ponchofiesta

Ich bin bisher auf zwei Nachteile bei der WSUS-Methode gestoßen: - Man kann die Software nicht mehr deinstallieren (oder doch?) - Man kann PCs nicht manuell dazu bringen nach Updates (Programmen) zu suchen (wie bei "gpupdate /force")

Davon gelesen hatte ich schon mal, als ich den Adobe Reader auf einigen PCs verteilen wollte. Jetzt hab ichs mir mal genauer angeschaut. Da scheint man ja auch deutlich mehr Möglichkeiten zu haben. Das würde allerdings einige Änderungen bei uns erfordern. Ich werd damit mal ein paar Tests machen. Vielleicht kommen bis dahin ja noch andre Vorschläge.

Hallo Leute, wir verteilen Software in unserer Domäne über die Softwareverteilung in den Gruppenrichtlinien. Das reicht uns soweit eigentlich auch aus. Das einzige, was mir fehlt, ist ein Report. Es kommt gerne mal vor, dass einige PCs einfach länger nicht an sind oder es Probleme bei der Installation gibt. Und da wäre eine Übersicht der PCs und ihrer installierten Software sehr hilfreich. Ich hab gestern auch schon die Registry durchforstet und auch mehrere Stellen gefunden. Aber ich konnte an keinem Wert ableiten, ob das Paket nun installiert ist, oder nicht. Ich konnte nur erkennen, ob es grundsätzlich zugewiesen ist. Gibt es da eine Möglichkeit? Ich würde mir auch selber etwas basteln aber dazu brauche ich eben irgendwo her zuverlässige Infos über den Installationsstatus. (SCCM und andere Deployment-Software mal ausgeschlossen)

Und wie sollen sich dann, wenn sie es dürfen, die User mit ihren Konten anmelden? Dann wären wir ja wieder bei der anderen Methode mit den freigeschlateten Usern/Gruppen. Sehe ich das richtig?

Jap, hab ich auch drüber nachgedacht. Etwas ähnliches haben wir an den ThinClients. Den Kollegen waren die einfachen Symbole auf dem Desktop der Clients nicht schön genug, daher bauen die Geräte nun beim Start eine RDP-Verbindung auf und loggen sich automatisch mit einem komplett eingeschränkten Nutzer ein, wo dann nur eine kleine Anwendung gestartet wird, die in etwas schönerer Weise die Loginmöglichkeiten für Besucher zeigt. Totale Ressourcenverschwendung aber die Benutzungsabteilung will es eben so. Aber was hindert den User bei deiner Methode daran sich einfach abzumelden und mit seinem Konto anzumelden? Leicht OT: Da fällt mir grad wieder eine nette Geschichte ein: Ich zum Mitarbeiter: "Starten Sie den PC bitte mal neu". Der Mitarbeiter schaltet den Monitor aus und wieder ein... Es besteht auch bei einigen Mitarbeitern die Annahme, dass der Monitor der Rechner ist und der Rechner die Festplatte. O.o

Ja, die genannte Lösung mit einem speziellen Nutzer, der freigegeben wird, ist aber, wie gesagt, zu umständlich. Ihr müsst bedenken, dass es sich hier um Bibliothekare handelt - Durchschnittsalter 47. Die meisten von denen hatten bis vor wenigen Jahren nie etwas mit Computern zu tun und machen auch jetzt nur das, was sie für die Arbeit brauchen (Bibliothekssystem, Mails). Ich muss denen das ja auch irgendwie verkaufen und wenn dafür zu viele Handgriffe nötig sind, wird mir das sofort um die Ohren gehauen. Es steht schließlich eine einfache Passworteingabe beim Start gegenüber, was für meine Kollegen natürlich einfach zu handhaben ist... nur für uns aus der IT natürlich ätzend ist. Ich weiß nicht, mit welchen Leuten ihr so arbeitet aber für mich ist das ein täglicher Kampf :) @marka Es handelt sich um eine Uni-Bibliothek. Wie oben schon beschrieben haben wir im Forest über unserer Domäne die Domäne mit den Studenten-Konten und den Mitarbeitern. In unserer eigenen Domäne haben wir alle Konten von sonstigen Usern (weil wir ja trotzdem eine für jedermann zugängliche Bibliothek sind und auch Nicht-Studenten abdecken müssen).

Siehe: http://www.mcseboard.de/windows-forum-allgemein-83/anmeldung-deaktivieren-2-176041.html#post1085135 Und bevor mir vorgeworfen wird, dass das doch nicht nötig wäre: Ich sehe das genauso. Ich versuche nur die Wünsche unserer Benutzungs-Abteilung umzusetzen und das ganze einigermaßen praktikabel zu gestalten.

