Weingeist

@daabm: *lololol* Stimmt das ist widersprüchlich, ist mir erst jetzt aufgefallen wo dus sagst. Doofe Wortwahl. Auch wenn ich sonst überall geschrieben habe, dass modifizieren geht. Inklusive im Titel. Sysvol-Berechtigungen wurde - zumindest in der Theorie - nix dran rumgeschraubt. Allerdings olé olé, war da doch was im Argen. Und zwar waren die Write-Berechtigungen für Zugriff der Admins auf policies lediglich für Unterordner und Dateien nicht aber für den Ordner Policies an sich vergeben. Gefühlt 100x die Berechtigungen angeschaut und trotzdem nicht gesehen. Ich glaubs echt nicht. Wie dies dahin bzw. weg kam, ist nicht mehr nachzuvollziehen. *hmpf* Danke für die Geduld!

Etwas seltsam ist das schon. Deaktiviere die Kommunikation von und zu Akamai sowie Amazon auch standardmässig. Da sind ja einige Services (unter anderem der Spooler) sehr Kommunikationsfreudig. Bis jetzt noch keine Probleme damit gehabt. Bezüglich Updates sind es ja auch eine Reihe GPO's die man konfigurieren kann. Z.Bsp. das ein Client nicht selber zum Internet kommunizieren darf. Übermittlungsoptimierung auf Umgehung (evtl. Komplettdeaktivierung der Optimierung, mache ich bei allen Pro so). Dann fragt er normal ausschliesslich WSUS an, wo man die Treiber wiederum deaktivieren kann. Allerdings habe ich den Build 1903 noch nirgends ausgerollt und das wird vorläufig auch so bleiben. Bin auch total rückständig und nutze wo immer irgendwie möglich die LTSC-Version weil ich kein Bock habe im Halbjahresrhytmus neue Bedingungen anzutreffen. ;)

Wie und was genau? Bis jetzt hatte ich Probleme dieser Art noch nie, bzw. beschränkten sie sich auf das verabeiten auf den Zielmaschinen, das replizieren oder unterschiedliche Varianten der GPO's. =) --> Suche wohl falsch einfach falsch. Fand nix dazu.l @xrated2: Besitzverhältnisse liegen auch bei den Domain-Admins. Aber das problem sind ja auch nicht die existierenden GPO's. Da läuft alles rund. Sobald ich auf den Button neu erstellen drücke, kann ich noch den gewünschten Namen eingenben und sobald ich das bestätige, ist fertig.

@daabm: Nochmals mit anderen Worten: Der Fehler: es lässt sich keine neue GPO auf dem DC erstellen, ändern ist aber kein Problem, löschen auch nicht. Anzeigen auch nicht. Wie er sich äussert: Es erscheint nur eine Meldung: "Zugriff verweigert" wenn eine GPO erstellt wird. 0815 Msgbox ohne Symbol, nur ein OK Button, ohne sonstige Erklärung oder Err. Nummer. Kein Log-Eintrag, weder im administrativen Teil, noch bei Group Policy noch bei der FilterEngine (wo Zugriffsverletzung aller Art normal geloggt werden, sofern aktiv). Der Server ist weder abgestürzt (dass AD beschädig sein könnte) noch sonstwas. Es wurdne lediglich Updates eingespielt. Einträge im AD unter Computer/Benutzer erstellen ist auch kein Problem. Alles was ich den letzten Monaten gemacht wurde, ist die Windows Updates einzuspielen. Werde mal versuchen den Policies-Ordner neu zu erstellen und die Berechtigungen frisch zuzuweisen. Gefällt mir zwar nicht so richtig, aber mir fehlt sonst grad eine zündende Idee.

Jeweils Bearbeiten, löschen, sicherheit ändern für die Admins und Besitzer sind sie auch. Das alles geht auch. Scheint irgendwo ein Neuerstellungsrecht zu fehlen, fragt sich wo.

