HaikoH

Hallo zusammen!

Leider finde ich nirgendwo eine fundierte Aussage dazu, daher hier die Frage:

Darf ich bei Windows 7 Pro OEM (OA) eine Installation, die mit dem OEM-Datenträger erstellt wurde, an meine Bedürfnisse anpassen und dann davon ein Image (z.B. mit ImageX) erzeugen, um dieses dann auf 100 andere PCs des selben Types, die ebenfalls die selbe Windows 7 Pro OA Lizenz haben, auszurollen?

Bitte keine Vermutungen als Antwort, sondern fundierte Aussagen, am liebsten mit Quelle. DANKE!!

Beste Grüße,

Haiko

Hallo zusammen!

Ich veranstalte am 31.07.2015 in Leipzig ein kostenloses (!) Community-Event anlässlich des diesjährigen Sysadmin-Days. Neben spannenden Vorträgen, u.a. durch MVPs und andere Community-Leader, wird es Diskussionen, Get-Together und mehr geben - und nebenbei natürlich auch Getränke und Essen vom Buffet. Die Veranstaltung verfolgt keinerlei Verkaufsabsichten, ist für jeden Teilnehmer gratis, erfordert aber eine vorherige Anmeldung.

Details und Anmeldung unter http://www.sysadminday2015.de

Ihr seid alle herzlich eingeladen - wer mag darf auch gern die Kollegen mitbringen. Und wer erst später kommen kann - auch kein Problem!

Fragen gern auch hier...

Liebe Grüße

Haiko

Unter https://msdn.microsoft.com/de-de/subscriptions/manage kann man den Status prüfen. idR laufen die Subscriptions jährlich aus, wenn man sie nicht verlängert. 

Sollte so aussehen:

Ich sehe in Virtualisierung keinesfalls (nur) einen Trend - sondern eine sinnvolle Lösung für viele Probleme. Ein schönes Beispiel ist die Hochverfügbarkeit. Klar, einzelne Dienste wie AD, SQL, Exchange und dergleichen lassen sich mit eigenen Mitteln oder über Clustering hochverfügbar machen. Spätestens bei Branchen-Software hört das aber meistens auf. Eine VM zu clustern ist bei allen größeren Anbietern ohne Weiteres möglich - bei MS sogar komplett kostenlos. Nichtsdestotrotz gibt es sicher Szenarien, wo Virtualisierung nicht viel bringt (wohingegen mir kein Szenario einfallen will, dass Virtualisierung komplett ausschließt, es sei denn der S/W-Anbieter macht es sich leicht und "verbietet" die Virtualisierung seines Produktes)

Was muss eine moderne IT sonst haben? Sie darf in meinen Augen nicht zum Selbstzweck bestehen sondern muss in erster Linie Dienstleister für den (internen) Kunden sein. Oberstes Ziel: Der Rest vom Laden "muss laufen". Dazu sind viele moderne Verfahren nötig, IT Service Management wäre nur eines davon.

Auch das Thema "Cloud" ist keinesfalls nur ein Hype - aber es passt nicht zu jedem, allein schon aus rechtlichen Gründen.

Man muss im Rahmen der IT immer abwägen:

- Was muss ich / will ich leisten?

- Was ist dazu nötig?

- Reicht das "Mindestmaß" oder muss es mehr sein?

- Was kostet welche Lösung über den gesamten Nutzungszeitraum / Welche Lösung ist am wirtschaftlichsten?

Das mal als ein paar Denkanstöße von mir...

Auch wenn es nicht die ideale Lösung ist - manchmal geht es eben nicht. Ich kenne das zu gut, verwalte nebenbei einige System im Uni-Umfeld, da ist nie Geld für das notwendige, weil es für "unnötiges" ausgegeben wird, ergo laufen da auch einige Hyper-V-Hosts mit nur-lokalen-Platten, aber wenigstens vollwertige SAS-Platten.

Wenn du nur den lokalen Storage bis max. 8 Platten zur Verfügung hast, dann musst du zwischen folgenden Möglichkeiten entscheiden:

- ein großes RAID10 über alle 8 Platten, darin dann 2 Partitionen -> Das Maximum, was du an IOPS mit den 8 Platten erreichen kannst, aber wenn dir 2 Platten (die falschen 2) gleichzeitig oder kurz nacheinander hops gehen, ist alles weg

- ein großes RAID6 -> Du bist gegen den gleichzeitigen Ausfall von 2 Platten geschützt, das kostet aber IOPS

- Zwei RAID-Sets für System und Daten getrennt -> Vorteil: Unabhängigkeit, höherer Schutz vor Ausfall, aber schlechteste IOPS

So seh ich das zumindest... Konkrete Messwerte hab ich leider aktuell nicht zur Hand, kann ich aber heute Abend nachliefern.

