklären.

Viele Grüße

olc

http://blogs.windows.com/windows/b/bloggingwindows/archive/2013/05/30/continuing-the-windows-8-vision-with-windows-8-1.aspx

Zum "Start-Knopf" steht etwas im unteren Drittel.

Viele Grüße

olc

Hi zahni,

@olc,

 

es kann viele Ursachen haben. Jeder glaubt woran er will.

Ich "glaube" nicht, ich halte mich an die Fakten. Und Fakt ist, daß aktuell die PC-Verkaufszahlen nach unten gehen und gleichzeitig Mobiltelefon- und Tablet-Verkäufe immer noch stark ansteigen. Da gibt es keinen Interpretationsspielraum.

Ich glaube z.B. daran, dass die ganzen Tablet-Dinger nur Zweit-Geräte zum Surfen, spielen, Mails lesen und angeben (hier ist der Apfel sehr hilfreich ;) )  auch für unterwegs sind. Und hier ist halt noch Bedarf.

Ich habe beides und nehme zum Schreiben immer das Notebook oder den PC. Ich bekomme sonst die Krise auf dem Touchscreen.

Ich glaube z.B. auch daran, dass die neuen PC's für den normalen User keine Vorteile bieten. Außer Hardcore-Gamern braucht kaum jemand noch schnellere PC's.

Ok, das ist jetzt Deine Meinung. Was genau untermauert diese Meinung in Bezug auf die Windows 8 Funktionen oder Verkäufe? Ist Deine Meinung maßgeblich oder die Verkaufszahlen der Systeme?

Und Windows 8 ist eben auch kein Kaufanreiz.

Nicht, wenn es nicht für den "neuen" Markt angepaßt ist. Und damit das der Fall ist, wird auch an der neuen Oberfläche weiter geschraubt.

Wenn Du eine Nutzerbasis von Millarden-Systemen hast bist Du vermutlich auch interessiert daran, diese Nutzerbasis zu behalten. Und genau diese Benutzerbasis verschiebt sich gerade zu Systemen mit anderen Formfaktoren. Egal ob Telefon, Tablet oder andere mobile Geräte oder Geräte zur Systemsteuerung usw.

Windows 7 scheint sich auch bei Amazon.de und .com z.Z. deutlich besser zu verkaufen.

Im MediaMarkt gibt es das Windows 8 Pro-Upgrade immer noch für 57 EUR...

Na ja, irgendwie normal wenn in so ziemlich jedem "Fachmagazin" oder der Presse insgesamt den Leuten eingebläut wird, Windows 8 sei "schlecht". Wenn ich mir so einige Artikel dann inhaltlich anschaue, kann ich nur Kopfschütteln  Es gibt ganz sicher berechtigte Kritik an einigen Umsetzungen in Windows 8, aber die ganze Debatte auf die neue Oberfläche zu lenken ist irgendwie öde.

Nils hat es oben schon ganz deutlich dargestellt - das ist eine Scheindebatte. Nicht mehr und nicht weniger.

PS: Meine Schwester musste sich wegen eines Diebstahls ein neues NB kaufen. Sie hat sich explizit ein Modell ausgesucht, dass es noch mit Windows 7 gab. Ohne das ich mich mit Ihr über das Thema unterhalten hätte, sie wohnt weiter weg.

Spricht das jetzt für oder gegen Deine Schwester? ;)

Frag sie doch einmal, was die Gründe dafür sind, Windows 7 anstatt Windows 8 einzusetzen. Vermutlich kommt da nicht viel bei rum außer den "halbwahren" Argumenten rund um die neue Oberfläche. Vielleicht magst Du uns ja einmal erzählen, von welchen neuen Funktionen in Windows 8 sie gehört hat, sich aber bewußt dagegen entschieden hat? Würde mich brennend interessieren.

Der Vollständigkeit halber: Ich helfe auch ab und an einmal Freundinnen und Freunden mit Ihren Computern (wenn ich es nicht vermeiden kann ;)). So habe ich im letzten halben Jahr 3-4 PCs besorgt und startfertig gemacht, da die betreffenden Personen allesamt keine Computer-Profis sind, teilweise sogar nur Gelegenheitsnutzer. Auf allen lief Windows 8 und ich habe keinerlei negative Rückmeldungen erhalten. Immer war die Aussage, daß man sich nach 1-2 Wochen der Umgewöhnung super einfach und flüssig genau wie unter Windows XP oder Windows 7 bewegen kann und die Performance des OS sogar noch besser ist als vorher.

Das ist natürlich auch nur meine eigene Erfahrung, andere Erfahrungen sind halt anders. Aber Du siehst, daß solche Aussagen von Dir oben nicht belastbar sind. Was genau soll einem dieser eine Ausschnitt aus Deiner Familie sagen? Meinungen sind wie Nasen - jeder hat eine.

