Sunny61

Das mit dem RSA hatte ich mal am Rande einer Schulung (wurde allerdings nur erwähnt. Das sieht interessant aus. Mal schaun, wo ich eine Win7 Rechner her bekomme. Permanent habe ich hier kein System verfügbar :(

Im Jahr 2012 kann man natürlich auch einen virtuellen Rechner einsetzen, Virtualisierungssoftware gibt es auch sehr viel und auch viel kostenlos. Da ist auch keine Ausrede mehr.

Mit dem Testen der Skripte ist so sinnvoll. Schade, das Windows bei solchen Ereignissen im Logfile nicht ein wenig informativer ist. Bei aufwändigeren Konfigurationen, könnte die Suche mir Sicherheit ziemlich Lange dauern.

Wie Edgar schon schrieb, Ereignisse in eine Datei umleiten lassen oder das Script sichtbar ausführen lassen.

@NilsK

Ja, interessante Sache und AUF JEDEN FALL etwas, das ich demnächst in anderen Netzen einsetzen werde... Ob es in diesem Fall hilft, weiß ich noch nicht: Die User sind in OUs nach verschiedenen Standorten / Abteilungen gelegt - jedoch gibt es pro OU potentiell unterschiedliche Konfigurationen der Drucker, so dass ich diese nicht von der Gruppenrichtlinie, die ja an die OU gebunden ist, festmachen kann/möchte. Fehlgedanke?

Vielmehr war aktuell der Gedanke, für jeden Drucker unternehmensweit eine Sicherheitsgruppe zu erstellen und deren Mitgliedschaft per KIX abzufragen. Wenn ja, dann verbinden. Wenn nein, dann nicht.

Lies dir den von Nils gep. Artikel nochmal genau durch, das zweite Bild sollte helfen die Tragweite zu verstehen. Stichwort Zeilgruppenadressierung. Für XP/VISTA Clients mußt Du nur auf diesen Artikel setzen: CSE, GPP, RSAT - Remote Server Admistration Tool und die neue GPMC

Wie würdet IHR das denn machen, wenn ihr ein eine bestehende, sehr heterogene und teilweise alte, Struktur (15 Server, ca. 350 User eines öffentlichen Trägers) kommt und keine Lust habt, auf 15 verschiedenen Terminalservern und X lokalen PCs neue Drucker wieder direkt per IP zu konfigurieren - was aktuell so vorgefunden wurde.

Ich fand das mit den Sicherheitsgruppen und KIX eigentlich OK... wenn's läuft.

KIX ist out, GPP ist in. ;)

Die Installation von Software muß immer mit Admin Rechten ausgeführt werden. Du mußt Office 2007 mit Hilfe eines Computerstartupscriptes ausführen lassen. Dazu muß auch der Wert für die Dauer der Scripte angepasst werden. Der Default Wert reicht an der Stelle nicht aus.

BTW: Gruppenrichtlinien greifen nicht auf Gruppen.

Beschreib doch etwas genauer was Du bisher alles gemacht hast, dann kann man dir beser helfen.

Den Assitente habe ich (noch) nicht. Die Umrüstung auf W2k8 R2 Domain Controller kommt jetzt in den nächstn Wochen...

Du brauchst keine 2008er DC, es funktioniert auch mit einem VISTA/W7 Client, das mit den Group Policy Preferences. Das Vorgehen wird in diesem Artikel beschrieben: CSE, GPP, RSAT - Remote Server Admistration Tool und die neue GPMC

Jetzt von unten begonnen:

UseWuServer is Disabled .....

steht im "ClientDiag.exe2, ganz unten.

 

Die Ereignisanzeige

gibt keine Fehler aus, auch keine Warnungen.

 

Den Win7 Laptop aus der Domain raus, konto gelöscht, wieder aufgenommen. War das erste was mir eingefallen war.

Du kannst auch auf dem Client manuell alles löschen was mit GPOs zu tun hat. GPO-FAQ No. 21: FAQ-GPO Jetzt ein gpupdate ausführen und unbedingt neu starten.

