pvlavh

vielleicht bei Systembereichen?.

Den Fall habe ich gerade aktuell an einem neuen Windows 2016 Server und der D Datenplatte getestet...

...trotz angeschaltetem UAC (Srandard) kann ich Daten kopieren und/oder anlegen usw. ohne einer UAC Nachfrage...

Hi All!

die Lösung ist ganz einfach!

Dieser Umstand, das die UAC bei jeder Änderung nachgefragt wird, obwohl es sich um einen Administrator handelt, passiert,

wenn in den NTFS-Berechtigungen der "ERSTELLER-BESITZER" entfernt ist.

Also einfach über Sicherheit und Erweitert den "ERSTELLER-BESITZER" für "Nur  Unterordner und Dateien"  mit Vollzugriff hinzufügen!

So ist nämlich die Berechtigung bei einem frisch installierten Laufwerk.

Zumindest war es bei mir so und bin übers Ziel hinausgeschossen

Ich dachte ich mach die NTFS Berechtigung mal ganz sauber und löschte den "ERSTELLER-BESITZER" raus.

CU

Ralf

Nachbrenner:

Nachdem ich mit Rechteverbesserungen in der Domain zu tun hatte und
plötzlich unser WDS im Bezug "Speicherort des Computerkontos" und Access Denied erhielt

Wie oben geschrieben, kann mit dem Befehlen das Recht zum hinzufügen von Computern zur Domöne gewährt werden.
Im Bezug WDS sind dann noch weitere Rechte notwendig.

Da man normalerweise keinem Bentuzer das recht gibt hier anhand meiner lokale AD-Gruppe: "Domäne\lokale_Domäne_MachineAccount_hinzu"  

Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:CA;"Reset Password";
Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP;"Account Restrictions";
Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to DNS host name";
Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to service principal name";
Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computer

REM: reicht eigentlich für eine OU; Hier Beispiel OU=Computers_WDS

Dsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computer

REM: Damit WDS im Bezug "Speicherort des Computerkontos" geändert werden kann
REM: Habe ich nur mit tüfteln herausgefunden und ist ggf. nicht 100%ig; offizielle Infos habe ich dazu nirgends gefunden

Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:RP
Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP

vllt hilft es jemanden...

Gruß

Microsoft Technet:

Strengthening Domain Controller Policy Settings

https://technet.microsoft.com/en-us/library/f21957b3-26bd-4085-bc44-73fac78340a4

Strengthening Domain Policy Settings

https://technet.microsoft.com/en-us/library/4695b475-f87e-45c5-93c7-49af2f94215f

wäre schön gewesen wenns du die Standard Werte auch gepostet hättest...

Ich habe das Problem gelöst, das einige User ihre lokalen Drucker umleiten können sollen und andere unbedingt ohne lokale Drucker arbeiten sollen.

1. In der Sammlung des RDS 2012 R2 unter Clienteinstellungen erst mal generell für alle "Clientdruckerumleitung zulassen"

2. im ActiveDirectory-Objekt des jeweiligen Benutzers kann im Reiter Umgebungen bei Clientgeräte die Punkte "Beim Anmelden Verbinden zu Clientdruckern herstellen" und "Standardmäßig den Hauptdrucker des Clients verwenden" an-/abgewählt werden, je nachdem ob das nun erwünscht ist oder nicht. Ganz Userabhängig.

3. Und Schlussendlich in den Optionen "Lokale Ressourcen" der Remotedesktopverbindung unter "Lokale Geräte und Ressourcen" bei Drucker ebenfalls an-/abwählen.

Fertig.

Zudem kann ggf. per GPO eingestellt werden das nur der Standarddrucker umgeleitet wird, so das die Übersicht gewahrt wird.

PS: Ich hoffe damit jemanden geholfen zu haben.

Man braucht ja nicht glauben das solche Fallbeispiele bei Microsoft selbst gefunden werden kann :/

altes Thema aber immernoch aktuell.

Ich hätte einen nachbrenner dazu.

Es wird nach der Nummerierung der Verknüpfungsreihenfolge abgearbeitet.

Daher hat die höhere Nummer das letzte Wort

Im Bezug Software Verteilung lege ich mit der Verknüpfungsreihenfolge die Reihenfolge der Installationen fest.

Wichtig, sofern eine Sofware auf eine andere aufbaut, sofern es MSI pakete sind.

Besonderheit gibts bei per Batch installierte Software, Diese verhindert nicht das nachfolgende Grupenrichtlinien abgearbeitet zu werden.

ich habe es nun einfach gewagt und nur

-Remotedesktop Sitzungshost

und

-Remotedesktoplizenzierung

installiert, da ich noch keinen Lizenzserver dafür eingerichtet hatte.

Und das ist der Wermutstropfen, das man sich nun bei jeglicher Software auf dem Server Gedanken um eine Terminalserver Lizenzierung machen muss.

ups eine Antwort 8)

3 gleichzeitige Absolute Anmeldungen

Danke und Grüße

So sehe ich das auch wie Ihr es beschrieben habt.

Damit wir 3 gleichzeitige Zugriffe auf einen Server möglich ist, habe ich 3 UserCAL gekauft.

Nun frage ich mich aber, welche genauen Teile der Remotedesktop-Rolle ich benötige, um nur einfach eben per Remote anmelden zu könne.

Remoteapplikationen und Virtualisierung brauche ich eigentlich nicht.

Hat jemand eine Idee welche Teile der Remotedesktop-Rolle das wären?

VG

Ralf

Hi All!

Hi Eyeswide!

Super gemachtes Script!

Nur kommt eine Fehlermeldung wenn eine Datei/Ordner im Zugriff (sprich geöffnet und daher gesperrt) ist.

