Magroll

Hallo Franz, vielen Dank für Deine ausführliche Hilfe! :) Da es für mich zur Zeit schwer abschätzbar ist, ob wir an dem entsprechenden Standort in Zukunft noch weitere Windows Versionen in Betrieb nehmen, werde ich wohl erstmal mit den Standard Lizenzen starten. Sollte sich zeigen das dort noch Installationen dazu kommen kann ich ja Datacenter Lizenzen kaufen und die Standard Lizenzen anderweitig weiterverwenden. Das Thema SA, ist wie in einem deiner letzten wirklich hilfreichen Beiträge eher schwierig. Ich persönlich hab da noch keine endgültige Meinung zu. :suspect: Gibt es für diese Lizenzzuordnung eigentlich Vorlagen von MS, damit man das gleich so macht das MS damit im Fall der Fälle auch was anfangen kann, oder baut sich da jeder seine eigene Tabellen? Das Thema mit den Kosten der CALs hab ich hier schon verfolgt, aufgrund von Schichtbetrieb scheint mir für uns aber zur Zeit das Devicemodell das günstigere. Zumindest solange wir weiterhin um das Thema mobile Devices einen Bogen machen... Vielen Dank, Mag

Hallo zusammen, ich habe jetzt schon einiges gelesen und denke ich bin mir sicher das ich die Datacenter Lizensierung verstanden habe. Nun habe ich aber an einem Standort folgende Situation : 2 Bleche mit je 2 Prozessoren und ESXi + VMotion 2 x Windows 2008R2 Standard + diverse Linux Server Wenn ich das hier : https://www.microsoft.com/de-de/licensing/produktlizenzierung/windows-server-2012.aspx#tab=3 richtig verstehe darf ich mit jeder 2012 Lizenz also 2 virtuelle Server laufen lassen, also benötige ich lediglich 2 2012 Lizenzen? (Wir haben einen Select Vertrag, welcher Downgrading erlaubt.) Zudem eine weitere Frage, hier wird oft von "Lizenzen zugewiesen" im Kontext von ESX Hosts gesprochen. Das ist wahrscheinlich eher virtuell in Form einer Excel Tabelle oder so ähnlich gemeint, oder? Denn ich weise meinen Volumenlizenzkey ja lediglich jeder einzelnen Windows Installation zu, einem ESX Host kann ich ja gar keine Windows Lizenzen zuordnen...!? Oder wie ist das mit dem zuweisen gemeint? ThX, Magroll

@NilsK : You made my day! Sehr schön ist auch der Link zu : Using Windows Explorer together with UAC | ADdict Alternativ kann man die UAC sicher auch einfach abschalten, dies versuche ich aber erstmal zu vermeiden. War schon kurz davor, den Server neu zu installieren.... Thx, Mag

C:\Programdata\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server-Manager.lnk System = Vollzugriff Administratoren TS01 = Vollzugriff Dömanen-Admins = Mitglied der Gruppe der lokalen Administratoren Gruß, Mag

Sorry, ich meinte die Standardgruppe "Domänen-Admins" Gruß, Mag

Ich melde mich mit dem User via RDP am Server an und arbeite direkt auf Laufwerk C: des Servers. Die Vererbung kommt direkt von Laufwerk C: Root. Da sind die Standardberechtigungen gesetzt, da hab ich auch nirgends was geändert. Die Domänen-Admins sind Mitglieder der lokalen Administratoren, somit sollten die die Domänen-Admins auch Vollzugriff haben. Wenn ich eine Abfrage zu den Effektiven Rechten mache, hat mein User auch Vollzugriff... trotzdem dieses merkwürdige Verhalten... ThX, Mag