Welche Sicherheitssoftware läuft denn auf den Clients ständig im Hintergrund?

Die vier Clients neu installieren geht nicht, die stehen weit weg im produktiv Einsatz.

Aber mit geklonten Systemen wirst Du immer wieder Probleme bekommen.

WindowsUpdate.log sagt,

dass die 4 Thinclients sich in eine Gruppe einreihen wollen, die es nicht mehr gibt.

Haben die 4 Clients denn auch den richtigen WSUS in der Registry eingetragen? HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Ach diese Clients könntest Du über GPO FAG No. 21 dort alles löschen, dann nach einem gpupdate den Client neu starten und überprüfen was übernommen wurde.

Gibt es evtl. noch GPOs auf Standortebene?

Die Domäne habe ich hinzugefügt.

Was spricht gegen die Frage aus diesem Beitrag? https://www.mcseboard.de/windows-server-forum-78/laufwerkzuweisung-per-gpo-185856.html#post1145874

Nein, da ist nichts gespeichert. Aber die Anmeldeinformationen gebe ich doch im Skript mit...

Setz doch beide Einstellungen aus der GPO FAQ für die Clients und Benutzer: FAQ-GPO

Ist gestern schon passiert, auf englischen Systeme soll es wohl laufen. Ich hatte bei mir den LUP auf Englisch und Deutsch stehen und beide hatten das Problem. Wenn ich mal Zeit habe werde ich es noch auf einer englischen Installation testen.

Danke. ;)

Sonnniges WE wünsche ich

Danke, gleichfalls. ;)

Den von dir genannten Link auch ausprobiert - nichts.

Was meinst Du mit ausprobiert? Drauf geklickt und gewartet ob die Seite aufgeht, oder hast Du auf den Clients die Hinweise der Methode 1 abgearbeitet? Wenn ja, Clients anschließend neu gestartet? Was sagt die %windir%\WindowsUpdate.log auf den Clients?

Allerdings habe ich ca. 25 Thinclients geklont, warum spinnen dann nur vier.

Weil heute Freitag. Kannst Du die 4 Clients nicht neu installieren?

Der eine W7 Laptop ist nicht gekolnt worden, warum zieht der ausgerechnet nur die WSUS-Policy nicht?

Was hast Du denn bei dem schon alles unternommen? Aus der Domain raus, das Konto in der Domain löschen und wieder aufnehmen.

Wie kann ich das feststellen?

Eventlog auf den Clients.

Alles OK, bis auf UseWuServer is Dsabled......FAIL.

Wo steht das genau?

ah, k danke :)

Hat es denn jetzt funktioniert?

Z.B.: sind manche Thinclients im WSUS unter „nicht zugewiesene Computer“ wobei wenn ich ein RSOP mache, greift die Policy, die sie in die Gruppe Thinclients einfügen sollte.

Auf dem WSUS in den Optionen hast Du auch das richtig eingestellt?

Andre Clients, dies sind dann Windows7 Clients, bekommen die WSUS Policy gar nicht, sind aber in derselben OU wie andere drinnen.

Sind die Geklont worden? Waren die Rechner schon einmal im WSUS? Evtl. probierst Du das hier auf den betroffenen Clients aus: http://support.microsoft.com/kb/903262 Methode 1 reicht aus.

Ich habe mal eine Frage zur Performance in Loginskripten.

Per Ameldeskript für wir

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer /V NoPreviousVersionsRestore /T REG_DWORD /D 1

ein.

 

Mach ich das im Startskript bei Computer, dauert es lange, bis das abgearbeitet ist. Das endet nach 10 Minuten häufig in einem Timeout.

D.h. das Script wird nicht abgearbeitet? Evtl. wäre es zielführender das ganze mit Group Policy Preferences abzuarbeiten. GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen Über den Assistenten kannst Du das in 2 Minuten einrichten.

Testweise habe ich das mal in das Loginskript der User eingetragen. Da starter der Rechner zwar wieder mit "normaler" Geschwindigkeit, aber be Xenapp habe ich diese Timeouts dann wieder.

