Anubis2k

Joa, war auch sonst immer mein Vorgehen.. Doch als Chef dann meinte "Jetzt kommen die nächsten Wochen voll viele Praktikanten bla bla" wollte ich da erst mal irgend eine Lösung schaffen und da viel mir das sofort ein :D Joa.. Ich überlege selbst gerade wie ich dabei auf Gruppenrichtlinien komme, denn mein Screenshot hat ja auch nichts mit den Gruppenrichtlinien gemein. Das ist ja nur die AD... :suspect: Ich hätte vielleicht vorher erst mal den Denkapparat anstellen sollen... Es geht eigentlich ehr um die AD und die Zugriffe. Das was man ja in meinem Screenshot sieht, sind ja von Windows irgend welche vor gegebenen Gruppen mit denen man arbeiten könnte. Die können doch bestimmt weg (rein theoretisch), oder? Gibt es einen grundlegenden Unterschied zwischen Distribution Groups und den Security Groups? Und um noch mal auf die NTFS Freigaben zu kommen.. Ich habe Partition D: D: - Ordner 1 (Freigabe für Jeder, Praktikanten Verboten) -- Unterordner 1 - Ordner 2 (Freigabe für Jeder, Praktikanten Verboten) -- Unterordner 1 -- Unterordner 2 -- Praktikanten (Freigabe für Praktikanten) -- Unterordner 3 - Ordner 3 (Freigabe für Jeder, Praktikanten Verboten) -- Unterordner 1 Ich habe nun Administratoren und Benutzer für Ordner 1 und 2 Vollzugriff(NTFS) verpasst, dass ganze wird auch noch vererbt in die Unterordner. Ordner 3 haben nur Administatoren Vollzugriff(NTFS), da habe ich das ja über die NTFS Freigabe geregelt im Ordner 3. Mein Hintergedanke war nur, eine gute Zugriff-Verteilung zu machen, ohne das ich viel bei den einzelnen Ordner eintragen muss. Ich hatte auch überlegt die Freigabe für Jeder auf Vollzugriff zu setzen und dann alles über die NTFS Regeln zu managen. Das ganze würde ja dann so aussehen, D: - Ordner 1 (Freigabe für Jeder) -- Unterordner 1 - Ordner 2 (Freigabe für Jeder) -- Unterordner 1 -- Unterordner 2 -- Praktikanten (Freigabe für Jeder) -- Unterordner 3 - Ordner 3 (Freigabe für Jeder) -- Unterordner 1 Ich würde dann Ordner 1 und 2 für Administratoren und Benutzer Vollzugriff machen, eine 3. Gruppe anlegen wo die Praktikanten rein kommen, die Vererbung für den Praktikanten Ordner abstellen, dort noch Praktikanten hinzufügen und gut ist. Ordner 3 würde ich weiterhin nur für Administratoren wie jetzt stehen lassen. Ich hatte das schon mal getestet, eine neue Gruppe an zu legen, die Praktikanten heißt, aber dann wollte der Server die Anmeldung der User nicht zulassen, es sei denn sie befinden sich in der Gruppe Domänen-Benutzer. Die wiederum ist aber Mitglied von Benutzer und dann stehe ich ja wieder da wo ich nicht hin wollte. Die Praktikanten kommen da ran, wo sie ja nicht ran sollen :D Darauf wollte ich eigentlich hinaus.. Vielleicht habe ich da irgend wo einen Fehler gemacht, aber den habe ich noch nicht so ganz gefunden :( Denn mein Plan war es ganz zu Anfang mal, mehrere Gruppen zu erstellen, - Chefs - Mitarbeiter - Azubis - Praktikanten Aber irgend wie konnten die User in den Gruppen sich nicht anmelden, da sie keinen Zugriff hatten. Sie mussten (wieso auch immer) ein Mitglied von Benutzer sein. Da war auch mein Fehler... So, ich hoffe ich konnte jetzt mein Problem ein wenig schildern.. Und das mit den Gruppenrichtlinien war ein falscher Gedanke und Ansatz von mir Persönlich, das tut mir leid.