Das ganze wird für mich noch etwas unverständlicher. Wenn ich meinen User direkt "Vollzugriff" Berechtigung auf die Verknüpfung gebe, funktioniert die Verknüpfung. Wenn ich einer neuen Testgruppe wo mein User Mitglied ist, die Berechtigung "Vollzugriff" gebe funktioniert es. Wenn ich nur der Gruppe "Domänen-Administratoren" deren Mitglied mein User ist Vollzugriff gebe, funktioniert es nicht? Gibt es da irgendeinen nachvollziehbaren Unterschied? Die Gruppe "Domänen-Administratoren" ist ja eine Standardwindowsgruppe, aber es ist doch trotzdem eine "ganz normale" Gruppe, oder nicht? Ist die Gruppe bei mir vielleicht irgendwie kaputt?! Der einzige Unterschied der mir noch einfällt, ist das die Gruppe der Domänen-admins, in der Gruppe der lokalen Administratoren auf dem Server eingetragen ist. Aber das muss doch so, oder? Gruß, Mag

Hi, @lefg : Die Berechtigungen auf das Standardzielicon ("C:\Programdata\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server-Manager) lauten wie schon angegeben. System = Vollzugriff Domänenadmins = Vollzugriff Administratoren TS01 = Vollzugriff Damit wird der Standard Windows Servermanager gestartet, diesen kann ich auf direktem Wege auch ohne Probleme starten. Also ich kann das Problem umgehen, aber ich würde das Problem gerne verstehen. @Stefan W: Die effektiven Berechtigungen des Users "domadmin" sind Vollzugriff...

Habt ihr auf dem Switch, oder auf dem Server irgendwelche Channeling Mechanismen aktiviert, die vielleicht nicht kompatibel zueinander sind? Gruß Mag

Hallo zusammen, ich habe hier mal wieder ein kleines Verständnisproblem. Folgende Ausgangslage : W2K8R2 Terminalserver TS01 User "administrator" = lokaler Administrator des Systems User "domadmin" = User in Gruppe der Domänenadmins Ich habe auf dem TS die Sicherheitseinstellungen der Verknüpfung zum Servermanager geändert, um zu verhindern das User Sie sehen können. Die Berechtigungen lauten jetzt : System = Vollzugriff Domänenadmins = Vollzugriff Administratoren TS01 = Vollzugriff Wenn ich mich jetzt mit dem lokalen "Administrator" anmelde ist alles normal. Wenn ich mich mit dem "domadmin" anmelde ist das Icon weiß und ich kann es nicht starten. Wenn ich auf die Sicherheitseinstellungen gehen will kommt zudem folgende Meldung : "Sie müssen administrative Rechte und die Berechtigung zur Anzeige der Sicherheitseigenschaften des Objektes besitzen." Ein Klick auf "Fortsetzen genügt um die Sicherheitseinstellungen dann angezeigt zu bekommen. Beim lokalen Admin ist das nicht so. Kann mir wer dieses Verhalten erklären? Vielen Dank und Gruß, Mag

Hallo Sunny, planloses rumgefummel war vielleicht etwas übertrieben.. ganz sooo planlos war das auch nicht, war aber wohl etwas doof geschrieben. :cool: Auf jeden Fall hatte ich das Problem bis dato nicht strategisch analysiert... Den Fehler habe ich jedenfalls lösen können, nachdem ich alle Benutzerprofile auf dem Terminalserver gelöscht habe. Danach haben die Policies wieder einwandfrei gezogen für jeden User. Warum/wieso/weshalb erschließt sich mir leider nicht ganz :( Den Tip mit der Default Domain Policy werde ich in Zukunft beherzigen und hab mir schon ein entsprechendes Policyobjekt angelegt. ThX Mag.

