Sarek

Benutzerkonfig > Admin-Vorlagen > Systemsteuerung > Anzeige. Die beiden Einstellungen solltest Du auch beachten. Ansonsten verstellen die User gleich wieder alles. In Anpassung findest Du die Möglichkeit ein Design vorzugeben, einen Bildschirmschoner zu aktivieren und noch ein paar Dinge.

Danke!

Bei der Hintergrundfarbe kannst Du natürlich mit einem Bild in der passenden Farbe tricksen.

Das heißt, eine Hintergrundfarbe kann ich nicht vorgeben?

Alternativ das Firmenlogo mit einbauen.

Das würde ich im Prinzip gerne, es scheitert daran, daß wir sowohl 5:4-Bildschirme als auch 16:9-Bildschirme haben. Das Hintergrundbild sieht also auf der Hälfte der Monitore immer bescheiden aus. Wenn ich als Bildposition "gefüllt" nehme, ist das Logo nicht an der richtigen Position oder gar am rechten Rand abgeschnitten, wenn ich "angepasst" nehme, habe ich oben und unten ggf. einen Balken (und kann die Hintergrundfarbe dafür ja offenbar nicht wählen) und nehme ich "gestreckt", ist das Logo verzerrt.

Kann ich irgendwie verschiedene Hintergrundbilder vorgeben, die vom System je nach vorhandenem Seitenverhältnis des Bildschirms automatisch ausgewählt werden?

Teste es doch einfach mal mit einem User, dann wirst du sehen, was ich meine.

Bin gerade schon dabei, einen Testclient aufzusetzen ...

Hallo zusammen,

wie kann ich per GPO das Aussehen des Desktop eines Windows7-Clients definieren?

Ich habe mit die Einstellungen unter Benutzerkonfiguration -> Administrative Vorlagen -> Desktop angeschaut. Da geht es aber mehr darum, welche Symbole zu sehen sind und welche Konfigurationsmöglichkeiten man freigibt oder wegnimmt.

Mich interessiert mehr, wie ich z.B. das Design umstellen kann (z.B. auf das klassische Design oder auf ein bestimmtes Aero-Design) oder wie ich statt eines Hintergrundbildes (das geht mit den oben genannten Vorlagen ja) eine bestimmte Hintergrundfarbe vorgeben kann.

Danke im Voraus,

Sarek

Ja, aber man muß es für alle anderen Ordner definieren. "Dem Dokumente Ordner folgen" heißt das. ;) Und bevor mans falsch macht, bitte jedem User einen eigenen Ordner geben und erst dort hinein umleiten. Dann stehen Dokumente, Favoriten usw. alle unterhalb des Usernamens parallel.

Hm, in Artikel 2 der Heitbrink-Anleitung heißt es: "Die %username% Ordner werden durch die Ordnerumleitung, siehe Artikel 3, automatisch erstellt" und in Artikel 3 heißt es dann "Es muss nur der UNC Pfad angegeben werden. Der "%username% Anteil mit dem Unterordner \Documents wird automatisch erstellt". Habe ich Dich jetzt richtig verstanden, daß Du stattdessen empfiehlst, die Ordner für die einzelnen User doch manuell anzulegen?

Nimm die Templates von einem W7 oder aktueller. Obersten Ordner umleiten, allen anderen folgen dem Ziel.

Was meinst Du mit "Oberster Ordner"? Bei XP war "Eigene Dateien" ja der oberste Ordner, die anderen wie "Eigene Bilder" lagen da drunter. Aber bei Win7 liegen die ja alle nebeneinander, da gibt es doch keinen obersten Ordner mehr ...

Hallo zusammen,

wir haben in einer Domäne mehrere Windows7-Clients. Die Benutzer haben servergespeicherte Profile, die "Eigenen Dateien" (bzw. das Win7-Pendant dazu) sollen aber aus dem Profil herausgenommen und an separater Stelle gespeichert werden.

