Dingo

Hi Norbert, und ob! Vielen Dank für den Hinweis. :thumb1: :) Was mir zudem bislang nicht so richtig klar war ist, dass Microsoft das Zuordnungsmodell von Dateitypen geändert hat. Ist eine Dateierweiterung oder ein Protokoll (z. B. .png) bereits einem Dateityp (z. B. App...Foto) zugeordnet, kann diese Zuordnung nicht mehr innerhalb eines Programms geändert werden. Man kennt das von Programmen die bei der Installation fragen ob sich sich für bestimmte Dateierweiterungen zuständig fühlen sollen. Diese Einstellungen ist nun wirkungslos, da diese Programme (genau wie ich) daran scheitern, sich in der Registry an der entsprechenden Stelle als Standardprogramm einzutragen. Microsoft enpfiehlt daher die Programme so zu schreiben, dass der Windows Dialog "OpenWith" erscheint und der Anwender selbst entscheiden kann was das beste Programm für die entsprechende Dateierweiterung oder Protokoll ist. Denn nur wenn die Änderungen über OpenWith gemacht werden, landen sie auch an der Stelle der Registry die manuell bisher nicht veränderbar ist (siehe oben #4). Die seltsame Frage von Windows, die nach dem ersten Start von Firefox erscheint, was denn nun das Standardprogramm für "http" sein solle ist also (nach MS Vorstellung) vollkommen richtig, da hier schon eine Vorbelegung vom IE existiert. File type and protocol associations model http://msdn.microsoft.com/en-us/library/windows/desktop/hh848047%28v=vs.85%29.aspx Best practices for file type and protocol associations in Windows Developer Preview desktop apps http://go.microsoft.com/fwlink/p/?linkid=228165 Diese Verschlimmbesserung wollte ich gerne abschalten. Es ist einerseits schön wenn der Benutzer etwas mehr Kontrolle bekommt und sich (Schad-) Programme unter der Haube nicht einfach für irgendetwas registrieren können. Anderseits bin ich der Admin und ich will entscheiden was für meine Schäfchen das Beste ist. Zumindest den Auslieferungszustand möchte ich gerne definieren können. Wenn später jemand der Meinung ist ein anderes Programm sei für seine Arbeit sinnvoller - dann bitte sehr. Unmöglich aber kann ich meinen Anwendern einen Rechner vorsetzen der ständig irgendwelche Fragen stellt. Standardprogramm für http?? Einige Browser halten diese Information "http://" am Anfang der Adressleiste schon lange für überflüssig und zeigen sie schon gar nicht mehr an. Nein - ich habe keine Lust den Leuten zu erklären was das bedeutet und ich möchte auch nicht bei der Entscheidung behilflich sein müssen ob denn nun Paint oder der Photoviewer das bessere Programm zum Anzeigen von Fotos wäre. Ein Klick auf einen Link oder eine Bilddatei soll einfach nur funktionieren und etwas anzeigen*. Der Vorschlag das Problem mit einer Policy zu lösen ist gut und funktioniert. Leider ist mir das aber zu restriktiv. Daher ist meine Lösung nun diese: Referenz erstellen: Dateitypen auf einem Rechner manuell mit den gewünschen Standardprogrammen verknüpfen. Diese Einstellungen dann exportieren mit: dism /Online /Export-DefaultAppAssociations:C:\tmp\AppAssociations.xml An einem neu installieren Rechner wird die Datei wieder importiert. Von Hand oder gleich über ein Softwaredeployment mit dism /Online /Import-DefaultAppAssociations:C:\tmp\AppAssociations.xml Wenn man das von Hand macht wird er angemeldete Admin zunächst keinen Unterschied bemerken. ABER alle Benutzer diese sich fortan an neu dieser Maschnine anmelden haben die Standardprogramme wie sie sein sollten. Bilder öffnen sich ohne Rückfrage mit dem Photoviewer, Audiofiles vom AB ertönen vom schlichten Mediaplayer, der Firefox startet ohne lästige Protokollfrage, ... wie schön kann's sein?!! Und das Beste: Niemand wird auf ewig zu Photoviewer & Co verdammt! Sollte ein Benutzer tatsächlich eine Zuordnung ändern wollten, dann wird er von keiner Policy daran gehindert. Grüße :) Dingo PS: Anmerkungen?, Korrekturen?, Bedenken? Na dann her damit.

