kaineanung

Um Daten hin und her zu kopieren, um irgendwelche Konfigurationsdateien zu manipulieren usw.. braucht man den Windows-Explorer oder einen Total-Commander. Da wir auch viele Benutzer hier haben die keine ITler sind, benutzen die den Windows-Explorer und müssen diesen auch erst anpassen. Wieso habe ich dann die *verdammte* GPO und die Domäne usw. damit ich das nicht mehr mühselig einzeln machen muss sondern zentral gesteuert erledige? Ich kann es nicht glauben das es dafür keine Lösung gibt da der Windows-Explorer FUNDAMENTAL ist. Für jeden sc***, den man im lebtag nicht nutzen würde, gibt es Einstellmöglichkeiten. Nur das für das Fundamentalste gibt es keine Lösung?? Das glaube ich einfach nicht...

Ja, aber der obere Abschnitt funktioniert nicht 'nachträglich' sondern setzt voraus das der PC neu in der Domäne ist / neu installiert ist und daß man da die Default-User-Profile manipuliert. Die ebenfalls für neue Clients und als alternative genannt: Sysprep -> kenne ich auch nicht wirklich (habe davon schon einige male gehört aber weiß nichts darüber) Die Registrywerte weiter unten: da steht es wäre für WindowsXP? Habe es nicht genauer angeschaut, aber für Windows XP hatte ich bereits eine Lösung die so für Windows 10 (wahrscheinlich auch 7) nicht funktioniert.. Ich kann diese Registryeinträge ja einmal trotzdem ausprobieren... aber da würde ja sicherlich stehen das es auch für neuere Versionen geeignet wäre (schon alleine als Alleinstellugnsmerkmal zu allen anderen Lösungsvorschlägen auf anderen Boards die nicht funktionieren..) Nachtrag: ich sehe gerade, doch, dieses XML-File, welches dort aufgeführt wird als Lösung, habe ich gestern bereits ausprobiert: es funktioniert nicht mit Windows 10..

Keiner eine Idee? Steht ihr alle auch auf Orgien? Klickorgien nach dem erstmaligen Anmelden als Administrator auf einem Client um zuerst den Windows-Explorer so einzustellen wie man es benötigt? Mindestens Detailansicht also... (Bekannte Dateiendungen ausblenden kann man ja deaktivieren per GPO, mir fehlt nur noch diese blöde Detail-Ansicht und habe bisher mindestens 30 Seiten auf deutsch und Englisch durchgeackert und keine Lösung gefunden... Alle Registry-Tweacks gingen nicht.. Ist das einfach so und ihr habt auch keine Lösung und man muss damit leben? Oder gibt es doch was?

Hallo Leute, ich möchte gerne per GPP die Ansicht auf Details in allen Windows-Explorern in unserer Domäne stellen. Noch bei WinXP konnte ich das in der Registry setzen und da hat es damit auch geklappt. Jetzt scheint es nicht mehr zu klappen denn dieser Registryeintrag wird wohl ignoriert? Es handelt sich um folgende Einträge die mir früher das gewünschte Resultat gebracht haben (glaube ich zumindest.. ausser einer der Mainzelmännchen oder meine Kollegen haben das über Nacht immer manuell erledigt?): reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams" /v "Settings" /t REG_BINARY /d 08000000040000000100000000777e137335cf11ae6908002b2e1262040000000200000043000000 /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Defaults" /v "{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /t REG_BINARY /d 1c000000040000000000000000009a000000000001000000fffffffff0f0f0f0140003009a0000000000000030000000fddfdffd0f000500240010002e0046000000000001000000020000000300000004000000780096006000600078000000000001000000020000000300000005000000ffffffffcff3a8b03343ab4b88731ccb1cada48b30f125b7ef471a10a5f102608c9eebac04000000 /f reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Defaults" /v "{F3364BA0-65B9-11CE-A9BA-00AA004AE837}" /t REG_BINARY /d 1c0000000400000000000000000090000000000001000000fffffffff0f0f0f014000300900000000000000030000000fddfdffd0f0004002000100028003c0000000000010000000200000003000000b40060007800780000000000010000000200000003000000ffffffff000000000000000000000000000000000000000000000000000000000000000000000000 /f Ich suche nun die Möglichkeit dies per GPO oder GPP umzusetzen daß damit auch meine Win10-Clients (und ein paar Win7 noch) auch 'betroffen' werden. Dabei ist es mir egal ob GPO, GPP in der Registry oder sonst wo... ich möchte es nur nicht, wie bisher, im Logonscript haben... Gibt es da irgendeine Möglichkeit? Wenn ich per google suche gibt es meist uralte Einträge und keine Lösungen. Ich danke schon einmal im Voraus für eure Hilfe.

