Weingeist

Ich will damit nur sagen, dass bei Windows 10 hauptsächlich ein Fauxpas korrigiert wird, den es umsonst geben müsste und es wohl im Privatbereich auch teilweise geben wird. Im technisch Bereich wird sich ja nicht allzuviel ändern. Klar ist, es werden sicher wieder ein paar Features sauberer ausprogrammiert und besser Remote- und Powershell-Verwaltbar gemacht. Das meiste davon ist aber vor allem für grössere Firmen relevant. Mir wäre das alles auch herzlich egal, wenn - man den ganzen beigelegten Spyware-Schrott ohne tiefere Systemkenntnisse mit einer GUI verwalten verwalten, abschalten, deinstallieren könnte. - Die BigData-Verzahnung nicht erzwungend wäre - Software gekauft werden könnte

Ein Schuss ins Blaue, obwohl die Fehlermeldung eigentlich falsch dafür ist: RDP ist in der Firewall freigegeben?

Warum auf eine alte Server-Software migrieren? In ein par Jahren stehst vor dem gleichen Problem. Wenn man sich das Gedöhns mit ODBC schon antun muss, dann eben vorteilhafterweise grad mit dem aktuellsten verfügbaren System. Man muss halt manchmal etwas mehr Zeit investieren damit es läuft. Vor allem wenn die Software kaum zeitnah aktualisiert wird und ein Ersatz unter Umständen unverhältnissmässig oder schlechter ist. Das ist bei externen Access-Lösungen leider sehr oft der Fall. --> Damit so ziemlich jede Access-basierte Lösung RDP-Tauglich wird, musst nur die Software in den User-Ordner installieren anstatt unter C:\Programme. Schon klappt es. Access hat extrem Mühe, wenn die gleiche Frontend (im Sinne von gleicher Datei) mehrmals geöffnet wird. Da crasht eigentlich jede eher früher wie später. Daher ausprobieren und testen. Das etwas tatsächlich NICHT läuft unter 2012R2 und unter 2008 schon, habe ich bis dato noch nicht erlebt. Und wenn dafür der Installer etwas zurechtgebogen werden musste, weil dieser einen Versionscheck machte. Gleiches für Software die unter XP läuft. Irgendwie bringt man die fast immer auch unter den neueren Systemen zum laufen. Alles eine Frage des Efforts und ob man es tatsächlich will/nicht ersetzen kann/möchte. Wenn es von irgendwelchen DLL's in anderen Versionen von früheren Windows-Verwionen abhängt, wirds mühsamer. Aber auch das kriegt man in der Regel hin. Kleiner Hinweis: Kompatibilitätsmodus für alte Systeme gibts zwar nicht mehr in der GUI, da nicht weiterentwickelt, sie funktionieren aber in der Regel dennoch, wenn man sie selber in der Registry einträgt. Also selbst unter neuen OS kann man ein Programm in Windows 2000 Modus laufen lassen. Dazu einfach in nem alten System nachschauen was da eingetragen wird. Bei allem "Gefügig" machen muss allerdings immer daran gedacht werden, dass man unter Umständen keinen Support bekommt! Da empfehle ich dann immer die entsprechenden Schritte zu dokumentieren, dem Hersteller vorzuführen und unter Umständen dankt er es Dir weil ers noch nicht gewusst hatte und es wird supported. --> Access Lösungen sehr gut möglich. Sind ja meist kleinere, flexiblere Software-Firmen.

Sofern es sich um eine günstige NAS und kein professionelles Produk handelt, würde ich mir das nicht wieder antun wollen. Neben dem Ärger ist da in aller Regel noch die grottige Performance (erst testen) lästig. Viel weniger fehleranfällig ist meiner Meinung nach eine virtuelle Disc welche auf einem NAS liegt. Die virtuelle Platte weisst dann dem Windows Server also lokale Platte zu. Geht gut solange du virtuell unterwegs bist. Hat auch noch den Vorteil, dass die VM selbst keinerlei Ahnung vom Storage hat und Du die Disc ohne Neukonfiguration dahin ziehen kannst wo Du willst. Zum Beispiel wenn Du gemerkt hast, dass es nicht so das wahre ist. NFS beherrschein diese Linux Boxen seit vielen Jahren aus dem ff.