Wow, hier ist mal echt tote Hose. Muss wohl am schönen Wetter liegen?!? Oder vielleicht doch daran, dass sich alle Welt auf Windows 7 stürzt und von 8 niemand etwas wissen möchte? :-/ @Dunkelmann: Danke für Deine Bemühung. Allerdings glaube nicht, dass das bei Win8 noch etwas bewirkt. Ausgangssituation: An dem PC vor dem ich gerade sitze werden JPGs wie gewünscht mit dem PhotoVierwer angezeigt, PNGs dagegen mit der App "Fotos". Das habe ich durch manuelle Änderung der Standardprogramme bewirkt und hoffte nun irgendwo einen Unterschied zwischen jpg und png zu entdecken. Assoc verrät mir folgendes Ergebnis (was vermutlich auch nur aus "HKEY_CLASSES_ROOT\.jpg" bzw. ".png" stammt). C:\>assoc .jpg .jpg=jpegfile C:\>assoc .png .png=pngfile Es gibt also die Dateitypen jpegfile und pngfile. JPG sollte mit dem Photoviewer verknüpft sein und PNG mit der App aber wo ich auch suche finde ich immer nur den Hinweis, dass PNGs mit dem Photviewer geöffnet werden. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pngfile\shell\open\command\ (Default) = %SystemRoot%\System32\rundll32.exe "%ProgramFiles%\Windows Photo Viewer\PhotoViewer.dll", ImageView_Fullscreen %1 HKEY_CLASSES_ROOT\Wow6432Node\pngfile\shell\open\command\ (Default) = %SystemRoot%\System32\rundll32.exe "%ProgramFiles%\Windows Photo Viewer\PhotoViewer.dll", ImageView_Fullscreen %1 HKEY_CLASSES_ROOT\pngfile\shell\open\command\ (Default) = %SystemRoot%\System32\rundll32.exe "%ProgramFiles%\Windows Photo Viewer\PhotoViewer.dll", ImageView_Fullscreen %1 Für mich ist also leider nicht mehr nachvollziehbar wo und wie geregelt ist welche Dateierweiterung mit welchem Programm geöffnet wird. Ich bin erstaunt, dass es kaum Anworten zu diesem Thema gibt. All das Metroscheue Adminvolk (mich eingeschlossen) sollte doch darum bemüht sein, oder? Vermutlich bin ich wohl doch Einzelkämpfer, da sich die Masse an Win7 zu klammern scheint. Dann die Erkenntnis: In diesem Zweig gibt es einen Unterschied! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice ProgId=AppX9vdwcvrwnbettpahnt26jswq0n8hgyah HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\UserChoice ProgId=jpegfile Wenn man nun die Dateierweiterung .png mit dem Dateityp pngfile zusammenbrächte wäre doch alles gut, oder? Möööp! Leider kann dieser Teil der Registry nicht so einfach beschrieben werden. Es muss wohl immer der passende Hashwert mitgeliefert werden. Aha - und wie das?

Keiner? :( Scheint nicht so einfach zu sein, wie?

Moin@all, kann mir bitte jemand sagen wie ich auf einem bereits installierten W8 Pro die Standardprogramme ändern kann? Das Thema beschäftigt mich jetzt schon eine Weile. Das was man mit "Standardprogramme festlegen" einfach hinklicken kann muss doch auch per Script gehen, oder? Im Grunde möchte ich an Stelle der Metro Apps wieder die Desktop Gegenstücke als Standard Bildbetrachter & Audioplayer haben. Vielen Dank Dingo