Hallo Leute, ich bin es mal wieder im Bezug auf die Gruppenrichtlinien.. Wir bekommen (auf einmal) ab und an ein paar Praktikanten, die bekommen auch eigene Accounts von mir (ist ja kein Problem). Dann ist mir eingefallen, bevor ich dem Praktikanten-Verzeichnis immer einen User mehr gebe, lege ich eine Gruppe "Praktikanten" an, diese wiederum ist Mitglied von "Benutzer" Also die Freigaben auf dem Server sind für "Benutzer" freigegeben, und "Praktikanten" verweigert, mit Ausnahme dem Praktikanten-Ordner, da ist die Netzwerkfreigabe für Praktikanten offen. So brauchte ich auf Partition D: nur sagen das Administratoren und Benutzer Vollzugriff haben, und beschränkt ist das durch die Netzwerk-Freigabe :) Was mich aber mal interessiert, die OU "Security-Groups" und dessen Inhalte, da ist niemand zugewiesen. Sind das Standard-Vorgaben die man entfernen kann? Macht es Sinn die Gruppe "Praktikanten" dort hin zu verfrachten wie ich es gemacht habe (siehe Screenshot)? Also die Lösung funktioniert, meine Mitarbeiter und Kollegen kommen an alle Daten ran, wo sie ran sollen und die Praktikanten kommen nur an ihre Daten ran :) Aber vielleicht löst man das ja sogar auf eine andere Art noch sinnvoller und da wollte ich mal fragen wie Ihr das so macht. Screenshot:

Das soll ja nur zum Geburtstag sein.. Eigentlich hätte ich morgen einfach gesagt das sie den PC an lassen soll, wäre via VNC oder ähnlichem auf den PC gegangen und hätte dann das Wallpaper geändert :) Aber da kam mir die Idee der Gruppenrichtlinien, so muss ich ihr nicht sagen das sie mal bitte den PC an lassen möchte :) Ahh.. Hab es mal ausprobiert mit meinem Benutzer-Konto, dass klappt ja schon prima :) So bekommen dann am Donnerstag nicht gleich alle auf einmal das Geburtstagsbild :D Und das mit der Konfiguration gucke ich mir mal an. Vielen Dank für die Infos.

Hallo Leute, ich habe noch einmal eine kleine Frage zu dem Thema.. Und zwar sprach mich Chef darauf an, einer Kollegin die am Donnerstag Geburtstag hat ein bestimmtes Wallpaper zu zuweisen. Über die Gruppenrichtlinien habe ich auch schon einen passenden Eintrag gefunden :) Unter Active Desktop -> Active Desktop Hintergrund kann ich dann ein Hintergrundbild zuweisen. Doof ist nur, dass ich das eben mal ausprobiert habe und alle Icons auf dem Desktop einen Rahmen drumherum hatten, als hätte ich die Farbe dafür eingestellt :( 1.) Gibt es eine Möglichkeit dieses noch zu unterbinden, oder habe ich vielleicht den falschen Menüpunkt dafür verwendet? 2.) Wenn ich bei Sicherheitsfilterung nur ihren Namen (Benutzer) eingebe, sollte das doch nur bei ihr passieren, oder? Grund wieso ich das so mache ist, dass ich am Mittwoch um 17:00 das Büro verlasse und sie um 18:00.. Somit kann ich das nicht ändern ohne das sie es mit bekommt. Am Donnerstag morgen ist sie um 7:30 auf der Matte und meine Zeit beginnt ab 8:00 :D Da ich über VPN auf den Win2k3 Server zugreifen kann, hätte ich das sonst am Mittwoch Abend von zu Hause aus aktiviert :) Ich hoffe Ihr könnt mir noch mal helfen.

Ahh.. cool.. Download angeklickt, Fenster öffnete sich.. Ansicht auf Liste gestellt und zack überall ist Liste eingestellt. Das gefällt mir, besten Dank :)

Soo.. Also ich hab da mal eine kleine Frage zu Win Vista, und zwar wollte ich mal fragen ob es eine Möglichkeit gibt, überall die Ansicht auf "Liste" zu stellen. Ich hatte schon mal eingestellt das er Ordner des gleichen Typs mit "Liste" anzeigen soll, was auch klappt wenn ich über den Arbeitsplatz gehe und auf eine Partition drauf klicke, dann wird z.B. Inhalt von C:, D: und E: als Liste angezeigt, der Arbeitsplatz direkt wird mit Details angezeigt und wenn ich nun z.B. einen Download öffne oder über ein Programm auf meine Ordner gehe (Beispiel, über Daemon-Tools), zeigt er mir den Inhalt nicht als "Liste" an sondern als "Kleine Symbole" :( Gibt es da einen Trick, wie ich das für ALLE angleichen kann? Von mir aus auch auf dem Arbeitsplatz direkt dazu, aber wichtig sind alle anderen Orte :) Ich hoffe mal Ihr könnt mir dabei ein wenig helfen.

