Sunny61

Es wäre etwas mühsam, alle Ordner einzelnd mit den Rechten zu versehen...

Beim Server 2003 war das noch möglich..

Du könntest dieses Tool verwenden: Managing File System Permissions with SetACL.exe | Helge Klein | Home of SetACL oder SetACL Studio | Helge Klein | Home of SetACL

In diesem Artikel findest Du den Registry Key um den Protected Mode abschalten zu können: faq-o-matic.net » Terminalserver: Den Protected Mode des Adobe Reader X abschalten

Alternativ den Reader 9.irgendwas installieren.

Die USer, die sich anmelden, werden nach einem UPDATE wie zb. Thunderbird gefragt.

 

Da diese aber keine ausreichenden Rechte besitzen, können auf User Ebene keine Updates ausgeführt werden.

 

Gibt es eine Möglichkeit, für einige Programme Updates zu erlauben?

Nein, es gibt kein solches Recht. Du kannst es evtl. mit NTFS Berechtigungen hinkriegen, das ist IMHO aber Bastelei. Du solltest die Möglichkeit nach Updates zu suchen abschalten und die Installation von Updates selbst regeln. Weshalb kein Outlook auf einem TS in einer Firmenumgebung? Dabei bekommst Du die Updates über den WSUS angeboten und die Benutzer werden nicht mit solchen Dingen gegängelt.

Du solltest zumindest auf den Thread in den Technet Foren hinweisen: Nach Windows Update fehlen AD-DNS Einträge

Hallo,

ich habe das MCITP Windows Server 2008 Server Administrator CorePack - Original Microsoft Training für Examen 70-640, 70-642, 70-646 in sehr gutem Zustand zu verkaufen. Neupreis 179 €, wurde einmal gelesen, CD ist noch eingepackt. Angebote bitte per PN an mich direkt.

MCITP Windows Server 2008 Server Administrator CorePack - Original Microsoft Training für Examen 70-640, 70-642, 70-646: Amazon.de: Dan Holme, Nelson Ruest, Danielle Ruest, Tony Northrup, J.C. Mackin, Ian McLean, Orin Thomas: Bücher

Mit den %windir% klappte es komischerweise noch nicht. Werde das aber nochmal nächste Woche checken. Jetzt ruft das Wochende;)

Start > Ausführen > cmd [ENTER] > SET [ENTER]. Findest Du hier di eVarialbe %WINDIR%?

So läuft es ja momentan und bei annähernd 100% sollte Windows auch auf c: instaliert worden sein und somit auch vorhanden sein.

Systemvariablen sind genau dafür gemacht worden. Nutze sie, sie erleichtern dir die Arbeit.

Wünsche schöne Ostern

Danke, wünsche ich dir auch. ;)

Setz den Eintrag doch lokal via GPEDIT.MSC. Neustart. Wird jetzt auf das Netzwerk gewartet?

danke, der kopier Tipp war der Schlüssel

 

Es funktioniert jetzt. Habe die batch etwas angepasst und noch einen copy-job hinzugenommen

 

c:\windows\system32\wusa.exe c:\temp\hotfix.msu /quiet /norestart

Und was machst Du wenn es kein C:\Windows oder ein C:\Temp nicht gibt? Dann fällt dein Script auf die Nase. So muss das aussehen:

%windir%\System32\wusa.exe %temp%\hotfix.msu /quiet /norestart

Ich weiss nicht genau welche NTFS Rechte nötig sind für das Startscript (System?) aber auf einem share hat es nicht funktioniert.

Die Authentifizierten Benutzer (diese Gruppe beinhalten auch die Computer) müssen Leserechte haben, in den NTFS-Berechtigungen. Auf der Freigabe kannst Du Jeder auf Vollzugriff eintragen.

Ich kopiere jetzt das update im Logon Script auf c:\ in einen Temp Ordner und dann klappt es auch mit dem Startscript

Nicht so umständlich. Authentifizierten Benutzer mit in die NTFS Berechtigungen, schon klappt es mit einer Zeile.

p.s über den WSUS hatte ich es schon versucht aber genau das gesuchte hotfix war natürlich nicht zu finden im update katalog;)

Hotfixe sind nie im Update Katalog zu finden. Du hast auch bisher nur von einem Update gesprochen. Du kannst natürlich einen Hotfix mit Hilfe des Local Update Publisher in den WSUS bringen, dort kannst Du den Hotfix dann gezielt zur Verfügung stellen.

Deployment von MSP-Updates über WSUS: Teil 1 (Konfiguration) | How the ESCde does IT

Teil 2 auch lesen und dies: Local Update Publisher | Free System Administration software downloads at SourceForge.net

ist es möglich als normaler Benutzer unter Server 2008 R2 die "Active Directory Benutzer und Computer"-Konsole zu starten?