Hallo zusammen, ich habe ein Problem bei dem ich nicht mehr weiter weiß, deshalb möchte ich Euch bitten mir vielleicht einen Tipp zu geben. Die Teilnehmer : Ein Domänencontroller W2K8R2 Einen TS Server W2K8R2 in der Domäne Einen User namens Max unter External Users Für diesen Fall ein Loginskript namens login.vbs In einer Konfiguration von vor ca. 2 Stunden hatte ich in der Default Domain Policy unter Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Skipts/Anmelden ein Skript eingetragen. Diese wurde aus mir unerfindlichen Gründen 2 mal aufgerufen, siehe auch Screenshot. Da ich einen Zusammenhang mit der Loopbackpolicy TS-Lockdown externalvermutete, habe ich diesen Eintrag in der Default Domain Policy wieder entfernt, eine neue Policy namens Loginskript unter External Users angelegt und erneut probiert. Soweit nur zum Verständnis, dieses Problem ist zur Zeit aber nebensächlich. Das eigentlich Problem das ich jetzt habe ist das meine Umkonfiguration nicht zieht. Nachdem ich feststellte das mein Loginscript auf dem TS Server immer noch doppelt ausgeführt wurde, habe ich auf dem Domaincontroller eine Gruppenrichtlininenergebnisabfrage durchgeführt. Laut diesem Ergebnis steht mein Eintrag immer noch in der Default Domain Policy, tut er aber definitv nicht! Ich hatte ähnlich gelagerte Probleme schon 2-3 mal, durch planloses rumfummeln lief aber irgendwann alles wieder aus nicht nachvollziehbaren Gründen. Jetzt versuche ich das Problem mal strategisch anzugehen, habe alles rebootet und mehrfach gecheckt, komme der Lösung aber nicht näher. :confused: Bei anderen Usern in der gleichen OU wie Max tritt dieses Problem zudem zur Zeit nicht auf! Was läuft hier total verkehrt?! Für mich schaut es so aus als wenn in der AD Datenbank irgendetwas klemmt, oder nicht aktualisiert wird. Ich bin für jede Hilfe äußerst dankbar! Danke & Gruß, Mag

Hallo zusammen, ich habe folgende Fragestellung : Ist es möglich über GPOs User so zu beschränken, das Sie zwar eine von mir zugeschickte Remote APP (via .rdp File) starten können, sich aber nicht mit Ihrer Kennung z.B. via mstsc am Server anmelden und einen Desktop bekommen? Vielen Dank, Mag.

Hallo zusammen, ich möchte gerne eine Möglichkeit schaffen, um ohne VPN Zugang, interne Anwendungen via authentifiziertem Zugang, externen Usern im Internet zur Verfügung zu stellen. Als Lösung hierfür fiel mir als erstes Windows Terminalserver mit RemoteApps & Web Access ein. Ich habe mir das mal angeschaut und in unserer Testumgebung einen Terminalserver mit Web Access aufgesetzt. Dabei stieß ich auf einige Probleme, Zertifikate, doppelte Anmeldung (Web und RDP), Webseite lässt sich nur mit IE aufrufen, Sicherheit, und andere Kleinigkeiten. Meine Frage jetzt ist eher allgemeiner Natur, ich brauche keine konkrete Lösung für o.g. Probleme. Lässt sich eine solche Lösung (entsprechendes Know How vorausgesetzt) vernünftig und sicher nur mit MS Mitteln aufsetzen, oder wird für solche Lösung immer auf Dritthersteller / Tools wie z.B. Citrix zurückgegriffen? Ich möchte den externen Usern nicht erst eine Bedienungsanleitung schicken, wie Sie das System zu benutzen haben und das Sie nur den IE benutzen dürfen usw... Zur Größenordnung : Wir haben ca. 1000 Anwender und ich schätze das wir erstmal etwa 30 User haben die mit einer solchen Lösung arbeiten sollen. Es können aber schnell mehr werden, wenn bekannt wird das wir solche Möglichkeiten haben :rolleyes: Vielleicht kann mir jemand von Euch hierfür ein paar Denkanstösse geben, bevor ich mich da in eine Richtung verrenne. ThX, Mag