Guten Morgen, da ich ja versehentlich wegen dem Begriff Windows IT Pro meine letzte Server Frage im Allgemeinen Forum gestellt hatte, wollte ich das jetzt mal korrigieren indem ich in der Server Ecke anfrage. In meinem anderen Thema ging es auch um unseren Win2k3 SBS hier im Büro, dazu hab ich jetzt wieder ein paar kleine Fragen und hoffe man kann mir helfen :) Kann man es so einrichten, dass der Server für die Windows XP Clients die ganzen Windows Updates besorgt und die Clients dann die Updates über den Server machen, oder ist es dann vielleicht für unser kleines Netz einfacher den Clients über eine Gruppenrichtlinie zu zuweisen, dass sie die Updates besorgen sollen, aber die Installation Manuell durchführen sollen?! Und eine andere Frage betrifft die Netzlaufwerke, vielleicht auch ein wenig die Freigaben vom Server.. Unser Server hat ja nun keine Servergespeicherten Profile, liegt wohl daran dass das passende Verzeichnis nicht freigegeben hat, warum auch immer. Aber meine anderen Freigaben habe ich über das $ versteckt "freigabe1$", diese werden mit Hilfe meiner "logon.bat" automatisch als M:, N: etc. eingebunden, aber kann man irgend wie auf einem leichten Weg zuweisen dass dann im Arbeitsplatz folgendes steht, - share1 auf "server" ( M: ) und nicht share1$ auf "server" ( M: ) ich würde also gerne beim einbinden von M oder N den Namen verändern. Ist zwar nur eine optische Geschichte, aber mich würde mal interessieren ob so etwas machbar ist ohne großen Aufwand :)

Hm.. Okay, dann wird da das Thema oder ehr das Problemchen sein, dass die Benutzer einfach über die Stadardverwaltung angelegt worden sind und somit in Users liegen. Ich bedanke mich dann schon mal vielmals für die Hilfe. Ich habe mir nun erstmal über e-academy ein Win2k3 SBS besorgt und werde das mal über eine vmWare emulieren und ein wenig üben :) Edit: Falls noch jemand über mein Thread hier stolpert... Eine kleine Frage so am Rande die man mir eben erst mitteilte, Chef ist lokaler Admin auf seinem PC (Client11) und hat weil er ja immer sicher sein möchte, am Wochenende seinen Computer-Spezi darum gebeten ne Kasperski Software zu installieren mit Virenscanner und Firewall. Kann ich mit Hilfe der OU SBSComputers wo sich ja Client11 drin befindet eine externe Software-Firewall aushebeln und die Windows Firewall wieder primär in betrieb nehmen, ohne das ich da was direkt an seinem PC ändern muss? :shock:

Kein Thema.. Ich hatte zu Anfang auch überlegt wo das auf einmal her kommt, denn zuhause hab ich auch meine Netzlaufwerke vom Server (M und N) eingebunden und wunderte mich wieso er das immer nachfragt und durch eine kleine Recherche hatte ich es dann gefunden :wink2:

Ahh... Jetzt macht es klick... Und ich dachte das ist nur eine OU die genau so heißt und weil die so heißt, übergeben die das untereinander.. Sprich, ein Benutzer befindet sich in SBSUsers und bekommt die Richtlinien aus SBSUsers :) Okay, dass ist eine Fehlinterpretation von mir gewesen, das steht ja auf der Internetseite anders als ich es jetzt vielleicht auch beschrieben hatte.. Aber weiter im Text :) Genau, dass dachte ich mir ja dann auch... Da ja in der Richtlinienverwaltung die OUs angegeben sind, mit der gleichen Struktur wie in der AD. Demnach sollte (wenn ich mich jetzt nicht irre oder etwas falsches schreibe) ein neues Benutzer-Objekt unter SBSUsers zu finden sein und ein neues Computer-Objekt unter SBSComputers, richtig? Aber dann scheint hier vorher schon mal jemand was umgestellt zu haben.. Denn, wenn ein neues Benutzerkonto erstellt wird, taucht es unter Users auf... Ich habe mir nun einfach mal test weise den Praktikanten (Benutzer-Objekt) genommen und den von Users in SBSUsers verschoben. Dann bekommt er auch wieder seine Richtlinien etc. daran hängt es nicht und einloggen klappt auch, aber wenn ich dann über die Standardverwaltung ein Konto öffne kommt folgendes... Oder ist das ein Fehler von mir? Denn das eine ist ja die "Erweiterte Verwaltung" und das andere (weiter oben) die "Standardverwaltung" und wenn ich jetzt mal an andere Betriebssysteme denke, mögen die das auch nicht so gerne wenn man immer zwischen Standard und Erweitert switcht, liege ich da richtig?? :wink2: Edit1: Was mir noch einfällt, ein Computer-Objekt was ich der Domäne hinzufüge, wird in Computers und nicht in SBSComputers eingetragen. das ist doch auch nicht ganz richtig, oder?