Es erscheint immer die Benutzerkontensteuerung und fragt nach einem Administrator.

 

Der Sinn ist, dass ich eine einzelne Gruppe von einem nicht-administrator verwalten lassen möchte.

Sieh dir die Delegation von Aufgaben an: Objektverwaltung zuweisen - Delegation von Aufgaben

LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung

LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent

Lass dir mit Hilfe von dhcploc.exe alle DHCP Server im Netz anzeigen.

Gibt es denn noch andere Office Versionen auf diesem Client? Deinstalliere das Office nach dieser Anleitung rückstandsfrei. Office 2010 vollständig entfernen und erneut installieren [updated]

Weil mir Fritz näher ist als Bill :D

In diesem Fall kann Bill aber weitaus mehr als Fritz. Und das Problem wäre schon längst keines mehr.

Ich würde gerne ein Update per GPO verteilen

Weshalb nicht per WSUS? Du kannst "normale" Updates auch in den WSUS importieren.

Dafür ist folgende kleine batch geschrieben worden und per GPO als Startscript eingebunden.

 

wusa.exe \\pfad zum Update\ /quiet /norestart

 

Die GPO wird übernommen aber das update wird nicht instaliert. Wenn ich es per Hand starte funktioniert es.

Kopiere doch zuerst das Update in ein temporäres Verzeichnis und versuch von dort die Installation. Wahrscheinlich schlägt das kopieren schon fehl, der Client hat möglicherweise keine Zugriffsrechte auf das Quellshare.

Muss ich bei Startscripten noch etwas besonderes beachten? Denn als Logonscript läuft es

Auf der Freigabe muß natürlich auch der Computer Zugriffsrechte haben. Lesen sollte schon ausreichen.

Nein, ncihtmal die Sicherungsdatei wird erstellt. Lediglich im Log steht, es wäre so.

Magst Du die Batch posten? Setz Pause als erstes in die Batch, siehst Du dann etwas?

also das Problem tritt "nur" bei Win7 Clients auf, bei WinXP ist alles einwandfrei.

Start > Ausführen > eventvwr.msc [ENTER]. Welche Fehlermeldungen sind in den einzelnen Logs zu finden?

Gibt es denn Fehlermeldungen im Eventlog auf den Clients? Aktiviere das Logging und prüfe die Logdatei: Group Policy Debug Logging (gpsvc.log) in Windows 7 und Server 2008 R2 - Aktives Verzeichnis Blog - Site Home - TechNet Blogs

ich habe Probleme damit runonce.exe zu löschen.

Ich würde mich freuen wenn man mir helfen könnte.

Probleme welcher Art? Weshalb möchtest Du die Datei löschen?

ja klar. Ich bin auch Organisationsadmin, von daher sollte es eigentlich gehen. :suspect:

Ich spreche nicht von dem Benutzerprofil, ich spreche von UAC und davon die CMD.EXE mittels Rechtsklick > Ausführen als Administrator zu öffnen.

Hast Du die Commandline auch explizit als Administrator geöffnet?

Es wird eine SQL-Datenbank gesichert, die Sicherungsdatei gezipt und dann auf ein Netzwerkshare verschoben.

In der Log-Datei wird die SQL-Sicherung als abgeschlossen protokolliert. Danach ist die Log-Datei leer.

Wird die Sicherungsdatei erstellt? Gezippt? Auf das Netzwerkshare verschoben? Führe den Vorschlag von Zahni aus, den Pause Befehl immer um eine Zeile weiter verschieben.

ja der Server ist auch DC...

 

Aber ich glaube nicht das ich das Problem in der DC GPO lösen kann oder ?

Wer schrieb etwas von einer DC GPO? Du sollst das in der Default Domain Policy und in der Default Domain Controller Policy gem. BestPraxis setzen. Die Server und Clients holen sich die Einstellungen spätestens nach 90 Minuten, alternativ nach einem Neustart. Die SMB Signing Einstellungen sollte man schon wie im BestPraxis gen. einstellen.

Die Freigaben auf die ich Zugreife liegen nicht auf dem DC-Server

Sondern auf 5-6 weiteren "Dienstservern"

OK. Bitte beschreib in Zukunft gleich die betreffende Infrastruktur vollständig mit, von den 5-6 Servern steht im OP nichts. Niemand von uns weiß wie das bei dir aussieht, niemand von uns sitzt bei dir in der Firma. Also mußt Du uns das beschreiben, sonst erschwerst Du das helfen unnötig.

Gleiches mit dem zeitverhalten tritt auch bei NAS-Freigaben innerhalb des Netzes auf.

 

Und nein die NAS-geräte (ReadyNAS Rackmount) gehen nicht in Standby soweit ich das beurteilen kann....

 

Das problem störte mich auch schon vor dem DC/DNS Server.

