Sunny61

Und wenn Du das Passwort in doppelten Fliegenschiss packst? "passwört"

Gibt es denn Fehlermeldungen im Ereignisprotokoll? Was passiert im Abgesicherten Modus mit Netzwerkunterstützung? Gleiche Meldung? Neuinstallation des Client ist keine Option?

Hast Du auch das Removal Tool von GData benutzt? Wenn nein, hol das nach. Ist das eingezeigte Netzwerk ein Domänen- oder ein Öffentliches Netzwerk?

Schule und Projekt, hört sich für mich nach Ausbildung an. Und da die Freundin es nicht weiß wie es geht, fragt der Freund in einem Forum nach. Würde mich nicht wundern wenn es diese Anfrage noch in ein paar Foren gibt.

 

@Norbert, wozu lesen wenn man so schön in den Foren kostenlose Hilfe bekommt. ;)

 

Kann ich die Daten auch lokal für alle User hinterlegen, es handelt sich nur um 5 Workstationen ?

Natürlich kannst Du das auch manuell machen, willst du das wirklich?

 

Es ändert sich übrigens nichts an der Tatsache, dass die Einstellungen aus der Wartung zwar noch vorhanden sind, aber nicht ausgewertet werden. Am besten also auf einem Client mit IE9 die Einstellungen rückgängig machen und in den GPPs wieder aktivieren. Dann sparst Du dir auch das lokale Gehampel. Das ist einfach nur kurzfristig gedacht.

Gibt es evtl. geänderte Energieeinstellungen?

Also definitionsupdates habe ich wieder weg gehackt, zurzeit läuft ein Update auf einen TS  Server,

Beim TS ist es sehr wichtig dass für die Benutzer die zweite Benutzereinstellung aus dem Beispiel GPO wirkt, ansonsten starten die versehentlich den TS neu.

 

BTW: Den Haken schreibt man ohne c. ;)

 

Es sind nur ca. 20 PCs,  nach den update der Server werde ich die Clients updaten...ich muss nur schauen das die Leute nicht Zuviel mitbekommen....

Dann gibt nicht zu viele Updates auf einmal frei, oder installiere die Updates manuell.

Was snd GPOs dann? Dateien? Wo liegen sie? Kann man sie am Ende vielleicht sogar ganz einfach als Datei sichern?

http://www.gruppenrichtlinien.de/hintergrundwissen/datum/ > Scripte. Dann wird vieles vielleicht klarer.

 

 

 

Dazu müßte ich vor Ort sein. Ich hatte ja geschrieben, daß ich das nicht bin, sondern über eine VPN-Verbindung zum Server arbeite. Auf die Clients habe ich aber keinen Zugriff - schon gar nicht am Wochenende, wo die Kisten ausgeschaltet sind.

Wake on LAN existiert schon sehr lange.

Ich kenne auch Datenbanken, in denen nur Verknüpfungen gespeichert werden, darum fragte ich. Aber danke für den Hinweis. Ich brauche also die ursprüngliche CER-Datei nach dem Import nicht mehr.

Datenbanken != GPOs.

 

 

Dazu hätte ich erst mal einen virtuellen Test-Client aufsetzen und die GPO auf diesen Testclient wirken lassen müssen. Für noch einen virtuellen Win7-Client habe ich schlicht und einfach nicht genug Festplatten-Kapazität auf dem Server frei.

Für wen hast Du denn das GPO erstellt? Wenn für andere Clients, dann kannst Du doch die dazu verwenden um das zu testen.

 

Ne, da hast Du mich wohl mißverstanden. Es geht um Folgendes:

 

Ich habe ja jetzt diesen virtuellen Admin-PC. Auf dem Desktop habe ich die CER-Datei. Jetzt öffne ich auf dem Admin-PC die GPMC, öffne das GPO und gehe dort bei "Vertrauenswürdige Herausgeber" auf "Zertifikat importieren":

Ich hatte dich schon richtig verstanden. ;)

Habe erst angefangen mit einen testserver,

Für mich klingt das alles nicht richtig durchdacht. Weshalb willst du den bestehenden WSUS nicht reparieren sondern einen Testserver ins produktive Netz nehmen?

Habe 4 gpos welche mir win7 vista xp und server in verschiedene gruppen haut.

Vollkommen überflüssig, 2 GPOs reichen. Eines für Clients und eines für Server. Die Clients/Server haben genug Intelligenz um die richtigen Updates anzufordern und zu installieren.

Was instsllierst du immer sicherheitsupdates definitionsupdates und kritische updates?

Man installiert das was die Clients anfordern. Wenn Du Definitionsupdates als Klassifizierung hinzufügen willst, solltest du auch wissen was die beinhalten. Z.B. sind dort die täglichen Updates für den Windows Defender enthalten, hast Du den auf W7 und höher installiert/aktiviert? Treiber würde ich nicht aktivieren, über den Rest kann man diskutieren.