Was ist dafür bei Windows7 der beste Weg? Arbeitet man noch mit dem Punkt "Basisordner" in der Registerkarte "Profil" bei "Active Directory - Benutzer und Computer"? Oder sollte man da gar nichts einstellen und stattdessen eine Ordnerumleitung per GPO mit dem ADM-Template von Marc Heitbrink definieren?


Danke im Voraus,
Sarek

Erst mal: Wow! Daß sich Microsoft selbst hier einschaltet, habe ich auch noch nicht erlebt ;)

Du kannst Sysprep so oft nutzen, wie Du willst. Die dreimal beziehen sich auf das Zurücksetzen des Lizenzzählers (rearm). Dafür gibt es den Konfigurationsparameter Microsoft-Windows-Security-SPP\SkipRearm bei Sysprep.

Danke für den Hinweis. Das macht es besser, aber noch nicht gut. Sysprep ist ein recht kompliziertes Tool, gerade weil man eine Antwortdatei erstellen muss und sich nicht "durchklicken" kann. Ich habe es damals mit der von sunny66 geposteten Anleitung versucht, habe aber immer wieder eine Fehlermeldung bekommen, so daß ich dann letztlich den "Windows enabler" benutzt habe, um den Button "Profil kopieren" in der Systemkonfiguration wieder freizugeben, auch wenn das von Microsoft nicht empfohlen wird.

Schau Dir mal das MDT mit z.B. dem Lite Touch Deployment an: http://blogs.technet.com/b/askcore/archive/2011/05/11/sysprep-skiprearm-and-image-build-best-practices.aspx

Seit Windows XP hat sich wirklich sehr viel getan. Lernen musst Du das aber selbst

Das würde ich wirklich gerne tun ... daß die meisten Texte von Microsoft nur noch auf Englisch herausgegeben werden (oder maschinell übersetzt, wobei absolutes Kauderwelsch herauskommt), macht das selbst lernen aber nicht einfacher. Für ein so teures Produkt (Kirchengemeinden bekommen ja keine Academic-Konditionen mehr, auch so ein Kritikpunkt) kann man doch wohl einen vernünftigen Support in den Landessprachen erwarten ...

Das mit den Profilen wurde mit VISTA geändert. Also schon etwas länger her.

Ja, ich sagte ja: Nicht erst seit Windows 8 ...

Hier wird das Anpassen eines Profiles beschrieben: http://support.microsoft.com/kb/973289/en-us

Ja, mit Sysprep. Das ist erstens wahnsinnig kompliziert, wenn man eigentlich nur ein oder zwei Einstellungen ändern will, zum anderen läßt sich Sysprep nur drei mal nutzen ... möchte ich also das Default-Profil ein viertes Mal anpassen, habe ich die A-Karte gezogen :-(

Nein, die Profile von XP kannst Du nicht migrieren. Und ja, es muß alles neu erstellt werden.

Na super ... Wieso bekomme ich immer mehr das Gefühl, daß Microsoft nicht erst bei Windows 8 die Bedürfnisse der Business-User aus dem Blick verloren hat? Keine Migrationsmöglichkeit für die Profile, das Anpassen des DefaultUser-Profils wird erschwert und und und :-(

Hallo zusammen,

in unserer Kirchengemeinde sind wir dabei, die WindowsXP-Clients durch Rechner mit Windows 7 zu ersetzen. Wir nutzen in der Gemeinde (noch) einen Windows Server 2003, auf dem die Benutzer servergespeicherte Profile haben.

Wenn die Benutzer sich nun erstmals an einem der Windows7-Rechner anmelden, so wird aber leider nicht das vorhandene servergespeicherte Profil geladen und an Windows 7 angepaßt, sondern es wird ein neues Profil erstellt und auf dem Server in einem .V2-Verzeichnis gespeichert. Das ist äußerst unpraktisch, denn so gehen alle Einstellungen des Benutzers (inkl. der Einstellungen für Anwendungsprogramme wie z.B. Banking-Software) verloren.

Gibt es eine Möglichkeit, die vorhandenen Profile zu migrieren, so dass die Benutzer ihre Einstellungen auch an den Windows7-PCs weiter nutzen können? Oder müssen die wirklich mühsam alles neu einstellen?