Moin, leider war in den Logfiles überhaupt keine Information über einen gescheiterten Anmeldeversuch zu finden! Habe jedoch eine für mich gültige Übergangslösung gefunden. Kurze Zusammenfassung: Im Verlauf der Domänenmigration wurden viele Gruppen in die neue Domäne verschoben. Ein Mitgliedschaft einer Universellen Gruppen einer anderen Domäne belegt nun 40 statt vorher 8 Bytes. Dadurch wurde u. a. irgendwann die maximale Puffergröße von 12.000 Bytes erreicht. Das war der Moment als Outlook nicht mehr funktionierte und behauptete es könne sich nicht am Exchange Server anmelden. Dagegen half der Regkey "MaxTokenSize". OWA bzw. IIS und ActiveSync funktionierten damit allerdings noch längst nicht. In Tests fand ich heraus, dass die Tokensize unter 9.000 Bytes liegen muss damit OWA wieder mitspielt. Dazu kann man den Benutzer aus sämlichen Gruppen austragen, leider wird das beim Kunden wenig Begeisterung hervorrufen, da er danach auf wenig bis kein Verzeichnis mehr Zugriff hat. Die Temporäre Lösung sieht nun vor die Mitgliedschaften zu reduzieren. Es wird eine neue globale oder universelle Gruppe zu erstellt, die nur für diesen speziellen Benutzer erstellt wird. Er fliegt aus allen anderen GlobalenGruppen heraus und die neu erstellte Gruppe wird Mitglied der DomänenlokalenGruppen. Ist als Bild vielleicht etwas verständlicher... Gruppenverschachtelung Normal: (B)enutzerY -> (G)lobaleGruppe1 -> (D)omänenlokaleGruppe1 -> Ressouce1 (B)enutzerY -> (G)lobaleGruppe2 -> (D)omänenlokaleGruppe2 -> Ressouce2 (B)enutzerY -> (G)lobaleGruppe3 -> (D)omänenlokaleGruppe3 -> Ressouce3 Gruppen temporär: (B)enutzerY -> (G)lobaleGruppeY -> (D)omänenlokaleGruppe1 -> Ressouce1 -> (D)omänenlokaleGruppe2 -> Ressouce2 -> (D)omänenlokaleGruppe3 -> Ressouce3 Der Benutzer wird nur noch Mitglied einer einzigen G-Gruppe, was die Anzahl der Gruppenmitgliedschaften nahezu halbiert. OWA + ActiveSync funktionieren wieder. Trotzdem bleibt der Zugriff auf alle Ressourcen garantiert. Wenn sich nach der Migration Gruppen und Benutzer wieder in der selben Domäne befinden, werden die Mitgliedschaften (zurück) korrigiert. Gruß :] D.

Hi BrainStorm, danke für Deine Mühe! Das ist ein vielversprechender Hinweis wie ich fand. Habe ihn jedoch schon ausprobiert und es brachte leider keine Veränderung. :/ Ich hatte den Hinweis hier gefunden und es sogar mit den dort genannten höheren Werten versucht. thx D.

Hier noch ein weiterer Hinweis: Ich habe einen neuen Benutzer erstellt, bei dem OWA zunächst wie erwartet funktionierte. Anschließend habe ich ihn in die gleichen Gruppen gesteckt wie eines der Problemfälle und siehe da, OWA zeigt nur noch die weiße Seite! Dann habe ich Stück für Stück die Gruppen reduziert und das Verhalten beobachtet. Der Benutzer hatte wirklich verdammt viele Gruppenmitgliedschaften. Anfangs 436 jetzt 213, damit geht es und OWA funktioniert (ermittelt mit whoami -all). Nach allem was ich herausgefunden habe scheint die Gruppenanzahl alleine aber nicht das aussagekräftig zu sein, da die Gruppentypen IMHO unterschiedlich viel "Speicherplatz" belegen. Da immer die Rede von der TokenSize ist, wollte ich die tatsächliche Tokengröße ermitteln. Hierfür gibt es das Tool TokenSZ von Microsoft und mit dem Befehl Tokensz /compute_tokensize wird der Wert für den angemeldeten Benutzer ermittelt. Bei 213 Gruppen wird eine Größe von 9094 Bytes angezeigt. Fügt man nun eine Gruppe hinzu (ok - durch Verschachtelung sind es dann zwei) sind die Werte 215 Gruppen und 9182 Byte, damit funktioniert OWA nicht mehr. Kann jemand mit dieser Grenze/Schwellwert etwas anfangen? thx D.