Ja, das war doch das mit dem 'jeder steigt im Root ein und darf sich zu seinem Ordner durchklicken', richtig? Das werde ich so nie und nimmer durch bekommen bei uns in der Firma. Die Firma gibt es schon seit dem 19 Jh, Netzwerke eben seit es PCs und Netzwerke gibt und da ist alles ein wenig 'festgefahren' und alles lieb gewonnene bleibt.. Ich muss mit dem klar kommen was da ist udn die Ordnerstruktur auf dem Filesrver bildet die Firmenstruktur ab und jeder steigt in seiner Ebene ein. Ich bin ja überhaupt froh daß wir den Win 2K3 als DC ablösen und wir endlich vorwärts kommen... das habe ich jetzt bestimmt 4 Jahre lang jedes Jahr bei den Investitionen gefordert... Mein Ziel ist: der User meldet sich an und wird nicht durch ein 3-Minütiges Logon-Batch-Script gegängelt wie bisher. Wenn sich ein User zu schnell anmeldet ist manchmal kein Mapping vorhanden da das Netzwerk noch nicht bereits war und das soll auch verbessert werden. usw.. alles soll schön im Hintergrund laufen ohne Kommandozeilen-Aufpop-SadoMaso (was wir bisher haben). Also: GPO war das naheliegendste.... Wenn ich das Logon-Programm (ist eine EXE) asynchron und im Hintergrund ausführen kann: dann sagt mir nur ob auch per GPO (kann man ja auch scripte ausführen lassen) oder ebenfalls über den Logon-Pfad eines jeden Useres welches automatisch beim Login ausgeführt wird?

Und wie mache ich das? Kann ich die Logon.exe (Das ist unser Programm für das Mapping welches auf die Logon.ini zugreift und dort steht alles wie wir es brauchen) auch aus einer GPO ausführen? Kann das auch im Hintergrund passieren ohne das ich das sehe beim Login obwohl das Programm ja eigentlich ein kleines Statusfenster hat (dieses Fenster eben unterdrücken)? An Alle: Sollte es dennoch mit der GPO gemacht werden, habei ch folgendes Szenario einmal probeweise in meiner Testumgebung umgesetzt: Momentan habe ich das Laufwerksmapping einer Firmen-Gruppe (Vertrieb) in 3 GPOs abgebildet die Flach liegen (ohne OUs und alle 'nebeneinander'): 1. Abteilung (nennen wir 'T2' für Team2) 2. Abteilungsleiter (Koordinatoren, Gruppenleiter -> nennen wir 'TL2' für Teamleiter 2 z.B. TL2K1m TL2K2, TL2G1 usw.) 3. Abteilungen (die einzelnen Gruppen in denen die Mitarbeiter aufgeteilt sind - nennen wir T2xx für die Gruppen T201, T202, T210, T220, T223 usw..)) So, die GPO T2 beinhaltet Laufwerksmappings für die Abteilungslaufwerke die bei allen Mitgliedern der Abteilung gleich sind (also auch runter bis zu den Gruppen) und zusätzlich die explizite Laufwerksmappigns des Abteilungsleiters (Zielgruppenadressierung). Die GPO TL2 hat zusätzlich zur T2 die Laufwerksmappings der Koordinatoren/Gruppenleiter, da wird auch Zielgruppenadressierung angewandt. Die GPO TL2xx hat zusätzlich zur T2 die Laufwerksmappings der Gruppen, hier wird für jede Gruppe ebenfalls die Zielgruppenadressierung angewandt. Sicherheitsfilterung auf die Sicherheitsgruppen auf der AD: T2 -> T2, alle TL2 und alle T2xx TL2 -> alle TL2 TL2xx -> alle T2xx 1. Somit wird NICHTS ausgeführt wenn man sich nicht in einer dieser Gruppen befindet in der AD. 2. Befindet man sich im Vertrieb (T2, TL2 oder T2xx) wird GPO T2 ausgeführt und alle gemeinsamen Laufwerke für den Vertrieb gemappt. Der Abteilungsleiter hat noch ein Laufwerksmapping extra weleches eine Zielgruppenadressierung auf seine Sicherheitsgruppe (AD -> T2) hat. 3. Ist man ein Gruppenleiter oder Koordinator (TL2-Gruppe auf der AD) wird die TL2-GPO ebenfalls ausgeführt (Sicherheitsfilterung!). Dort dann jeweils für die unterschiedlichen Gruppen per Zielgruppenadressierung die entsprechenden Laufwerke gemappt. 4. Ist man ein Arbeiter und somit ein Gruppenmitglied der T2xx-Gruppen wird durch die Sicherheitsfilterung die GPO-T2xx ausgeführt zusätzlich zur GPO-T2. Dort wiederum durch die Zielgruppenadressierung die Laufwerksmappings der jeweiligen Gruppen. Vertriebsleiter: T2 Gruppenleiter / Koordinatoren: T2 + TL2 Mitarbeiter: T2 + T2xx Sicherheitsfilterung fürs grobe Filtern, Zielgruppenadressierung für die einzelnen Gruppen. Dadurch das man bei der Zielgruppenadressierung auch OR-Verknüpfungen verwenden kann, konnte ich dadurch einige Laufwerksmapping zusammenfassen. Ich habe dennoch ca. 87 verschiedene Zielgruppenadresseirungen verteilt auf die 3 GPOs. Ist das zuviel?