Danke im Voraus,

Sarek \\//

ok ... schade! Trotzdem Danke!

Das heißt, direkt auf dem Server kann ich das nicht mehr administieren? Meine Arbeitsweise war bisher die, mich per VPN mit dem Netzwerk im Pastorat zu verbinden und mich dann per MSTSC auf den Server aufzuschalten. Natürlich könnte ich auch über die VPN-Verbindung die RSAT-Werkzeuge nutzen, aber erfahrungsgemäß dauert das bei langsamer Internetverbindung deutlich länger, also eine RDP-Sitzung mit 256 Farben ...

Hallo zusammen,

aufgrund des bevorstehenden Supportendes für Windows XP stellen wir zur Zeit die Clients in unserer Kirchengemeinde auf Windows 7 um. Der Server läuft nach wie vor unter Server 2003 und wird dies auch bis zu dessen Supportende im nächsten Jahr weiterhin tun, da in diesem Jahr keine Gelder für eine Umstellung im Haushalt freigemacht werden können.

Kann ich das AD des 2003er-Servers irgendwie mit den GPO-Vorlagen für Windows 7 "nachrüsten"? Ich denke da besonders an die Ordnerumleitungen der unter Windows 7 neu hinzugekommenen Ordner wie "Eigene Dokumente", "Eigene Bilder" (der eben nicht mehr wie unter XP in "Eigene Dateien" liegt) und so weiter.

Danke im Voraus,

Sarek

Du bist ja auch der Meinung, dass man mit einer alten GPMC im Jahr 2013 gut bedient ist. ;)

Die Frage ist dabei ja eher, warum Microsoft die Funktionen, die schon vor zehn Jahren notwendig gewesen wären, erst pö a pö in immer neuen Serverversionen umsetzt. Wie gesagt, ich halte das ganze für ein reines Verkaufsförderungsprogramm. Hätte die GPMC von Server 2003 schon alles unterstützt, was im Jahr 2003 wichtig war (eben auch die Verteilung von Codezertifikaten, die es damals ja schon gab), dann würde in der Tat eine alte GPMC für meine Zwecke völlig ausreichend sein.

Das schöne an einem Skript ist, man kann da eine Abbruchbedingung einfach reinschreiben. ;)

Na, aber trotzdem muß das Script erst mal aufgerufen und teilweise ausgeführt werden, um zu erkennen, daß die Abbruchbedingung erfüllt ist (z.B. durch Auslesen eines Schlüssels aus der Registry). Und man hat eben nicht alles unter einem Dach. Es wäre doch viel schöner (auch für die Dokumentation des Servers), wenn alles zentral im AD geregelt wird, statt dass man da Verknüpfungen auf irgendwelche außerhalb liegenden Scripts reinschreibt.

Je nach Anforderung, und in diesem Fall ist die Anforderung nicht besonders hoch, würde ich selbst eine kleine EXE in Visual Studio erstellen, dazu reicht IMHO auch eine kostenlose Express Version aus.

Visual Studio habe ich ja ... zumindest die alte 6er-Version. Aber um sich da etwas selber zu schreiben, braucht man meines Erachtens eine ganze Menge Hintergrundwissen. Man muß ja zum Beispiel wissen, wie eine OCX-Datei registriert wird, um diesen Vorgang selber in einem (z.B. Basic-)Programm nachbilden zu können. Oder meintest Du nur eine EXE, die über die Shell-Funktion die entsprechenden Kommandozeilen-Tools auf dem Zielrechner aufruft? Das kann man natürlich schnell hinbasteln, aber es gilt dann immer noch der Kritikpunkt in meinem letzten Absatz unten.

Evtl. ist ja auch das etwas für dich: http://www.gruppenrichtlinien.de/artikel/generelles-zum-msi-der-windows-installer/

Hm, da konnte ich jetzt nicht so viel rausziehen. Bemerkenswert fand ich aber den Satz "Generell ist die Softwareverteilung per GPO nicht empfohlen". Ich war bisher immer der Meinung, daß das "State of the Art" für die Installation von Programmen in Domänennetzwerken ist ...

