Gadget

Hi XP-Fan,

jo das war schon ein Knaller, aber is ja eigentlich schon ein alter Hut bzw. schon wieder lange her... :wink2:

Nur schade, dass man solche Aktionen ned planen kann. ;)

BTW: Ich habs mal verschoben, is eher Offtopic

LG Gadget

@Traced:

Hi uhleh,

schau dir mal unseren Community-Cast zum Thema an:

http://www.mcseboard.de/media/community_cast.wmv

u. wenns tiefer gehen soll bitte hier mal Teil 1-14:

Introduction to Group Policy:

http://www.microsoft.com/events/series/grouppolicy.mspx

LG Gadget

Hi Lamu,

warum funktioniert meine Policy "eingeschränkte Gruppen" nur in der default Domain Policy?

Sobald ich die genau gleiche Policy in eine Testgruppe mit Test-Usern einstelle, passiert

nichts!!

weil das nix mit Benutzern zu tun hat is ne reine Computerrichtlinie!

Also muss deine Richtlinie auf der richtigen OU Platziert werden u. deine Computer darunter liegen.

LG Gadget

Wenn man in den erweiterten Sicherheitseinstellungen eines Ordners in die Registerkarte Besitzer klickt, dann kann man hier, wenn man als Administrator eingeloggt ist, Administratoren anklicken, dann wird der Besitzer des Ordners auf "Administratoren" geändert. Wenn man zusätzlich das Häkchen bei "Besitzer der Objekte und untergeordneten Container ersetzen" anklickt, überträgt sich diese Einstellung in alle Unterordner und Dateien.

Ok, stand heute in der früh noch auf der Leitung, mit den Besitzrechten rumzuspielen bringt aber in diesem Kontext garnix, außerdem ist es Best-practice, die Besitzrechte beim Basisordner u. Profilordner nicht zu ändern, sonst funktionieren z.B. Quotas nicht u. mit Servergespeicherten Profilen kanns auch Probleme geben:

http://support.microsoft.com/default.aspx?scid=kb;DE;327462

Wie gesagt um das ausführen auf "erlaubte" ausführbare Dateien zu beschränken, ist es am einfachsten sogenannte "Software Restriction Policies" einzuführen:

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

LG Gadget

Hi paulx,

Zudem habe ich den Besitzer für das Benutzerprofil auf Administratoren gesetzt.

was meinst du damit, is ein bisserl unverständlich was du schreibst.

Um das ausführen von nicht freigegebenen executables zu verhindern, musst du eine Software restriction policy definieren (is ne Gruppenrichtlinienfunktion):

Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;de;324036

LG Gadget

Hi e2e4,

wieso nimmst du nicht das Prog dafür was genau diesen Funktion anbieten soll:

sc.exe (Bei xp u. 2k3 dabei für 2k zum Download verfügbar)

C:\>sc /?
*** Unrecognized Command ***
DESCRIPTION:
       SC is a command line program used for communicating with the
       NT Service Controller and services.
USAGE:
       sc <server> [command] [service name] <option1> <option2>...

       The option <server> has the form "\\ServerName"
       Further help on commands can be obtained by typing: "sc [command]"
       Commands:
         query-----------Queries the status for a service, or
                         enumerates the status for types of services.
         queryex---------Queries the extended status for a service, or
                         enumerates the status for types of services.
         start-----------Starts a service.
         pause-----------Sends a PAUSE control request to a service.
         interrogate-----Sends an INTERROGATE control request to a service.
         continue--------Sends a CONTINUE control request to a service.
         stop------------Sends a STOP request to a service.
         config----------Changes the configuration of a service (persistant).
         description-----Changes the description of a service.
         failure---------Changes the actions taken by a service upon failure.
         qc--------------Queries the configuration information for a service.
         qdescription----Queries the description for a service.
         qfailure--------Queries the actions taken by a service upon failure.
         delete----------Deletes a service (from the registry).
         create----------Creates a service. (adds it to the registry).
         control---------Sends a control to a service.
         sdshow----------Displays a service's security descriptor.
         sdset-----------Sets a service's security descriptor.
         GetDisplayName--Gets the DisplayName for a service.
         GetKeyName------Gets the ServiceKeyName for a service.
         EnumDepend------Enumerates Service Dependencies.

       The following commands don't require a service name:
       sc <server> <command> <option>
         boot------------(ok | bad) Indicates whether the last boot should
                         be saved as the last-known-good boot configuration
         Lock------------Locks the Service Database
         QueryLock-------Queries the LockStatus for the SCManager Database
EXAMPLE:
       sc start MyService

Would you like to see help for the QUERY and QUERYEX commands? [ y | n ]: y
QUERY and QUERYEX OPTIONS :
       If the query command is followed by a service name, the status
       for that service is returned.  Further options do not apply in
       this case.  If the query command is followed by nothing or one of
       the options listed below, the services are enumerated.
   type=    Type of services to enumerate (driver, service, all)
            (default = service)
   state=   State of services to enumerate (inactive, all)
            (default = active)
   bufsize= The size (in bytes) of the enumeration buffer
            (default = 4096)
   ri=      The resume index number at which to begin the enumeration
            (default = 0)
   group=   Service group to enumerate
            (default = all groups)

Z.b. eine Abfrage des Spooler-Dienstes:

C:\>sc queryex spooler

SERVICE_NAME: spooler
       TYPE               : 110  WIN32_OWN_PROCESS (interactive)
       STATE              : 4  RUNNING
                               (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
       PID                : 584
       FLAGS              :

LG Gadget

Hi mcdaniels,

is nach meiner Ansicht Rechtsberatung was wir nicht machen dürfen hier im Board.