Hi Sunny, Wenn ich das mal so genau wüsste... Einen speziellen Anwendungsfall für ein Tool habe ich zur Zeit (noch) nicht, ich teste ja gerade erst ein bisschen rum, eher etwas das das ganze Thema transparenter gestaltet. Ich finde das ganze Thema AD / GPO's bisher nur Recht schwer überschaubar. Alleine schon das ich für die Objektverwaltung ein anderes Programm benutze wie für die Policies?! Kann man sowas nicht in ein Programm zusammenführen? Von daher hoffte ich, es gibt Tools die das ganze Thema übersichtlicher gestalten... ThX, Mag

Hi, gibt es denn irgendwelche einfachen (kostenlosen bis günstigen) Möglichkeiten sich das Leben deutlich zu erleichtern? Wenn man nach Tools sucht, findet man welche wie Sand am Meer und die sind auch alle super, aber könnt Ihr mir aus der Praxis welche empfehlen, die wirklich was taugen, ich habe wenig Lust alle auszuprobieren... :shock: ... und Powershell scheint ja auch noch so ein Thema, mit welchem man sich beschäftigen sollte, denke ich ... ThX, Mag

@sweigl : Das mit der Sicherheitsfilterung war genau das was ich brauchte! Hab zwar noch etwas suchen müssen um zu finden was Du meinst, aber jetzt ist alles (bzw. einiges mehr) klar :D Zudem kann man man ja wohl auch einiges über die Berechtigungen der Policy bauen (Eigenschaften / Sicherheit), aber ich glaube da wird man dann irgendwann die Übersicht verlieren :confused: Generell finde ich das ganze noch etwas unlogisch / kompliziert und vor allem unübersichtlich, aber ich hoffe das wird noch ^^ @Nilsk : Das mit der NDS war natürlich nur ein Scherz ;o) ThX 4 help! Mag

Gruppenrichtlinien wirken nicht auf Gruppen, sondern nur auf Benutzer- und Computerobjekte. Das wird wohl der relevante Teil sein... Und warum heissen Gruppenrichlinien dann GRUPPENrichtlinien, wenns doch User- oder Computerrichlinien sind:confused: Ich glaub ich bleib doch bei der NDS.... :suspect: Thx, Mag

Hab ich mir schon gedacht! :D Den Link hatte ich schon, ich werde dann wohl mal weiterlesen...

Hallo zusammen, ich habe anscheinend gerade ein Brett vorm Kopf und meine Suchen nach "gruppenrichtlinien gruppen" sind aufgrund der Fülle von Ergebnissen auch nicht sonderlich hilfreich, daher hier mein Hilferuf, vielleicht kann mich ja jemand mal aufklären ;o) Folgendes Problem : Ich habe einen User namens User01 Ich habe eine Gruppe namens Gruppe01 User01 ist Mitglied von Gruppe01 Folgende Struktur im AD : - OUTEST - Gruppen (Enthält Gruppe01 ) - User (Enthält User01 ) Ich habe jetzt verschiedene Gruppenrichtlinien mit dem Ordner Gruppen und mit dem Ordner User verknüpft. Dann melde ich mit dem User User01 an. Die Policies welche dem Ordner User zugewiesen sind ziehen auch wunderbar, aber die Policies auf dem Ordner Gruppen ziehen für User01 nicht, obwohl er ja Mitglied der Gruppe01 ist, welche sich ja im Ordner Gruppen befindet. Hab ich ein technisches Problem, oder ein Verständnisproblem?! Vielen Dank, Mag

Gibt es eigentlich irgendwo eine nachvollziehbare Definition von MS seitens des Begriffes "indirekt"? Ich habe mir das Dokument MicrosoftProductUseRights(Worldwide)(German)(October2011)CR.docx mal angeschaut, finde da aber nichts näheres. Danke, Mag