Hallo Leute, Habe in einer Umgebung das Problem, dass ich die GPO's nicht mehr verändern kann. Ist relativ schwierig nachzuvollziehen seit wann das Problem besteht, weil ich da schon eine halbe Ewigkeit keine neuen GPO's mehr erstellt habe. In den letzten Monaten ja fast Jahre habe ich da lediglich Windows-Updates eingespielt oder GPO's verändert. Was ich schon versucht habe: - Prüfung der Event-Logs --> Keinerlei Einträge, auch nicht bei der FilterEngine wo normal etwas auftaucht wenn irgendwo Zugriff verweigert erscheint (habe umfangreiches Logging aktiviert) - Check der Berechtigung von SYSVOL auf dem Server, keine sichtbare Beeinschränkung, Admins haben Vollzugriff Was ich nicht mehr sicher bin: Ob ich in dieser Umgebung seit der Umstellung auf einen Central Store schonmal Policies neu erstellt habe oder nicht. Jemand eine Idee was das sein könnte? GPO's werden auch sauber angewant ohne Kniffe wie force update oder ähnliches. Grüsse und vielen Dank

Kommen Sie in der "klassischen" Liste? Am schnellsten kommst so dahin: Ordner erstellen mit dem Namen (wichtig ist nur die GUID nach dem dem Punkt): Drucker Erweitert.{2227A280-3AEA-1069-A2DE-08002B30309D} --> Wenn Sie da kommen, funktioniert das Drucken meistens trotzdem, da klassische Desktop-Anwendungen auch auf die klassische Liste zugreifen und nicht diese Pseudo-vollständige Auflistung unter Drucker und Geräte. Insbesondere das Abstürzen von luafv deutet aber darauf hin, dass die Treiber eben nicht sauber progrommiert sind und Windows hier "unschuldig" ist. Abhilfe schafft man teilweise, wenn man den Dienst deaktiviert. Am besten vor der Installation der Drucker. Kann aber eigentlich nicht das Ziel sein. Seit W8 wurde ziemlich viel am Printer-Stack rumgeschraubt, was die Treiberentwicklung nicht unbedingt vereinfacht hat. Beziehungsweise theoretisch vereinfacht, praktisch aber eben nicht wirklich weil die alten Treiber irgendwie zurecht gebogen werden anstatt neu entwickelt. Auch würde ich das Client-Side-Rendering per GPO abschalten, macht mit manchen Treibern auch massive Probleme. Ohne wird einfach der Druckserver wieder mehr belastet bzw. nicht entlastet. In kleineren Umgebungen dürfte das allerdings nicht zum Flaschenhals werden. Ich weiss nicht mehr seit wann das ClientSideRendering standardmässig aktiviert wurde, früher war das mal standardmässig aus soweit ich mich erinnere. Auf alle Fälle schaffst du damit gleiche Voraussetzungen bei allen Clients. --> Administrative Vorlagen>Drucker>Druckaufträge auf dem Server wiedergeben --> aktivieren Für die Consumer-Modelle würde ich - sofern vorhanden - auch auf einen Generic-Treiber des Herstellers umstellen und nicht einen druckerspezifischen Treiber. Diese würde ich eigentlich nur noch bei den grossen Arbeitsgruppendrucker nehmen. Auf billige Multifunktionsgeräte möglichst gänzlich verzichten, die machen am meisten Ärger. --> Bei billigen Multifunktionsgeräten mache ich nie lange rum. Geht es nicht auf Anhieb, wird das Teil entsorgt und es kommt entweder ein gebrauchtes "grösseres" Gerät oder eben ein neues professionelles Gerät hin. Die Treiber dazu sind sehr oft unterirdisch.

Du könntest herausfinden welche DLL/Active-X oder was auch immer die Probleme verursachen. Diese nach dem Update dann ersetzen. Andere Möglichkeit ist manchmal auch ein spezifische Anpassung mittels Programmkompatibilität. Ist halt ziemlich aufwendig, muss man schon wollen. Für kleinere Programme ist das meist recht easy, bei MS-Office würde ich das mal bezweifeln. ;) Allerdings habe ich es noch nicht erlebt, dass ein Programm welches auf Server 2003 lief, nicht auch auf Server 2008 portiert werden konnte. Halt teilweise mit etwas Arbeit verbunden. Selbst mit 2012R2 hatte ichs bis jetzt eigentlich immer auf die Reihe bekommen wenn keine 16bit Krücken nötig waren. Da ist dann eben 2008 ohne R2 fällig. bei 2016/2019 habe ich noch zu wenig Erfahrung mit der Erhaltung von Altlasten. Dürfte aber eher schwieriger geworden sein.