Und ich finde es übrigens sehr interessant, daß man sich nach "so langer Zeit" noch immer über dieselben Themen, mit den selben Argumenten unterhält wie noch beim beim ersten verfügbaren build von Windows 8. So richtig viel her gibt das Thema doch nun wirklich auch nicht mehr oder...?

Viele Grüße

olc

Hi,

Mir erschließt sich der Sinn der Aktion nicht - was genau an ACLs möchtest Du im Configuration Naming Context ändern?

In der Regel musst Du diesen NC nicht anpassen, schon gar nicht ACL-technisch. Was genau ist der technische Hintergrund dafür?

Viele Grüße

olc

Hi,

zusätzlich gilt folgendes (nicht nur für GPO vs. GPP, sondern global): https://blogs.technet.com/b/deds/archive/2009/05/15/prioritaet-group-policy-objects-vs-group-policy-preferences.aspx?Redirected=true

Viele Grüße

olc

Hi carnivore,

sofern es keinen SCOM gibt, könntest Du einige der Aktionen ja über Tools "parsen". Zum Beispiel (ungetestet):

• Kerberos
  • klist purge
  • pushd \\servername\share
  • klist tickets | findstr /I "servername"
  • wenn Ergebnis, dann Kerberos erfolgreich
• SMB:
  • pushd \\servername\share
  • dir
  • wenn präparierte Datei in Ergebnis vorhanden, dann SMB Zugriff erfolgreich

usw.

Ist nicht schön, erreicht aber sein Ziel.

Viele Grüße

olc

Aha, das kann nicht auch daran liegen, dass insgesamt weniger PCs weltweit verkauft werden und eher immer mehr Mobilgeräte und/oder Tablets?

Statistiken muss man auch richtig bzw. im entsprechenden Kontext betrachten.

Ach und bitte: jetzt kein Kommentar wie "die PC Verkäufe sind wegen Windows 8 so schlecht". Das stimmt erstens nicht und verkennt zweitens die Umwälzungen in dem gesamten Bereich.

Hi,

Die Unterschiede und Gründe dafür sind in folgendem Artikel ganz gut erklärt und wenn nötig verlinkt: http://cbfive.com/blog/post/PING-vs-NSLookup.aspx

Werden denn nur die Avira-Seiten falsch aufgelöst oder generell auch andere Seiten? Nutzt der IE und FF einen Proxy?

Hast Du testweise einmal einen Netzwerktrace nach einem "ipconfig /flushdns" gezogen?

Ach und: wie ist der DNS Client konfiguriert? Kannst Du ein ipconfig /all posten?

Wie viel Zeit möchtest/kannst Du investieren, anstatt den Client schlichtweg neu zu installieren? ;-)

Viele Grüße

olc

Hi,

Gibt es Einträge in der "hosts" Datei? Der normale DNS-Revolver ist verschieden zu nslookup. Nslookup hat einen eigenen DNS-Revolver, das heißt es kann durchaus unterschiedliche Ergebnisse geben.

Viele Grüße

olc

Hi Nero,

vielen Dank für Deine Rückmeldung! Gut, daß es nun wieder funktioniert.

Obwohl die Option "Adressen dieser Verbindung im DNS registrieren" nicht für die SRV Einträge verantwortlich ist, sondern nur für den Host-A Records des Domain Controllers.

127.0.0.1 plus IP-Adresse des DCs stellt im Grunde auch kein Problem dar.

Warum jedoch das Scavenging erst jetzt losgelaufen ist, das ist interessant. :) So auch die Fehler im Eventlog. Hier kannst Du ja in der Zukunft prüfen, ob wieder Fehler gemeldet werden.

Viele Grüße

olc

Hi,

kannst Du den kompletten Fehler einmal aus der PS hier posten? Ggf. einfach Daten Deiner Umgebung maskieren mit "Contoso.com" o.ä.

Viele Grüße

olc

Hallo,

Die PKI Meldung hat eher nichts mit dem Problem zu tun, denke ich.

Schau einmal auf den DCs im Ereignisprotokoll, ob es Fehler beim Registrieren der SRV Einträge gab (System Eventlog, Quelle Netlogon). Dann würden die Einträge der Zone ablaufen und das Verhalten wäre nachvollziehbar.

Viele Grüße

olc

Hallo TK,

Nein, der AD-Papierkorb nützt Dir in vielen Fällen nichts, so auch bei GPOs. GPOs bestehen wie oben kurz angemerkt aus zwei Teilen: dem AD-Teil (GPC) und dem SYSVOL-Teil (GPT). Da der AD-Papierkorb nur den GPC-Teil abdeckt, solltest Du auch nach Aktivierung des AD-Papierkorbs wie angesprochen die GPMC bzw. dazugehörigen APIs zur GPO-Sicherung nutzen.

