al3x

Hallo zusammen,

ich verteile unterschiedl. Richtlinien über div. GPOs in den einzelnen OUs.

Die WSUS und die proxy-settings verteile ich normalerweise über die default domain policy....bei den Windows Updates klappt das, beim proxy allerdings nicht!?

Das IE-Branding zB habe ich auch aktiv und dies wird übergeben.

Hat jemand ne Idee?.....bei den einzelnen GPOs in den OUs ist natürlich nichts konfiguriert was den proxy betrifft.

OH...ich brauch für nen 2008er neue CALs? ....wusst ich net,hab ich mich noch gar net informiert!

Meinte nur, wenn ich auch nen 2008er installieren "kann", es nicht "schadet", dann brauch ich keinen "alten" 2003er....

Man kann auch schonmal mit dem 2008er Erfahrungen sammeln.....

Zwingend ist er aber nicht....daher die Überlegung 2003 oder gleich 2008.

Hi,

synctoy is ne feine Sache, leider bekomme ich den echo-Modus nicht wirklich in den Griff.

Gelöschte Objekte der Quelle werden im Ziel nicht immer! gelöscht und manchmal tauchen sogar alte verwaiste Objekte, die sowohl in der Quelle als auch im Ziel NICHT mehr existieren wieder auf! Sehr schlecht.....

Auch ein Löschen BEIDER synctoydirectory-indizes hilft da nix! :confused:

Moin!

Bin gerade am überlegen, ob ich nen neuen Member-Server als 2k3 oder als 2k8 in die bestehende 2k3 Domain hängen soll!?

Seht ihr irgendwelche "Komplikationen", Gründe warum ja oder nein?

Es bestehen keine Aussichten den Member-Server später mal zum DC zu machen.

Von daher dürfte es doch auch ein 2008er sein oder würdet ihr in der Domäne die Versionen soweit möglich einheitlich lassen?

Grüße

Alex

klar das kann natürlich auch Sinn machen aber nur wenn du für verschiedene abteilungen verschiedene Computerpolicies benötigst

jo, das kann schon vorkommen: Softwareinstallation oder beim Einsatz von WSUS/ Updateverteilung event. sinnvoll.

schonmal danke für eure Geduld!

Nur so als Anregung ich würde dir empfehlen die Computer Konten komplett von den Usern zu trennen. Also in ne eigene OU auf oberster Ebene zu packen da kannst dann die computerpolicy drauf loslassen.

hm..ich habe bisher die Computer immer in die zugehörigen OUs (Abteilungen) gepackt......

In der Regel wird die Gruppe "Authentifizierte Benutzer" aus der Sicherheitsfilterung entfernt. .

In der GroupPolicyManagement-Console sind die "Auth. Benutzer" entfernt, aber über Eigenschaften des GPO - Sicherheit sind sie noch aufgeführt, allerdings ohne Häkchen bei den Rechten.

Wieso werden die hier nicht gelöscht?

....und wieso sollte man in dem Fall keine Computer in Gruppen packen?

Computer willst du da nicht eintragen.

wieso nicht?....RemoteAccess-Einstellungen werden doch über die Computerkonfig definiert!?

–

Was willst du eigentlich genau in deiner Policy einstellen, handelt es sich nur um User Einstellungen?

In dem Fall geht es um Computer (RemoteAccess).

Ja , mit der Sicherheitsfilterung kannst Du auch auf oberster Ebene arbeiten.

ich meinte in meinem Fall, auf der obersten gemeinsamen Ebene eine GPO erstellen, Vererbung zulassen, ABER per Sicherheitsfilterung die entsprechende "Objekte" hinzufügen?

Heißt also Sicherheitsfilterung greift NUR bei Vererbung bzw. wenn die GPO auch in der OU ist?

Alternative wäre GPO zu verlinken, dann ist es egal wo sich OU und GPO befinden.

Hab ich das so richtig verstanden?

Was meinst Du mit gruppieren ?

analog zu Benutzergruppen......statt jeden Rechner einzeln aufzuführen, für den die GPO gelten soll. Also gleich eine Gruppe anlegen.

Du kannst stattdessen mit der Sicherheitsfilterung arbeiten und Gruppen von Computern und Benutzern erstellen, auf die die verschiedenen GPOs wirken ...

also trotzdem auf der obersten ebene, aber statt vererbung einfach nur die computer unter sicherheitsfilterung eintragen?

kann man computer (objekte) eigentlich auch gruppieren?

Hi,

GPO gelten ja für die User/Computer, die in der gleichen OU sind wie die Richtlinie bzw. in der darunterliegenden OU durch Vererbung.

Kann ich eine OU-übergreifende Gültigkeit nur durch Vererbung/Nicht-Vererbung realisieren?

Bsp:

-domain

----ou1

----ou2

---------ou2.1

---------ou2.2

----ou3

---------ou3.1

----ou4

Ich würde gerne eine GPO definieren (RemoteAccess), mit regeln für die ou1, ou2.1 und ou3.1.