Das geht auch mit diversen Registry-Anpassungen. Ist halt Super-Aufwendig. Ungefähres Vorgehen: - Deaktivieren von Tasks welche den Defender einschalten - Deaktivieren von Defender-Diensten - auch Teildienste die nicht in der GUI erscheinen - in der Registry (sind eine ganze Menge) Würde ich gegenüber dem entfernen aktuell noch tendenziell bevorzugen. Entfernen von Komponenten ist halt immer so endgültig, auch wenn es mit (fast) jedem Build besser und zuverlässiger funktioniert. Im Moment gibt es aber für Komponenten noch keine "wieder hinzufügen" Funktion. Hast Du ein Problem, stehst da wie der Esel am Berg weil das System unter Umständen nicht supported ist. Deaktivierst Du per Script, kannst auch per Script wieder aktivieren und den Ursprungszustand herstellen. Dafür sind teilweise Systemrechte oder auch der Benutzer TrustedInstaller erforderlich die man aber beide "erzwingen" kann. Würde die Änderungen auch immer mit diesen User vornehmen, damit die Rechtestruktur identisch bleibt und nicht die Rechte an den Schlüsseln übernehmen.

Ich würde erstmal alles wichtige runterziehen. Also SSD raus und mit nem anderen PC auslesen. Wenn die SSD am serbeln ist, sollte kein einziger Write mehr geschehen bis man alles was wichtig ist geholt hat. Sofern überhaupt etwas wichtig ist. Bei SSD's geht nämlich gerne plötzlich einfach gar nix mehr und Recovery ist extrem aufwendig bis teilweise unmöglich im Vergleich zu HDD's.

Anzeigename: Blackberry Device Manager Dienstname: Blackberry Device Manager Pfad: "C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\BbDevMgr.exe" Dann gibts diverse Reg-Einträge die du mit Blackberry Device Manager findest. Alle rauskicken, dann neustart. EDIT: Bei CLSID, TypeLib, AppID etc. jeweils die übergeordnete GUID als Schlüssel mit allen Sub-Entries entsorgen.

Viele kleinere Software-Schmieden und auch CAD/CAM und Simu-Hersteller - meines wissens gehört Solidworks auch dazu - finden LTSC ziemlich toll. Und wenn es den Anbieter selbst egal ist, dann sind garantiert die meisten Plug-In Schmieden, Schnittstellenprogrammier und Messysteme froh darüber. Die drehen gerade komplett am Rad und sind total happy wenn Sie ein LTSC antreffen. Manche setzen mittlerweile sogar LTSC ein - da war ich mal ausnahmweise happy über eine gelieferte Maschine/Messystem die supporten keine Nicht-LTSC Maschinen

Hatte das Phänomen auch schon. Ich tippe entweder auf Verbindungsunterbrüche beim Displayport oder Energiesparmassnahmen. Windows erkennt den Screen nicht mehr korrekt und schaltet unter Umständen auf eine anderer Auflösung. Je nach Auflösung Screen etc. schneidets dann ab, skaliert oder bleibt ganz schwarz. --> Nimm mal ein neues Kabel mit aktueller Zertifizierung, vielleicht wars das schon. Andere Möglichkeiten: Irgendwelche Energiespareinstellungen welche den Monitor schlafen schicken und Windows oder der chipsatz hat Mühe damit (kommt auch immer wieder dieses Problem, insbesondere bei Nicht-Fixen Displayport-Verbindungen wie Extender-Lösungen oder PCoIP), also alles mal auf Höchstleistung, wens nix hilft Bildschirm ausschalten verhindern und im Bildschirm selbst auch die Einstellungen nach Energiesparmassnahmen absuchen und deaktivieren. Wenn das Problem behoben ist, hast den Übeltäter und nen Workaraoud, aber noch keine Lösung gefunden. ;)

Wenn das Target immer hinter der festen IP liegt, dann gibt es eigentlich diverse Tools die dafür in Frage kommen könnten. Eigentlich fast alles was an Remote-Tools rumfliegt solange sie Verschlüsselung bieten. Wenn Du dich per VPN ins Netz einwählst, könntest auch direkt via interner IP eine Teamviewer Verbindung aufbauen und die externe Kommunikation z.B. per Firewall untersagen bzw. nicht freigeben. Dann kommt auch die Meldung nicht und die Kommunikation läuft nicht via Teamviewer-Server hast aber dennoch die Anzeige-Performance. Eine Alternative wäre z.B. Dameware. Mittlerweile haben die sogar endlich ihre Treiber aktualisiert damit OpenGL/CAD funktioniert. Wie gut bin es sich damit tatsächlich arbeiten lässt weiss ich noch nicht. Oder mit etwas mehr Aufwand VNC. Die Vorlage von Teamviewer in Sachen Anzeige-Performance über kleine Bandbreiten ist aber schon eine Ansage auch wenn mir TV mittlerweile viel zu überladen ist und leider nicht mehr den schmalen Footprint von früher hat (Sicherheit).