Dem kann ich nur zustimmen. Vor RAID-Rebuilds und exzsessiven HD-Tests wie chkdsk immer einen aktuellen Backupsatz haben. Aber mal ehrlich. Die beste Lösung wurde doch schon genannt. Ein normaler DC ist so schnell aufgesetzt, was willst da gross Theater machen? Zweiten DC dazu, Rollen übertragen, ersten demoten, entfernen, neu aufsetzen, FSMO zurückschieben, zweiten DC behalten (sowieso besser).

@Daniel: Die Unterscheidung der beiden Zugriffe ist ja relativ klar und einfach. Nicht so klar ist, was oder ob tatsächlich etwas unternommen werden muss um die Schaffung der Möglichkeit zur Nutzung zu verhindern, wenn die Möglichkeit des Zugriffs besteht welche nicht lizenziert werden muss. Das ist irgendwie im Widerspruch. Auf der einen Seite muss es nicht lizenziert werden auf der anderen Seite wird hier immer wieder betont, dass es aktiv verhindert werden muss. Warum aktiv verhindern, wenn es nicht lizenziert werden muss? So ganz logisch ist das nicht. Man darf auch nicht klauen, die Läden sind aber auch nicht verplichtet, dafür zu sorgen, dass wirklich niemand klaut. So ganz genau steht das meiner Meinung nach auch nirgendwo in den PUR's. ;) Solange das von MS nicht klar definiert wird, finde ich es irgendwie sehr seltsam, dass einem ein Prüfer daraus einen Strick drehen kann. Szenario: TS1 ohne SQL-Zugriff und TS2 mit SQL-Zugriff z.B. via Betriebssoftware. Auf jedem ThinClient ist definiert auf welchen TS sich der anmeldende Benutzer verbindet. Es ist sauber getrennt. Das reicht angeblich nicht weil TS2 nicht prüft ob nicht vielleicht doch ein Zugriff von dem Thin kommt, weil eben nicht gänzlich ausgeschlossen werden kann, dass der Benutzer kriminell wird und ein zusätzlich Session innerhalb der TS1-Session aufmacht. Zumindest für dieses Szenario hat mir ein MS-Spezialst der etwas höheren Etage vor Jahren mal bestätigt, dass es eben nicht notwendig ist, solange der User nicht selber aktiv werden muss um den Automatismus seines Thins zu umgehen. Wenn die Einstellung noch gesperrt ist - was ja eh im eigenen Interesse ist - , sei das ganze noch klarer. Wenn nun aber der Nutzer eben illegal tätig wird, dann müsse er eben lizenziert werden. Definiert, dass man das aufzeichnen muss, ist nirgendwo. Bei nichtvorhandensein eines Login-Logs sowie Verdachts, könnte aber MS einem mit Sicherheit dazu zwingen, wenn der Verdacht besteht. Ähnlich dem Fahrtenbuch fürs Auto. Das würde aber dennoch nicht heissen, dass man es aktiv verhindern muss und automatisch alle Geräte zu lizenzieren sind. Klar ist, bei aktiver Verhinderung gibts keine Diskussionen. Unklar ist, wo das ganze definiert sein soll, dass es Pflicht ist und automatisch eine Nachlizenzierung ohne vorherige Änderungsmöglichkeit notwenig ist.

@daabm: Viewer und speichern beisst sich etwas ;) Du könntest geschützte Dokumente erstellen und das definieren, was eben geändert werden darf. Ansonsten müsstest Du alle gewünschten Symbolleisten mit XML erstellen. Dürfte schon irgendwie zu verbasteln sein, bei Access gehts ja auch. Das macht aber keinen Spass.

