Sunny61

Kann ich mein AD Server 2003 auch weiterhin verwenden und kann ihn aber beibringen das neuste bereitzustellen was ich für GPO und GPP benötige? Ich brauch gar keinen Umstieg uaf Server 2008?

Das kostet womöglich auch nichts und kostet nicht extrem viel Zeit?

Wenn so: dann hört sich das natürlich sehr verlockend an....

Was glaubst Du eigentlich warum wir das hier dauernd schreiben? Wenn Du GPPs verwendest mußt Du nur drandenken, dass Du die Einstellungen auf einem W2003 NICHT SIEHST, auch wenn KB943729 auf den Systemen installiert ist, die das Update noch benötigen. Holen werden sie sich die Einstellungen sicherlich.

 

Problem ist nicht nur das Logonscript mit diversen vorgenommenen Registry-Einstellungen sondern auch einige Programme (z.B. unser ERP-System) welches direkt beim Start die UAC aufpoppen läßt damit der Benutzer dort bestätigen muss daß das Proramm ausgeführt werden darf.

Das ist erst der Anfang von allen Programmen die wir noch testen müssen. Wer weiß bei wievielen das noch so auftauchen wird?

Deshalb testet man das auch vorher ausführlich.

Daher meien Frage: gibt es eine Möglichkeit die UAC komplett zu deaktivieren UND dabei dennoch die diversen Apps won Windows 8 zu benutzen? Im konkreten geht es mir um die nicht zur Auswahl stehenden JPEGs für den Startbildschirm (komischerweise nicht bei allen JPEGs?)

Nein, das hört sich für mich so an wie: Wasch mich, aber mach mich nicht nass.

 

Wenn Programme Adminrechte benötigen, dann kann man ihnen das meistens abgewöhnen, indem man mit dem Process Monitor mitsnifft wo überall dem 'normalen' Benutzer Schreibrechte fehlen. Da es ja ein neues ERP System ist, würde ich den Hersteller in die Pflicht nehmen. Windows Design Regeln gibt es erst seit ~20 Jahren, also sollte man erwarten dass im Jahr 2013 jemand das kann und umgesetzt hat. Oder kaufst Du ein neues Auto, bei dem Du zum Bremsen einen Anker aus dem Fenster werfen mußt?

 

Und mittels GPPs kann man richtig schön Registry Keys, Werte und Einstellungen setzen, auch vollständig ohne UAC. Aber wer es nicht probiert wird es nie lernen.

Schau dir das SMB-Signing auf dem W2012 an: http://www.gruppenrichtlinien.de/artikel/smb-signing-kommunikation-digital-signieren/ Evtl. mußt Du etwas korrigieren. Dieser Artikel könnte auch helfen: http://www.gruppenrichtlinien.de/artikel/zugriff-von-dos-9x-oder-linux-auf-einen-windows-2003-2008-2008-r2-2012-server/

 

Zusätzlich beim Hersteller der Geräte nach aktuellerer Firmware schauen.

Mit Hilfe vom WSUS und WPP/LUP bekommst Du das ganz einfach hin. Hier findest Du ein paar passende HowTos: http://www.wsus.de/lup LUP funktioniert noch nicht unter W2012, die Entwicklung steht auch schon seit 2011. Der WPP wird ständig weiter entwickelt. http://wsuspackagepublisher.codeplex.com/

 

ein MSI Paket kannst du mit diversen Parametern automatisch laufen lassen (Startupscript)

siehe: http://technet.microsoft.com/en-us/library/cc759262(v=ws.10).aspx

Wenn schon dann aber bitte nicht als Startupscript. Das kann man seit W2000 schon ohne Startupscript verteilen. http://www.gruppenrichtlinien.de/artikel/softwarezuweisung-software-im-unternehmen-verteilen/

Ich möchte mich letztlich in die Sicht des Anwenders versetzen können - also seine Einstellungen und Programme benutzen können ohne mich abzumelden.

Wenn Du dich bei einem Anwender 'aufschalten' möchtest, geht das u.a. per Remoteunterstützung. Muß man vorher für die Clients aktivieren, geht natürlich per GPO: http://www.gruppenrichtlinien.de/artikel/remoteunterstuetzung-remote-assistance-netzwerkweit-anbieten/

Und mit welchen Mitteln geht das?

Verbotene Methode oder Dinge die in Richtung Passwort hacken/umgehen gehen, werden hier nicht supported.

Spiceworks für umsonst (mit Werbung)

Spiceworks halte ich für sehr grenzwertig.

Ist sicherlicher der AV-Scanner dran beteiligt.

Wieviele 3rd Party Dienste hast Du installiert? Wenn keine EXE in Wireshark angezeigt wird, würde ich bei den Diensten ansetzen. ISt vermutlich schneller gemacht als hier auf Antwort warten.

Das tritt auf, wenn ein Restore gemacht wurde in der Regel.

Im Ereignisprotokoll hab ich lediglich die daraus resultierenden Fehlermeldungen AD, Exchagne, etc. betreffend.