Und danach suche ich schon länger, wie ein solcher Fehler umgangen werden kann und das Skript mit den restlichen Dateien weiter macht.

Kennt jemand eine Lösung? Oder hatte einen ähnlichen Fall?

grüße

Ralf

Wir haben das gleiche Problem und nirgends im Web gibts was dazu.

Ist ja auch wirklich nicht Denkbar, das manche per GPO gesetzte OfflineDatein nicht greifen.

zB

DefaultCacheSize (Standardcachegröße)

sowie der komplette Zeitplan.

In der Registry unter \Policies\ ist alles drin, aber in der GUI "OfflineDateien" stehen noch Standardwerte

bzw. kein Zeitplan aktiv.

Die Registryeinträge werden komplett ignoriert!

Ratlos Ralf

so wird ein schuh draus (create anstatt delete ;)

Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:CC;computer

anstatt der beiden Smily wart "doppelpunkt D" gemeint :D

ein wichtiges Detail hat noch gefehlt!!!!

die 4 zuvor erklärten Dsacls können zwar vorhandene computer-Objekte überschreiben/aktualisieren, aber einen neu installierten Computer kann es nicht hinzufügen.

Dazu muss den entspr. User das Recht zum " "Computer"-Objekt erstellen " gegeben werden:

Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer

Bei uns in unserem Fall das ganze für die OU=Computers_WDS in die bei der Isntallation per WDS die neuen Computer-Objekte abgelegt werden:

Dsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer

greetings

rAtze

SUPER!

Das ist die perfekte Art die entpr. Rechte zu delegieren!

Danke für die Vorarbeit!

Noch zur Ergänzung:

Die Delegierung kann auch auf einfachere ABER dafür nicht so genaue Weise gemacht werden:

In MMC "Benutzer- und Computer" mit Rechts auf die Domäne klicken und "Objektverwaltung zuweisen..." (Delegate Control) anklicken. Dann kann die enstpr. Gruppe/Benutzer und das Recht "Fügt einen Computer einer Domäne hinzu" ausgewählt werden.

Gruß

rAtze

Danke für diese Diskussion!

Ich hab es auch so ausprobiert in beide

Default Domain Controllers Policy

Default Domain Policy

wie folgt

Kontensperrungsschwelle 20 ungültige Anmeldeversuche

Kontosperrdauer 0 Minuten

Zurücksetzungsdauer des Kontosperrungszählers 9999 Minuten

eingetragen und funktioneirt trotzdem nicht :(

ich dachte ich hätte es kappiert :((

Oder können diese Einstellungen vielleicht noch irgendwo verhindert werden?

ich habe gerade festgestellt, dass wenn network shutdown installiert ist,

kein business edition server sowie kein agent installiert werden kann.

und genauso umgekehrt!

dann hat wohl der vertriebler mich anscheinend gut verars***t,

der mir das business editon verkauft hat :suspect:

wau, ganz schon alt das thema.

nichts desto trotz ich bin gerade dabei 3 usvn mit netzwerk-management-karten einzurichten.

kalppt soweit alles

ABER

bei mir ist noch die APC business edition dabei.

mit der kann ich anscheinend nur installierte agents verwalten.

die ich aber bei der netzwerk-variante ja garnicht brauche.

also weis hier jemand wie/ob ich die APC business edition mit den netzwerk-management-karten zu laufen kriege???

Servus!

Bei mir hat einfach nur der Ordner C:\Windows\System32\Wins gefehlt.

Den hatte ich mit geklöscht und daher der Fehler.

Einfach den Ordner Wins anlegen und dann startet auch der Dienst und alle notwendigen Dateien werden angelegt.

Gruß

Folgendes erneut Installiert, aber ohne Erfolg:

Gruppenrichtlinieneinstellungs-Clienterweiterungen für Windows Server 2003 (KB943729):

Windows-KB943729-x86-ENU

IE8:

IE8-WindowsServer2003-x86-ENU

mit Update und Sprachpaket (Windows Internet Explorer 8 MUI Pack for Windows Server 2003 SP2):

IE8MUI-x86-enu.exe

Es ist echt unglaublich!

Ab dem 30.03.2010 hab ich den Fehler. Damals hab ich nur die IE8 Updates installiert. Ein deinstallieren dieses Updates hatte ich näturlich gleich getestet, aber ohne Erfolg.

Hat sonst NIEMAND dieses Problem?

ich hab noch einen weiteren Hinweis!

Die Sicherheitskonfiguration unter

Windows-Einstellungen-->Internet Explorer Wartung-->Sicherheit-->Sicherheitszonen und Inhaltsfiltern

findet über den Zugriff auf die lokalen "Internet Optionen" statt.

Ich befürche das die vorgenommenen Einstellungen bei mir NICHT in die GPO gespeichert werden und somit auch nicht von anderen Terminalserver übernommen werden können.

ABER auf dem Server selbst, auf dem ich Sie Konfiguriere gehts natürlich, da ich beim erstellen/ändern der GPO automatisch mit in die lokalen "Internet Optionen" einstelle.

Jetzt ist nur die Frage

Wieso werden die Einstellungen NICHT in die GPO übernommen?

Hat vielleicht jemand dazu eine Idee?

wir haben 2

Terminlaserver mit Windows 2003 R2 SP2 English + deutsches Sprachpaket

und Internet Explorer 8

Auf beiden ist "Group Policy Management" Installiert.

Die GPO welche ich auf dem ERSTEN erstellt hatte wird auf dem ZWEITEN nicht übernommen.

Oder besser gesagt, unter GPRESULT wird die GPO schon angenommen, nur ist davon in den "Internet Optionen" nicht zu sehen, wie zB in der Liste für "Vertrauenswürdige Seiten"

Hat dazu jemand eine Idee?