Aber so o. so würde ich definitiv zur Personalvertretung (Betriebsrat) gehen, kann ja nicht sein, dass man am Ende noch für die Firma im Knast landet. :suspect:

LG Gadget

@Hirgelzwift,

[glow=4]Hausaufgabe![/glow] Bitte hier:

http://www.mcseboard.de/misc.php?do=bbcode

alles bis morgen früh Auswendig lernen. ;)

So geht das ja nicht wenn man die Bedienungsfunktionen des Boards nicht mal kennt.

LG Gadget

Hi Tobias,

mit UMTS u. entsprechendem Internetzugangsvertrag wäre ne VPN-Verbindung möglich.

Ihr braucht dazu aber einen VPN fähigen Router/Firewall o. aber eine Portweiterleitung auf nen 2k3 konfigurieren auf dem die RRAS-Dienste konfiguriert sind:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/dea17148-3385-466c-96f2-d16bc32f7bfc.mspx

Aber um dir besser weiterhelfen zu können müssen wir schon mehr über deine Netzwerktopologie wissen.

Internetanbindung mit Router: Ja / Nein (Wenn ja welcher Router)

Internetanbindung mit Fester IP o. Dynamischer (Download u. Uploadraten müssen beachtet werden)

usw.. ich würde mich zuerst mal mit den Grundlagen von VPN u. Remoteaccess beschäftigen.

LG Gadget

Hi Ultraschall,

wie Hirgelzwift schon sagte wäre für mich auch der IIS die erste wahl, nur würde ich zusätzlich noch die Sharepoint Services installieren.

Hab damit schon mehrere Intranetprojekte am laufen u. mittels der Office u. Exchangeintegration hat sowas einen echten Mehrwert.

BTW: Das ganze ist übrigens eine kostenlose Erweiterung für den Windows Server 2003:

http://www.microsoft.com/germany/office/testversionen/wss.mspx

LG Gadget

Hi,

@Hirgelzwift

erzeuge in diesem G: laufwerk für jede abteilung einen ordner. erzeuge für jeden ordner eine windows gruppe und gebe dieser gruppe auf ihrem verzeichniss rechte ändern. wenn es ordner gibt auf denen z.b. andere abteilungen lese rechte baruchen erzeuge eine zweite gruppen mit nur leserechten und lege diesen auch auf den ordner.

grundsätzlich stimme ich dem schon zu nur hast du eine wichtige Sache nicht erwähnt, mit den Standardberechtigungen kommst du meistens nicht weit, da nach deiner Beschreibng die User auch den Abteilungsordner umbennen bzw. im schlimmsten Fall sogar löschen könnten.

Deswegen muss mit erweiterten Rechten gearbeitet werden ich habe das z.B. so gelöst:

\\fileserver\daten (Lesen+Ausführen) => nur dieser Ordner

\\fileserver\daten\Abteilung

1.(Lesen+Ausführen, Dateien erstellen/ Daten schreiben, Ordner erstellen/Daten anhängen) => nur dieser Ordner

2. (Ändern) => nur Unterordner u. Dateien

LG Gadget

Hi bp158,

mal 'ne bescheidene Frage: Wieviel Chancen hat ein Virus/Wurm wenn er auf einen PC trifft, dessen Benutzer als Domänenbenutzer im AD eingestuft ist (ohne weitere Gruppenrichtlinien)

auf was willst du hinaus, wollt ihr euch die Virenscannerlizenzen sparen? :rolleyes:

u. übrigens hat die AD-Berechtigung mit Clientberechtigungen eigentlich nicht viel am Hut, ein Domänenbenutzer kann natürlich auch Lokaler Administrator sein.

=> Die lokalen Berechtigungen sind interessant

u. außerdem kannst du Schadprogramme (Virus, Trojaner etc.) nicht pauschalisieren jeder verhält u bewirkt etwas anderes.

LG Gadget

Hi s.k.,

Ich arbeite bei einer Kommune und bin dort als Administrator u.a. zuständig für den EDV-Einsatz an Schulen. Wie lange dauert es wohl, bis ein Lizenzaufkleber von den Schülern entfernt wird? Meiner bescheidenen Erfahrung nach wenige Stunden! Toller Lizenznachweis... Ganz zu schweigen davon, dass ich jedes Mal eine neue Lizenz erwerben müsste, wenn mal wieder ein Diebstahl eines Gerätes stattgefunden hat.

wieso OEM? Alle Kommunen deutschlandweit haben das Recht über den Selectvertrag des Bundesministerium des Innern (BMI) lizenzen einzukaufen.

