Sunny61

Ich glaube, ich kann dir nicht ganz folgen.

Den Eindruck habe ich auch. ;)

Was hat er davon, die Benutzer wild in Gruppen zu verschieben, wenn er aus dem Vollzugriff in den ACLs des Autoruns eigentlich Leserechte machen möchte?

Die NTFS-Berechtigungen per GPO in der Registry anpassen.

Und wenn ich diesen Artikel richtig interpretiert habe, gibt er den Benutzern mehr Rechte?

Nein, Du kannst doch die NTFS-Berechtigungen vergeben. Ob Du wegnimmst oder hinzufügst, das Prinzip ist das gleiche. Lies doch den Teil der Registrierung: Eingeschränkte Gruppen

Mir geht es ja darum die Berechtigungen auf den Key anzupassen, nicht den Key selbst.

Leider ist es so, dass ich beim Modifizieren der GPO immer die lokalen Gruppen des Rechners, der die GPO modifiziert, eingetragen bekommen. Nicht die des Rechners auf die sie wirkt.

Die NTFS-Berechtigungen lassen sich natürlich auch zentral managen: Eingeschränkte Gruppen

Und ja, es wird immer die Registry in GPEDIT.MSC (GPMC) benutzt, auf dessen Rechner du die GPMC aufrufst.

Ich modifiziere die ACL auf meinem Rechner. Dazu navigiere ich im GPO-Editor auf den entsprechenden Key unter Class root und bekomme die ACL angezeigt. Also wird dort "meinClient\administrators" und "meinClient\users" als Gruppen angezeigt. Wenn ich diese Settings für die GPO speichere, dann wird auch auf den Zielcomputern "meinClient\administrators" und "meinClient\users" stehen. Eigentlich sollte dort aber "Zeilcomputer\administrators" und "Zielcomputer\users" stehen.

Das ist ganz normal. Schnapp dir einen Testrechner und sieh dir das Resultat an. Glaub mir, das steht im Ziel korrekt drin.

Hat leider nicht gewirkt.

 

Es steht immer noch Willkommen beim Benutzer.

Du hast die Einstellung auf die Computerkonten verlinkt?

Wenn ich die NTFS-Berechtigung von dem Autostrat unter dem Domain-User Profile an schaue, dann hat er Vollzugriffrechte. Unter All User oder Default, hat der PC-Benutzer nur Lese Rechte.

 

Das bedeutet, ich muß zuerst auf alle PCs die Domain-Benutzer die Leseberichtigung einrichten.

Ist es os richtig?

 

Wenn ja, wie kann ich es denn mit GPO machen? Wird es durch Script?

Über eine GPO kannst Du die Berechtigungen natürlich auch eintragen: Eingeschränkte Gruppen

Wenn Du die Group Policy Preferences dazu benutzt, sieh dir auch die Zielgruppenadressierung im Reiter Gemeinsam an. Das könnte sein, was Du suchst. http://www.gruppenrichtlinien.de/Bilder/gpp_02.png

Schon klar das dieser Vorschlag Quatsch ist oder ?

Du kannst die Pfade ja in einer INI suchen.

In den Computereinstellungen gibt es etwas:

System

Richtlinie

Ausführliche im Vergleich zu normalen Meldungen aktivieren.

EDIT: Hier kannst Du danach suchen: http://www.gruppenrichtlinien.de/RiLi/Uebersicht_Richtlinien_7.htm

Die User haben Servergespeicherte Profile. Roaming ist hier auch aktiviert. Neue Profile habe ich noch nicht angelegt. Ich hatte zu Testzwecken einen neuen User angelegt, bei diesem funktioniert es tadellos..

Na dann dürfte die Lösung zu finden, nicht sooo schwer sein. ;)

Ich kann nicht alle anderen vom System im Autostrat Programme löschen. Ich möchte nur bestimmte Programme verhindern.

Mensch, ist das so schwierig sich selbst eine Verknüpfung einzurichten und die per GPP zu löschen? Schau dir das Bild an: http://www.gruppenrichtlinien.de/Bilder/gpp_01.png Registrierung als Stichwort.

das funktioniert aber nur für Programme in der Autostartgruppe im Startmenü. Sobald die Programme das aber anders lösen, dann kommt man mit der NTFS-Lösung nicht weit...

Irgendwo im Dateisystem oder in der Registry abgelegte Verknüpfungen erwische ich damit. Auch wenn die Aktion länger dauert. ;)

Ich hoffe ich habe das verständlich geschrieben, denn im Erklären bin ich nicht so gut.

Danke für die Beschreibung, das hilft bestimmt anderen Suchenden weiter. ;)

Lt. Maximale Anzahl Zugriffe Windows 7 32 bit ??? sind es 20 Verbindungen. Ich hoffe das gilt auch für den installierten IIS.

Genauso gut oder schlecht wie vom Windows 7 Rechner. Wenn ich mal drauf komme, dann geht es immer nur kurz. Auch die Fehlermeldungen sind gleich.

Ich hab keine Idee mehr. Das Problem zwischen den beiden Rechnern kann natürlich auch vom DSL-Router stammen, denn der ist ja bestimmt Standardgateway, oder nicht?