 

Weshalb beantwortest Du nicht die gestellten Fragen?

Ich denke bei manchen rechnern fehlen updates von ca 2 jahren.

Wow, das ist nicht gut.

Die clients versuchten von einem sbs die updates zu ziehen , dieser wsis funktionierte aber nicht....

 

Ich wuerde deshalb gerne anfangs beim herunterfahren den grossteil installieren und dann wie du sagst den rest immer Mittags...

Besser wäre in diesem Fall vermutlich die Rechner am Abend per WOL zu wecken und dann manuell als Admin die Updates installieren zu lassen.

 

Wieviele Updates hast Du denn zum installieren freigegeben? 1000 oder 2000?

Hast du ne idee wie ich das installieren beim herunterfahren erzwinge?

Beim Herunterfahren kannst Du das nicht erzwingen, die Benutzer müssen schon das richtige beim Herunterfahren auswählen. Und genau deshalb ist das keine gute Idee.

Habe nun auf einen Server den Wsus eingerichtet,

 

Nun würde ich gerne die Clients so schonend wie Möglich updaten,

Wie haben die Clients bisher ihre Updates bezogen? Wie aktuell sind sie? Wieviele Updates hast Du zum installieren freigegeben? Nein, das ist keine Aufforderung es zu tun, sondern nur eine Frage.

 

Am besten nur die Updates genehmigen, die auch von den Clients angefordert werden. Das hält das Content klein und schont die Bandbreite.

 

 

Ich dachte mir ich erzwinge das installieren beim herunterfahren...  aber irgendwie ist das nicht möglich oder?

Wo hast Du denn geschaut? In den Einstellungen zu den GPOs hast Du sehr viele Möglichkeiten. Ich persönlich möchte aber keine Updates beim Herunterfahren installieren lassen, du kannst nicht sicher sein dass die Benutzer trotzdem den Rechner über den Schalter hart ausschalten.

 

Sieh dir dieses GPO an, insbesonders die zweite Benutzereinstellung: http://www.wsus.de/images/WSUSGPO.png Diese GPO auf die Benutzer und Computer verlinken, schon kriegt der Benutzer nichts mit und die Updates werden um 12.00 Uhr Mittags installiert. Natürlich nur, wenn die Clients auch Updates gedownloadet haben.

Also das ist für mich keine Lösung. Wenn ich dann mal in zwei Monaten wieder an das GPO ran muß, müßte ich wieder alles konfigurieren. Nene, ich habe jetzt mal einen VMWARE-Player direkt auf dem Server installiert und darauf einen Win7-PC aufgesetzt. 40 Euro für die Windows-Lizenz habe ich dann schon noch ;)

Endlich! :)

 

 

Wenn ich jetzt das Zertifikat in die "Vertrauenswürdigen Herausgeber" importiere, wird es dann direkt im GPO gespeichert, so daß ich die CER-Datei anschließend löschen kann?

AFAIK ja. Aber weshalb? Hast Du zu wenig Platz auf der HDD?

Da steht ja, daß das Zertifikat in den Zertifikatsspeicher übernommen wird. Aber wo ist der, auf dem Server, oder auf dem Admin-PC, an dem ich den Import durchführe?

Wie lange dauert es bis Du es selbst nachgeprft hast? Start > Ausführen > MMC [ENTER]. Zertifikate wählen, lokaler Computer. Wo ist das Zertifikat?

Lies mal den 3. Kommentar im Blog. ;)

Verstehe. ;)

OK, Du kannst, falls Du die entsprechende HW hast, auch den kostenlosen Hyper-V Server 2012 oder auch 2012R2 downloaden und installieren. Verwalten kannst Du auch mit anderen Clients, bei w8 sind die RSAT-Tools natürlich schon dabei.

Wer die Sicherheit erweitern will, sollte sich die SAFER.INF genau anschauen: http://home.arcor.de/skanthak/safer.html

Geht es ums virtualisieren im allgemeinen oder um den Hyper-V im speziellen? Wenn ersteres, VirtualBox und VMWare Player können auch virtualisieren.

In http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-44-34-metablogapi/1376.SNAGHTML5c9fa89_5F00_381FF418.png auf manuell umstellen ist keine Option?

Daniel hat einen Artikel zu dem Thema geschrieben: http://blogs.technet.com/b/dmelanchthon/archive/2013/10/22/anwendungen-auf-windows-8-1-unscharf-blurry.aspx Evtl. ab der Mitte lesen. ;)

Vom DC werden GPO für einen IE Proxy verteilt.

Funktioniert seit langem ohne Probleme.

Seit heute zieht ein Win7 Client die Proxyeinstellungen nicht mehr. Allerdings als Domäneadmin funktioniert es.

Es gibt sehr viele Möglichkeiten einen Proxy zu verteilen, welche Einstellung genau hast Du verwendet? Hat der W7 Client den IE10 installiert?

Gibt es eine Möglichkeit einem PC/Notebook das nur in einer Arbeitsgruppe ist, eine Gruppenrichtlinie eines DCs zuzuweisen?

