RottenSon667

Hallo, versuich mal die GPO im Computerkontext einzubinden. Bitte beachte aber auch dass "authentifizierte Benutzer" auch Zugriff auf die Drucker haben (oder "Domänencomputer" direkt), sonst schlägt das Ganze auch fehl. BTW kannst du auch Drucker mit GPO`s direkt zuweisen. Hab mal ein Howto dazu gefunden, aber noch nie gemacht. MfG Maik

Guten Tag liebe Helfer, folgende Prämisse: Ich habe hier eine virtuelle Win2K3 Maschine mit 10Gb Systempartition und ausreichend großer Datenpartition. Sämtliche Installationen werden auf die Datenplatte gemacht. Nun sollte heute ein SQL2K8 Express installiert werden. In der GUI habe ich natürlich umgestellt dass nach LW X: installiert wird. Die Prüfung des freien Platzes erzähl mir dann dass nicht installiert werden kann weil ich auf C: mal 2,5Gb frei räumen soll, da wohl auch nach C:\Windows\System32 installiert wird. 2,1Gb sind nach dem Aufräumen frei. 500Mb werden von allen Daten und Programmen auf C:\ belegt, den Rest beansprucht C:\Windows schon für sich. Nun bin ich kein Mensch der wild im C:\Windows Ordner rum löschen möchte. NTUninstall-Sachen hab ich schon entfernt, TEMPs sind alle leer, das heißt viel mehr Platz wirds nicht werden. Ich frage mich allerdings dezent warum die SQL-installation auf C: 2,5Gb hinterlegen muss, obwohl ich nach X: installieren möchte (Programmpfad und Instanzpfad). Gibt es hier eine Lösung? MfG Maik

Neue Erkenntniss: Mir fiel auf dass ich in den Ordnernamen der MSI`s Leerzeichen hatte. Entfernung Dieser brachte keine Veränderung. Hat keiner eine Idee warum dieses ansonsten so gute Betriebssystem sich so abrupt weigert auf Dateien zuzugreifen die an einer Stelle liegen wo es ran darf? Wenn Ich ein NSLookup auf den Domainnamen mache kommt der lokale Server zurück. Die Berechtigungen passen (daran gesehen dass es bei Angabe des Servernamens direkt ja funktioniert!!!), das Systemkonto darf offensichtlich Sachen installieren und die gleiche Richtlinie unter XP angewendet funktioniert auch tadellos. An der MSI liegt es auch nicht, es schlagen mehrere fehl. Ich bin echt ein wenig ratlos. MfG Maik

Fehler eingegrenzt: Ich habe eine OU und eine Test-GPO erstellt. Einen Rechner zum Testen rein geschoben. Der Unterschied lag darin dass ich statt \\Domain.Loc\dfs\public das Paket von \\Servername\public zugewiesen habe. Ich bin nicht amüsiert. Irgendwelche Ideen warum die Windows7-Rechner das DFS-Share nicht mögen? Ich bin in der Lage von allen PC`s auf eben Dieses zuzugreifen wenn ein User angemeldet ist... MfG Maik

Und lieber die UAC aus machen als dem User (lokale?) Adminrechte zu geben wär nicht vielleicht sicherer gewesen? Wie hast du dem User lokale Adminrechte gegeben? Hast du probiert ob Hauptbenutzerrechte ausreichen?

Danke für die Antworten. Leider hat der verlinkte Thread keine neuen Erkenntnisse gebracht. Hier mehr Input: Also. Die Es gibt je Softwarepaket eine GPO (Name: Installation - Programmname) in der die Softwarepakete in der Computerkonfiguration zugewiesen sind. Das heißt die Pakete installieren sich vor der Nutzeranmeldung mit den Credentials des Computerkontos bzw. "System". Die Pakete liegen auf einem DFS-Share (\\Domain.loc\dfs\public\install_msi), welches Freigabe- und Dateisystemberechtigungen für authentifizierte nutzer (lesen) und Domänen-Admins (Vollzugriff) hat. Ich habe hier wie beschrieben auch einmal mit "Domänencomputer" und "Jeder" Vollzugriff probiert, hat aber nichts genützt. Davon ab klappts ja bei den XP-Maschinen Domänenweit in 4 Standorten. Der DFS ist zugreifbar wenn man angemeldet ist, als Domänencomputer kann ich das natürlich nicht testen. UAC ist auf den betreffenden Maschinen wegen anderen kleinigkeiten deaktiviert. MfG Maik P.S.: Micha, es wäre schön gewesen wenn eine GUI gekommen wäre. Es hat jedoch nur die Richtlinie gegriffen und die vorhandenen Versionen der zu installierenden Adobe-Produkte deinstalliert. Wäre wie gesagt kein Problem gewesen, aber die Neuinstallation schlägt mit Fehler %%1612 fehl. die Knowledgebase satz dazu: List of error codes and error messages for Windows Installer processes in Office 2003 products and Office XP products Berechtigungen passen aber wie gesagt, und bei XP-Maschinen läufts tadellos durch.