Jetzt einmal zurück zu meinem ursprünglichen Problem: Ich habe nun einige GPOs die per Sicherheitseinstellung gefiltert und manche auch Zielgruppenadressierung nutzen. Wenn ich nun einen Testuser zum Mitglied einer neuen Sicherheitsgruppe mache, muss ich den PC 2x Neu Starten und diesen User anmelden bevor ich die richtigen Laufwerksmappings bekomme. Wenn ich gpupdate ausführe dann tut sich nichts (->die Laufwerkszuordnungen werden definitiv erst nach dem Neuanmelden ausgeführt) und mit dem Parameter /force ebenso. Jemand eine Idee woran das liegen kann? Mit einem Neustart könnte ich ja leben, aber warum muss es 2x sein? Durch Abmelden & Neu Anmelden funktioniert es auch nicht, auch nicht wenn ich es 2x mache. Es muss wohl das Neustarten sein, und zwar 2x... Jemand eine Idee? P.S. gpresult /R liefert auch erst nach dem 2. Neustart korrekte Sicherheitsgruppen-Mitgliedschaften. Wieso bekomtm der Client es erst nach dem 2. Neustart mit das sich die Sicherheitseinstellungen des Benutzers geändert hat?

Echt jetzt???? Ich will einfach weg von der Logon-Datei. Gründe: 1.) Der Client meldet sich manchmal zu schnell an ohne die Netzwerkverbindung zum DC abzuwarten -> Es werden keine Mappings ausgeführt, auch nicht wenn die Konnektivität dann endlich vorhanden ist). Durch das GPO erhoffe ich mir das dieses Problem nicht mehr auftritt. 2.) Meine Kollegen haben die Logon-Batch soweit missbraucht das täglich viele viele Aufgaben beim Login erledigt werden und die User dann beim Anmelden mit 3 Minuten Verzögerung rechnen müssen. Daher will ich das Ding ganz abschaffen 3.) dachte ich immer das Logon-Scripte abgeschafft werden sollen und das einfach nicht mehr zeitgemäß ist?

Ich teste gerade die GPOs / LW-Mapping. ÜBersicht ist top. ABER: wenn man das alles 'weiterspinnt', frage ich mich wie ich gruppenbasierende Aufgaben erledigen kann wie z.B. Vorlagen verteilen, Desktops einrichten usw..? Könnte man da nicht am Anfang in den saueren Apfel beissen, die Firmen-Hierarchie in den OUs Abbilden und wenn alles steht, kann man easy Dinge gezielt für diverse Gruppen erledigen? Notfalls auch die Vererbung nutzen und dann Vorlagen für ganze Abteilungen mitsamt allen Untergruppen und dessen Untergruppen auf ein Schlag austauschen o.ä.? So ganz verkehrt wäre das dann nicht. Dann hat man jede Gruppe oder ganze Hierachie-'Stänge' ganz einfach 'im Griff'?

Danke, das werde ich mir durchlesen. Filterung von GPO war das Stichwort welches mir gefehlt hat! Das wollte ich über die Berechtigung auf den einzelnen GPOs erreichen.... Ja, unter der Voraussetzung das wir nur 1 Laufwerksmapping / Gruppe haben. Wir haben insgesamt 3 Gruppenbezogene und 1 Allgemeine und dann noch ein paar Sonderwünsche diverser Gruppen. Somit wäre die Liste in einer GPO mit Zielgruppenadressierung bei 40 Gruppen a 3 Mappings schon einmal bei 120, dann noch die Allgemeinen Mappings die bei jedem Gleich sind (momentan in der obersten GPO, die für alle gültig ist, implementiert): nochmals 40 und dann noch diverse Sonderwünsche in Summe vielleicht 15 = 175 verschiedene Mappings... in einer GPO mit der Zielgruppenadressierung nicht übersichtlich umsetzbar... Ausserdem kann ich die GPOs dann für Gruppenindividuelle Dinge nutzen wie Vorlagen kopieren, Desktop einrichten, usw.. eien Freigabe auf das Root-Directory? Verstehe ich nicht, aber ich sehe das der Ansatz ein anderer ist. Beim lesen ist mir aber dennoch die Idee gekommen ich könnte pro Laufwerk eine GPO erstellen und dort dann die Zielgruppenadressierung nutzen, somit würde die Übersicht dann vielleicht doch nicht so darunter leiden? Dann hätte ich lediglich ca. 40 Einträge. Das könnte ich mir durchaus vorstellen. Werdei ch mal in meiner Testumgebung versuchen umzusetzen und schauen ob das gut für mich ist.