Puuh, da begrabe ich doch glatt den Plan wieder die Loginscripts mit GPO bzw. GPP Einstellungen zu ersetzen. Bis dato hatte ich das Problem nämlich noch nicht. Hoffentlich kommt es auch nicht, sonst würde ichs wohl früher oder später bittter bereuen die Printserver bei mir und den Kunden auf 2012 R2 gezogen zu haben. Was ich aber schon öfter feststellen konnte: Reboots sind absolut zwingend notwendig bei den modernen Treiber. Egal ob Neuinstallation oder Update. Und zwar auf dem Client und auch auf dem Print-Server. Sonst geht unter Umständen einfach gar nix mehr richtig. Was aber generell hilft bei Problemen: Kräftig auszmisten. Da wird gerne so viel Schrott erzeugt in der Registry das man meint, das gibts nicht. Manchmal die einzige Lösung um alte Printer, Ports etc. überhaupt komplett loszuwerden. Ist nur Käse, dass man mit nem Script eigentlich durch alle USER-SID's laufen müsste, das macht das ganze ziemlich mühsam

Jo das ist leider so... Am liebsten hätte ich die XP Suche zurück. Logisch aufgebaut, intuitiv in der Bedinung, findet alles. Geht aber leider nicht oder ich hab noch nicht herausgefunden wie. ;)

Hmm, das könnte sein. Ist leider schon ein paar Tage her und ich war der festen Überzeugung, dass ich den Server noch nicht in der Domäne hatte... Da es in einer Test-VM tatsächlich klappt, wird es wohl aber doch anders sein. Mea culpa... die Aufregung war wohl umsonst... :rolleyes: Thanks!

Das ist Ansichtssache. Wie kann etwas abgetrennt sein, wenn man es doch mit ins Netzwerk packt? Aber der Punkt ist: Gerade für Fehlkonfigurationen, Fehler im System etc. sollte ein Konsolenzugriff möglichst Barrierenfrei sein. Eine falsche Zeit darf hier meiner Meinung nach kein Grund sein.

Für den Standarddrucker setzen finde ich das auch seltsam. Um den Drucker inkl. Treiber zu installieren wenn der Treiber noch nicht auf der Maschine ist, sollte das schon deaktiviert sein. Glaube kaum, dass er sonst den Treiber installiert. --> Das benötigt ja höhere Rechte als jene des Benutzers.

Dankeschön. Wie und wann sich die VM die Zeit holt ist mir aber schon bewusst. Auch wie man sie in den Tools einstellt. Die Hosts wollte ich aber grundsätzlich ohne jede Verbindung ins produktive Netz und indirekt ins Internet haben. Die Synchronisierung mit dem Hos schalte ich allgemein ab. Beim Start nimmt er diese natürlich trotzdem an und aktualisiert sie, sobald sie Kontakt zu einem DC oder der ePDC Kontakt zur NTP-Quelle hat. Solange immer ein DC up ist oder zumindest der ePDC zuerst eingeschaltet und wird, sollte es auch kein Rollback des AD geben (gabe es auch noch nie, in keiner Umgebung). Auch wenn mich der Artikel schon etwas verunsichert, potentielles Risiko halt. Trotzdem sollte eine Konsolenverbindung eigentlich das gleiche sein wie wenn man direkt vor dem physischen Screen hockt, da soll es dem Ding egal sein was für eine Zeit der Screen hat.

Dank! Das meine ich aber eigentlich nicht. Bringt ned viel ohne NTP wenn er dann gar nix zum syncen hat. Ich komme dann nach wie vor weder per Konsole - was normal ging - noch per RDP auf die Maschine. Diese Überprüfung wäre ich gerne wieder losgeworden.

Hallo Leute, Hatte letzhin ein nerviges verhalten. Und zwar kam ich partout nicht auf einen virtuellen Server drauf, weil seine Zeit nicht mit meinem zugreifenden Client übereinstimmt und der Server keinen Zeitserver erreichen konnte für die richtige Zeit. Wie kommt man in einem solchen Fall auf die Mühle drauf? Lustig fand ich ja, dass das noch nie ein Problem war, sondern nur bei RDP. Sprich gab es Probleme, konnte man immer noch mit der Konsolensitzung von vSphere direkt auf die VM kommen. Seit 2012 (oder nur R2?) geht das nicht mehr wirklich, da erhält die VM die Zeit vom Client scheinbar ebenfalls mit der Sitzung und die Uhrzeit wird geprüft. Kann man das irgendwie abschalten? Ist gerade bei neuen VM's relativ nervig wenn z.B. die Hostzeit nicht synchronisiert wird und hinterherhinkt. (Netzwerktrennung papipapo) Danke