"Ein Benutzer" steht ja nicht zur Auswahl. Das würde bedeuten es müsste nach dem Benutzernamen gefragt werden. Der muss eingetragen werden... ist schon zu viel für einige Kollegen und halte ich auch für zu fehleranfällig (Tippfehler). Ich dachte eher an Gruppe(n) "Domain Users" (die User sind ansonsten in keiner extra Gruppe gesammelt) in die "erlaubte" Gruppe. Dazu kommt noch, dass es User aus zwei Domänen sind, die sich dort anmelden können sollen. Nämlich unserer eigenen (das sind die "Bibliothek-only"-Benutzer) und der im Forest über uns stehenden (das sind unsere Studenten und Mitarbeiter).

Und die Gruppen-Änderungen würden auch sofort greifen. Also Idee erstmal gut. Ich werd das mal testen. Für die Theken-Damen und Herren (nicht, dass sich jemand diskriminiert fühlt) stelle ich mir ein kleines .NET-Progrämmchen vor mit Buttons für jeden PC, die dann zwischen grün und rot wechseln. Es muss ja auch für die dümmsten Leute verständlich und leicht benutzbar sein. Aber das sollte dank .NET ja recht simpel sein. Mit der Gruppen-Methode kann ich aber nicht PC-weise arbeiten. Oder ich muss es doch mit lokalen Richtlinien machen. Sehe ich das richtig?

Ich bin da immernoch skeptisch. Vor allem, weil ich aus Erfahrung sagen kann, dass GPOs auch nach einem Neustart nicht immer greifen. Da ist dann auch gern mal noch ein gpupdate von Nöten. Und welche Berechtigung brauchen die Mitarbeiter um die Computer in eine andere OU verschieben zu können? Ich hab jetzt einfach mal Lesen und Schreiben für die beiden OUs für Computer-Objekte gegeben aber beim Versuch wird der Zugriff verweigert. EDIT: OK, das ist jetzt ein anderer Weg. Ich glaub das mit der Gruppe ist doch besser.

Gut, dann erkläre ich es nochmal ausführlicher. Vielleicht hilft das, es zu verstehen. Ich arbeite in einer großen Bibliothek. Wir haben etwa 300 ThinClients an denen die Besucher recherchieren können. Außer Büchern gibt es auch diverse CDs in unserem Bestand, die aber nicht ausgeliehen werden. Damit die Besucher diese benutzen können, gibt es die angesprochenen PCs. Diese PCs sind deutlich leistungsfähiger, mit mehr Software und größeren Bildschirmen ausgestattet als die ThinClients, was dafür sorgt, dass die Besucher sich dort gern ran setzen. Da es nur 7 solcher PCs gibt, sollen die für die Nutzung von CDs freigehalten werden. Deshalb soll die Nutzung erst durch unser Theken-Personal freigeschaltet werden können. Die PCs stehen nämlich direkt vor den Theken und die Benutzer bekommen von dort auch die CDs. Und wie kann ich das nun bewerkstelligen?

Wie gesagt: Unser (Nicht-IT-)Personal schaltet die PCs frei. Wie sollen die an den OUs etwas ändern können ohne dass sie gleich andere Dinge kaputt machen könnten, die sie nichts angeht. Das ist doch das Hauptproblem an der Sache. Ich sage ja nicht, dass meine Idee besser ist. Ich suche nur erstmal eine, die umsetzbar ist.

@Sunny61 Ich kann lokale Richtlinien und Gruppen auch von ferne bearbeiten. Der Wunsch des Personals ist, dass die PCs nur genutzt werden können, wenn sie es freigegeben haben. Das lösen wir halt derzeit durch das BIOS-Passwort für den Start. Damit bin ich aber unzufrieden, weil ich so jedes mal hin rennen muss um die Kisten zu starten, wenn ich mal ran muss. Ergo brauche ich eine Lösung in der das Personal die einzeln freigeben kann und der PC trotzdem normal gestartet werden kann, damit ich da auch von ferne ran komme. Die GPOs greifen halt nicht sofort. Außerdem hat das Personal natürlich keine Berechtigung für AD-Änderungen. Bei den Lokalen Geschichten könnte ich mir nämlich vorstellen, dass sie es mit lokalen Berechtigungen machen könnten.

Per Domäne wäre das zu unflexibel aber lokal wäre das vielleicht eine Option. Es soll ja auch nur auf einzelnen PCs greifen, nicht auf allen. Fragt sich dann, ob ich das auch so hin bekomme, dass unsere Mitarbeiter das selber machen können...

Hallo Leute, wir haben einige PCs, die erst mit Erlaubnis des Personals genutzt werden dürfen. Derzeit haben wir dort ein Start-Passwort im BIOS gesetzt. Damit kann man die PCs aber schlecht fernwarten, weil Sie ja nicht starten ohne Passwort. Gibt es vielleicht eine Möglichkeit die PCs normal laufen zu lassen aber die Anmeldung zu deaktivieren?

Hallo Leute, wie kann ich einen String ausgeben ohne einen Line break am Ende? In der Bash geht das mit echo -n "text"

Wirksam soll sie nur in unsrer Domain sein. Es sind auch universelle Gruppen aber eben nur bei uns. Ich wundere mich eben nur, weil die Powershell ja alle Gruppen ausspuckt. Es tauchen auch Gruppen von anderen Subdomains auf, mit denen wir nichts zu tun haben. Die MMC schmeißt da vermutlich absichtlich alle anderen raus, was IMO aber total unpraktisch ist. Kann man der MMC nicht irgendwie sagen, dass das nicht sein soll?