Ein anderes Bespiel das mir auf die schnelle einfällt, wäre z.B. eine Anwendung, welche eine geteilte Infrastruktur nutzt. Einmal den Anwendungsserver und einmal einen Datenbankserver. Alle Clients landen auf den Anwendungsserver und dieser wieder rum nutzt seine Anbindung an die SQL Datenbank. Von der Theorie her habe ich nur einen einzigen Conect zum Datenbankserver... in der Praxis gehe ich davon aus das ich für den SQL Server die entsprechende Anzahl von Windows und SQL CALs in Höhe der User / Clients benötige, sicher bin ich mir aber nicht. Ist im Endeffekt ja ähnlich zu dem Proxybeispiel. Den Anwendungsserver kann ich ja quasi wie einen Proxy für die Datenbankzugriffe sehen... :confused: ThX, Mag

Danke für deine Antwort, das wäre auch meine Interpretation gewesen. Aber wie definiert sich denn dann ein "indirekter" Zugriff? Jede TCP Verbindung stellt für mich einen direkten Zugriff dar. Wie wäre es denn zum Beispiel wenn alle internen User via Proxyserver auf einen internen IIS zugreifen? Wäre das indirekt? Zumindest könnte ich mir nicht vorstellen das ich dem Server eine CAL für den Proxy zuordne und damit sauber lizenziert wäre. ^^ Insgesamt finde ich es bei einigen Konstellationen jedoch schwierig zu entscheiden ob das noch einen indirekten Zugriff darstellt.... ThX, Mag

Hallo zusammen, bitte versteht mich nicht falsch, mir geht es hier nicht um Haarspalterei, aber ich würde gerne wissen wie ich den Passus "indirekt" in den Lizenzbedingung zu interpretieren habe? Es heißt ja : Sie sind verpflichtet, für jedes Gerät bzw. jeden Nutzer, das bzw. der direkt oder indirekt auf Ihre Instanzen der Serversoftware zugreift, eine CAL zu erwerben und dem entsprechenden Gerät bzw. Nutzer zuzuweisen. Wie genau ist das indirekt zu verstehen, bzw. zu interpretieren? Folgendes Beispiel : Wir haben ein spezielles Kamerasystem, welches Bilder auf einem Windowsserversystem speichert. Auf diesem Server gibt ein Skript, welches diese Bilder in eine MySQL Datenbank auf einem Linuxsystem schiebt. Diverseste Clients haben eine Anwendung, welche unter anderem auch diese Bilder aus der MySQL Datenbank nutzen, aber keinerlei Verbindung zu dem Windowssystem haben. Ist das eine indirekte Verbindung? Einerseits profitieren alle Clients ja von den Bildern die Mithilfe des Kamerasystemservers erstellt wurden, andererseits wenn ich diese Aktion ins unendliche spinne, müsste ich jeden Server auf welchem ein Dokument erstellt wurde, welches dann im Internet landet, und von welchem somit Millionen von Nutzern profitieren für alle User des Internets lizenzieren...:confused: Wie gesagt ich möchte wirklich keine Haarspaltereidiskussion lostreten, aber dieses Problem beschäftigt mich gerade, weil ich gerne wüsste ob ich 1-5 CALs für den Server kaufen muss, oder doch eher 300-400... Danke & Gruß, Mag

Auf Dein Angebot komme ich gerne nochmal zurück, aber dafür muss ich erstmal noch etwas tun..... Wir nutzen zur Zeit Novell Zenworks für die Clients, ich überlege das auch für die Server zu nutzen, damit würde ich das Lizenzthema evt. auch in den Griff bekommen, aber das Docusnap schau ich mir mal an, hatte ich eh auf dem Radar... Eine Frage hab ich noch zu dem Thema (sicher nicht die letzte) :-) Ich habe mal bei Google nach Preisen für CALs gesucht aber nur 5er Packs gefunden... die gibt es doch sicher auch in Paketen zu 20, 50, 100 usw.? Bekommt man die nur beim Partner seines Vertrauens? Danke soweit, Mag