Moin, vielen Dank für die Inputs! Ohne Loopback kommt ihr aber auch nicht - sinnvoll - weiter wenn der Standarddrucker pro Maschine gesetzt werden soll oder? (Benutzer-Settings GPP) Oder reicht bei euch das Run in logged-on user’s security context (user policy option) bei ner GPP auf eine Computer OU aus und es wird ein quasi Loopback nur für diese GPO ausgeführt? --> Hab das so vage als unzuverlässig in Erinnerung ist, aber eine gefühlte Ewigkeit her seit ich das versucht hatte und sicher noch unter XP (Benutzer-Settings GPP). @lefg: Naja, für eigentlich komplex halte ich meine Verwalteten nicht wirklich. Im Gegenteil. Die Wünsche sind aber nahezu immer die selben. =) Mühsam finde ichs sobald in der Produktion, einem Schulungsraum etc. neben den eigentlichen Drucker für diesen Raum/Arbeitsplatz noch die Drucker des Standardarbeitsplatzes des entsprechenden Users verbunden werden sollen. Mit einem Drucker pro Papierfach sowie nochmals mit SW und Farbe + unter Umständen verschiedenen Briefköpfen (als Vorlage in nem Printer) summiert sich das ganze ins lästige wenn es doppelt gepflegt werden muss (Pro PC UND pro User). Oder eben generell relativ weit oben in der Basis OU wo User und PC's erreichbar sind und entsprechend filtern.Also zum Beispiel nach der OU sowie dem einzelnen Benutzer/Benutzergruppe. Stellt sich dann nur die Frage ob die Printer dann zusammengeführt oder ersetzt werden wenn beide im UserTeil der GPP's definiert sind. Generell trifft ja normalerweise letzteres zu. Ausser man würde die grundsätzlich Computerbasierten auch auf Computer-Ebene verbinden. puuuh... ;) @daabm: Wie hast Du das gelöst mit den AD-Attributen? Ein Attribute pro Computer und eines pro User? Reines RAW-Textfeld, das dann aufgesplittet wird mit jeweiligen Settings z.B. im XML-Format? Verwaltung mit separatem Script oder von Hand eingetragen? Würde ich wohl meistens auch ned brauchen. Denke den Standard-Arbeitsplatz im Benutzer als AD-Attribut eintragen würde sich eigentlich schon recht gut anbieten. Das kann man dann auswerten und die entsprechenden Drucker zusätzlich verbinden. Wäre dann wohl eher Scriptbasiert.

Ansonsten wenn das Budget etwas schmal ist oder die grossen Hersteller nix entsprechendes haben (Gerne der Fall bei Xeon E5 1600 Single Socket + Dual Netzteilen --> Dual CPU in Kleinumgebung eh oft unnötig): Supermicro. Immerhin der viertgrösste Serverhersteller. Gibt es je nach Anbieter auch mit Supportpack und garantierten Reaktionszeiten. Den Herstellersupport habe ich als excellent erlebt. Habe schon diverse dieser Dinger verbaut. Als Workstation und Server. Sehr zuverlässig. Zudem kostet nicht jedes Pipifax wie Console-Zugriff mit IPMI nochmals extra sondern ist bei vielen Boards bereits Onboard drauf und Software dazu umsonst. Normalerweise erkennbar mit Kürzel "-F". Controller dann jeweils einen bekannten Hersteller inkl. BBU, vorzugsweise LSI oder gleich einen gelabelten von Supermicro. HDD wurde bereits gesagt, nimm SAS in 10 oder 15k. Macht gerade bei blockbasiertem Zugriff wie in der virtualisierten Welt üblich schon etwas aus. Wenn Du Supermicro nimmst, sind die Platten auch nicht so imens teuer wie bei den grossen Server Hersteller. Oft verwenden die noch ned mal in der zuverlässigsten Varianten der Festplattenhersteller. Das ist vor allem bei den günstigeren Server und Workstations der Fall. Obwohl die Platten verhältnissmässig teuer sind. Dazu nicht RAID 5 oder 6 sondern 10. Rebuilds sind deutlich stressfreier für die Platten und dauert auch viel weniger lang. Je nach Geschwindigkeitsanspruch zwei bis vier grosse NL Platten für RAID 1/10 für das interne Backup. Eine kleine NAS in anderem Brandabschnitt als zweiten Backuport. Eine solche Minimal-Konfig sollte eigentlich immer drinliegen wenn einem die Daten liebe sind. ;)