Wenn ich auf oberster ebene (domain) eine entsprechende GPO erstelle, werden die Richtlinien nach unten weiter vererbt, aber was ist mit den OU's, die ich ausklammern möchte? Deaktiviere ich die Vererbung für ou4, dann erbt diese OU von keiner übergeordneten Policy etwas - richtig?

Oder kann man auch ein Art Abhängigkeit da rein bringen, dass die Deaktivierung der Vererbung NUR für EINE übergeordnete Policy gilt?

ehm...hoffe ihr wisst was ich meine :D

thx

Passt Norbert! Danke dir! ......letzter Schliff war der fehlende User!

Hast du mal den Artikel oben durchgearbeitet?

 

1. so wie beschrieben = lokale policy -> gleicher fehler

2. änderungen per gpo übergeben -> abbruch vorher, session wird nicht angezeigt

---------

ok, all done

Norbert!...Perfekt!....DANKE dir! ;)

xp -> xp = erlaubnis verweigert.

xp hat sp3! hm.....was mir noch einfällt, den default hilfeassistent der bei windows als benutzer nach der install da ist, is gelöscht. in der gruppe "remoteunterstützungsanbieter" sind aber die per gpo definierten user/gruppen eingetragen !?

:confused:

achso....ich biete hilfe an!

danke für den link, muss ich mal schauen.

jo klar, hab ich...überall easy und verständlich. aber ich peil irgendwas scheinbar nicht.

xp-xp werd ich noch testen

Hi,

ich weiß das Thema ist alt. Und ja...ich habe gesucht, aber ich hänge trotzdem.

Ich will per GPO die Remoteunterstützung+RemoteDesktop aktivieren.

1.GPO:

Computer/Admin/Windows/Terminaldienste/Remoteverbindungen für Benutzer mit Hilde.....-> aktiv

Computer/Admin/Windows/System/Remoteunterstützung/Angeforderte Rem. -> aktiviert

Computer/Admin/Windows/System/Remoteunterstützung/Remoteunterstützung anbieten. -> aktiviert, wobei Helfer = eine Domänengruppe und der lokale Admin sind

2.Firewall ist aus

Beim Versuch vom Vista-Client auf den XP-Client zu connecten, wird mir noch die Session angezeigt (Rechner\administrator:0) aber dann Abbruch:

"Unterstützuungsangebot konnte nicht gesendet werden"

Berechtigungen?

Was hab ich übersehen?

Ich verstehe das schon. Da anscheinend von den Clients der einen Firma auf den Server der anderen zugegriffen werden soll, (Adressumsetzung mittels Router),

ja, einmal das und dann wird zusätzlich noch ein sep. "VOIP-Netz" dazukommen, das auf jeden Fall vom LAN getrennt werden sollte.

da läuft nur DHCP und DNS, kein WINS.

naja, rein vom bauchgefühl ist mir bei dem gedanken auch net ganz wohl, welche nachteile siehst du denn?

kann jeder layer3 switch ein solches routing?

In diesem Fall würde ich keinen Router nehmen , sondern einen Layer 3 Switch. Die bringen die beste Performance. Viellicht kann der Switch das ja schon.

 

-Zahni

Irgendwie hält sich da jeder ziemlich bedeckt.Hm, also das heißt konkret ein Switch, der hardwarebasiertes Routing unterstützt?

@Lefg: es sind 2 IP-Bereiche, da es unterschiedliche Firmen sind.

sind 2 unterschiedliche IP-netze.

Es wird von Client zu Client, aber hauptsächlich von den Clients (LAN2) zu den Servern (LAN1) zugegriffen....div. DB, Mail, INet-proxy, Fileserver,.....

Ich habe auf die Schnelle keinen GBit-HW_Router gefunden. Naja SOHO ist sicher der falsche Weg, aber ich kann auch keine Highend-Lösung ins Budget mit reinbringen.

Hi all,

haltet ihr folgende Situation für problematisch oder sogar kritisch:

LAN1 -----DC1------LAN2 (=VLAN)

LAN1------SWITCH------LAN2

Sprich, ein ADS-Domaincontroller soll als Router zwischen 2 privaten Netzen dienen.

LAN1 ist vorhanden, LAN2 wird als VLAN auf dem bestehenden Switch (Glasfaser) aufgebaut. Ein Hardware-Router kommt kaum in Frage, da es sich um eine 1000MBit -Leitung handelt.

Ist das permanente Routing auf dem DC sehr belastend (LAN2 < 40 Clients, die alle Serverdienste in LAN1 nutzen) oder habt ihr andere Bedenken bzgl. einer solchen Lösung?

MfG Alex

ok, vielen dank mal vorab.

da muss ich mal schauen...

Hallo Stephan,

ja am neuen Standort schon, aber ich würde ungern am bestehenden Standort die Netzadressen (Netz1) ändern müssen.

Wenn ich dirch richtig verstehe,

1. Switchport -> Vlan mit zB irgendein IP-subnetz von Netz1

2. routing von netz1 auf subnetz im switch definieren

stimmt das so?

was is mit dns, gateway,.... der clients im subnetz? kommen die an den dhcp im netz1 ran?

hoffe ich frage nicht allzu ****! ;)