Hallo Leute, wir sind neuerdings in einem Domain-Forest einer anderen Domain untergeordnet. Wir arbeiten mit unseren eigenen Gruppen. Die Benutzer kommen allerdings aus der übergeordneten Domain. Nun haben wir das Problem, dass bei den Benutzern im "Active Directory-Benutzer und -Computer" unter "Mitglied von" nur die Gruppen seiner Domain stehen. Wir können diese Benutzer unseren Gruppen auch nur über unsere Gruppen hinzufügen. Über den Benutzer sind unsere Gruppen nicht verfügbar. Das ist einfach vom Arbeitsaufwand sehr umständlich. Und wir können eben auch nicht sehen, in welchen unserer Gruppen Benutzer XY ist. Nun wollte ich ein simples Powershell-Script schreiben, was uns die Abfrage der Gruppen erleichtert und musste dabei feststellen, dass man dort problemlos alle Gruppen sieht - egal aus welcher Domain. Beispiel: $user = ([adsi]"LDAP://CN=$username,OU=$subfolder,OU=User,DC=domain,DC=de") $user.memberOf Da denke ich mir nun, dass man die Gruppen in "Active Directory-Benutzer und -Computer" doch sicherlich auch irgendwie angezeigt bekommen kann. Aber wie? Zur Zusammenfassung: Unsere Gruppen -> subdomain.domain.de Die Benutzer -> domain.de Unsere Gruppen werden bei den Benutzern unter "Mitglied von" nicht angezeigt.

Bei mir half damals WAIK einfach neu zu installieren.

Ja... das Thema sollten wir nicht vertiefen, sonst reg ich mich nur unnötig auf :mad:

An lokale Profile habe ich auch schon gedacht. Das würde für die meisten Leute erstmal reichen. Nur die Leute, die an verschiedenen Rechnern sitzen haben damit nichts gewonnen. Dass die Kollegen die Profil-Pfade der entsprechenden Nutzer ändern, wage ich stark zu bezweifeln. Einige Nutzer arbeitenauch in anderen Bereichen, wo das dann wieder kontraproduktiv wäre. Is ja wirklich ärgerlich das ganze :(

Hallo Leute, gibt es eine Möglichkeit den im Konto eingestellten Profil-Pfad per Gruppenrichtlinie oder auch anders zu "overriden"? In den Profilen ist ein Pfad eingestellt, der wegen technischer Probleme (AFS) nicht geht und wir wollen jetzt für alle Nutzer ein Ausweich-Profil bereitstellen, damit sie erstmal arbeiten können. Auf die Konten selber haben wir aber keine Ändern-Rechte, da die im Domain-Forest über uns stehen. Wir können nur in unserer untergeordneten Domain Änderungen per Gruppenrichtlinien (oder vielleicht mit Scripts?) vornehmen. Gibt es da eine Möglichkeit, den Pfad zu ändern?

Ich knüpfe hier einfach mal an. Ich hab den selben Fehler. Das Image (Vista32 Business SP1) versuche ich auf meinem PC (XP32 Prof) zu öffnen. Das merkwürdige dabei ist, dass ich genau das Image schonmal problemlos nutzen konnte, denn damit hab ich auch die unattend.xml erstellt, die ich jetzt bearbeiten will.

Nein Hmm, das würde den Wechsel etwas vereinfachen. Bei genauerem Drübernachdenken merke ich auch, dass wir das mit den Berechtigungen auch falsch gemacht haben. Die sind alle auf den Printservern selber, was natürlich zu extra Arbeit führt. Ich dachte aber, man könnte es irgendwie wie mit den Domänen-Servern machen. Einer fällt aus und es wird automatisch der andere genutzt. Denn mit dem Script würde man trotzdem erstmal eine Ausfallzeit haben und die Nutzer müssten trotzdem informiert werden, dass sie das und das machen müssen, damit es wieder geht (Ab- und Anmelden z.B.).

Hallo Leute, Gibt es eine Möglichkeit Drucker über eine Domäne anzubinden? Ich erkläre erstmal das Problem: Wir hatten zwei Printserver in der Domäne. Alle Drucker waren auf beiden Servern installiert und freigegeben. Ein Server davon hat nun der Grätsche gemacht. Die Nutzer, die Drucker von diesem Server nutzten, konnten also nicht mehr drucken. Man muss nun umständlich von Hand überall die Drucker des anderen Printservers einbinden. Außerdem muss man immer alle Änderungen auf zwei Servern vornehmen (doppelte Arbeit). Gibt es in einer Domäne irgendwie die Möglichkeit einen Drucker nicht direkt von einem bestimmten Server zu verbinden, sondern von der Domäne? (eine Art Loadbalancing quasi)