Sunny61

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Systemdienste - Windows-Firewall

 

um nur Firewall zu deaktivieren??!

Damit ist der Dienst komplett deaktiviert. Bei Notebooks nicht unbedingt wünschenswert. Ansonsten hat zahni schon Recht, ist der bessere Weg.

BTW: Auch wenn die FW an ist, holen sich die Clients das SP3 vom WSUS. Die verbinden sich zum WSUS, nicht umgekehrt. Nur so als Hinweis. ;)

Das Sicherheitscenter wird auch bei der Installation wieder auf "Automatisch" gestellt und wenn es keine GPO dagegen gibt, auch gestartet.

Ich starte den Rechner neu -> Dienst ist nicht mehr auffindbar?!?

Ist der Dienst unter SERVICES.MSC komplett verschwunden oder fehlt dir nur das kleine Symbol im Systray?

Via PSEXEC.EXE eine Batch starten, könnte evtl. funktionieren.

Jetzt ist es Online:

Release notes for Windows XP Service Pack 3

How to obtain the latest Windows XP service pack

Downloaddetails: Windows XP Service Pack 3 Network Installation Package for IT Professionals and Developers

Hi @ll,

ab sofort kann das SP3 für XP im WSUS synchronisiert werden.

Viel Erfolg beim verteilen. ;)

Ich würde erstmal alles abstecken, was für die Installation nicht benötigt wird. Und im BIOS die DEFAULT Werte laden.

Eine Möglichkeit: winmail.dat in eine lesbare Datei umwandeln | erdfisch blog

Und noch eine: Winmaildat.com: Open winmail.dat attachments.

Zusätzlich aktiviere dann auch noch diese Benutzerrichtlinie:

Zugriff auf alle Windows Update Funktionen entfernen.

Damit werden die systemweiten Einträge auf Windows Update entfernt, z.B. im IE ist via das Menü Extras kein Eintrag zu Windows Update mehr vorhanden. Ebenfalls gibt es keine Benachrichtigung, also kein Symbol im Systray, für angemeldete Administratoren. Dies gilt natürlich nur für User, die auch im Verwaltungsbereich der Richtlinie liegen. Obwohl im Explain nicht explizit genannt, kann diese Richtlinie auch unter W2K erfolgreich eingesetzt werden.

Und wenn Du OpenVPN mit Ausführen als Administrator startest?

@Sunny

Die von mir gestellten Fragen sollte der TO sich selbst beantworten zum Erkennen der Notwendigkeit des Anlegens von OUs.

Mangels Wissen kann er das nicht.

Falls sowas nicht notwendig ist, kann man es sein lassen. Das Anlegen einer Struktur um der Strukturierung selbst, das macht keinen Sinn. Wozu soll es gut sein, was soll erreicht werden, welche Richtlinien sollen worauf wirken?

Allein schon aus der Tatsache heraus, daß es viele Objekte mit gleichem Namen gibt, ist eine Umstrukturierung IMHO sinnvoll. Die Objekte mit den passenden Namen erstellen bzw. auch umbennen.

Was würdest Du denn machen, wenn Du eine solche Umgebung plötzlich mit betreuen müsstest? Nach der Zurechtfindungsphase Struktur reinbringen? ;)

Was ist Ziel und und wie sehen Weg und Mittel dazu aus, das ist der Fragenkomplex.

Von Anfang an richtig machen.

Man sollte sich darüber im Klaren seion, wozu eine OU-Struktur benötigt wird. Wozu benötigst Du eine, wozu willst Du sie haben?

Um Struktur rein zu bringen?

So wie ich es sehe, handlet es sich doch um eine Praxis mit ein paar Rechnern und Usern. Welche Richtlinien sollen denn zu welchen Zweck erlassen werden, wozu soll eine Strukturierung gut sein.

Um eine Struktur zu haben? Auch bei einem kleinen AD ist es IMHO sinnvoll, zumindest eine kleine OU-Struktur zu haben. Damit sehen die Leute dann genauer, welche GPOs sie auf welche OU verlinkt haben. Ich finds einfach nur ****, wenn alle möglichen Einstellungen in der Default Domain Policy gemacht werden.

Im einfachsten Fall bleiben die Rechner im Container Computers und die Benutzer im Container Users, fertig ist die Laube.

Um dann mit irgendwelchen wilden GPOs alle User und Clients im Netz zu erreichen? IMHO ist das keine gute Idee.

Also, warum Strukturierung, wozu OUs? Falls es darauf keine schlüssige Antwort gibt, dann lass es sein!

Dann frag ich einfach mal andersrum. Warum gibts eine OU-Struktur beim SBS? Ja, ich weiß, der SBS ist ein Sonderfall. Aber genau so eine OU-Struktur ist für Anfänger auf dem Gebiet nicht schlecht.

Hast Du das doert aufgebaut oder hast Du etwas Vorhandenes übernommen?

Ich würde es sofort in eine OU-Struktur abändern, wenn ich es übernehmen würde. ;)

Gem. diesem Artikel faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen deutet es darauf hin, daß der User immer noch als lokaler Admin unterwegs ist.

Fehlermeldungen im Eventlog des Client?

Die Benutzer waren vorher lokale Admins. GPOs setzen wir ein, aber es gibt keine die NTFS Rechte setzen/verändern. Ist sonst alles standard.

Ansonsten irgendwelche GPOs auf die Profile oder auf die Computer?

Mich macht stutzig, das das Hintergrundbild kurz zu sehen ist und dann wieder verschwindet. Er muss da doch garnichts schreiben/ändern!?