Ein Script hat meines Erachtens gegenüber der MSI/GPO-Variante den Nachteil, daß das Script bei jedem Start des PCs wieder ausgeführt wird, auch wenn nach dem ersten Durchlauf das zu installierende Programm längst auf dem Zielrechner vorhanden ist. Das ist eine unschöne Verzögerung des Bootvorgangs ...

Nein, auch in 8 8.1 geht's afaik nicht.

OK, dann sparen die das noch ein bißchen länger auf. Ist sicher eine rein strategische Überlegung, genauso, wie es sicher eine strategische Überlegung war, die Verteilung von Zertifikaten für "Vertrauenswürdige Herausgeber" noch nicht bei Server 2003 einzubauen, obwohl es die Problemstellung doch auch damals schon gab.

Aber noch mal zurück zur MSI-Datei. Das ist vielleicht gar keine dumme Idee. Klar, nur für die OCX-Registrierung mag ein Script einfacher sein, aber mit der MSI-Datei könnte ich eigentlich den gesamten Setup-Vorgang zusammenfassen, also die Verteilung der Dateien (die ich bisher einfach per Freigabe c$ auf die Zielrechner geschoben habe), die Eintragung der Registry-Keys, die Registrierung der OCX-Datei und vielleicht sogar, wenn MSI das unterstützt, die Verteilung des Code-Zertifikates. Ich kenne als kostenlosen MSI-Editor eigentlich nur das WinInstall Lite, aber das hat ja nun auch schon ein paar Jahre auf dem Buckel. Gibt es da was aktuelleres?

Msi Datei ginge afaik auch. Aber startup Skript ist einfacher. ;)

Heißt das, selbst die moderne GPMC von Windows 7 / Server 2008 hat da keine eingebaute Lösung? Naja, das haben sich die MS-Strategen wohl für die GPMC von Windows 8 / Server 2012 aufgespart, damit die Leute sich brav wieder die neuen Softwareversionen kaufen, die sonst keiner bräuchte :-)

Hallo zusammen,

hier nun der dritte und letzte Teil meiner aktuellen GPO-Fragen. Nachdem nun die Verteilung des Zertifikates dank des virtuellen Win7-Admin-PCs geklappt hat, muß ich nun noch eine PCX-Datei (msinet.ocx) auf die Zielrechner bringen und dort auch registrieren. Diesmal habe ich sowohl unter gruppenrichtlinien.de als auch via Google schon gesucht und nichts gefunden (außer über ein Startup-Script mit regsvr32).

Ist das wirklich die einzige Lösung, oder geht das auch direkt über ein GPO?

Danke im Voraus,

Sarek

Datenbanken != GPOs.

Was snd GPOs dann? Dateien? Wo liegen sie? Kann man sie am Ende vielleicht sogar ganz einfach als Datei sichern?

Für wen hast Du denn das GPO erstellt? Wenn für andere Clients, dann kannst Du doch die dazu verwenden um das zu testen.

Dazu müßte ich vor Ort sein. Ich hatte ja geschrieben, daß ich das nicht bin, sondern über eine VPN-Verbindung zum Server arbeite. Auf die Clients habe ich aber keinen Zugriff - schon gar nicht am Wochenende, wo die Kisten ausgeschaltet sind.

Ja logisch wird das im gpo gespeichert.

Ich kenne auch Datenbanken, in denen nur Verknüpfungen gespeichert werden, darum fragte ich. Aber danke für den Hinweis. Ich brauche also die ursprüngliche CER-Datei nach dem Import nicht mehr.

Aber nach einem Test mit ausgeschaltetem Admin-pc wärest du auch drauf gekommen. ;)

Dazu hätte ich erst mal einen virtuellen Test-Client aufsetzen und die GPO auf diesen Testclient wirken lassen müssen. Für noch einen virtuellen Win7-Client habe ich schlicht und einfach nicht genug Festplatten-Kapazität auf dem Server frei.

