Sunny61

Der User und der Computer müssen ebenfalls in der OU liegen, auf der das GPO verlinkt ist. Die Gruppen können dagegen ganz woanders liegen. Lies dich mal ein: https://www.gruppenrichtlinien.de/artikel/erstellen-einer-gruppenrichtlinie/ https://www.gruppenrichtlinien.de/artikel/filtern-von-gruppenrichtlinien-anhand-von-benutzergruppen-wmi-und-zielgruppenadressierung/ Merke: Gruppenrichtlinien wirken nicht auf Gruppenobjekte! Gruppenobjekte kannst Du nur zum Filtern verwenden, die Computer müssen beide GPOs, User- und Computer GPO lesen können. Warum letzteres so ist, steht in diesem Artikel: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Testumgebung aufsetzen, SQL 2017 Express installieren und damit testen. SQL 2014 ist auch schon 5 Jahre alt, besser mit dem aktuellsten SQL anfangen. Wenn man eine DB importiert kann man auch einstellen, ob die DB mit SQL 2014 oder 2017 kompatibel sein soll. Meine Erfahrung hat gezeigt, dass sehr häufig die DBs auch mit neueren SQL Servern einwandfrei funktionieren. Und 2012R2 läuft auch in 3 Jahren aus, weshalb nicht gleich auf mind. Server 2016 wechseln?

Doch, hatte ich schon verstanden. Die Einschränkung der RDP-Anmeldung war bisher nur noch nicht so klar.

Auch an einem Client kann man sich per RDP anmelden.

Melde dich per RDP am Server an, das sollte auf jeden Fall funktionieren. BTW: Weshalb wird am Server ein User per Autologon angemeldet? Ein Client wäre dafür viel besser geeignet.

Anschließend darf dieser DC NICHT mehr ins Netz.

LAPS war schon mal genannt, schau dir das unbedingt an. Damit kannst Du zentral Passwörter vergeben und die Haltbarkeit des Passwortes einschränken.

Systemstatus zu Deutsch: https://docs.microsoft.com/de-de/system-center/dpm/back-up-system-state-and-bare-metal?view=sc-dpm-2019 Global Catalog. https://docs.microsoft.com/de-de/previous-versions/windows/desktop/legacy/ms681905(v=vs.85)

Chip ist nicht vertrauenswürdig, die packen Mal- und Crapware ungefragt in die Installation. Eine Möglichkeit wäre, den User am neuen W10 anmelden lassen, reboot und jetzt das W7 Profil auf das W10 Profil zu kopieren. Reboot und wieder anmelden. Natürlich nur in einer Testumgebung ausprobieren.

\\AD01\Data könnte schon ausreichen. Hier noch 2 Artikel die das Thema ansprechen: https://www.gruppenrichtlinien.de/artikel/konfiguration-der-internet-explorer-zonenzuweisung-internet-explorer-zonemapping/ https://www.gruppenrichtlinien.de/artikel/fehler-beim-anwenden-internet-explorer-zonemapping-liste-der-site-zu-zonenzuweisungen/

Hier die Erklärung weshalb die Computerkonten LESEN können müssen: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Guten Rutsch und ein gesundes und erfolgreiches neues 2020! :)

Weil es wahrscheinlich über WU als Update angeboten wird. Oder weil es eine Anwendung benötigt.

Eventuell eine gute Gelegenheit, über einen automatisierten BUILD-Prozess nachzudenken. Dann kannst Du's ganz beruhigt wie bei einem Autoreifen angehen. Wenn einer "verschlissen" oder "platt" ist - einfach einen neuen aufziehen. Ich hab das Problem nicht, nur damit nichts falsches aufkommt. :)

Wenn es schlecht bis gar nicht dokumentiert ist, sollte man diesen Prozess überarbeiten. Und man kann probieren, 1 Monat zurück, 2 Monate zurück. Wurde zwischenzeitlich zu viel undokumentiert installiert/verändert, am besten neu anfangen. Erfahrungsgemäss sind solche Maschinen dann nur noch was für die Tonne, die viele Zeit die man umsonst investiert ist es IMO nicht wert.

Letzte funktionierende Sicherung herstellen wäre auch eine Option.

Frohe Weihnachten und einen guten Rutsch.

Die Fehlermeldung die Du gepostet hattest, war schon sehr eindeutig. Nein, es gibt wohl keine andere Lösung als das alte unsichere Protokoll zu verwenden. Oder diese alten Protokolle nicht mehr verwenden, incl. der dazu gehörenden Programme.

Habt ihr das auch schon gemacht? ren C:\Windows\System32\catroot2 Catroot2.SAV Haben die Clients einen Proxy eingetragen? Dürfen die Clients auch zu den Websites um downzuloaden? BTW: Dein WSUS ist nicht ganz aktuell lt. https://www.wsus.de/faq/

BTW: Es ist ein Paket. :)

Genau, bei jedem Paket erneut zertifizieren. Weshalb war ein neues Zertifikat fällig? Ist das alte ausgelaufen? Man kann sich auch einen Hinweis in Outlook eintragen. ;)

Nein, die alten Installationen sind ja noch mit dem alten Zertifikat zertifiziert. Wenn das alte Zertifikat nicht mehr existiert, schlägt die Installation von alten Anwendungen fehl. Deshalb müssen die alten Anwendungen mit dem neuen Zertifikat rezertifiziert werden. Das hat nichts mit dem Verteilen des neuen Zertifikates per GPO zu tun.

Das meinte ich nicht, du musst die alten Anwendungen mit dem neuen Zertifikat rezertifizieren, oder wie sich das im WPP Dialog nennt.

Vergiss nicht das neue Zertifikat auch den 'alten' Anwendungen im WPP bekannt zu machen.

Am einfachsten direkt von einem 1909, oder was meinst du? :) In der Vergangenheit waren die Downloads bei MSFT immer wieder korrupt.