Du kannst per GPO lokale Laufwerke A-D ausblenden lassen. Hab ich auf meinem TS daheim auch. Wenn die User an bestimmte Daten noch ran sollen: Netzlaufwerke per GPO oder Script verbinden lassen oder mit Subst mappen. Programme von den ausgeblendeten Programmen zu starten geht trotzdem.

Mich ärgert die nur bei Usern, da ich nicht immer am Platz bin wenn die Herrschaften mal wieder was haben wo sie gebraucht wird. Die beschriebenen Updates sind so ein Fall. Wenn man das Admin-PW hat ist die Funktion sehr sinnvoll. BTW: Ich habe hier Niemanden angemacht. Das habe ich weiter oben auch schon einmal erwähnt.

...passiert aber hier, wie auch vom TO beschrieben, auf mehreren Maschinen. Jeweils Windows 7 Pro in Win2K-Domäne. Lokale Admin-Rechte haben die User, da es sich um die IT_Abteilung handelt. UAC ist für die Entwickler aus, für die IT-Techniker an. Ich kann auch mal das PW eingeben. :)

klar wird sichs einstellen lassen. die default-einstellung einfach sachen zu löschen ist denndoch sehr frech...

Das ist so nicht richtig. Programme die von Programmen gestartet werden fordern nämlich immer die UAC an wenn sie auf die HDD zugreifen, egal ob sie Admin-Rechte benötigen oder nicht. Zumindest ist meine Beobachtung bisher flächendeckend so. Selbst die MSTSC.exe von MS tut ads, wenn sie von einem anderen Programm aufgerufen wird. Und die wird sich ja wohl an die MS-Sicherheitsvorgaben halten, oder? btw: euch hat niemand persönlich angegriffen. mein verbaler groll richtete sich bis dato nur gegen die uac. dies bitte immer bedenken ;)

Dass die Verknüpfungen einfach gelöscht werden hängt sehr wohl mit Win7 zusammen. Bei XP war das Imho nicht so. Das schlimmste was da passiert ist war eine fehldarstellung des Verknüpfungssymbols. Aber danke für den Hinweis Nr. 36 ;)

Bin heute ein wenig angepisst, da ich den ganzen Tag damit verbringen durfte mich damit auseinanderzusetzen dass unsere Win7-Clients ohne Grund die Softwareverteilung verweigern. Unqualifiziert war dies dennoch nicht. Wo in dem von dir verlinkten Beitrag steht nun die Lösung? Beim Überfliegen des Artikels habe ich jetzt nicht die Info rauslesen können wie man Programme als User ohne bekanntes Admin-PW mit eingeschalteter UAC so ausführt dass sie ihre Arbeit verrichten... Sollte ich das tatsächlich überlesen haben: sorry! Sollte es nicht im Beitrag stehen: Man kann auch unqualifiziert das Thema verfehlen... Edit: Was soll denn da falsch installiert sein? Ich melde mich halt als normal-User an, greife auf eine Mstsc.exe unter C:\Ordnerxy zu (beziehungsweise wird die Mstsc von einem Tool mit Übergabe der Zielmaschine aufgerufen) und schon kommt die Abfrage....

Das passiert oft wenn das Ziel der Verknüpfung (noch) nicht vorhanden ist. Mir hauts regelmäßig Desktopverknüpfungen mit Ziel auf Netzlaufwerke weg wenn das Netzwerk noch nicht verfügbar ist. Noch eine super Funktion dieses Betriebssystems.