Firmware Aktualisierung, AV-Scanner rückstandsfrei entfernen, und das alles vor Ort. Oder Du probierst bei beiden Rechnern einen sauberen Neustart. Mit dem Suchbegriff findest Du die passenden Artikel in der MS-KB.

Wenn ich jedoch diesen Eintrag in der Reg bei den betroffenen Clients vornehme beziehen diese trotzdem noch Updates?

Hast Du dir mal den genauen Pfad angesehen? Die Einstellung für den WSUS wird per Computer vergeben, die von Norbert korrekterweise empfohlene Einstellung betrifft den Benutzer. Ziehst Du die Frage jetzt zurück? ;)

wenn das Problem nun besteht, dann resete ich immer den TCP IP stack... starte den PC neu und dann funktioniert es wieder

Sind die Treiber für die Netzwerkkarte aktuell? Welche genaue Version von welcher Edition von Kapsersky hast Du installiert?

über cmd und sc queryex

Kannst Du das etwas ausführlicher beschreiben? Danke.

Nachdem ich die Einstellungen vorgenommen funktioniert das Ganze leider immer noch nicht!

Und immer noch sind die Fehlermeldungen im Eventlog geheim? Wie soll man da helfen?

Merkwürdig ist hier, dass das nicht bei jedem User nicht funktioniert. Es funktioniert auch an vielen Rechnern unter allen Usern.

 

Also Bsp: PC1, PC2, PC3, PC4

User a, User b, User c, User d

 

User a: funktioniert an allen Rechnern

User b c d: funktioniert an PC1, PC2 aber nicht PC3 und PC4

Haben die Benutzer Servergespeicherte Profile? Hast Du für die Benutzer schon neue Profile angelegt und getestet?

DNS-Server . . . . . . . . . . . : 192.168.1.101

192.168.1.1

Wie schon von Dunkelmann angedeutet, der zweite DNS ist bestimmt ein DSL-Router oder ähnliches. Der hat an der Stelle nichts verloren, rausnehmen.

Der SBS2003 ist aktuell gepatcht und mit neuesten LAN-Treibern versehen.

Der WIN7 hat SP1 und hat vorher schon in einer anderen Domäne funktioniert.

Heute schon mal Switch und Kabel getauscht, ohne Erfolg.

Noch nicht einmal eine RDP-Verbindung vom WIN7 zufriedenstellend. Zwischen jedem Bildwechsel liegen 2 Sek.

Bei jedem XP-Rechner ist der Zugriff sofort da.

Probier doch einen sauberen Neustart aus. Problembehandlung durch Ausführen eines sauberen Neustarts in Windows Vista oder Windows 7 Gehts dann besser?

Ich möchte nicht, dass die Benutzer foldgenden Programme (Skype, Outlook, Batch Dateien) im Autostart haben, weil sie den Rechner beim Anmelden langsamer machen.

 

Gibt es dafür eine Lösung?

Ja, per Group Policy Preferences Beispieleinträge zum löschen erzeugen. Dann wird bei der Übernahme der GPP der Eintrag gelöscht und somit auch nicht ausgeführt.

Alternativ könntest Du natürlich den Autostart im allgemeinen mit NTFS Berechtigungen absperren.

noch ein kleiner Einwand: Neben dem Windows 7-Rechner steht ein XP-Computer, mit dem gleichen F-Prot, auf dem funktioniert alles einwandfrei. Der steckt nur einen Steckplatz weiter im Netzwerk-Switch.

Kommst Du denn vom XP auf den W7 Client per RDP drauf?

Also, bei den Treibern meiner Geräte ist das einfacher, es ist möglich umzustellen auf das "Farb"Profil S/W und gut ist es.

Ja, ich kenn das auch so. Ich kenn aber auch die Sache mit den S/W Treibern, es sind keine Grenzen gesetzt. ;)

Daten sichern und mit einer Home Premium DVD neu installieren. Bei allen anderen Dingen kannst Du IMHO nicht zu 100% sicher sein, alles erwischt zu haben.

Aber ich kann doch nicht einfach den Virenscanner deinstallieren. Deaktivieren sollte reichen, oder?

Natürlich kannst Du das ganz einfach, ich kann das doch auch immer ganz einfach. ;)

Wenn das nichts hilft, dann würde ich mit dem DSL-Router weiter machen.

bin davon ausgegangen, dass die Rechte zumindest beim Aufruf vom Server aus als Domain-Admin ausreichen müssten. Ist diese Annahme zulässig?

Diese Berechtigungen sollten IMHO ausreichen. Hast Du die FW von Windows geprüft? Darf Remote verwaltet werden? Remote Zugriff auf die Registry in W7 erlaubt?

die Updates haben leider nichts gebracht. Es ist jetzt überall die gleiche Version installiert, und auch die Einstellungen sind gleich. Trotzdem besteht noch der gleiche Fehler.

Dann würde ich die Sicherheitssoftware auf der Empfangsseite deinstallieren. Hast Du den Hinweis mit den Einstellungen deaktivieren und wieder aktivieren ausgeführt?