wbs2008

Hallo zusammen, eine frage... Ich habe hier eine Maschine, bei welcher mir nicht ganz klar wird, warum das SP3 hier über WSUS nicht installiert werden kann... Alle anderen Updates zuvor wurden ohne Probleme installiert. Alle Maschinen davor haben das SP3 ohne Probleme installiert... Wenn man in die Log Datei des SP3 schaut, sieht man ein Log mit einigen Fehlern drin, aber was 0x00f usw. bedeutet, findet man nicht wirklich raus. Als wenn es da einen Konflikt geben würde... Ich hab das File mal angehängt, vielleicht sehr ihr etwas, das ich übersehe. Es scheint auch einige Probleme mit Registrykeys zu geben... Das Problem hab ich zum ersten mal. Was ich inzwischen mal gemacht hab, ist mit lokalen Adminrechten zu installieren, kein Erfolg. Virenscanner abschalten, SoftwareDistribution -> Download umzubennen, damit das Pack neu gezogen wird, kein Erfolg. Dann scheint es Probleme bei der Deregistrierung von spuninst.exe zu geben... Alles komisch. Ich hoffe, ihr seht irgendwas, das ich übersehe... Danke. Edit: Das hat sich gerade erledigt... War offenbar irgendwie doch noch ein Problem des Files... Ich habe das jetzt ganz sauber noch einmal komplett neu laden lassen, das hatte ich zwar schon mal, aber jetzt hat es geklappt. Auch das LOG sieht jetzt sauber aus... Hmm, würde gerne mal wissen, was das war. Nur zur Info dazu

Hallo, danke Norbert für den Tipp... Das von dir vorgeschlagene Template, ist das eines der Templates dessen Einstellung nicht wieder durch Löschen der Richtlinie rückgängig gemacht wird? Auf der Seite wurde ja gewarnt, das die meisten Templates eben nicht konform sind zu W2K3. Aber trotzdem Danke Danke Danke. Was mir noch aufgefallen ist, unter den Einstellungen zum Dateisystem in den Policys... Da kann man nur Dateien auswählen, welche auch auf dem Server vorhanden sind, z.B. Systemdateien. Angenommen ich wollte jetzt ein File auf C:\ auf den Clients dementsprechend Berechtigungsmäßig anpassen. Nur als Beispiel halt. Müsste ich dann eine "fake" Datei erstellen oder ist dieser Prozess nur auf Systemdateien ausgelegt?

Hallo BrainStorm, danke für Deine Antwort. Ja, das habe ich natürlich gemacht. :)

Hallo zusammen, OLC, danke für den Tipp... Ich habe das ganze einmal ausprobiert, das scheint ja nur eine "pro Computer" Richtlinie zu sein. Ich habe also unter dem Punkt "Dateisystem" das ganze eingepflegt. Mit den entsprechenden Berechtigungen. Allerdings habe ich hier das twext.dll File nur vom Server wählen können. Als komplette Ausgabe hat er am Ende ein %systemroot%\system32\twext.dll gemacht. Da liegt natürlich auch das File auf den Clients. Allerdings wurde diese Richtlinie nicht auf die Clients angewendet, sondern hat die Berechtigungen der Datei auf dem Server geändert. :suspect: Das war so im Grunde aber nicht gedacht, diese Berechtigung sollte eigentlich auf die Datei auf den Clients übernommen werden. Hat das evtl. damit zutun, das ich die Datei auf dem Server ausgewählt habe? Wenn man mal so im Netz schaut muss ja diese Option Dateisystem schon die richtige sein um Files auf den Clients anders zu berechtigen. Hat da jemand einen Tipp oder einen Vorschlag?

Ich will verhindern, das ich den Schattenkopienclient auf dem Rechner deinstalliere... Falls ich ihn dann doch mal brauche. Es gäb natürlich noch die Überlegung, das File direkt auf den Rechnern anders zu berechtigen, aber das wäre dann wieder an die Maschinengebunden. Wenn ich es hinkriegen kann, würde ich das schon gerne auf diese Art und Weise probieren, deshalb ob es da Erfahrungen gibt... Ich werde das mal mit leeren VMs also frischen testen.