Nein, natürlich nicht. Wie soll das technisch funktionieren?

 

Du kannst auf einem Referenzclient die GPOs in ein Regfile exportieren und auf dem Arbeitsgruppenclient importieren.

Selfhost.me erfordert auch eine Authentifizierung, ist AFAIK vom Gesetzgeber so gefordert.

Naja, nicht wirklich. Also zum einen muß man sich wirklich die Frage stellen, ob man immer das Neueste haben muß, wenn die Software von gestern völlig ausreicht. Wozu muß man z.B. das neueste Office haben, wenn die Sekretärinnen schon als alte Office eher als "Speicherschreibmaschine" nutzen? Wozu braucht man Windows 7, wenn die einzige Aktion, die die Sekretärinnen in Windows machen, das Öffnen von Programmen auf dem Desktop ist?

Ich meinte natürlich nicht die Office Versionen. Im Bereich der GPOs und GPP hat sich sehr viel getan, das meinte ich mit den 5 Jahren.

 

Auch virtuelle Clients brauchen reale Lizenzen. Nun gut, Win7-Lizenz bekommt man mittlerweile für 40 Euro, also daran sollte es nicht scheitern. Aber auch virtuelle PCs brauchen eine reale Hardware-Grundlage. Wenn du wüßtest, mit welcher Hardware mein Admin-PC läuft, würdest Du das Wort "Virtualisierung" nicht so leicht in den Mund nehmen ;)

Es gibt von MSFT kostenlose VHDs zum Download. Damit lässt sich ein 30-Tage Testsystem aufsetzen und die GPMC nutzen. Hier ein Blogeintrag der so manche Links bereitstellt: https://kittblog.com/news/3/windows/255/kostenlose-vhd-images-f%C3%BCr-microsoft-virtual-pc/

 

Und hier noch ein paar Server VHDs: http://www.microsoft.com/en-us/download/search.aspx?q=msvhds&p=0&r=10&t=&s=availabledate~Descending

 

 

Jaja, ihr aus der Wirtschaft habt gut reden ... wo mit der IT Geld verdient wird, kann man auch Geld in die IT investieren.

 

 

Der Win7-PC hat eigentlich andere Aufgaben im Netzwerk als dass ich den dauernd als Admin-PC "mißbrauchen" könnte ...

Bitte korrigieren, wenn ich falsch liege, aber mir wurde immer davon abgeraten, weil viele Mail-Provider Mails an Servern, die über dynamische Adressen laufen, nicht zustellen.

Andersrum ist es. Wenn Du über eine solche Adresse senden würdest, landest Du im Spamfilter. Senden kannst Du natürlich über den Smarthost des Providers, Empfang auf SMTP umstellen, funktioniert.

Naja, in einem halben Jahr hat sich das eh erledigt ;)

Dir ist den letzten 5 Jahren sehr viel entgangen. ;)

 

 

Wundert mich aber trotzdem, dass es nicht geht. Das von mir verwendete SelfCert ist ja Teil von Office 2003 - und im Jahr 2003 waren Server 2003 und Windows XP Standard. Wie hat man also damals die Zertifikate verteilt?

Es gibt eine EXE zum Silent installieren, hat bei mir aber nicht zuverlässig funktioniert.

 

EDIT: Sie heißt certutil.exe. :)

 

 

Aber OK, wenden wir uns dem Aktuellen zu. Nehmen wir nun also einmal an, ich installiere auf dem einen Win7-Rechner in dem Netzwerk die GPMC, öffne damit das GPO, in dem schon die Registry-Keys aus dem anderen Thread verteilt werden (weil das inhaltlich zusammen gehört) und füge dort die Verteilung des Zertifikats hinzu. Was passiert nun, wenn ich dieses GPO hinterher noch mal mit meinem XP-Adminrechner bearbeite (z.B. um bei der MBus-Richtline eine Einstellung zu ändern). Zerhaut es dann die Zertifikatsverteilung, weil die XP-GPMC das nicht unterstützt? Oder bleibt dieser Teil der Richtlinie, wenn er einmal mit einer Win7-GPMC eingerichtet ist, intakt?.

 

Auf dem XP-Rechner siehst Du nur die GPOs/Einstellungen, die ein XP auch kennt, zerhauen kann es die Verteilung nicht, aber man editiert sicherheitshalber kein GPO mehr mit der 'alten' GPMC.

 

 

Erstens benutze ich ein Produktivsystem ungern zum Testen, und ein Testnetzwerk habe ich nicht. Und zweitens bin ich nicht vor Ort. Ich administriere in der Regel per VPN-Zugriff. Das heißt dann aber auch, ich kann nicht am Client prüfen, ob dort alles richtig umgesetzt wurde. Jedenfalls nicht so einfach.

Genau deshalb hat ein oder zwei virtuelle Clients, einen zum einrichten und einen zum testen.