Nur eine von fünf Fragen in 3h? Da wird die erwünschte Antwort schon etwas ausführlicher ausfallen müssen als ein paar Zeilen. Ausser es war ein vertippser und Du meintest 50. In Mathe sind ne handvoll Aufgaben und ein paar Stunden Zeit aber keine Seltenheit. Die Antworten aber auch entsprechend ausführlich =)

Meinst Du ob die Suche gar nicht funktioniert oder ob einfach die Indizierung nicht genutzt wird? Letzteres ist vermutlich so, erster sollte schon sein. Bei mir funktioniert sowohl die Suche direkt innerhalb \\domöne.xxx\dfs-stamm\ordner als auch auf dem verbundenen Netzlaufwerk. Client: Windows 7

Für alles was etwas Heikel ist vergebe ich sehr gerne fixe IP-Adressen und lange Lease-Dauer. In Kleinumgebungen oft sogar für alle Netzwerkgerät. Vereinfacht das Troubleshooting ungemein. Die IP-Adressen pflege ich trotzdem als Static in den DHCP ein. So hat man direkt aktualisiertes DNS zu Verfügung und findet zugleich die MAC Adresse am gleichen Ort wie die dynamisch vergebenen. Die Umgebung ist dann quasi unabhängi vom DHCP. Der Client würde seine Adresse aber dennoch bekommen, wenn am Client jemand auf DHCP umschalten würde. Zum Beispiel nach einem Reset des Telefons. Den Router als Ersatz mit ins Boot nehmen ist aus eigener Erfahrung keine sehr gute Lösung. Warum wurde schon genannt. Manchmal sind sie zudem kastriert und erlauben nur eine bestimmte anzahl geräte. Gibt dann sehr lustige Effekte. Auf eine solche Idee muss man dann erst kommen. Daher besser Finger weg davon. Zugleich habe ich gerne nen physischen oder virtuellen Backup-Fileserver der als Datenablage für Backups dient und zugleich DC und DNS bereitstellt. Es läuft dann eigentlich alles notwendige weiter. Im Grunde sollte ein Windows-Client die IP Adresse bei entsprechend langer Lease-Dauer seine Adresse behalten auch wenn der DHCP nicht erreichbar ist. Dazu muss aber ein Standard-Gateway definiert sein (In deinem Fall wohl der Router), dieser muss wiederum erreichbar sein im Moment wo er eine Adresse beziehen möchte. Ist aber seit Vista irgendwie nicht so richtig funktionstüchtig. Daher kann man das wiederum abschalten z.B. per GPO/GPP den RegKey ändern/erstellen. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontPingGateway = 1 Früher gings auch für einzelne Adapter, heute funktionierts nur noch für den ganzen PC. Ist wiederum meine Empfehlung für kleine Netzwerke und fixe Computer. EDIT: Aber auch nur dann, wenn die Lease-Dauer hoch gewählt ist. Viel Erfolg!