USB mit Mikrotastatur: Ich mag die Datatraveller 2000 von Kingston. Sehr einfaches Handling und verhält sich wie ein 0815 Memory Stick ohne viel Technikkram wie Fingerprint. Hat keine Zusatzsoftware die erst nach dem laden des OS Zugriff auf den Speicher gibt. Also auch direkt für Boot geeignet. Sind halt nicht Mini-Mini aber dafür hat nicht gleich jeder Zugriff. Ob sie auch einem Profi standhalten würden, keine Ahnung. Auf alle Fälle sicher vor jedem zufälligen mal-eben-so Zugriff. Sobald er abgezogen wird, ist er wieder gesperrt. Das Case ist sehr stabil und Wasserdicht. Scheint auch ziemlich Dampfdicht zu sein, hatte noch nie Kondenswasser wegen Schweiss. Kann auch an den Schlüsselbund. Chip-Qualität scheint auch ziemlich gut zu sein. Sticks mit Fingerprint haben mich nicht so überzeugt (allerdings ca. 3-5 Jahre her seit ich sie letzes mal welche getestet habe).

Normal ist das aber eigentlich nicht, dass man keine Berechtigung auf Files hat. Weil es wird in diesem Fall ja nicht dem Administrator selbst die Berechtigung gegeben, sondern einer Gruppe. Wenn der Admin in dieser Gruppe ist, muss er auch ohne UAC-Freigabe Zugriff bekommen. UAC braucht er ja nur, wenn BuilIn Admin-Rights notwendig sind. Das Verhalten gibt es eigentlich nur, wenn der Admin bzw. die Gruppe in der er steckt eigentlich keine Berechtigung hat, man diese aber mittels dem BuiltIn Admin erzwingen will. Zumindest war das sicher bis 2012R2 noch so. Ich würde mal eine eigene File-Zugriff-Gruppe erstellen und die Admin-Gruppen wie Domain-Admins da reinpacken oder die ADM-User selbst. Dann dieser Gruppe File-Zugriff geben. Wens dann immer noch nicht geht, muss irgendwo was falsch an Berechtigungen vergeben worden sein (Freigabe oder NTFS). Allerdings ist das Verhalten von Freigaben unter 2019 wohl etwas anders geworden. Gibt wohl allerlei SideEffects mit Admin-Accounts wenn ma sich so durchs Internet liest. Ob das Verhalten gewollt oder Bugs sind die mittlerweile gepatched sind, kann ich nicht sagen. Bin jeweils immer noch auf 2012R2 (weil mich Cortana und Telemetrie-Krempel auf Servern mit Desktop Experience nervt - Mehr Zeugs drinn als in einem W10 LTSC)

Office ist ja eigentlich schon lange ziemlich Feature-Complete, was soll da noch grossartig kommen bzw. was kam tatsächlich an Neuerungen welche das Arbeiten effizienter macht in den letzten 12-15 Jahre? Das ist objektiv gesehen bis auf ein paar Ausnahmen sehr überschaubar. Die Innovationen sind fast alle im Cloud-Bereich angesiedelt. Die Verbesserungen im Detail, Modellpflege quasi. Dazu jede Menge unnützer Kram der nur ablenkt. (Animationen für alles). Aber irgendwo muss ja Kohle reinkommen, alleine schon um die Sicherheitsupdates und Bugfixes zu finanzieren. Verdienen will man auch noch was. Da muss halt ein Abo-Zwang her. Das hat aber mit der ganzen Cloud-Integration eigentlich nix zu tun. Die könnten ja einfach weiterhin OnPremise anbieten. Muss ja gar nicht grossartig neue Features geben, Hauptsache Bugs die teilweise schon über 10 Jahre alt sind werden gefixt und die Sicherheit und Verwaltbarkeit verbessert. Neuerungen könnten auch granular steuerbare Cloud-Features sein anstatt nur Go oder NoGo. Im Moment machen sie bei der Verwaltbarkeit schlicht das Gegenteil.