Ich hatte hier einige Versuche vor der umstellung in Hostsdateien rumzuschmieren unternommen...

Hast Du das wieder rückgängig gemacht?

Nehmen wir mal an ich habe nur einen DNS - alles Clients sind im DNS eingetragen / benutzen den DNS.

Nein, wir nehmen nichts an. Wie genau sieht das bei dir aus? Zeig doch auch ein ipconfig /all von dem DC, einem Client und einem der Dienstserver.

Trotzdem 10sek lag.... Was kann es denn noch sein ?!

 

EDIT:Achja

 

ichbenutze zum connect ein skript:

 

net use l: \\server\freigabe /user:name passwort

Weshalb steht der Benutzernamen und das Passwort in der Datei? Welcher Benutzer ist das? Weshalb verbindest Du die Netzlaufwerke nicht ohne Benutzername und PW?

Du kannst mit Hilfe von Group Policy Preferences das verbinden von Netzlaufwerken auch grafisch vornehmen: GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen

ein trennen und erneut connecten braucht dann wieder genau so lange.

 

die readynas shares gehen ohne username - die zeit ist auch die gleiche .....

 

UPDATE: am 2008Server selbst rappelt das skript nur so durch :-\

auch nach trennen und erneutem verbinden :-\

Das riecht mir schon sehr nach SMB Signing. Wenn Du die GPO Einstellungen vorgenommen hast, mußt Du natürlich auch überprüfen ob die Clients/Server sie übernommen haben. Die Registryeinstellungen findest Du auch in dem von mir geposteten Artikel.

Hast Du die beiden Einstellungen aus der GPO-FAQ No. 36 gesetzt?

Von diesem Rechnertyp habe ich noch zwei vom gleichen Typ. Wenn ich den Fehler nicht finde, werde ich den zweiten Rechner nehmen, XP installieren und dann nach und nach die Software installieren, die auf dem Problemrechner auch drauf ist. Vielleicht finde ich dann den Fehler. Ist zwar alles sehr umständlich, aber ne andere Lösung hab ich jetzt auch nicht.

Du kannst natürlich auch einen sauberen Neustart probieren: Problembehandlung durch Ausführen eines sauberen Neustarts in Windows Vista oder Windows 7 Alternativ im abgesicherten Modus testen. Wenn es dort funktioniert, schlägt ein Treiber quer.

ich habe vor auf unseren Clients die Startseite anzupassen. Für den Internet Explorer ist das ja ganz leicht aber für Firefox wohl nicht so einfach.

Deshalb setzt man in der Firma ja auch den IE ein. ;)

Ich bekomme das nicht hin. Ich habe das xpi File entpackt und im netlogon Verzeichnis einen Ordner angelegt der heisst firefox. Dorthinein habe ich das entpackte zeug hineinkopiert.

Dann die Gruppenrichtliene geöffnet und unter Windows Einstellungen/ Scripte/ Anmelden den Pfad angegeben zur script Datei.

In der Datei habe ich geschrieben:

 

xcopy /e \\server\netlogon\firefox\ “c:\programme\mozilla firefox\extensions\”

 

aber es klappt nicht. Hat jemand ne gute Idee?

Wenn der Benutzer keine Schreibrechte in %PROGRAMFILES% hat, kann das auch nicht funktionieren. Ich unterstelle dir jetzt, Du meinst mit "nicht funktioneren" das nicht kopieren von a nach b. Richtig? Wenn ja, dann mußt Du das Script entweder als Computerstartupscript laufen lassen, dazu mußt Du sicherstellen, dass auf der Quelle der Computer auch zugreifen darf. Alternativ kannst Du natürlich auch mit den Group Policy Preferences GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen die Datei kopieren, dabei kannst Du die Datei auch mit Systemrechten kopieren lassen. Schau dir dazu den Inhalt vom Reiter Gemeinsam an: http://www.gruppenrichtlinien.de/Bilder/gpp_08.png

Wenn es Kopieraktionen sind, die einmalig ausgeführt werden sollen und Du unbedingt wissen willst ob sie an dem Client/Benutzer schon ausgeführt worden sind, behelfe ich mir gerne mit einer simplen Batch Datei:

If exist \\Server\Freigabe\%COMPUTERNAME%.TXT goto ENDE

Dein Kopierbefehl

set datum=%date%
echo %datum%
set Zeit=%time%
echo %time%
echo %computername% %datum% %time% > \\Server\Freigabe\%COMPUTERNAME%.TXT


:ENDE
EXIT

Die Batch lässt sich sicherlich noch verfeinern, reichte aber bisher immer für meine Zwecke völlig aus.

Ist der Hersteller der Maus bekannt? Evtl. gibt es ja auch auf dem Problemrechner bereits installierte spezielle Software für die Maus, wenn ja, deinstallieren.