Um es hier noch einmal kurz aus meiner Sicht zusammenzufassen:

- Hast du KEIN ActiveDirectory, dann muss ein User, um LOKALE Konten anlegen zu können auch LOKALER Admin sein, da geht kein Weg daran vorbei

- Wenn du ein AD hast, dann kannst du Benutzern die Berechtigung delegieren, Konten anzulegen, zu verwalten und und und, und zwar ziemlich granular, sie müssen dazu also explizit NICHT Domänen-Admins sein

- Wenn du einfach nur einen Benutzer des AD auf gewissen Workstations zu lokalen Admins machen willst geht das z.B. per GPO ("Eingeschränkte Gruppen")

Hilft dir das weiter?

Ein Lizenzverstoß hindert dich bei MS idR nicht an der technischen Nutzung des Produktes - aber du begehst eben einen Lizenzverstoß, d.h. einen Verstoß gegen einen von dir mit MS geschlossenen Vertrag. Dagegen kann MS juristisch vorgehen und das kann zu empfindlichen Strafen führen!

Du benötigst für die gesamte Umgebung nur einen Lizenz-Server. Wenn du auf dem Server-Manager eines der beiden Server den anderen hinzufügst (oben rechts "Verwalten", dann "Server hinzufügen") müsstest du unter den Remote Desktop Diensten (links im Menü) den zweiten Host zur bestehenden Installation hinzufügen können.

LG
Haiko

Anmerkung: Man könnte auch "WERT /1GB" schreiben, statt das Gigabyte als "/1048576" zu beschreiben...

PowerShell-Skripte in GPOs laufen AFAIK immer im ByPass-Modus. Also sollte die ExecutionPolicy der Clients egal sein. Was anders wäre es, wenn du zB per GPO ein Batch-Skript startest, dass wiederum ein Powershell-Skript aufruft...

Also grundsätzlich kann eine VDI (Hyper-V als Basis, Win Srv 2012 R2 macht es unglaublich einfach im Aufbau) auch schon bei 10 Clients sinnvoll genutzt werden - aber die Frage ist, welches Ziel die Desktopvirtualisierung verfolgt. Wenn es darum geht, Kosten zu sparen dürfte sich das wohl eher nicht rechnen. Ein Fat-Client ist für 500€ gut ausgestattet zu bekommen, ein Thin-Client oder Zero-Client kostet aber auch zwischen 200 und 300€, du brauchst jetzt aber noch nen vernünftigen Server, wenn du Hochverfügbarkeit haben willst sogar mehrere, dann auch noch ein Storage, da kommen schnell 5000-10000 zusammen, ohne das es besonders toll ist. Da hast du die Einsparungen bei den Clients durch die Serverkosten mehrfach wieder aufgefressen. Und in der Verwaltung sind die Einsparungen wohl auch kaum zu spüren...

Was wäre denn für euch der Grund, auf Desktopvirtualisierung zu setzen?

Schau dir mal die EInstellungen unter Computer Configuration\Administrative Templates\Windows Components\Internet Explorer an...

LG

Haiko

Eine ganz einfach (wenn auch unsichere) Variante wäre ein AutoAdminLogon via Registry. Eine kurze Beschreibung wie das geht werd ich mal fix bloggen und dann den Link hier posten...

So, hier der Link: http://www.hertes.net/?p=2547

Du hast Recht - auf einem Server 2012 R2 fehlt dieser Zweig. Auf Windows 8.1 ist er aber vorhanden. Schau mal, ob bei den Vorlagen hier was dabei ist:

http://www.microsoft.com/de-DE/download/details.aspx?id=43413, alternativ hier:

http://www.microsoft.com/en-us/download/details.aspx?id=25250

Generell sollte man einen Schreib-Cache nur dann benutzen, wenn man diesen gegen Stromverlust absichert. Eine USV alleine ist zwar ein erster Schritt, aber auch kein vollwertiger Schutz. Das Problem dabei ist, dass der Server den Schreib-Cache weiter nutzen wird, auch dann, wenn er auf USV-Strom läuft. Reicht deren Kapazität nicht bis zum vollständigen Shutdown, dann kann es dennoch zu Datenverlusten kommen. Und der Shutdown eines Hyper-V-Hosts kann bei vielen laufenden VMs eine ganze Weile dauern! Besser ist daher, eine USV mit einem BBWC zu kombinieren. Das ist eine Pufferbatterie für den Raid-Controller-Cache... 