Guten Tag, ich bin zur Zeit auf der Suche nach einer Möglichkeit, die Registerkarte Vorherige Versionen der Schattenkopien bei nicht Admins auszublenden. Ich hab natürlich die Möglichkeit gefunden, die Registry entsprechend anzupassen, aber das ist, nur dann was, wenn es nicht anders lösbar ist. Das nächste war, das ich hier einen Thread gefunden hatte, welcher sicher auch mit dem Thema beschäftigt und welcher Versuchsweise angab, man könnte probieren dies über die Softwareeinschränkungsrichtline des AD zu machen. Ich habe das ganze jetzt mal in einer Testumgebung versucht, entweder sind meine VMs hinüber, was ich fast vermute weil ein gpresult auf dem Client die Antwort gibt, es gäbe kein Gruppenrichtlinienobjekt beim ermitteln der SSID oder das funktioniert so nicht. Mich würde mal interessieren, ob das schon mal jemand auf diese Art versucht hat und wie die Ergebnisse sind. Weil dadurch könnte ich ja dynamisch entscheiden, auf Basis einer Gruppe, wer diese Karte angezeigt bekommt und wer nicht. Danke Euch...

Stimmt, als du Info gegeben hast, war ich aber mein Posting am verfassen. Weil es noch nicht sicher ist, ob wir DFS überhaupt brauchen, das entscheidet sich irgendwann, wäre es einfacher wenn ich nur an einer zentralen Stelle den Ort ändern müsste...

Hey, danke für den Tipp... Das wäre natürlich eine Möglichkeit. Ob da jetzt der Domänenname steht oder nicht ist ja wurscht und wird die Benutzer an dieser Stelle nicht interessieren. Da wahrscheinlich aber irgendwann das DFS kommen wird bei uns, wäre das als Übergangslösung schon ganz gut... Nur steht ja noch immer die Frage im Raum, was hat es dann mit dem Veröffentlichen von Freigaben auf sich... Wenn da jemand was zu sagen kann, wäre sehr dankbar für eine Info... Danke

Hallo zusammen, vielleicht könnt ihr mir ein wenig auf die Sprünge helfen... Um den Administrationsaufwand einfacher zu gestalten, wollte ich gerne von den Serverfreiagebn weg und stattdessen Domänenfreigaben aller \\domäne\Freigabe einrichten. Soweit ich jetzt aber gesehen habe, wäre das nur in Verbindung mit DFS möglich, stimmt das? Ich dachte eigentlich, man könnte dafür auch den Punkt Freigabe veröffentlichen nutzen... Da kann ich ja auch auswählen, das eine Freigabe im AD veröffentlicht wird. Aber offenbar stimmt das so wohl nicht ganz, denn wenn ich das mit einem Testordner im Testsystem mache, wird dieser beim Aufruf \\domäne nicht angezeigt. Was mir noch aufgefallen ist, das ich offenbar beim Aufruf von \\domäne selbst mit dem Domänen Admin kein Zugriff auf erstellte Freigaben habe. Da heißt es immer die Konfigurationsinformationen können nicht vom Domänencontroller gelesen werden, andersrum gehe ich direkt über den Server klappt das... Vielleicht könnt ihr mir an dieser Stelle ein bissl Input geben, ob das wirklich wie im Netz zum Teil behauptet nur mit dem DFS geht, was über Kurz oder Lang sowieso kommt, oder ob das auch anders geht. Was an dieser Stelle dann Freigabe veröffentlichen heißt. Weil die ja im Test nicht wirklich im AD veröffentlicht wurde... Danke euch...

Hallo zusammen, ich mach hier gerade ein paar Tests... Mal gucken, ob ihr da was zu sagen könnt. Das ist alles nur in virtuellen Umgebungen, weil das nichts mit Produktivität zu tun hat. Ich habe einen Ordner, dieser bekommt zwei Freigabenamen. Auf dem Server ist ABE installiert und auch aktiviert auf die Freigabe. Aber ABE zeiht ja nur auf NTFS Berechtigungen und nicht auf Freigabeberechtigungen. Jetzt gibt es aber zwei Benutzer A und B. Für diese gibt es auch zwei Gruppen 1 und 2 Jetzt ist es angedacht, das Benutzer A den ersten Freigabenamen in der Übersicht aller Freigaben eines Servers zu sehen bekommt und Benutzer B eben den zweiten. Jetzt hab ich ein bisschen mit den Freigabeberechtigungen gespielt, dann kann natürlich den Zugriff entsprechend einschränken, jedoch sieht jeder jedes Verzeichnis. Krieg ich das mit Boardmitteln hin, das eben diese Freigaben dann nicht angezeigt werden...? Diese beide Gruppen haben Lesenderechte NTFS auf dem Ordner, aber jeweils verweigernde auf die Freigabenamen, aber nur impliziert, sprich die Gruppen sind entsprechend gesetzt oder nicht. Viele grüße und danke.