Was genau meinst Du mit Restore?

Es wird ja wohl nur ein 3rd Party Dienst sein können, ein Sauberer Neustart hilft es abzustellen: http://support.microsoft.com/kb/929135/de Alternativ einfach mal die 3rd Party Dienste nacheinander deaktivieren.

Du hast über Nacht den Server neu gestartet? Keine Fehlermeldungen im Ereignisprotokoll?

Schau dir den Artikel von Frank Röder an, könnte eine Möglichkeit für dich sein: http://www.faq-o-matic.net/2006/10/31/wie-kann-ich-eine-sms-von-der-kommandozeile-versenden/

 

Wenn Du einen anderen Server verwendest, was machst Du denn wenn der Switch ausfällt, an dem der Server angeschlossen ist?

Ist das Verwenden von Sysprep denn zwingend?

Wenn das System geklont wird, ja. Und ja, für mich liest sich das wie klonen.

Im Zweifel immer neu starten, ist sicherer als spekulieren.

 

Ich weiß schon warum ich diese Doppelpostings nicht mag, auch wenn Du es lobenswerterweise gleich angekündigt hast:

die Problematik besteht jetzt seit ca. 2 Monaten. In der Zeit wurde er ein paar Mal gebootet. Dienste sollten alle oben sein.

Kannst Du denn vom SBS aus eine RDP-Verbindung zu einem anderen Rechner aufbauen?

 

Was sagt denn der Hersteller der Watchguard dazu? Gibt es dort keinen Support?

Weshalb setzt man im Jahr 2013 noch einen SBS 2003 frisch auf?

 

Was sagt das Ereignisprotokoll? Kannst Du bitte den Link zum msxforum posten? Danke.

wegen der access datenbank...problem ist das diese sehr groß ist und mehrere nebendatenbanken mit sich zieht. Öffnet man diese direkt über VPn dauert es wahnsinnig lange eb alles geöffnet ist, daher die sache mit dem RDP zugriff auf die datei.

Mit Access programmierungen kennen wir uns leider überhaupt nicht aus.

Dafür gibt es Entwickler, die können so eine Datenbank weiterentwickeln. Alternativ einfach einen Aufruf erstellen, der diese Datenbank startet. Dort dann prüfen ob es die Datei schon gibt. Oder hat die Datenbank ein Kobold erstellt? Vermutlich ist die Datenbank nicht in Front- und Backend erstellt, dann ist es eine Frage der Zeit bis euch das Ding um die Ohren fliegt.

Grund ist der: Es gibt eine Access2010 datenbank, welche aber nur einmal geöffnet werden darf, also nur ein benutzer damit arbeiten darf. Solange jemand damit arbeitet, darf kein anderer damit arbeiten.

 

Die Access Datenbank erstellt auch ein lock file, aber dennoch können andere die datenbank öffnen. Daher die idee mit dem RDP (da es mehrere firmen sind die über VPN auf den einen server zugreifen wo die datenbank liegt)

Darauf sollte man sich nicht verlassen. Lieber eine Funktion dazu programmieren, die das nicht zulässt. Bei einer Anmeldung eine TXT schreiben und bei jeder Anmeldung auf die Existenz der TXT prüfen. Ist sie vorhanden, Programm beenden, ist nicht vorhanden, Programm starten.

Vielleicht kommst Du mit dem Artikel hier weiter: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/

Belegt die Smarcard nach dem einlegen einen LW-Buchstaben? Wenn ja, könntest Du es evtl. daran festmachen. Aber vermutlich ist das vergebene Liebesmühe.

In dieser Animation sieht man schön wie es gemacht wurde: http://www.focus.de/panorama/videos/schiffswrack-vor-giglio-animation-zeigt-die-spektakulaere-bergung-der-costa-concordia_vid_41278.html

Ob es wirklich sicher sinnvoll ist, die Mitgliedschaft in Sicherheitsgruppen zu automatisieren? Ob so etwas nicht ein Sicherheitsrisiko wäre?

Ich würde mir lieber eine Aufgabe erstellen und die soll mich daran erinnern. Dann kann man immer noch vorher nachfragen ob die Änderung immer noch gewünscht ist.

ich habe Updates KB2817630 & KB2817347 deinstalliert. Hat geklappt und heute ist das Problem überall wieder da obwohl diese beiden Updates nicht mehr auftauchen.

Dann wäre es vielleicht besser Du machst einen neuen Thread im passenden Unterforum dafür auf.

Scripting Lösungen mit Scheduled Tasks wollte ich eigentlich vermeiden.

Und was meinst Du wie das die 'Tools' regeln? Die haben im Prinzip nichts anderes am Start, ihren eigenen Taskplaner. Da wäre mir an der Stelle etwas eigenes sogar lieber, hätte 'ich' die Kontrolle darüber.

Mit einem Script kannst Du das Benutzerobjekt wieder aus der Gruppe entfernen lassen. Das Script startest Du nach den 3 Monaten. Achtung! Wenn sich der Benutzer nicht abmeldet, greift das IMHO nicht.