Wir haben hier Software in einem Ordner unter C:\OrdnerXY liegen, die sich selbst updaten soll. Soll Heißen: Programm startet, schaut nach neuer Version, falls Vorhanden Updater starten, Programm beenden und der updater Ersetzt mit den Creds des Users die Exe. Die UAC macht hier einen Strich durch die Rechnung. Trotzdem der User Vollzugriff auf den ordner hat werden immer Admin-Berechtigungen abgefordert. Wir haben den Dreck dann deaktiviert. Was ich da schon an Problemen hatte mit.... Wenns mal wirklich ausgereift ist machen wir das wieder an. Vorher leb ich lieber noch n halbes Jahr mit dem Anrufaufkommen auf XP-Niveau. Edit: Was ich sagen wollte: Installation nach NICH-%Programfiles% hilft NICHT. Sobald ein Programm Änderungen auf der HDD vornimmt wird abgefragt. Ausnahmelisten gibt es nicht. Auf meinem 2008R2-TS daheim wird selbst beim Starten von MSTSC abgefragt, weil das Programm ja böswilligerweise auf die default.rdp zugreift. Die Jungs müssen noch viel nachbessern.

So Jungs, ich habe mal wieder ein Problem mit diesen besch.... neuen betriebssystemen. Nachdem die 2008er Server im netzwerkverkehr nur noch 1/3 der Leistung der hornalten Windows2000-Maschinen erreichen hoffe ich dass ich und meine User uns mit diesem Problem nicht gleichermaßen als gegeben abfinden müssen. Das war nämlich nicht lösbar, ich habs einfach aufgegeben. Nun aber zum aktuellen problem: Ich habe auf den 2008er Servern vorigen Mittwoch die GPO`s für die Softwareverteilung von Adobe Flash, Adobe Reader und dem Microsoft Compatibility Pack für Office2007 Fileformats erstellt und hausintern gestestet -> IO. Auf einem Standort ausgerollt (der kleinste, mit 5 XP-Rechnern), am nächsten Tag geschaut ob alles Safe ist -> IO. Nun habe ich die GPO überall angewendet wo schon die neuen Server stehen. Ein Standort ist schon komplett auf Win7 umgestellt. Hier waren die aktuellsten Versionen des Readers und Flash schon installiert. Nur die FileFormatConverters hätten installiert werden sollen. Heute Morgen rief dann einer der User an, er hätte keinen Adobe Reader mehr drauf. Die GPO hat nun also folgendes getan: Adobe Reader, Flash und Office FileFormatConverters-Pack deinstallieren, gucken ob die Installationsquelle da ist und der Meinung sein dass sie nicht da ist. Geil! Nachdem ich nun den gesamten Vormittag damit verbracht habe Berechtigungen zu prüfen, die GPOS zu prüfen und mich wie ein irrer durch Foren und Google zu lesen habe ich gerade resigniert und erstelle diesen Beitrag. Folgende Meldungen begleiten das Phänomen, welches eindeutig auf Windows7 zurückzuführen ist: Die Installation der Anwendung Adobe Reader X - Deutsch der Richtlinie Installation - Adobe Reader ist fehlgeschlagen. Fehler: %%1612 Jeweils Fehler 1612. Dieser deutet laut meinen Recherchen darauf hin dass die Installationsquelle nicht verfügbar ist. Ich habe auf dem DFS Share wo die MSI-Dateien liegen von Anfang an Berechtigungen für Authentifizierte Benutzer und Domänen-Admins zugewiesen gehabt. Das Hinzufügen von "Domänencomputer" oder (testweise mal ein Sicherheitsloch in die saubere Struktur gerissen) "Jeder" brachte keine Besserung. Beide Einträge sind nun wieder entfernt. HELP! MfG Maik

Und? Wie ging es aus?

Ich würde mal schauen was bei "Anmelden an" da steht. Sollte dort der lokale PC-Name stehen: Benutzernamen in der Form Domain\Username eingeben, Passwort eingeben und über die übersehene Kleinigkeit ärgern. Ich hab das hier in der Domäne oft wenn man zwischen lokal und Domain wechselt. MfG Maik

Okay, wenn du das so sagst. Wir haben hier auf jeden Fall für jeden tag einen Ordner, da er auf dem QNAP die vorhandene Sicherung überschreibt und halt jedes mal voll sichert. So steht`s auch Hier: Wbadmin start backup Wenn dein Test aber was anderes ergeben hat möchte ich Dies nicht absprechen, das Dokument ist immerhin aus 2007. MfG Maik :wink2:

...dummerweise bleibt es so im Katalog und du Bekommst Backups zur Wiederherstellung angezeigt die es nicht mehr gibt...