Das mit der Verantwortung und Zuständigkeit ist so eine Sache. Das ist heute so "Mode", dass diese niemand übernehmen will und munter einfach an den nächst höheren weitergegeben und auf viele aufgeteilt wird, damit am Ende niemand mehr wirklich Schuld ist. Ich könnte kotzen, dass bei den ganzen Skandalen in der Wirtschaft immer nur die Firma Schuld sein soll und den eigentlichen Verursachern des Dillemas nix passiert. Die Leute dies (wissentlich) ausführen, wollen nie Schuld sein. Ebensowenig wie die, die es befohlen haben. Am Ende wird die Firma gebüsst. Ist ja auch am meisten zu holen. Eine GL in einem Kleinbetrieb erwartet von einem MA, dass sie über Risiken, Probleme etc. aufgeklärt wird und man entsprechende Massnahmen vorschlägt. Vor allem wenn die GL keinen Plan von der Materie hat. Je nach "Schwere" eben in Absprache mit der GL oder im Rahmen eigenen Ermessens. Leider ist die Realität anders und die meisten MA's sagen den Chefs nix, was wiederum der Firma als Ganzes nicht wirklich hilft. Ein Fauler Apfel muss immer entfernt werden, sonst wird das ganze Körbchen faul. ;) Du kannst Deine Meinung vertreten, dafür brauchst Du Argumente. Je besser diese sind, desto einfacher hast es mit den MA's und kannst entsprechend handeln ohne das am Ende jemand wirklich sauer auf dich sein kann. Jedem Recht machen kannst Du es sowieso nicht. Der faule Apfel sind möglicherweise eingeschleppte Viren von privat-Datenträger, illegale Musik usw. nicht zwingend ein MA swelbst. Einfach handeln ohne das Gespräch mit den entsprechenden MA's zu suchen und eben auch die Problematik aufzuzeigen, geht gar nicht. Auch nicht wenn Du grünes Licht von der GL hast. Drohen man schwärzt an ist ebensowenig empfehlenswert, dann weiss nämlich der MA, dass Du evtl. gar keine Rückendeckung der GL hast für dein Vorpreschen und fühlt sich überlegen und Deine Argumente können noch so gut sein, sie verpuffen einfach. Versetze dich in Ihre Lage. Du will ihnen als neuer MA - möglicherweise ein Jungspund dazu - in einer kleinen Firma die Musik in der Werkstatt wegnehmen. Das ist nicht nett. Es ist keine Anonyme Grossfirma. Also erklär Ihnen die Problematik für die Firma bezüglich illegaler Musik, eingeschleppter Viren etc. Gleichzeitig bringst Du einen guten Vorschlag wie sie Ihre Musik dennoch hören können und hilfst Ihnen dabei. Ist ja kein Akt, kleiner alter Computer, Notebook oder was auch immer. Richtest das, wenn es den gewünscht ist für sie ein und gut ist. Für den Computer: Na mach ihm halt den Computer. Wo ist das Problem? Kauf die Mühle und setzte sie auf. Ob er ihn nun braucht oder nicht, ist unmöglich Dein Problem. Er soll einen haben, also soll er von Dir einen bekommen. Wenn der MA ihn sehnlichst haben will, dann möglichst schnell sobald grünes Licht da ist. Wenn Du etwas Zeit brauchst, sag ihm warum und wozu. Was er bekommen soll, liegt in Deinem ermessen. Lote aus was er tatsächlich braucht und schau zu, dass er was besseres bekommt. Also z.B. ne gute SSD anstatt ne lahme HDD. Mach Dich zum Helfer, wenn Du die Möglichkeit dazu hast und es finanziell tragbar ist. Das ist kollegial und hilft am Ende Dir. ;) Wenn er auch Musik hören will, na dann überleg Dir was, wie Du das erreichen kannst ohne dass der Firmenrechner zugemüllt wird. Nimmt man in ner Kleinfirma ein Spielzeug weg, ist es empfehlenswert einen adäquaten Ersatz zu bringen bzw. vorzuschlagen. Du bist der Spezi.

Nun mit Create dürfte er seine Mühe haben denke ich. Nimm mal Ersetzen / Aktualisieren (Ist nen Unterschied) Alternativ kannst auch erstmal alle Printer löschen lassen und jeweils neu erstellen. Nach ein paar Monaten kannst Dann umstellen (wenn sich vermutlich jeder mal überall angemeldet hat wo er schon war). Was passiert wenn Du den Standard etwas vorziehst? Gleiches Problem? Oder per Update mit einem zweiten Befehl am Ende setztst?

Gehe mal davon aus, dass Du die Drucker mittels GPP und nicht GPO setzst. --> Group Policy Preferences (Unter Hauptornder Einstellungen, nicht Richtlinien) Wichtig ist, dass der Drucker auch vorhanden sein muss bevor er als Standard gesetzt werden kann. Dazu muss die Ausführungsrreihenfolge stimmen.