Endlich! :)

Naja, ist aber suboptimal. Ich bin eigentlich kein Freund davon, sich auf einem Server interaktiv anzumelden und daran zu arbeiten. Aber der Server war jetzt der einzige Rechner, der als Host für die VM infrage kam.

Wie lange dauert es bis Du es selbst nachgeprft hast? Start > Ausführen > MMC [ENTER]. Zertifikate wählen, lokaler Computer. Wo ist das Zertifikat?

Ne, da hast Du mich wohl mißverstanden. Es geht um Folgendes:

Ich habe ja jetzt diesen virtuellen Admin-PC. Auf dem Desktop habe ich die CER-Datei. Jetzt öffne ich auf dem Admin-PC die GPMC, öffne das GPO und gehe dort bei "Vertrauenswürdige Herausgeber" auf "Zertifikat importieren":

So, nun schalte ich den virtuellen Admin-PC aus, er (und das darauf gespeicherte Zertifikat) ist also nicht mehr erreichbar. Nun ist die Frage, ob das Zertifikat durch den Import in das GPO jetzt sozusagen auf dem Server lagert, so daß die Clients es von dort abrufen können. Oder muß man das Zertifikat in einer Freigabe dauerhaft vorrätig halten und es von dort aus in das GPO importieren? Also letztlich ist die Frage: Wird das Zertifikat selbst im GPO gespeichert, oder nur ein Verweis auf das Zertifikat?

Ich meinte natürlich nicht die Office Versionen. Im Bereich der GPOs und GPP hat sich sehr viel getan, das meinte ich mit den 5 Jahren.

Das mag natürlich sein :)

Es gibt von MSFT kostenlose VHDs zum Download. Damit lässt sich ein 30-Tage Testsystem aufsetzen und die GPMC nutzen.

Also das ist für mich keine Lösung. Wenn ich dann mal in zwei Monaten wieder an das GPO ran muß, müßte ich wieder alles konfigurieren. Nene, ich habe jetzt mal einen VMWARE-Player direkt auf dem Server installiert und darauf einen Win7-PC aufgesetzt. 40 Euro für die Windows-Lizenz habe ich dann schon noch ;)

Nun aber noch mal zu der Zertifikatsverteilung zurück. Dazu eine Frage:

Wenn ich jetzt das Zertifikat in die "Vertrauenswürdigen Herausgeber" importiere, wird es dann direkt im GPO gespeichert, so daß ich die CER-Datei anschließend löschen kann? Da steht ja, daß das Zertifikat in den Zertifikatsspeicher übernommen wird. Aber wo ist der, auf dem Server, oder auf dem Admin-PC, an dem ich den Import durchführe?

Danke im Voraus,

Sarek

Dir ist den letzten 5 Jahren sehr viel entgangen. ;)

Naja, nicht wirklich. Also zum einen muß man sich wirklich die Frage stellen, ob man immer das Neueste haben muß, wenn die Software von gestern völlig ausreicht. Wozu muß man z.B. das neueste Office haben, wenn die Sekretärinnen schon als alte Office eher als "Speicherschreibmaschine" nutzen? Wozu braucht man Windows 7, wenn die einzige Aktion, die die Sekretärinnen in Windows machen, das Öffnen von Programmen auf dem Desktop ist?

Zum anderen gibt es aber noch einen viel gewichtigeren Grund, über den wir (ich glaube Du hattest Dich an der Diskussion damals auch beteiligt) schon gesprochen hatten. Microsoft hat die Lizenzbedingungen für gemeinnützige Einrichtungen geändert. Als Kirchengemeinde bekommen wir keine vergünstigten Lizenzen mehr. Das trifft uns schon hart, denn wir können ja nicht wie ein Unternehmen die Kosten für die IT einfach in unsere Leistungen "einpreisen". Wir müssen alles aus den Schlüsselzuweisungen bezahlen, und da ist für IT nicht viel drin. Sicher wäre eine Umstellung auf Server 2008 R2 und Win7-Clients schon seit Jahren wünschenswert gewesen. Aber das zieht einen Rattenschwanz an Investitionen nach sich, den die Gemeinde nicht mal so eben aus dem laufenden Etat bezahlt. Daher erfolgt die Umstellung zum spätestmöglichen Termin, bei den Clients also im kommenden, beim Server im übernächsten (Haushalts)jahr. Bis dahin werden dafür Rücklagen gebildet.