Sicherungen werden auf dem UNC immer wieder überschrieben. Und es erfolgt jeweils eine Vollsicherung, da VSS nicht mit UNC arbeitet. Ich habe den genauen Artikel nicht mehr zur hand, aber im Technet ist ein schöner Artikel darüber. In dem hier wird auch erwähnt dass die Sicherungen jeweils überschrieben werden. MfG Maik

Ich darf leider keine Internas nennen an der Stelle. Ich kann nur sagen dass es eine hornst-alte Software eines Renomierten Herstellers ist, welcher hier aber keinen Support mehr leistet. "Kaufen sie die Online-Variante" heißt es da an der Hotline. Das Problem ist dass wir von dem oben genannten Programm so schnell nicht weg kommen werden, da sehr viele selbst geschriebene Tools darauf zugreifen, und die alle anzupassen würde unsere Programmierer doch etwas über gebühr lange beschäftigen. Das Problem bezieht sich ja nicht nur auf das Paradox-Programm. Wir haben ja noch die Buchhaltungssoftware, die in die Sage-Dateien rein greift. Diese ist auch wesentlich langsamer. Fakt ist eins: Beim Zugriff von Programmen, welche auf dem Server abgelegte Dateibasierte Datenbanken sequentiell in kleinen "Häppchen" lesen ist ein Signifikanter Geschwindigkeitseinbruch festzustellen. Und Dies liegt definitiv am Server 2008 ivm Windows XP-Clients. Dafür muss es eine Lösung geben. Ich gebe zu: Wir haben durch die Netzwerktraffic-Beobachtung gesehen dass auch in der Paradox-Software selbst etwas "unglücklich" auf Daten zugegriffen wird (die Daten werden halt immer in sehr kleinen Stücken gelesen), Dies ist jedoch reproduzierbar schon immer so gewesen. Daher kann ein Geschwindigkeitsunterschied vom Faktor 2-4 nicht kommen! Meine Vermutung ist dass die früheren Windows-Versionen einfach mit kleineren Paketgrößen wesentlich besser umgehen konnten. Aber so was MUSS konfigurierbar sein.... MfG Maik

So, liebe Gemeinde, wir sind Nach wie Vor nicht weiter. Aktueller Stand unserer Tests: - Oplocks müssen aus sein, da Diese Probleme mit den DB`s verursachen können - SMB-Signing deaktivieren und testweises Abschalten von SMBv2 brachte keine Besserung. - auch die Umstellung auf NTLMv1-Authentifizierung brachte keine Besserung - Experimente mit Chimney-Offload , NetDMA und RSS brachten leider nichts Was man sagen kann: Win2k8 64bit mit WinXP -> langsam WinXP und WinXP -> normale Geschwindigkeit Win2k8 und Win7 -> normale Geschwindigkeit QNAP NAS und WinXP -> langsam Wo kann man noch ansetzen? Die Übertragung sieht im WireShark genau gleich aus, dennoch gibt es massive Geschwindigkeitsunterschiede....

Wenn du auf UNC sicherst wird immer eine Vollsicherung angelegt werden. Ich habe das Ganze so gelöst: Backupscript Ortsbezogen - Sicherung von Windows Systemen - Windows - administrator Ich hoffe das Posten zu dem anderen Forum ist erlaubt, sonst muss ich den beitrag noch mal hier rein bauen. MfG Maik

Jungs, jetzt kommt der Hammer! :cool: Mit Windows7-Clients lüppt das Ganze wunderbar. Und auch bei XP gibt es Unterschiede, bei gleicher Hardware. Manch einer braucht im Paradox-Programm 10 Sekunden für eine Lade-Operation, ein anderer 20! Wir setzen heute mal einen XPSP1 ohne Updates auf und schauen noch einmal. OPLocks sind nach wie vor aus, SMB-Signing ist an, falls der Gegenpart Dies unterstützt. Da hatte ich meinen Kollegen falsch verstanden. Wir testen heute noch einmal weiter was passiert wenn man es ausschaltet (was imho nicht die Lösung sein darf!). MfG Maik P.S.: Eine Umstellung aller Clients auf Win7 wird definitiv auch nicht die lösung werden, bei insgesamt 300 Rechnern im Unternehmen. Die 12 Server umzustellen ist erst einmal genug Arbeit und Geld was da investiert wird...;) Edit: Und noch ein lustiges Phänomen: In der Testumgebung haben wir alles an Optionen was die HP Netzwerkkarte des Servers hergab verstellt. Unter anderem auch den Linkspeed und Duplex. Die XP-Maschinen mit neuestem updatestand arbeiten am schnellsten mit dem Programm wenn man den Link des Servers auf 100Mbit Half Duplex stellt. Ich hasse so paradoxe Phänomene. Die wissen schon warum die Datenbank so heißt :D:D:D