F-Secure ist bezüglich false positives leider trauriger Spitzenreiter im Sinne der gefundenen Viren (Nicht immer aber oft). Ist eigentich seit Jahren so. Zudem hoher Ressourcen-Verbrauch. Kann da http://www.av-comparatives.org empfehlen. Deren Tests sind wirklich top, kenne kein Vergleichbares Lab, dass so extensiv Scanner testet! Von denen die über viele Software-Versionen hinweg gute Werte abliefern, kann man dann einen mit guter Verwaltbarkeit aussuchen.

Hallo Leute, Printer kann man ja auf diverse Varianten verteilen, mit mehr und weniger Erfolg. Bis dato habe ich das immer per Logon-Script gelöst. Das war ziemlich DAU-sicher und der Desktop ist sofort da (Kein warten bis alles durch ist). Die Settings sollen vor allem pro Computer, aber auch pro User getätigt werden. Inkl. Standarddrucker. Aber am liebsten als Benutzersetting. Einige Benutzer kriegen jeweils noch zusätzliche Drucker, z.B. Drucken aus Produktion in ihr Büro aber anderen Stadarddrucker usw. Es gibt ja ein paar Varianten das zu erreichen, einigermassen Zielführend und relativ sicher sind sicher folgende - Loopback GPO's realisieren - mit allen Vor- und Nachteilen - Mit komplizierten und relativ mühsam zu wartenden Sicherheitsfilter Beides gefällt mir nicht so. Der Verwaltungsaufwand ist mir deutlich zu hoch, da sind Logon-Scripts irgendwie einfacher. Im Netz bin ich auf eine weiteren Ansatz gestossen: - Hinzufügen von Environmentvariablen für eine bestimmte Anzahl Drucker (max. das benötigt wird) sowie eine für den Standarddrucker mittels einer GPO - Anschliessend setzen der Environment Variablen in entsprechende GPO's welche dann in der richtigen OU verlinkt sein können. Diese sind relativ einfach zu pflegen. - Anschliessend GPP auf eine Haupt-OU (wo Computer und Benutzer drinn sind) welche die ganzen Printer erstellt und die Enivronmentvariablen anstelle eines fixen Namens hernimmt Hat das jemand schon gemacht und kann seine Meinung dazu abgeben? Mir persönlich gefiel das auf Anhieb top. Auf den zweiten Blick aber nicht so, da unter Umständen eine enorme Anzahl an Variablen zu erstellen und füllen sind. Zudem muss man achtgeben die gleiche Variable nicht einmal per Computer und einmal per User zu setzen. Des weiteren sehe ich als Nachteil das eben immernoch gewartet werden muss bis der Desktop erscheint bis alle Drucker verbunden sind. --> Mühsam für den User Dann habe ich selber noch eine Idee Kleine Datenbank wo sowohl User als auch Computer sowie Zuteilungen verwaltet werden. Dazu ein kleines Scripts welches die Datenbank abfragt und die entsprechenden Printer verbindet. In unserer Betriebssoftware verwende ich schon sowas ähnliches um automatisch die richtige Druckerauswahl bzw. Papierfachauswahl zu treffen. Gefällt mir im Grund ganz gut. Die Verwaltung dürfte einfacher sein und man muss nicht zwingend X-Sicherheitsarbeitsgruppen erstellen für die Zuteilung. Bläht also das AD weniger auf. DB-Design entspricht eigens diesem Zweck. Es muss auf nichts Rücksicht genommen werden. OU's im AD kann man nach einem anderen System Pflegen. Zum pflegen kann man ne hübsche kleine intuitive GUI machen. Je nach Lust und Laune auch mit Einbezug des AD wenn gewisse Sicherheitsgruppen sowieso schon gegeben sind. Als Nachteile sehe ich vor allem, dass die DB parallel zur AD-Datenbank gepflegt werden muss. Andernseits entfallen jede Menge GPO's und GPP's und es reicht für alle Printer ein einziges Script. Auch Sicherheitsgruppen entfallen unter Umständen. Das gibt sonst unter Umständen ja riesige Listen welche wiederum problematisch sein können (Stichwort Kerberos-Ticket). Vielen Dank!