Ok, und wie würde dann eine OU-Struktur aussehen eurer Meinung nach? Beispiel: Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1 Vertriebsleiter -> Koordinator 1 -> Gruppenleiter 2 -> Gruppe 2 Vertriebsleiter -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 1 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 2 -> Gruppenleiter 1 -> Gruppe 1 Produktion -> Koordinator 2 -> Gruppenleiter 2 -> Gruppe 2 Produktion -> Koordinator 2 -> Gruppenleiter 3 -> Gruppe 3 usw.. So, jetzt habe ich die AD-Struktur natürlich ebenso: Vertriebsleiter ist der Oberboss im Vertrieb und darf in alle untergeordneten Order lesen, ändern und schreiben. Also Koordinator 1 und Koordinator 2 im Vertrieb und deren allen Unterordnern. Diese wiederrum dürfen das ebenso machen in deren Unterordnern, abern icht beim Vertriebsleiter (Hierarchie eines darüber). usw. Dies ebenso in der Produktion und im Einkauf und in der Auftragsabwicklung usw.. So, das wurde so auch abgebildet in der Verzeichnisstruktur. Wie soll es denn auch anders gehen? Jeder User bekommt beim einloggen mehrere Laufwerke zugeordnet. Sein Teamlaufwerk ist z.B. das Laufwerk H:. Jeder User bekommt sein H: gemappt auf seine Freigabe auf dem Fileserver. Dies macht ein Tool welches in der Logon-Batch aufgerufen wird. Dieses Tool schaut sich die Berechtigung an und sucht entsprechend in seiner INI-Datei den Pfad für das H:Laufwerk dieser Gruppe und mappt es dann. So, das will ich jetzt in GPO umwandeln, habe aber keine Lust in einer GPO hunderte Möglichkeiten über die 'Zielgruppenadressierung' abzubilden. Da geht die Übersicht nach bereits der 5 Gruppe sicher flöten. Daher will ich für jede Gruppe eine GPO und in dieser wird nicht nur die entsprechenden Laufwerke gemappt sondern auch andere Dinge ausgeführt wir diverse Vorlagen heruntergedrückt, Desktopverknüpfungen gesetzt usw.. (das ist jedenfalls mein Ziel). So, wenn ich jetzt eine GPO für jede Gruppe erstelle, dann habe ich beispielsweise folgende GPOs: Vertriebsleiter-GPO (VL_GPO), Vertriebs-Koordinator-GPO 1 (VK_1_GPO), Vetriebs-Koordinatorengruppe_1_Gruppenleiter 1 (VK1GL_1), Vertriebsgruppe 1 (VK1G_1) Und folgende Hierarchie: VL_GPO->VK_1_GPO->VK1GL_1->VK1G_1 VL_GPO->VK_1_GPO->VK1GL_2->VK1G_2 VL_GPO->VK_2_GPO->VK2GL_1->VK2G_1 usw. oder in der Produktion PL_GPO->PK_1_GPO->PK1GL_1->PK1G_1 PL_GPO->PK_2_GPO->PK2GL_1->PK2G_1 PL_GPO->PK_2_GPO->PK2GL_2->PK2G_2 usw. Ich möchte, wenn sich der User aus der Gruppe VK2GL_1 anmeldet (Gruppenleiter im Vertrieb unterhalb des 2. Koordinators), daß nur seine GPO ausgeführt wird und das sein H:-Laufwerk in die entsprechende Ordnerstruktur auf dem Fileserver mappt. Ich hoffe es ist klar was ich will und wie es aussehen soll. Die Frage ist nur: wie kann ich beim anmelden des Users es so gestalten das nur seine GPO ausgeführt wird und nicht auch die der Vorgesetzten? Weil das ist momentan der Fall und das geht nicht?

Aber ich kann die Berechtigung doch dafür verwenden um die Vererbten GPOs NICHT ausführen zu lassen, oder? Das war die Intention: Teamleiter Verkauf (TLG_V) GPO wird beim Teamleiter Verkauf ausgeführt. Eine OU weiter drunter ist die Verkaufsgruppe die ihre eigene GPO hat (G_V). Da soll die Verkauf-GPO ausgeführt werden. Momentan ist es so daß dank der OU-Struktur (Hierarchisch) in der G_V-GPO auch die TLG_V-GPO ausgeführt wird. Das kann ich unter Delegierung doch bestimmt unterbinden indem ich dort angebe daß nur die entsprechende Gruppe lesend zugreifen kann? Somit könnte ich die GPOs über Berechtigungen steuern?

Na Gott sei dank versteht mich endlich einer hier. Theorie der optimalen Umsetzung hört sich immer gut und toll an, aber in der Praxis läuft es meist immer anders. Ich habe nicht viel zu sagen und der Chef und Vorgesetzter will Altbewährtes nicht ändern. Das ist Fakt. Ich will das Netzwerk und die Domäne aber trotzdem, eben so weit es geht oder erlaubt ist, modernisieren. Wir arbeiten immer noch mit einer mindestens 3 Minuten ablaufenden Logon-Batch als schlimmstes Beispiel! Die will ich weg bekommen. Ich werde aber keine Ordnerstrukturen ändern und kann das bei der nächsten Sitzung nur vorschlagen (ist aber sinnlos da ich meine Pappenheimer kenne). Wir nutzen EINE Sache in der GPO: Passwortpolicy in der Domäne. Sonst gar nicht. Das will ich ändern und das bekomme ich auch genehmigt. Daher bitte ich einfach hier um Infos, an meine Fakten angepasst, was ich tun könnte um mir das Leben zu erleichtern. Also zurück zum Thema: 1.) wenn ich die OU-Struktur so beibehalte wie ich sie nun angedacht habe, könnte ich ja mit der Delegierung arbeiten und die Berechtigungen immer so setzen das eben nur die Sicherheitsgruppe, in welcher sich der User anmeldet, ausgeführt wird und alle anderen Abgelehnt werden, oder? Somit würde für den User in der Verkaufsgruppe dessen GPO ausgeführt, seines Gruppenleiters, Teamleiters und Koordinators nicht) 2.) könnte ich das Gleichem achen aber ohne OU-Struktur und alle in einer Ebene -> Flach. Da hätte ich aber sicherlich den Nachteil das 2 GPOs ausgeführt werden würden und 28 GPOs abgelehnt werden (ich weiß nicht ob das Zeit kostet oder andere Nachteile mit sich bringt?) 3.) Könnte ich die OU-Struktur falsch herum aufstellen wie bereits gestern einmal angedacht: Chef und Admins nicht am linken Rand sondern am rechten Rand ausrichten und die Hierarchie nach links 'runter'-laufen lassen? Damit würden nur die GPOs links von der entsprechenden OU ausgeführt (wenn ich mich nicht irre von links nach rechts) bis zu der eigenen OU und, wenn ich das richtig verstanden habe, gilt das Prinzip der Letzte zählt ->richtige GPO wird ausgeführt. Sind diese Vorgehensweisen praktikabel? Habe ich was übersehen? Gibt es bessere Lösungen ohne die Ordnerstruktur ändern zu müssen?