Ein normaler Benutzer hat keine Schreibrechte in HKLM, deshalb muß das fehlschlagen.

Zur Zeit haben wir unsere DCs noch unter W2k3 R2 laufen.

Um die GPPs zu nutzen, reicht es aus die von einem Client aus zu bearbeiten. Der Client kann auch virtuell sein.

Problem gefunden, copy and paste von Passwörtern im LUP funktionieren bei mir nicht wirklich. Tippe ich das PWD von Hand funktioniert es, selbst wenn ich das PWD von Hand tippe kommt nach dem ersten Zeichen ein zweites dazu, allerding nur wenn ich vorher das Eingabefeld mit Backspace geleert habe. Den Part muss ich nicht verstehen. Leerzeichen o.ä. waren beim kopieren einfügen nicht dabei...

Du solltest das im Forum für den LUP melden, wenn es Bug ist kann der so beseitigt werden.

Aber freut mich für Dich, dass es funktioniert. ;)

Wenn ich das richtig verstehe, müsste Point and Print abhängig von der Windows Version eingestellt werden. Wie kann ich den GPOs nur für Win7 oder Vista gelten lassen?

Du kannst das per WMI Filter regeln, oder einfach nur auf alle OUs wirken lassen. Auch wenn die Registry Keys gesetzt werden, die Clients setzen nur das um, was sie kennen.

Schritt 7: Erstellen von WMI- und Gruppenfiltern

WMI-Filter verwenden, um Gruppenrichtlinien für bestimmte Betriebssystemversionen anzuwenden

Nein, ich sehe den Nutzen tatsächlich nicht, belese mich aber gerade im Galileo Open Book.

Wir arbeiten hier sei Anfang an der Firma mit nur einer Arbeitsgruppe.

Ich bin seit 8 Jahren dabei und konnte den Chef endlich überzeugen von Windows 2000 Server upzudaten (!).

Dein Chef ist übrigens der Verantwortliche für die IT, auch wenn er Leute dafür bezahlt. Einen Server mit W2000 heute noch zu betreiben, ist IMHO grob fahrlässig. Zeig ihm doch ma diese Liste: Select a Product for Lifecycle Information Dort ist zu sehen, wie lange welches Produkt von MS supported wird.

Kann man auch "nebenher" eine Domäne einrichten und mit einerm Testrechner das Ganze mal durchspielen?

Nebenher kann man vieles machen, wenn Du noch zusätzliche HW hast, kannst Du das natürlich probieren. Am produktiven System solltest Du aber nicht rumspielen. Falls ihr das umstellen wollt, holt euch externe Hilfe ins Haus.

Aber im Prinzip denke ich: Unnötig und wieder Jahrelange Überzeugungsarbeit am Chef:)

Arbeitet Dein Chef denn noch mit W95? Würde mit W2000 besser zusammen passen.

Drück mal F3 während der Cursor in dem Feld für die Pfadangabe steht ;)

Danke, kannte ich noch nicht. ;) Die Variablen haben aber nichts mit den Variablen zu tun, die man über cmd > SET sieht. Sind eigene Variablen, von den Programmierer der GUI. ;)

Also der XP Rechner hat tatsächlich noch SP2 drauf.

Installiere jetzt SP3 und hoffe, daß es dann klappt.

Installiere dir auf dem Foudation unbedingt einen WSUS. Windows Server Update Services Home Der hilft dir dabei, die Windows Clients up2date zu halten. Ist in einem Netzwerk ab 4 Clients heute Pflicht.

Die Umstellung auf eine Domäne werden wir sicher nicht machen, ist einfch zu aufwändig.

Ihr seht einfach den Nutzen noch nicht, aber das wird noch kommen.

Ja die meisten PCs sind mit einem Image installiert worden, eigentlich sollte da auch sysprep verwendet worden sein. Ich bin selber aber noch nicht so lange in der Firma - von daher weiß ich es nciht genau.

OK.

Da wir aber sowieso schon in den Planungen für Win7 sind und ich die ersten Tests mache, wird dort definitiv sysprep verwendet.