Manuell nochmal einstellen, abmelden und wieder anmelden. Bleibt das Bild jetzt da?

Ok, Hintergrunbild wäre egal, aber dass Outlook nicht geht ist...

Fehlermeldungen beim starten von Outlook oder im Eventlog?

nach dem der User zum Hauptbenutzer gemacht wurde wird das Profil nicht mehr richtig geladen. Sein Hintergrundbild fehlt und Outlook kann nicht gestartet werden. Das ist bei Servergepeicherten als auch lokalen Profilen.

Und wenn Du den User wieder zum Benutzer degradierst, funktionierts wieder? Wenn ja, prüf doch mal mit RSOP.MSC ob irgendwelche GPOs auf den Clients ankommen, die die Hauptbenutzer mit NTFS-Berechtigungen einschränken.

@sunny61

Fakt ist, egal wie die Anwendung programmiert ist, sobald Änderungen in der DB gespeichert werden müssen, ist mit der NTFS-Berechtigung "Lesen" Ende.

Nein, ist eben nicht egal. Wenn die Anwendung im Setup einen eigenen Pfad fürs DATA-Verzeichnis zulässt, dann ist alles in Ordnung. Alles andere ist Pfusch.

Du glaubst ja gar nicht, wieviele Entwickler von .NET und/oder VBX Anzwendungen in dem MS-Newsgroups aufschlagen und fragen warum ihr eigene Anwendung unter VISTA nicht mehr läuft. Einer war dabei, der hat eine Access-DB mit installiert und dort Programmeinstellungen gespeichert. Und besitzt dann noch die Frechheit, das auf MS zu schieben. Was passiert wenn Du eine Access-DB (MDB) öffnest? Ja genau, es wird eine LDB erstellt. Und von solchen Anwendungen gibts noch genügend auf dem Markt, die Entwickler haben bis heute noch nicht die Registry entdeckt. Und wenn sie sie entdeckt haben, dann wollen sie immer in HKLM schreiben. HKCU ist vielen noch nicht bekannt. :mad:

Zusätzlich sei dir dieser Dienst ans Herz gelegt: Download details: User Profile Hive Cleanup Service

Hat mit Deinem Problem sehr wahrscheinlich nichts zu tun, installieren solltest Du ihn trotzdem auf jedem Client, egal ob lokales- oder servergespeichertes Profil.

** OFFTOPIC **

Standardmässig darf der Hauptbenutzer z.B. im Verzeichnis c:\Programme\ Daten ändern, der "normale" Benutzer nur lesen. Natürlich ist es kein riesen Unterschied ob Haupt- oder Benutzer, aber die kleinen Details ziehen sich durch das gesamte System.

Dann vergib die benötigten Rechte znetral mittels GPO: Eingeschränkte Gruppen

Und noch einen Artikel zum rausfinden, wo welche Rechte benötigt werden: Setzten von Berechtigungen für Programme, die als Benutzer nicht ausgeführt werden können, aber als Administrator einwandfrei laufen

Da wir viel mit Datenbankanwendungen arbeiten, wofür die User auch häufig Ändern-Rechte benötigen, haben wir uns auf diese Methode (Hauptbenutzer = Domänenbenutzer) geeinigt.

Dann sind die Anwendungen flasch programmiert. Ja, ich weiß, ich kann leicht reden, es ist aber leider so. Gibts ein Laufwerk D:\ als 2. Partition auf den Clients? Wenn ja, dann würde ich diese Programme dorthin installieren. Noch besser ist es allerdings, den Hersteller zu verdonnern die Programme auch als Benutzer zum laufen zu bekommen.

Verstehe leider immernoch nicht, was daran so falsch ist?

Warum einem Benutzer SYSTEMWEIT mehr Rechte einräumen, als nötig ist.

** BACK TO TOPIC **

@Sunny61

Funktioniert dieses Feature nur mit aktivierter UAC korrekt? Wenn ja, ist das durchaus interessant! :-)

Probiers aus und Du weißt es genau. Ich kann es mangels VISTA hier in der Firma nicht testen.

Oder aber einen Einzigen und eine neue DB drauf. Much more relaxing...

Jupp, geht auch, wenn man einen vernünftigen hätte. :(

Ein Installationshandbuch wäre ganz nett. Vor der Installation ganz praktisch.

 

Vielleicht findet sich eins, wenns installiert ist ;)

Ich hab nur das Datasheet mal kurz angesehen, grr, schon wieder einen zusätzlichen SQL-Server installieren.

Ich glaube, Norbert hat dich schon mal gefragt, warum die Domain-User in der lokalen Gruppe der Hauptbenutzer sind. Mach das doch mal rückgängig, starte den Client neu und probiers nochmal.

Da Du eh nur mit Userrechten arbeitest, kannst Du UAC auch wieder einschalten. Dann muß es auf jeden Fall funktionieren.

Das sollte sein, was Du suchst: Rename a Computer and Computer Account

Mit 1295 $ für 100 Clients aber nicht gerade ein Schnäppchen.

Entschuldigung, ich las flasch. Du suchst das deaktivieren, mein Vorschlag war das aktivieren.

Joi nur reich es bei so einem Problem, das es einmal getestet wird ? "Nein"

Der OP weiß mittlerweile woran es liegt, jetzt ist er am Zug es zu testen und die Ergebnisse zu posten.

BTW: Ist es wirklich so schwer, das plenken abzustellen? Volkers Usenet-Seiten - Glossar des Usenet-Jargons