Hallo@all, irgend etwas ist ja immer... darauf ist man schon gefasst aber nun brauche ich wirklich mal Nachhilfe. Mr. Google konnte mir leider auch nicht helfen. Notfalls bin ich zwar zu dämlich zum Suchen aber doch bestimmt nicht der Erste mit diesem Problem, oder!? :/ Das Problem zu erklären bedarf schon einiger Zeilen, wäre aber dankbar wenn Ihr trotzdem mal drüber schaut. Ich steckte mitten in einer Intra-Forest-Migration und habe fleißig (universelle und globale) Gruppen in eine andere Domäne verschoben. Am nächsten Tag beschwerten sich zwei Benutzer, sie können mit ihrem Smartphones keine Emails mehr empfangen. Um weitere Fehlerquellen auszuschließen (Geräte, Mobilfunk, etc.), haben wir die Benutzer sich direkt am OWA anmelden lassen und festgestellt, dass das ebenfalls nicht funktionierte. Die Anmeldedaten werden angenommen aber anstelle des Postfachs wird nur eine weiße Seite angezeigt! Keine Fehlermeldung. Alle anderen Benutzer können diesen OWA-Server dagegen Problemlos benutzen! Das Problem konnten wir leider nicht sofort lösen und währenddessen wurde die Migration weiter fortgeführt. Am nächsten Morgen konnten genau die Benutzer vom Vortag kein Outlook mehr benutzen!? Es hat nicht lange gedauert, da fand ich heraus, dass das Access Token durch die Gruppenverschiebung zu groß geworden war. (Wie ich jetzt gelernt habe kostet die Mitgliedschaft in einer Universellen Gruppe einer anderen Domäne mehr Speicherplatz als die einer Globalen Gruppe derselben Domäne). Abhilfe schaffte hier der Regkey "MaxTokenSize" am Client. Nach dem Neustart funktioniert Outlook sofort wieder. Outlook Webacces jedoch nicht! :/ Um das Problem noch etwas komplizierter zu machen: Da alle anderen Benutzer den OWA ohne Fehler benutzen, ist man geneigt den Fehler am Benutzer zu suchen. JETZT kommt es aber: An einem weiteren OWA kann sich auch der Problemfall anmelden und bekommt wie gewohnt ein Postfach angezeigt! - Wie bringe ich nun den ersten Server dazu ebenfalls das Postfach anzuzeigen? Oberflächlich sehen die Einstellungen beider OWAs gleich aus. - Kann ich am IIS irgendwo das Logging sehen/ erhöhen um den Fehler besser eingrenzen zu können? Eine weiße Seite ohne Fehlermeldung ist arg dürftig. Die Rede ist übrigens von einer Windows Server 2003 Umgebung (AD+Echange SP2) mit IIS6. Ich hoffe ich konnte das Problem verständlich erklären. Bin langsam verzweifelt aber für jeden Hinweis dankbar. :] thx D.

GROßARTIG!! :) @Stefan: Danke für Deine Bemühungen. Die neuere Version hatte ich schon im Einsatz, leider bekam ich damit immer die Meldung "1722 The RPC server is unavailable". @Nils: Klasse, das war genau der Hinweis den ich gesucht habe! :jau: Zusammenfassung der Lösung: Subinacl kann generell mit UNC-Pfaden umgehen und daher klingt die Lösung etwas "krank" aber es funzt!! Als Admin den Netapp-Share an einem Windows Rechner mappen (net use z: \\Netapp.domain.de\share) und dieses Laufwerk mit Hilfe von SUBST (subst y: z:\) nochmals einem anderen Laufwerk zuordnen! Ab jetzt funktioniert subinacl wie gewohnt: subinacl /subdirectories Y:\ /changedomain=OldDom=NewDom

Die Überschrift ist vielleicht etwas ungünstig gewählt. Das Thema ist sicherlich nicht an den Hersteller gebunden. Es geht vielmehr um die Frage wie oder womit man ACLs übersetzen (Alte Domäne/SID -> Neue Domäne/SID) kann.

Hallo@all, tolle Hinweise findet man in diesem Forum! :thumb1: Vielleicht kennt ja auch jemand die Lösung für mein Problem oder kann mir helfen die Tomaten von den Augen zu bekommen?! Ich stehe kurz vor einer Intra-Forest-Migration und wechsel dabei gleichzeitig von w2k3 auf w2k8. Den Migrationsweg habe ich mir sorgfältig überlegt und soweit es möglich war auch schon getestet. Ich möchte ADMT benutzen um Benutzer, Gruppen, Computer, Server usw. zu "verschieben". Dabei erwarte ich noch keine Schwierigkeiten aber inzwischen habe ich gemerkt, dass ich entweder ein Problem mit der Migration unseres "Fileservers" oder eines zwischen meinen Ohren habe. :/ Wie zu Hölle migriert man ein NAS-System?? Statt eines Windows-Fileservers setzen wir einen NAS-Filer von Netapp ein. ADMT scheidet daher wohl aus, da man auf der Netapp nun mal keinen Agenten laufen lassen kann. Ich habe mich dann einige Zeit mit Subinacl beschäftigt und dachte das wäre das richtige Tool für diese Aufgabe. Dann stellte ich aber fest, dass es zwar wunderbar mit Windows-Shares jedoch nicht mit der Netapp funktioniert. Bevor ich mich jetzt weiter in irgend etwas verrenne wollte ich fragen wir ihr so etwas gelöst habt. NAS ist IMHO keine Seltenheit, vor mir müssen das doch schon zig Leute gemacht haben. Mit anderen Worten: Wie kann ich die ACLs an allen Verzeichnissen und Dateien von AltDOM\GruppeXYZ auf NeuDOM\GruppeXYZ abändern? Besten Dank vorab Dingo