Viel Erfolg und viele Grüße

olc

Hi,

Alternativvorschläge:

1. Kleines Hilfsprogramm basteln, mit sich die Kollegen die Drucker selbst zuweisen können (etwa über Angabe des Namens).
2. Die GPPs in mehrere GPOs aufteilen, wenn es so etwas wie "Client-Gruppen" gibt, die Du trennen kannst. So kannst Du vor den GPP Item-Level Targeting schon mit Sicherheitsfilterung auf den GPOs die Verarbeitung auf wenige Clients einschränken.
3. Die Benutzer die Drucker über den "AD published Printer" Suchdialog selbständig suchen und zuweisen lassen.
4. Sofern Ihr eine Softwareverteilungslösung habt, könnt Ihr auch damit Drucker verteilen

Ich persönlich finde es immer sinnvoll, die Benutzer "mitzunehmen", anstatt vorzugeben. Ja, der "Aufwand" wird dadurch erhöht - aber einmal ganz ehrlich: Hat es nicht Sinn dem Benutzer die Auswahl zu lassen, welchen Drucker er sich wann und wo zuweist? Etwas Benutzerausbildung schadet nie - mittelfristig sind mitdenkende IT-Benutzer "billiger" als nicht-mitdenkende Nutzer.

Zu der Frage der Client-Drucker (TCP/IP): Du kannst die Drucker im GPP Benutzer-Bereich einrichten, in der Zielgruppen-Adressierung (Item-Level Targeting) jedoch Computer wählen, auf denen der Drucker dann wirklich installiert werden soll.

Wie oben beschrieben würde ich jedoch auch die anderen Varianten bewerten. :)

Viele Grüße

olc

Hallo,

Am Client dürfte das Problem auch schon angekommen sein, ich bin mir also nicht sicher ob das Client-lokale Auslesen Sinn hat.

Falls doch, wie lefg schrieb, bis inkl. Windows XP mit rsop.msc auslesen. Ab Vista mit "gpresult.exe /h C:\temp.gpreport.html", da rsop.msc nicht mehr alle Daten anzeigt.

Ansonsten bringt Dir der AD-Papierkorb vermutlich auch nichts, denn sofern der SYSVOL-Teil der GPO defekt ist und nicht der AD-Teil, enthält der Papierkorb nicht die Daten, die Du benötigst.

Daher die Empfehlung, bevor es beim nächsten Mal knallt: Sichern der GPO am besten automatisiert per GPMC bzw. der dazugehörigen APIs. Etwa so: http://gallery.technet.microsoft.com/scriptcenter/Backup-Group-Policy-with-a24f1a1b

Viele Grüße

olc

Hi,

ich wiederhole  ;)  mich wenn ich sage, daß die Clients nur von den Enterprise CAs Zertifikate auf Basis eines Templates bekommen, auf denen diese Templates eben freigegeben wurden.

D.h. auch hier: Entferne das Template von der CA, damit erledigt sich das Problem.

Viele Grüße

olc

Hi,

Ich habe Dir die Antwort doch schon gegeben. Hast Du Dir das angeschaut?

Viele Grüße

olc

Hi,

in der Regel wirst Du dafür eine Mobile Device Management (MDM) Lösung benötigen. Produkte dafür gibt es für Android und iOS, auch Microsoft Intune sollte diese Möglichkeit bieten.

Häufig arbeitet eine solche MDM Software mit der NDES Rolle (Network Device Enrollment) zusammen, die Du nicht auf einer Deiner CAs installieren solltest, sondern auf einem eigenen System dafür.

Viele Grüße

olc

...und ist der PDCe der Domain ein Windows Server 2012?

http://support.microsoft.com/kb/2742844/en-us

Viele Grüße

olc

Hi,

die URL der Group Policy Search hat sich geändert, hier findest Du die Einstellung wieder: http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=319

Viele Grüße

olc

Hi,

Wie meinst Du das genau? Die Webseite greift auf eine CA zu (lokal oder diejenige, die Du konfiguriert hast). Von dieser CA zieht sich die Webseite auch die Templates.

Ist ein Templates für eine CA nicht mehr freigegeben, kann die Webseite daran nichts ändern und gibt nur diejenigen Templates an, die auf der CA veröffentlicht wurden.

Viele Grüße

olc

Hi,

Ihr braucht nur die Zertifikat-Templates ausschließlich auf der CA veröffentlichen, die die Zertifikate auch ausstellen soll.

Der PKI-Client fragt bei aktiviertem Auto-Enrollment immer alle Enterprise CAs an, prüft die Berechtigung auf der CA und/oder den auf dieser CA veröffentlichten Templates und schaut, ob er ausrollen soll und darf.

Was also auf einer CA als Template nicht veröffentlicht ist, kann auch nicht abgefragt werden. :)

P.S.: Ab Windows Server 2012 können auch AD-Sites genutzt werden, um den Clients eine "lokale CA" zu geben. Aber ich vermute das ist (noch) kein Thema oder?

Viele Grüße

olc

Hi,

was meinst Du mit "unterschiedlichen Standorten"? Wo genau lag der Fehler?

Hast Du das Problem jetzt behoben?

Viele Grüße

olc