Macht es nicht Sinn die Firma in der Ordnerstruktur abzubilden? Berechtigungen werden nach unten vererbt und der Chef steht oben an der Spitze (gleich nach der EDV..;)) und darunter die Teams, die Gruppen und dann die Users. Jeder steigt in seine Ebene ein was die Berechtigung angeht und darf nach unten schauen. Andersherum natürlich nicht... So sollte es doch auch sein oder nicht? Ich rede jetzt von der reinen Ordnerstruktur. OU ist dann eine andere Geschichte! Aber ich dachte das könnte ich auch so nutzen aber die GPOs machen mir da ein Strich durch die Rechnung... Wie auch immer: ich werde in eminer Testumgebung weiter experimentieren. Dann eben die OUs flach halten...

Das ist alles gut und schön. Sollte ich jemals die Firma wechseln werde ich mir vorher deren Ordnerstruktur anschauen bevor ich zusage... aber das hier ist nun mal so wie es ist. Bisher wurde die Laufwerkszuordnung von einem Tool erledigt welches die Gruppenzugehörigkeit ausliest und entsprechend der in der INI-Datei hinterlegten Zuordnung mappt. Dies wird im Logon-Skript ausgeführt. Ich will jetzt weg vom Logon-Skript und hoffe eine Lösung, die aber nicht das komplette Umwerfen unserer Ordnerstruktur beinhaltet, zu finden die das per GPO macht. Voraussetzung ist aber das die Ordnerstruktur nicht angerührt wird. Ok, ich rudere hiermit ein wenig zurück. Bei uns sind es max. 4 Ebenen. also 1 Ebene mehr als bei dir. Das wird doch noch abgebildet werden können... Koordinator Verkauf -> Teamleiter Verkauf -> Gruppenleiter Verkauf-> Gruppe Verkauf @all Noch jemand konstruktive Vorschläge? Ideen? Ansätze? Ich will wenigstens etwas modernen werden und weg von W2K3 hin zu W2K16 und weg von Logon-Skripte hin zu GPO. Wenn das zur Folge hätte das die Ordnerstruktur geändert werden würde, würde mindestens das Logon-Skript mit dem Mappingtool weitergeführt werden. Darauf habe ich absolut null Bock und klammere mich an jeden Strohhalm welches mir die neuen DCs bieten... und wenn es die Abbildung der Firma in OUs sein sollte... oder wenn alle OUs flach liegen sollten (das ist meine letzte Lösung da doch auch etwas unübersichtlich...)

Verstehe ich das richtig: Für alle einfach auf das Root-Verzeichnis mounten und der Domänenberechtigung überlassen was angezeigt wird und was nicht? Dann muss sich jeder Heini erst durch 4 Unterordner durch klicken bis er zu einem gefüllten Ordner kommt? Gibt es denn kein Konzept mit OU die in der entsprechenden Struktur der Firma abgebildet sind? Zur Not könnte ich ja die Struktur einfach umdrehen: rechts die unterste Ebene und dann nach links zu den Vorgesetzten bis zum Abteilungsleiter abbilden? Das der Vorgesetzte die ganzen GPOs von den Untergebenen 'abbekommt' ist dann nicht weiter schlimm da ja das Prinzip 'letzter zählt' verwendet wird. Die GPOs bzw. die Laufwerkszuordnungen werden einfach von der darauf folgenden GPO übersteuert... Ist zwar auch nicht so doll aber immerhin ein wenig in die Richtung die ich mir wünschen würde...