Der Schreib-Cache selber bringt aber definitiv Geschwindigkeits-Vorteile. Ich würde ihn daher -sofern möglich- nutzen.

Unter "Computerkonfiguration" / "Administrative Vorlagen" / "Windows Komponenten" / "Suche" finden sich die jeweiligen Einstellungen. Da kann man z.B. Speicherorte aus der Suche ausschließen oder einschließen...

Gibt es denn eine starke Last auf den VMs? Wenn die letzte differenzierende VHD (also da, wo nach dem Snapshot reingeschrieben wird) schneller wächst als die Daten in das übergeordnete Objekt geschrieben werden können, dann kann es (neben vielen anderen Gründen) sicher zu Problemen kommen...

Hallo!

Komplett deaktiviert werden kann das nicht - würde auch nicht viel Sinn machen, da der User über die Suche ohnehin an alles ran kommt, was er öffnen darf. Aber man könnte bspw. über AppLocker den Zugriff zu den Anwendungen selbst kontrollieren. Was ist der Grund, warum du diese Ansicht abschalten wolltest?

LG
Haiko

Naja, der Vorgang selbst dauert sicher länger. ABER: Wenn man nun ewig Zeit verbringt, mit DISM die gewünschten Updates in der richtigen Reihenfolge und mit den korrekten Abhängigkeiten installieren will, dann kostet das ja auch Zeit... UND: Die Möglichkeiten von DISM beschränken sich im Wesentlichen auf Updates, Treiber, CAB und MSI und Änderungen auf Dateiebene. Eine komplexe Anwendung installieren ist nicht machbar, über sysprep schon... Hat also beides deutliche Vor- und Nachteile und somit auch jedes seinen Einsatzzweck ;)

Wenn du den Weg über sysprep gehst dann wird das Image evtl. geringfügig größer, da beim ersten Boot (der ja beim anderen Weg entfällt) Daten generiert werden...

Vielleicht ist ein Hostcluster auf der Ebene des Hypervisors für dich eine Option? Bei Hyper-V geht dies super-einfach und ohne Zusatzkosten. Dann kannst du jede VM hochverfügbar machen - nahezu unabhängig vom Dienst, den sie anbietet. Bei DNS/DC würde ich darauf verzichten, die sind gegenseitig ersetzbar wenn man min. 2 davon hat... Weiterer Vorteil ist das du, weil du letzlich jede VM nur 1x betreibst keine unnötigen Lizenzen für deine eingesetzten Produkte brauchst.

Wie sind denn die GPOs verknüpft? Userbezogene GPOs können nur auf Userkonten wirken. Wenn du nun also eine User-GPO z.B. mit der OU deiner Domänencontroller verknüpfst, dann wird das nicht funktionieren. Um dies zu ermöglichen könntest du aber die Loopback-Verarbeitung aktivieren...

Alternativ könntest du den Server 1x regulär installieren, booten, dann alle Treiber und Updates installieren (dann weisst du auch ganz genau, welche notwendig sind), bei Bedarf weitere Anpassungen vornehmen und dann syspreppen. Anschließend z.B. mittels WinPE und ImageX.exe oder auch per WDS ein neues WIM aufzeichnen...

Hallo kazeerulaz,

tritt dieses Verhalten auch bei nicht-versteckten-Freigaben (also ohne $ am Ende) auf? Einem User direkt Rechte zu geben ist nie eine gute Idee, man verliert leicht den Überblick und der Aufwand, etwas zu ändern, ist sehr hoch. Besser AD- oder lokale Gruppe anlegen und damit arbeiten - notfalls mit nur einem Mitglied in der Gruppe.

Tritt das Verhalten auch bei anderen Benutzerkonten auf? Zugriff von verschiedenen Rechnern getestet?

LG
Haiko

Wir haben zwar einen Standort in Wien und einen in München, aber ich will dich keinesfalls dazu "überreden", bei uns zu buchen. Aber eine Überlegung möchte ich dir mit auf den Weg geben: Viele Anbieter schulen nach MOC (Microsofts offizielle Trainings-Unterlagen). Das mag für die Prüfungen gut und sinnvoll sein, für die Praxis aber eher nicht. generell wird es schwierig sein, mit einem Kurs sowohl gutes Praxiswissen als auch die Prüfung abzudecken. Wir schulen vieles nicht nach MOC, da in unseren Kursen nicht die Zertifizierung das Ziel ist, sondern das "Überleben im Arbeitsalltag". Für das Update des MCITP auf MCSA Server 2012 ist eine einzige Prüfung nötig, die 70-417. Eventuell belegst du einen möglichst praxisnahen Kurs und erarbeitest dir im Anschluss die Prüfungsthemen noch mal mit einem Buch?