Jaa vielen Dank für die Info... Der SBS 2003 erzwingt ja ab einer bestimmten Überschreitung der CALs, das zusätzliche Lizenzen eingebunden werden... Weiß jemand ab welcher Zahl von Überschreitung und wie sich das äußert... Ich vermute mal, da wird einem Benutzer oder Client, der veruscht einen Zugriff zu bekommen, das ganze verwährt... Ich frage das nur aus Interesse, weil ich gelesen habe, das der SBS 2003 da so strikt vorgehen soll... Edit: Was natürlich in diesem Zusammenhang auch interessant wäre, ob hier ein Unterschied zwischem direkten und indirekten Zugriff gemacht wird...

Hallo zusammen, sagt mal laut der Licensepage von MS gibt es für den Server 2003 folgende Regel: "Eine Windows Server 2003 CAL ist erforderlich für jeden Nutzer oder jedes Gerät, der bzw. das auf die Serversoftware direkt oder indirekt zugreift." Wenn ich aber jetzt einen SQL Server auf der Maschine laufen lasse, dann brauche ich also die Pro-Prozessor-Lizenzierung für den SQL Server und auch noch 10 PC Cals für den SRV 2003, weil ich ja indirekt auf den 2003er zugreife oder was meint MS hier mit indirekt? Für mich würde indirekt an dieser Stelle bedeuten, ich greife auf Dienste zu, welche auf dem SRV2003 laufen, in dem Fall ja der SQL Server... Stimmt das so?

Hallo zusammen, da ich zur Zeit unheimlich viel alten Kram aufräume wollte ich auch gleich mal an der Softwareablage arbeiten... Zur Zeit wurde hier nur jegliche zu findende Software hinterlegt. Allerdings ohne eine wirkliche Ordnung. Wie sollte der beste Aufbau hier sein? Was meint ihr? Ich hatte an so einen Aufbau gedacht: Softwareordner -> Tools -> Treiber -> ... Aber wie sinnvoll ist das? Im Grunde müsste das doch was sein oder? Ich überlege nur, wie integriere ich z.B. dann Updates für .Net oder so... Der Aufbau sollte schon so sein, das es wirklich übersichtlich ist. Daher bin ich für Tipps immer dankbar.

Hallöchen, danke für die Info... Das habe ich natürlich mal probiert, brachte aber keinen Erfolg. Ich habe den IE jetzt einfach neu installiert und damit dann das Problem behoben. Aber ich habe auch herausgefunden, woran das liegt bzw. was diesen Fehler verursacht hat... Es waren die Xenocode Sandbox Webbrowser... Genauer gesagt hier wohl der IE 6. Ich habe das natürlich alles vorher in einer VM Umgebung geprüft. Da war nichts auffälliges. Bis zum Neustart des Systems fällt einem auch gar nicht auf, der IE7 mehr oder weniger zerstört wird. Ich habe jetzt wieder alles was den Browser betrifft runter geschmissen und dann den IE7 bzw. das Setup des IE7 noch einmal laufen lassen. Jetzt klappt wieder alles... Man kann aber nur von den Xenocode Browsern abraten... Es gab sogar zu den Browsern einen Artiel auf heise. Ich kann nur abraten und einige andere tun das inzwischen auch. Der Fehler wird nur dann offensichtlich, wenn man das Icon des IE auf dem Desktop hat. Keine Verknüpfunng, sondern das wirkliche Icon. Alle anderen Verknüfungen funktionieren nämlich. Ersichtlich wird es vor allem dann, wenn man eine Seite aufruft dessen Zertifikat nicht gültig ist. Der IE7 zeigt hier normalerweise eine etwas Rot gefärbte Seite. In dem Fall ist der Browser der Meinung es gibt einen DNS Error und es erscheint eine Seite im IE6 Style... Deshalb würde ich sagen, Finger weg denn es scheint doch keine wirkliche Sandbox Umgebung zu sein...