Entschuldigt das es so lange gedauert hat. War ein ungünstiger Zeitpunkt meine Frage zu stellen da kurz darauf wir hier unser ERP-System migriert haben und ich erst jetzt wieder zu meinem Thema hier komme. also, dann mache ich mal weiter: Wir haben hier mindestens 40 Gruppen bzw. Untergruppen bzw. Unteruntergruppen usw... 7 Abteilungen mit 1-2 Koordinatoren pro Abteilung mit jeweils mehreren Teamleitern mit jeweils mehreren Gruppenleitern und der dazugehörenden Gruppe. (Abteilungsleiter (7)->Koordinator (1-2)->Teamleiter (1-n)->Gruppenleiter (1-n)->Gruppe) Beispiel: Abteilung Verkauf -> Unterabteilung Inland -> Unterabteilung Produktgruppe -> Unterabteilung Region ODER Abteilung Produktion -> Unterabteilung Koordinator X -> Unterabteilung Montage -> Unterabteilung Produktgruppe Jeder Knotenpunkt hat seine eigenen Laufwerksfreigaben auf die gemappt wird. Wenn ich das alles in eine GPO hineinstopfe, geht mir spätestens nach der Abbildung der 1 Abteilung (komplett bis zu den Gruppen herunter) aber so was von die Übersicht flöten! Das scheint mir für mich nicht praktikabel zu sein. Also habe ich für jeden 'Knotenpunkt' eine OU in der richtigen Hierarchie erstellt und in diesen GPOs die entsprechenden Laufwerkszuordnungen erstellt. Es funktioniert auch bei meinem Test von 2 OUs (Gruppenleiter-OU / Gruppen-OU). Was mich aber stutzig macht ist das gpresult /R mir ausgibt das beide GPOs ausgeführt werden. Kurz recherchiert und klar ist: auch hier wird nach der Hierarchie alles abgearbeitet. Vom aktuellen Punkt bis ganz nach links.... So, Mist. Ich will natürlich das nur die GPO ausgeführt wird in welcher sich der angemeldete Benutzer befinden bzw. in welcher OU er zugeordnet wird (oder wenigstens die Abarbeitung der Hierarchie von links nach rechts). Sonst wird ja bei dem User aus der untersten OU (der Gruppe) auch die GPO seines Gruppenleiters, seiner Teamleiters, seines Koordinatoren und die des Abteilungsleiters ausgeführt! Am besten wäre: jeder soll nur das bekommen was seiner OU zugewiesen wurde + Default Policy + Firmen- bzw. Standort-Policy (sofern vorhanden). Das Einzige was mir gerade dazu einfällt ist: alle OUs 'Flach' anzulegen, also nebeneinander in der gleichen Ebene... das ist aber total unübersichtlich. Vererbung deaktivieren ist keine gute Idee -> Default Domain Policy und andere GPOs in der gleichen Ebene werden dann auch nicht ausgeführt. So, was macht ihr eigentlich so bei solchen Gegebenheiten?

Hallo Leute, ich habe hier ein kleines Problem: Ich habe in meiner Testumgebung 2 GPOs erstellt wobei jede GPO für eine Abteilung steht und nur dann ausgeführt wird wenn sich ein User aus dieser Abteilung anmeldet. Die User sind natürlich Mitglieder der Sicherheitsgruppe 'Abt_01' oder 'Abt_02'. Ich habe, laut diversen Anleitungen, die GPOs so erstellt daß diese nur bei gegebener Berechtigung ausgeführt werden (z.B. Sicherheitsfilterung: 'Abt_01'-Sicherheitsgruppe der AD und in der Delegierung Authentifizierter Benutzer: nur lesen, 'Abt_01'-Sicherheitsgruppe: GPO ausführen und lesen). Ich habe einen Testuser den ich mal der Gruppe 'Abt_01' und dann mal der Gruppe 'Abt_02' zuweise (nur entweder/oder) um zu sehen ob die GPOs greifen. Jeder der GPO hat diverse Laufwerksmappings die die Abteilungsfreigaben Mappen. Soweit so gut, bis hierhin klappt es auch wunderbar. Ich habe also 'Testuser' in die Sicherheitsgruppe 'Abt_01' aufgenommen und am Testclient angemeldet. Die Laufwerke wurden wie gewünscht und wie erwartet gemappt. Ich habe nun den 'Testuser' aus der Sicherheitsgruppe 'Abt_01' heraus genommen und in die 'Abt_02' aufgenommen und den Rechner neu gestartet. Die Laufwerke waren mal nicht da, mal waren sie noch von der ersten Gruppe da (aber ohne Berechtigung darauf zuzugreifen), jedoch kein einziges mal von der Abt_02 auf Anhieb! Erst nach einem nochmaligen Neustart war es dann so wie gewünscht, sprich: Testuser hat die Laufwerksmappings der Abt_02 erhalten (oder anders herum wenn ich von Abt_02 auf Abt_01 gewechselt bin)! So, kann mir mal jemand erklären ob das normal ist oder, aufgrund der eigenen Erfahrung, sofort weiß wo was vergessen wurde oder der Gleichen? Ich danke schon einmal im Voraus für eure Hilfe.

Ich habe hier doch noch ein kleines Problemchen bei dem mir vielleicht der Eine oder Andere helfen könnte: Ich habe nun den DNS-Server am laufen bei welchem ich die Domänen-Netzwerkdienste als '_msdcs'-Zone betreibe. Zuvor habe ich ein Zonentransfer der "Firma.local"-Zone vom BIND-Server vorgenommen, diese Zone dann zur Primären AD-integrierten Zone gemacht und dann die msdcs-Zone replizieren lassen. Wenn ich nun mit dem dnslint-Tool (von MS) von einem AD-Client aus die AD und DNS checken lasse, bekomme ich eine Warnung 'One or more DNS servers is not authoritative for the domain' Dies ist 'nur' eine Warnung (gelb) und der Betrieb des DNS ist nicht eingeschränkt. Auch eine Migration der Domäne von W2K3 nach W2K16 funktioniert. Dennoch würde ich diese Warnung gerne weg bekommen. Wenn ich diese msdcs-Zone an den BIND repliziere, bekomme ich dann dort, wenn ich das Tool dann laufen lasse und die AD checken lasse und angebe das der DNS-Server eben nun der BIND-Server ist, die gleiche Meldung wie oben, aber nun in rot statt gelb, was dann auch bedeutet daß es ein Fehler und keine Warnung mehr ist. Wenn ich es also schaffe dieser Zone irgend eine 'Autortät' zu vergeben, müssten meine Probleme gelöst sein. Aber wie mache ich das? Die Autorität ist doch bestimmt der Server welcher diese Zone verwaltet? In der SOA der _MSDCS-Zone steht auch der W2K3-DC-Server drin als 'Primärer Server'. In der Firma-local-Zone ebenfalls und das egal ob ausgegraut (Sekundäre Zone) oder aktiv / bearbeitbar (Primäre Zone + AD integriert). Ich habe beide Fälle ausprobiert. So, wie bekomme ich das hin der Zone eine Autorität zu vergeben?