Auf dem XP-Rechner siehst Du nur die GPOs/Einstellungen, die ein XP auch kennt, zerhauen kann es die Verteilung nicht, aber man editiert sicherheitshalber kein GPO mehr mit der 'alten' GPMC.

Also auf meine Frage ein klares Jein ;)

Genau deshalb hat ein oder zwei virtuelle Clients, einen zum einrichten und einen zum testen.

Auch virtuelle Clients brauchen reale Lizenzen. Nun gut, Win7-Lizenz bekommt man mittlerweile für 40 Euro, also daran sollte es nicht scheitern. Aber auch virtuelle PCs brauchen eine reale Hardware-Grundlage. Wenn du wüßtest, mit welcher Hardware mein Admin-PC läuft, würdest Du das Wort "Virtualisierung" nicht so leicht in den Mund nehmen ;)

Eigentlich ist alles gesagt. Und jemand der nichts testen will in der Produktivumgebung aber keine Testmaschinen hat (oder keine die auch mal ein aktuelleres OS besitzen), der hat irgendwas "verpennt". ;)

Jaja, ihr aus der Wirtschaft habt gut reden ... wo mit der IT Geld verdient wird, kann man auch Geld in die IT investieren.

selbst wenn es dir die "MBUS" Konfig zerhaut, kann das ja egal sein, da du ja jetzt ein Win7 mit GPMC hast und du die Regestrykeys per GPP verteilen kannst ;)

Der Win7-PC hat eigentlich andere Aufgaben im Netzwerk als dass ich den dauernd als Admin-PC "mißbrauchen" könnte ...

Wer heute noch _nur_ XP im Einsatz hat (auch in der Administration), ist selbst Schuld, und wird immer wieder in solche Situationen kommen. :p

Naja, in einem halben Jahr hat sich das eh erledigt ;)

Wundert mich aber trotzdem, dass es nicht geht. Das von mir verwendete SelfCert ist ja Teil von Office 2003 - und im Jahr 2003 waren Server 2003 und Windows XP Standard. Wie hat man also damals die Zertifikate verteilt?

Aber OK, wenden wir uns dem Aktuellen zu. Nehmen wir nun also einmal an, ich installiere auf dem einen Win7-Rechner in dem Netzwerk die GPMC, öffne damit das GPO, in dem schon die Registry-Keys aus dem anderen Thread verteilt werden (weil das inhaltlich zusammen gehört) und füge dort die Verteilung des Zertifikats hinzu. Was passiert nun, wenn ich dieses GPO hinterher noch mal mit meinem XP-Adminrechner bearbeite (z.B. um bei der MBus-Richtline eine Einstellung zu ändern). Zerhaut es dann die Zertifikatsverteilung, weil die XP-GPMC das nicht unterstützt? Oder bleibt dieser Teil der Richtlinie, wenn er einmal mit einer Win7-GPMC eingerichtet ist, intakt?.

Und um der Frage aus dem anderen Thread zuvorzukommen:

Was spricht gegen Ausprobieren?

Erstens benutze ich ein Produktivsystem ungern zum Testen, und ein Testnetzwerk habe ich nicht. Und zweitens bin ich nicht vor Ort. Ich administriere in der Regel per VPN-Zugriff. Das heißt dann aber auch, ich kann nicht am Client prüfen, ob dort alles richtig umgesetzt wurde. Jedenfalls nicht so einfach.

Ich geh mal davon aus, dass das ein codesigning Zertifikat ist. Das kannst du mit der GPMC von 2003/XP nicht verteilen, sondern dazu brauchst du eine GPMC die Vista oder neuer ist. Das Zertifikat muß dann in den Speicher vertrauenswürdige Herausgeber. Und genau den hast du in der alten GPMC nicht. ;)

Grummel ... dann sind wir wieder da, wo wir heute nachmittag mit den RegistryKeys schon waren :(