Ich hoffe mal ich habe alles richtig verstanden.. Du greifst von deinem PC (Ort X) der Windows XP drauf hat via VPN auf einen anderen PC (Server) zu. Wenn du dein Netzlaufwerk (bsp. N:\) im Explorer öffnest, steht dann zufällig unten rechts in der Ecke was von Internet? Wenn ja, dann geh mal in deinen IE, öffne mal in den Einstellungen den Reiter Sicherheit und wähle Lokales Intranet, da kannst du direkt oder im Unterpunkt erweitert eine Adresse angeben... Wenn ich mich nicht irre müsste dort so etwas wie file://192.168.x.x eingetragen werden.. Sprich, die IP des PCs der am anderen Ende des VPNs steht. Oder um es genau zu sagen, wenn dein Netzlaufwerk auf 192.168.1.5 zugreift, musst du file://192.168.1.5 eintragen :) Hoffe ich konnte damit ein wenig helfen. Mfg. Anubis

@Bloodie, das ist so... Ich bin im Sommer 2006 in die Firma gekommen, der Server existiert schon ein wenig länger und zu der Zeit (vor mir) administrierte ein externer Dienstleister die Kiste. Ich bin dann im Sommer 2006 als Azubi (IT-System-kaufmann) in die Firma gekommen und mein Gebiet ist eigentlich die Suchmaschinen-Optimierung. Da ich aber vorher schon für einen Bekannten hier und da ein wenig Systemadministrator technisch unterwegs war und ich hier und da Kenntnisse habe / hatte, bin ich an den Server ran gegangen da es zu Problemen kam ;) Ich hab den Server auch immer gut im Griff gehabt, aber mit den GPOs hab ich mich halt bis dato nie befasst. Da ich von der Schule (IT Ausbildung) die Microsoft Lizenzen bekommen habe, werde ich mich wohl mal zum testen in einer vmWare zuhause damit genauer befassen. Was meine "Arbeiten" am Server im Büro angeht, wenn ich den nun doch sperren sollte für mich oder so, spiele ich das Komplett-Image ein und dann geht es weiter. Wir sind nur ein 7 Personen Büro und das einzige was dann weg fallen könnte wenn der Server offline geht, sind die Netzlaufwerke. Im Grunde ist das was wir da haben für uns schon überdimensioniert, da ich aber sonst (leider) nicht wirklich viel aus dem Bereich lerne oder erlebe, nutze ich schon mal die Chance :) Aber eine kleine Frage habe ich da jetzt noch so nebenbei... In der AD hab ich ja meine Verbindung mit domain.local drin wo sich in dem Container Users meine ganzen Benutzer befinden. In meinen Gruppenrichtlinien befindet sich auch eine Organisationseinheit die genauso heißt wie die in der AD (z.B. SBSUsers) und wenn ich ja nun einem Benutzer oder einer Gruppe Rechte zuweisen möchte könnte ich den Benutzer rein Theoretisch aus dem Container Users in die OU SBSUsers packen, was man aber nicht macht wie ich gelesen habe. Kann ich den User Dominik der sich im Container Users befindet, parallel in die OU SBSUsers packen mit Hilfe einer Verknüpfung, oder sollte ich da eine Gruppe anlegen und Diese da rein packen? Das müsste ja dann auch mit den Clients funktionieren, oder nicht? Ich hab mal zum einfachen Verständnis einen Screenshot gemacht und hoffe man kann nachvollziehen was ich meine :) Aber schon mal Danke an Euch bis hier hin für die Tipps. Mfg. Dominik

Na ja, aber ich hab noch nie wirklich mit den Gruppenrichtlinien gearbeitet. Ich hatte sonst immer nur Windows Server aufgesetzt, den AD Dienst eingerichtet und was so dazu gehört. Anschließend nur noch User angelegt, Clients hinzugefügt und das wars eigentlich. Ein wenig Backup Planung auch, aber das wars sonst. Und auch wenn ich noch kein Urgestein bin mit meinen 25j. habe ich mit Windows NT 4 Server angefangen und noch NIE mit diesen Richtlinien gearbeitet... Peinlich peinlich :D Aber man lernt ja nie aus... Und wenn die Seite seit 6 Jahren existiert, wird sie wohl auch noch ein wenig weiter bestehen bleiben. Und zur Not gibt es ja die Foren wo man noch mal anfragen kann ;)