Mit dem Unterschied das man es mit einer kleinen Acc-Lösung machen kann und es bei den meisten "grösseren" Lösungen schlicht unbezahlbar ist für eine Kleinfirma - auch die Folgekosten. Auch wenn es tatsächlich ein paar hundert interne Stunden sind, ist das in keinem Verhälnis zu externen Kosten bei einer grossen Lösung. Habe dieses Spiel auch schon ein paar mal duchgespielt. Da kommen teilweise Anpassungkosten in der Hälfte des Umsatzes zusammen. Alles schon erlebt. Die Wartungs- und Unterhaltskosten gebein einem dann den Rest, spätestens beim nächsten Upgrade. Insofern nicht nur schlecht, auch wenn ich denke, dass bei diesem Effort eine betriebsspezifische Software langfristig vielleicht die bessere Lösung gewesen wäre. Oder eine Kombination mit Datenübergabe in ein Buchhaltungssystem ab Stange. Ist aber eh immer ein sehr schwieriger Entscheid bei den kleinen die sehr oft irgendwelche Nischen bedienen wo es eh keine Software dafür gibt und wegen der Effizienz aber auf Software angewiesen sind. Insbesondere wenn ein Produktion im Spiel ist. Da muss eine Acc-Lösung nicht schlecht sein.

Sieht man in deinen Explorer-Scren Shots. Anzahl Dateien und Anzahl Verzeichnisse von Quelle und Ziel. Überpsrungen hast bei jedem zusätzlichen Durchlauf mit MIR. Er muss die Files ja nicht kopieren, sie sind schon da. Bei solchen Übungen würde ich auch immer die Hauptverzeichnisse einzeln angeben und nicht mit XD ausbedingen. Dann hast auch einen sinnvolleren Überblick. Weil das ist was Du kopieren willst und nicht was sonst noch auf dem Laufwerk liegt. Dann hast das Problem mit Recycler etc. auch gleich von vornherein nicht. Warum es eben mit rechter Maustaste>Eigenschaften doch nicht klappt hbe ich bereits gesagt.

Hehe, das denke ich auch. Darum würde ich mir vorläufig auch keine Sorgen machen. Die Felle sind zu gut um sie davon schwimmen zu lassen =)

Im Moment sieht es so aus als MS Exchange zwar weiterhin On-Premise anbieten wird, der Funktionsumfang aber nicht unbedingt mehr weiterentwickelt wird bzw. vermutlich nur noch nach Wunsch der grössten Kunden. Vermutlich wird der noch nicht abgeschossen weils einfach noch zu viele Kunden und Abhängigkeiten gibt wie z.Bsp. von Telefonanlagen, Drucker mit Sendefunktion etc. der Widerstand wäre zur Zeit noch enorm weil die Alternativen fehlen und die Hersteller noch nicht soweit sind.

Mit der Runtime darf man machen was man will. Steht in der EULA und ist auch von MS so gewollt. Wobei stimmt nicht ganz, gewollt wäre eigentlich, wenn man Access gar nicht mehr einsetzen würde Früher durfte man sie einfach nur verteilen wenn man als Entwickler die Office Develepoer Edition hatte. Sprich man kam als Endkunde nicht an die Version ran. (Wenn ich mich richtig erinnere). Wurde irgendwann - vor Jahren - mal geändert. Aber: Wie Vorredner schon sagten, ich würde nichtmal eine andere Office-Version nehmen. Ärger ist vorprogrammiert. Ansonsten immer das was älter ist, zuerst installieren wens unbedingt sein muss. Meines Wissens lässt sich Access und somit auch die Runtime (die ist seit ein paar Jahren so gut wie identisch mit der Vollversion) aber auch als virtuelle App in Windows einschiessen. Würde ich versuchen wenn es unterschiedliche Versionen sind.

Nun, dann ist alles klar. ;) Bei solch "grossen" Drucker mit spezifischen Funktionen empfiehlt es sich eigentlich immer den Installer zu nehmen. Die Installer der grossen Printer, sind auch nicht vergleichbar mit den "kleinen" Drucker, wo ich das auch immer mache damit möglichst wenig auf die Server draufkommt.

Diesen Haken kannst aber normal auch im Installer setzen. Wurde der vergessen oder wird er nicht automatisch bei der treiberinstallation auf dem Client mitinstalliert?

@schlingo: Das macht er schon so wie Du beschrieben hast. Er hat das Anzeigeproblem lediglich im Explorer im Reiter eigenschaften. Den Explorer kann man nicht (mehr) ohne weiteres als Admin ausführen, müsste man ein eigenes Tool nehmen oder in die Trickkiste greifen. @crashbreaker: Mit dem Schalter /V (in der genannten Hilfe stehts) wird eine ausführliche Log mit ausgelassenen Dateien erstellt, dann solltest sie finden ohne alles durchschauen zu müssen bzw. kannst danach suchen.