Je nach Methode, die ihr jetzt verwendet oder verwenden wollt, könnt ihr euch auch die Lite Touch Installation ansehen: faq-o-matic.net » Die Ultra Lite Touch Installation

faq-o-matic.net » Windows 7 Deployment: bootstrap.ini und CustomSettings.ini Dann brauchts kein Sysprep.

Der Fehler ist bis jetzt auch nur 1 mal aufgetreten. Ich hoffe das bleibt so :)

Wenn der Fehler nochmal auftritt, weißt Du ja was Du zu tun hast. ;)

Ich hab es hier bei uns so gemacht wie im Howto angegeben. Bei einem Kunden hab ich das Zertifikat vom LUP genommen und auf den Clients installiert.

Wie oft wechselst Du den WSUS? Und vermutlich sind doch die meisten Updates vom LUP/WSUS dann eh schon wieder abgelehnt. Zumindest passiert das bei mir so. Sobald der Reader X 10.1.3 erfolgreich und ohne Probleme bei den Clients installiert wurde, und es auch keine Probleme bei der Nutzung gibt, wird die Version 10.1.2 abgelehnt. Spätestens nach 30 Tagen wird auch die Datei aus dem Dateisystem gelöscht, dafür sorgt ein PS-Script, welches regelmäßig aufräumt. WSUS.DE - WSUS Serverbereinigung mit Powershell

Im Explorer per \\Server [ENTER] den richtigen Printserver anwählen. Gewünschten Drucker per Doppelklick aufrufen, wenn Du die Drucker Warteschlange siehst, das Menü Datei öffnen, Eigenschaften ganz unten wählen > Reiter Freigabe. Jetzt kannst Du die zusätzlichen Treiber über Zusätzliche Treiber hinzufügen.

Freut mich für Dich und Danke für die Rückmeldung. ;)

Sind die Clients geclont? Wenn ja, wurde SYSPREP verwendet? Wenn nein, kann dir sowas natürlich öfter passieren.

Das Softwareinstallation-per-WSUS-Thema hatten wir ja schon in dem andren Thread :)

So ganz überzeugt bin ich davon aber nicht.

Wenn es funktioniert, ist es sehr komfortabel.

Hier wird dir geholfen: faq-o-matic.net » Windows-Druckserver: Treiber für 32- und 64-Bit-Clients

Es handelt sich nicht um eine spezielle Software oder GPO. Es werden grundsätzlich keine Softwareinstallationen mehr gemacht.

Wir installieren hier schon sehr viel über den Local Update Publisher und den WSUS. Lohnt sich auf alle Fälle das anzusehen.

- Und zu guter Letzt den ganzen Rechner aus der Domäne genommen, Software manuell deinstalliert, NewSID, Rechner wieder rein in die Domäne

NewSID ist nicht supported, besser Du verwendest Sysprep. Und falls Du einen WSUS im Einsatz hast, solltest Du unbedingt dies bedenken: A Windows 2000-based, Windows Server 2003-based, or Windows XP-based computer that was set up by using a Windows 2000, Windows Server 2003, or Windows XP image does not appear in the WSUS console

Ich hab das Problem jetzt allerdings anders gelöst: Rechner platt gemacht und ein frisches Image drauf gespielt. Nun ist Ruhe im Karton :)

 

Trotzdem nicht zufriedenstellend, wenn man keine Lösung findet :/

Ist aber oftmals schneller als lange nach einer Lösung suchen. Danke für die Rückmeldung. ;)

Aber ich möchte es nicht mti PsExec machen sonder mit einen Powerhell Tool.

Gibt es auch eine nachvollziehbaren Grund dafür? Mit PSEXEC ist es eine Zeile.

Wie genau lautet die Fehlermeldung im Eventlog?

EDIT: Hast Du denn für die Benutzer die passende Einstellung aus der GPO-FAQ No. 36 gesetzt?

EDIT2: Hast Du den Thread auch gefunden? http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/9d4392eb-2656-45c6-9868-41de06609588/