Hallo zusammen, ich habe gerade ein ganz komisches Problem mit dem Icon des Internet Explorer... Jedesmal wenn ich versuche den IE über das Desktop Icon zu starten, wird eine neue Verknüpfung erstellt... Über einen Rechtsklick kann ich auch den Punkt "Startseite öffnen" nicht mehr sehen, der erste Punkt heißt Verknüpfung erstellen... Also ist da irgendwie an dem Icon was kaputt gegangen. Selbst wenn ich es über die Eigenschaften des Desktops ausblenden und wieder neu erstellen lasse, tritt dieser Fehler auf. Auch die durch Klick erzeugten Verknüpfungen sind defekt. Alle anderen Verknüpfungen aus dem Startmenü funktionieren einwandfrei. Jemand eine Idee wie ich das wieder grade biegen kann, das dass Icon wieder so funktioniert wie vorher, sprich das erste Punkt wieder Startseite öffnen heißt. Im Zweifel kann ich die Systemwiderherstellung bemühen, aber das soll der letzte Ausweg sein... Ich danke euch im Voraus.

Hat evtl. jemand eine Idee, warum die Suche nach dem Besitzer auf diese Art nicht funktioniert? Es ist egal, auf welche Art man sucht... Als hätte das Feld Besitzer keine Funktion. Danke Euch...

:suspect: :cool::) Und ich wundere mich schon und denke, warum sieht das bei mir so komisch aus... Naja, was solls. Ich würde das auch in einer extra DB führen, für mich No Problem. Ein bisschen Pflegearbeit halte ich für voll ok. Blos ich habe mit Wiederstand zu kämpfen, weil das gar nicht gemacht werden soll... Und deshalb, muss ich erstens die Argumente dagegen entkräften, nicht allzu schwer und die Einfachheit wie sie jetzt ist, nahezu versuchen zu erhalten... Den Benutzer interesiert das überhaupt nicht, wie die Maschine heißt. Der Wiederstand kommt aus den eigenen Reihen. Dieser beschriebene Weg sah schon ganz gut aus... Aber wie das immer so ist.

Hallöchen, danke für den Tipp... Blos bei mir baut sich der Zweig Besitzer nicht so "schön" auf, wie bei dir. Bei mir findet sich da gesamte Domänenstamm wieder. Sprich: subdomain.domain.tld/OU/Benutzer/Test User Daher wäre das wohl nicht gerade so toll, obwohl ich gerade nicht weiß, warum er da den ganzen Stamm anzeigt, ist ja unnötig. Falls da jemand was zu weiß... :wink2:

Moin, danke dafür. Aber, wie hattest Du gedacht, sieht das aus? Ich kann ja keinem Benutzer ein Computerobjekt hinzufügen, also nicht das ich wüsste... Ich habs jetzt auch net nachgeschaut, aber das geht meines Wissens nach nicht. Ich find den Ansatz aber interessant, wie würde das aussehen?

Hallo zusammen, es ist wirklich manchmal schwer, gegen bestehende Dinge anzukämpfen oder sowas durchzukriegen... Es geht um die Rechnernamen. Zur Zeit heißen die Rechner alle entweder WS-FL oder NB-FL FL für die ersten Buchstaben des First- und Lastname. Ich merke aber immer wieder, das dass Probleme macht... Gerade in Bezug jemand erhält eine neue Maschine... Da kommts dann schon durcheinander, weil der Namne dann verändert wird etc. kurzum, unübersichtlich. Ich hatte mir folgendes gedacht... CN für Corporatename... CNNB0 - 999 oder CNWS0 -999... Problematisch ist allerdings, das es Querstellungen gibt, weil die Leute der Meinung sind, das wird zu schwer. Jetzt geht man hin und braucht nur zu überlegen, wie der Mensch heißt, auf dessen Maschine man Zugriff benötigt. Und so müsste man im Zweifel erst eine DB untersuchen... Für mein Verständnis absolut vertretbar. Gut, es wäre halt ein Aufwand diese Liste auf zu pflegen, klar aber am Ende doch besser meiner Ansicht nach als bisher. Jetzt wollte ich euch mal fragen, ob ihr noch Ideen habt. Ich hatte schon überlegt, für jede Maschine einen Alias im DNS anlegen zu lassen... Dann wäre das gelöst und die Maschinen hätten einen ordentlichen Namen. Aber das müsste automatisiert gehen. Vielleicht habt ihr ja eine Idee...