Okey, habe es selber gefunden: Ohne zuvor replizierte Firma.local-Domänen-Zone funktioniert es wohl nicht. Also: im Root von 'Forward-Lookupzonen einen Sekundäre Zone von der Domänen-Zone erstellen und kurz replizieren lassen, dann daneben eine _msdcs.Firma.local-Zone, AD-integriert (und Option "...auf allen DC-DNS-Servern..") erstellen. Danach kann man die o.g. Schritte mit dem ipconfig /flushdns usw. ausführen. Im Anschluss kann man, wie es aussieht, die sekundäre Zone "Forma-local" wieder löschen. (Bin gerade daran alles nochmals zu testen und dann zu migrieren. Wenn alles erflogreich werde ich berichten für alle anderen Anfänger die auf gleiche Probleme laufen sollten). Die _msdcs.Firma.local-Zone an den Bind replizieren lassen (Bind dann für diese Zone permanent als Slave einrichten) und alles funktioniert wunderbar.

Ich wollte doch berichten und das mache ich hiermit auch: Mein erster Test mit dem "MS-DNS AD integrated" nur für die "_msdcs.Fimra.local", welche an Bind 'vererbt' wird (Bind dient als Slave auf diese Zone), und auf dem Bind die Standard-Zonen (Firma.local, Firma.de, Reverse-Lookupzonen usw.) war sehr gut. Ich muss also nicht einmal die Standardzonen, die auf dem Bind sind, nach MS-DNS replizieren / transferieren. Somit ist das, was ich für mich selber in den letzten Posts vorgeschlagen hatte, praktikabel bzw. funktioniert. MS-DNS verwaltet nur die Netzdienste und repliziert diese Zone an den Bind, dort sind die anderen Zonen der Domänen mitsamt Reverse-Lookup beinhaltet und werden auch nur dort verwaltet und nicht an den MS-DNS transferiert. Die Clients bekommen die Bind-Server (wir haben einen Master und einen Slave als Backup) als 1. und 2. DNS zugewiesen. So, das Thema ist ja jetzt erledigt und das kann man relativ flott und einfach umsetzen. MS-DNS -> _msdcs (Master) Bind-> _msdcs (Slave) Bind -> alle anderen Zonen (Master) Clients -> als DNS-Server Bind hinterlegt. Ein anderes Thema diesbezüglich ist aber jetzt, und da weiß ich nicht ob ich ein neues Thema eröffnen sollte oder hier fragen da es ja direkt damit zu tun hat: mein DNS-Server auf den DC war deaktiviert und leer. jetzt möchte ich eine _msdcs-Zone erstellen mit den Netzdiensten dc, gc, usw.. Ich habe auch diverse Anleitungen gefunden und ausgeführt und das komische war: in meiner Testumgebung hat es das erste mal genau nach Anleitung auch funktioniert! Danach manuell gelöscht und wieder versucht zu wiederholen: geht nicht -> die _msdcs-Zone kann ich manuell erstellen und als NS trägt sich auch der DC ein. ABER auch nach 1 Stunde hat er nicht, im Gegensatz zum ersten Versucht, die Subzonen selber angelegt und mit eintägen zu den Diensten versehen! Ich bin wie folgt vorgegangen (und wie gesagt, beim ersten mal hat es funktioniert und ich bin mir relativ sicher das es nach einer Wiederherstellung des Snapshots wieder funktionieren wird da 'das Erste mal': 1. Zone manuell erstellen mit dem Namen '_msdcs.Firma.local' (Firma.local -> Unsere Domäne). Primär und AD integriert. Updates: Nur sichere. Auf allen Domänencontrollern in der AD-Domäne 'Firma.local' 2. in der cmd: 'ipconfig /flushdns', 'ipconfig /registerdns', 'net stop netlogon' und 'net start netlogon' nacheinander ausgeführt 3. Ein paar Minuten später im DNS-Server-Manager aktualisiert und immer wieder nachgeschaut bis die ganzen Dienste eingetragen wurden und angezeigt wurden. Hat gefühlt ca. 15 Minuten gedauert. Beim ersten mal hat das so auch geklappt. Danach nicht mehr. So, kann mir jemand sagen was ich noch tun muss damit ich das wieder hinbekommen kann? Ich vermute das der reale DC sich genauso verhalten wird wie der in der Testumgebung nachdem die erst erstellte Zone gelöscht wurde und beim zweiten mal nicht mehr 'will'. Ich vermute ja das ich vielleicht ein 'ipconfig /unrgisterdns' bräuchte, was es aber so nicht zu geben scheint. Jemand einen Tip?