Huch... Das ist ja richtig Umfangreich was man da alles einstellen kann... Okay, das eine oder andere ist ganz nett oder erklärt sich von selbst und das kleine Beispiel mit der Einstellung für den Bildschirmschoner finde ich schon mal ganz nett... Ich hoffe die Seite existiert ewig, die werde ich mir wohl mal als Lesezeichen setzen :wink2: Schon mal vielen Dank für die Seite und die Infos von Euch.. Endlich mal wieder was neues zum lernen. Mfg. Anubis

Okay, da ich kein Abkürzungs-Spezi bin, musste ich eben erstmal Dr. Google fragen für was GPO steht.. :rolleyes: Danke schon mal für den Link.. Das mit der Firewall und den Einstellungen habe ich nun hin bekommen. Ich hab auch gleich erstmal ein paar Ausnahmen eingetragen und nun bin ich zufrieden :) Aber mal eine kleine grundlegende Frage zu diesen Richtlinien im allgemeinen... Übernehmen die Clients diverse Einstellungen nur wenn sie neu in die Domäne eingebunden worden sind, oder bei jedem Neustart? Irgend jemand hatte freundlich wie er ist in den GPOs für die Clients eingestellt, dass sich nur Administratoren oder unser Praktikant anmelden darf, was mich ja zu Anfang wunderte. Dann stellte ich das wieder zurück auf Nicht definiert und dann hat er das bei einem Client nicht sofort nach dem Reboot übernommen... Zumal der Jenige ein richtiger Spaßvogel war... Denn diese Einstellung war genau in dem Punkt Small Business Server-Windows-Firewall eingebunden :suspect:

Hallo Leute, ich hab schon ein wenig bei google gesucht und hier im Forum mal nach Gruppenrichtlinien gesucht, aber nichts gefunden was mir hätte helfen können. Es geht um folgendes, wir haben hier im Büro einen Windows 2003 SBS mit aktiviertem Active-Directory wo 7 Clients eingetragen sind, die sich auch darüber anmelden. Was auch bis hierhin (mehr oder weniger) klappt. Folgende Fragen sind da jetzt allerdings vorhanden, und zwar ist bei jedem Client (Windows XP + SP3) die Firewall von Windows aktiviert worden und das liegt ja daran das Windows die Domänen-Einstellungen verwendet. Meine Frage ist, was stelle ich denn jetzt am Server ein damit er die Firewall für die ganzen Clients abstellt (kann man das auch pro PC separieren)? Ich hoffe Ihr könnt mir helfen. Mfg. Anubis

Supi, danke ... :) Ich werde mir das auf jeden Fall noch mal zu Herze nehmen. Mal weiter suchen was es noch so für lustige Dinge gibt die mich interessieren, denn ich hab wieder tolle Dinge entdeckt... z.B. Logon Scripte zum Mapping von Netzlaufwerken etc. Aber danke für die Hilfe. Bye, Anubis

Guten Tag, ich hoffe ich stifte nicht zusehr Unruhe hier im Forum mit solch einer Frage, ich hatte schon mit google gesucht und in anderen Foren gesucht und nichts gefunden. Problem bestand Anfang des Jahres das Chef gerne wollte das unser Praktikant den wir für zwei Wochen hatten am Server arbeiten kann, also durfte ich den Benutzer Praktikant so versuchen ein zu tragen das er sich lokal am Server anmelden kann. Nun habe ich ihn entfernt unter Sicherheitsrichtlinieneinstellung -> Lokal anmelden zulassen Eigentlich wollte ich nun diese "Lücke" wieder schließen und hatte den Benutzer daraus gelöscht. Gestern ist mir irgend wann aufgefallen das sich sämtliche User der Gruppe Domänen-Benutzer (Benutzer) nicht mehr vom Windows 2000 Client anmelden konnten. Ich fügte die Gruppe Benutzer bei Lokal anmelden zulassen hinzu, nahm den Win2k Client aus der Domäne raus, startete neu und fügte ihn wieder ein. Schwups, es ging dann wieder, alle Benutzer konnten sich am Windows 2000 Client anmelden, nachteil ist auf einmal das man sich nun generell als Benutzer Lokal am Server anmelden kann. Wie kann ich das denn nun wieder so drehen das sich die Domänen-Benutzer nur von den Clients anmelden können und nicht lokal am Server? Könnt Ihr mir da vielleicht helfen? Ich hatte schon einmal nach der Grundkonfiguration für den Punkt Lokal anmelden zulassen gesucht, aber sowas finde ich auch nirgends, sonst hätte ich das in den Ursprung zurück gebracht. Ich wäre über Eure Hilfe sehr dankbar :) Bye, Anubis