Hallo zusammen, ich hoffe ihr könnt mir in folgender Sache etwas weiterhelfen. Es geht um folgendes: Ich habe hier einen Server, welcher die aktuelle Uhrzeit über das Internet sychronisieren darf... Dieser Server soll dann die Zeit an die anderen Server weitergeben. Wie stelle ich das am besten an? Ich hab in den Domain Policys keine Einstellung gefunden, wo ich angeben kann, bezieh deine Zeit von diesem einen Server. Wobei auf die Server aber auch keine GPOs angewendet werden. Aber für die Clients wäre das auch ganz gut... Muss ich da wirklich den "langen" Weg über die Registrysettings gehen? Was mir noch auffällt, ich habe hier einen Server. Wenn ich bei dem ein paar Tage nicht anmelde, geht die Uhr fast 5 Minuten falsch. Woher kommt das denn? Ich habe inzwischen die Zeit im BIOS geprüft, die Bios Batterie mal gewechselt... Aber die sollte ja mit dem laufenden Betrieb nichts zu tun haben... Danke Euch

Nein, natürlich kannst Du über den Adminserver alles in einem installieren... Aber das will man an der Stelle nicht sondern bei Installation eines Clients sollen eben diese beiden Komponenten installiert werden. – Eine andere Frage ist ja, kann ich es irgendwie erreichen, das beim weg nehmen der Gruppe von einer Software, welche per Startskript installiert wurde, diese dann auch wieder deinstalliert wird...? Bei den MSI Paketen ist das ja kein Problem. Aber die Startskripte, das ist halt so eine Sache...

Kaspersky nennt er sich... Du hast halt einen Adminserver, welcher im Netz steht und von diesem wird ein Client, der Networkagent zur Verfügung gestellt für die Kommunikation zwischen Client und Server... Und dann gibts eben das eigentlich Programm... Was ich im Grunde nur wissen möchte ist, wenn ich drei Gruppen erstelle... 1.) Virenscanner 2.) Networkagent 3.) Kombigruppe aus Agent und Virenscanner Gruppe... Diese Kombigruppe sollen dann die Clients bekommen... Wenn ich dann eine Änderung an der Kombigruppe vornehme, z.B. Gruppe Virenscanner durch eine neue ersetze, weil es eine neue Version gibt oder so, bekommen die Clients das mit uns deinstallieren entsprechend die alte Version und installieren auch die neue?

Hallo zusammen, eine Frage habe ich im Zusammenhang zu AD Gruppen und Installation über AD. Zur Zeit ist es so, das ich eine Software per Gruppe installiere und beim wegnehmen der Gruppe wieder deinstalliere... Ich würde auch gerne bei der Methode bleiben. Die ist für unsere Zwecke aber mal sowas von ausreichend. Es geht um den Virenscanner... Dieser teilt sich in zwei Programmteile auf, einmal das eigentliche Programm und dann ein Script zur Kommunikation mit dem Administrationsserver. Diese Tools sollen beide auch über eine Gruppe installiert werden. Meine Frage ist folgende... Wenn ich eine Kombinationsgruppe baue, welche aus der Gruppe des Kommunikationstools und dem eiegntlichen Programm, dem Virenscanner besteht und ich nehme an der Gruppe eine Änderung vor, weil z.B. Version 7 durch 8 ersetzt wird. Nehme also aus der Kombigruppe die Gruppe Virenscanner 7 weg und gebe dafür 8 rein. Bekommen die Maschinen diese Änderung mit? Sprich wird dann die Version 8 auf die Maschinen installiert? Eine zweite Sache ist ja, das ich nur über Startskript .exe Files installieren kann... Gibts da einen Weg, wie ich ein Uninstall erreiche, wenns die Gruppe nicht mehr gibt bzw. wenn ich die Gruppe wegnehme? Danke Euch...

Hallo zusammen, zur Verteilung unseres Virescanners über ein AD Paket sprich Softwareverteilung wäre es nötig, ein MSI File zu bauen, welches eine Setup.exe mit entsprechenden Angaben bzw. Switches aufruft... Ich öffnet solche MSI Files meist mit Orca... Ist das möglich? Leider kann ich mit dem AD ja keine Setup.exe aufrufen und die Installation per Logon Script kann ich auch nicht nutzen, weil ich dann ja beim entfernen der Gruppe keine Deinstallation hätte... Es gibt zu dem Virenscanner bereits ein MSI Paket, wenn ich diesem in den Tables genau so die Silentangaben machen kann, würde das auch schon ausreichend sein... Aber kann ich das eintragen im MSI File mit Hilfe von Orca? Ich dachte es wäre evtl. besser ein leeres MSI zu bauen, welches die Setup.exe mit den Switches aufruft... Aber wie ist das denn mit der Deinstallation beim wegnehmen der Gruppe? Klappt das dann? Ich weiß auch gar nicht, an welcher Stelle das im MSI File eingetragen sein muss... Danke für Eure Hilfe...