ICH habe sicherlich keine Grundsatzdiskussion angestoßen. Nein, ich wehrte mich bisher sogar dagegen! Ich will nur die Informationen zu denen ich meine Fragen gestellt hatte und mehr nicht. Daher habe ich auch 2 Post früher gemeint: warum nicht beide Welten vereinen? Oder die MS-AD will doch niemand absetzen usw.. Warum nicht dies und warum nicht das? Fakt ist: wir haben einen DHCP mitsamt Failover-DHCP und Bind mit Replikation im Einsatz und das läuft sehr gut und sehr stabil und überhaupt. Wenn ich frage ob man diese zwei Welten vereinen kann dann will ich darauf hingewiesen werden daß dies kein Sinn macht und der Gleichen. Aber nach Tagen des 'Hinweisens' ist dann auch mal Schluss und dann kann man sich ja Fachlich über das Thema unterhalten wer die Kenntnis hat und gewillt ist zu helfen.

Man könnte aber auch sagen: warum die Scheuklappen nicht ablegen und auch mal über den Tellerrand schauen?

Wenn ich diese Netzdienste von der MS-AD nach BIND9 vererben kann (Master/Slave) und dort zusätzlich (also vereint / 'gemerged') die Zonen die wir hier haben hinzufügen kann -> dann hätte ich ja nur einen Server den ich wirklich und tatsächlich verwalten muss. Der DC kümmert sich nur um sein Zeug, der Bind eben um das was ein DNS-Server eben tut: Clientnamen auf IP und umgekehrt auflösen... Ausserdem müsste ich dann einen weiteren DHCP-Server aufsetzen und ein separates Netz einführen weil die DHCP sich sonst in die Quere kommen würden und es nicht funktionieren würde. Das ist viel mehr Aufwand.... Und ich kämpfe hier ja darum den MS-DNS einzubeziehen! Bisher war der DNS-Dienst deaktiviert auf dem DC und alles auf BIND9 ausgelagert. Das kann ich wieder machen, will aber diese Netzdienste bei MS behalten um in Zukunft nicht immer Zonentransfers machen zu müssen wenn wir migrieren oder ein weiterer DC hinzukommt. Dies im Zusammenspiel mit dem BIND9 würde gehen, ich bekomme es nicht schnell hin und da jemand anfänglich gemeint hat ich könne beide Welten miteinander vereinen, hat mir diese Idee am besten gefallen... MS für die Netzdienste, Bind für die Clientnamen/IP-Auflösung oder Forwarden auf die externen DNS-Server.... Beide Welten klingt doch gut, oder? Man findet bei Google auch viele Treffer wenn man danach sucht: das Beste aus beiden Welten: einfache Verwaltung beim MS, die Robustheit und Unverwüstlichkeit und Sicherheit des BIND...... Lügen denn alle?

Das ist uns bewusst und daher haben wir den DNS und DHCP identifiziert welche sich NICHT an MS-Serverdienste bedienen aber von allen Endgeräten genutzt werden und sind da auf Linux umgezogen. Bei uns sind es aber mehr als 10 User.... aber die, die hier arbeiten, haben ja auch eine Cal bekommen. Es sind die täglichen Gäste und Besucher, es sind die vielen 'fliessenden' Geräte die keine MS-Dienste nutzen jedoch wegen dem DHCP eine CAL benötigen würden. Da sind wir nicht bei 300 EUR sondern eher bei über 1000 EUR! Und dann ist dies jeweils immer dann fällig wenn wir einen der Server auf ein aktuelleres Betriebssystem migrieren! Da stecken wir lieber JETZT EINMALIG Geld in die Weiterbildung von mir und in Zukunft hat sich diese Sache erledigt. Das ist Weitsicht..... Und wir reden ja nicht davon den AD, den Fileserver oder was auch immer durch Linux zu ersetzen. Das wird niemals geschehen. Aber die Systeme die nicht UNBEDINGT an MS und der komischen Lizenzierungstypus gekoppelt sind, müssen nicht unter Zwang undbedingt in MS gehalten werden. Wenn ihr das so gerne machen wollt und eure Firma das bezahlt: gerne! Unsere Firma besteht schon seit über 120 Jahren und das soll auch noch so bleiben. Und ich bekomme lieber ein Bonus am Ende vom Jahr als das wir CALs kaufen müssen für schnödes IP-Adressen-Verteilen oder DNS für NICHT-MS-Clients die nichts mit der Domäne oder Microsoft zu tun haben.... Letztendlich kommt noch hinzu das mein Wissen, mein Wert und meine Marktchancen dadurch steigen und dieses 'investierte' Geld sich dann auch irgendwann mal auszahlen... als ob ihr keine Kurse von der Firma bezahlt bekommen habt... Ich finde daß das Weitsicht ist und eine vernünftige Kostenkalkulation.... Ich weiß das ich im falschen Forum bin um so eine Philosophie zu äussern, aber um es klar zu stellen: wir sind nicht GEGEN MS und bei AD, Fileserver und der Gleichen macht das ja auch Sinn bzw. gibt es keine echten Alternativen. Aber da wo es nicht sein MUSS, darf man auch links und rechts vom Tellerrand ausschau halten.. und das ist bei uns bei jeglichen Webservern, DNS und DHCP der Fall. Der Rest ist bei MS... und das ist auch gut so...