Für Schulen gibt es zusätzlich noch einen eigenen Selectvertrag der deutlich günstigere Preise anbietet.

Da ich selbst im öffentlichen Dienst tätig bin kann ich dir versichern, dass es diesbezüglich keinerlei Probleme gibt.

Wenn wir übrigens uns neue Desktops beschaffen (Leasing) bekommen wir die, ohne OS bzw. kostenlos mit Linux geliefert u. Verfahren dann ganz einfach => Windows XP (Selectversion) über das Linux drüberbügeln u. fedisch nix Aktivierung, Registrierung oder sonst was.

Übrigens wenn wir keine Vorversion haben u. auf XP umsteigen wollen, gibts fürn Appel u. Ei die Möglichkeit Win95 Vollversionen zu kaufen u. dann zusätzlich die XP-Update-Lizenz zu kaufen.

Schlußendlich würde ich dir einfach empfehlen, deinen für dich zuständigen Account Manager bei MSFT anzurufen die sind freundlich u. kompetent u. finden für dich auf jedenfall eine Lösung. (Einfach bei der MSFT Zentrale nachfragen u. nach Info bezüglich des Selectvertrages BMI fragen)

@zahni

Bei Unternehmen mit mehr als 250 User akzeptiert Microsoft bei Neuabschluss eines SA-Vertrages sogar bestimmte Produkte fremder Anbieter als "Grundlizenz", z.B. IBM OS/2, bzw. geht stillschweigend davon aus, dass diese vorhandensind.

Ich kann dies weder bestätigen noch verneinen, aber wollte nur darauf hinweisen, dass die Mindestanzahlen beim Selectvertrag (BMI) teilweise geändert wurden.

http://www.microsoft.com/germany/government/lizenzen.mspx

Microsoft hat für die öffentlichen Einrichtungen den Einstiegslevel der Arbeitsplätze für die Varianten Ratenkauf und Miete von 250 PCs auf lediglich 100 PCs (qualifizierte Desktops) gesenkt.

 

Wenn eine bezugsberechtigte Einrichtung die Mindestzahl von 100 qualifizierten Desktops nicht aufweist, besteht die Möglichkeit, sich mit anderen berechtigten Einrichtungen zu einem gemeinsamen Beitritt zusammenschließen, um so die Mindestanforderung von 100 qualifizierten Desktops zu erreichen. Der Beitritt wird in diesem Fall nur von einer der Einrichtungen abgeschlossen. Die anderen Einrichtungen unterzeichnen eine gesonderte "Zutrittserklärung", die dem Beitrittsvertrag beigefügt wird.

LG Gadget

@Crusi

hab mich gerade an nen Tipp von real_tarantoga errinnert bei dem ein automatisches derfragmentieren auch unter 2k möglich ist:

http://www.mcseboard.de/showthread.php?t=6909

Kohn

Moin Crusi,

wie in der überschrift steht ist der Tipp für XP gedacht unter 2000 funktioniert er nicht.

LG Gadget

Moin ixpe,

alternative zu den NTFS-Tools die solinske Ansprach sind zwei kleine Sysinternal Tools:

http://www.sysinternals.com/Utilities/AccessEnum.html

http://www.sysinternals.com/utilities/shareenum.html

LG Gadget

Morgen Yooti,

ich würds mal mit Kroll Ontrack Easy Recovery versuchen, ist das renomierteste Datenwiederherstellungsunternehmen, dass ich kenne.

Falls es mit Easy Rcovery auch nicht funktioniert hängt alles nur davon wieviel Geld du investieren willst, da du die Platte natürlich auch ins Wiederherstellungslabor zu Kroll Ontrack senden könntest.

http://www.ontrack.de/service/

LG Gadget

Moin coolskin,

Wenn Du eine Admin Installation von Office (Setup /a) hast, kannst Du über den gleichen Weg das SP2 verteilen.

 

Gruß

Ramius

genau wie Ramius sagt, ist die ursprüngliche Installationsart der auschschlaggebende Punkt ,compressed cd image" oder "administrative installation point, für die Art des Updateprozesses.

http://support.microsoft.com/kb/829197

http://office.microsoft.com/en-us/assistance/HA011402031033.aspx

Strategies for Updating Office 2003 Installations

http://office.microsoft.com/en-us/assistance/HA011525741033.aspx

Using Windows Server Update Services and Microsoft Update

http://office.microsoft.com/en-us/assistance/HA100245941033.aspx

LG Gadget

Hi Melmak,

du hasst es ja ein bisserl drastischer formuliert als es wirklich ist ein (kostenloses) Servicepack-Update innerhalb eines halben Jahres sollte jetzt noch im Bereich des möglichen sein, u. geplant war as sicherlich nicht so, bei der Vielzahl an Softwarepatenten u. der Menge an Code die MSFT verwendet, kann das schonmal passieren.

LG Gadget

Hi Katze,

5.58 is aber schon recht alt, so lange dein Wartungsvertrag noch läuft kannst du dir die neue Version holen nach Prüfung deiner Vertragsdaten durch Trendmicro:

http://de.trendmicro-europe.com/enterprise/support/collaterals.php?prodgroup=4&family=5&id=159

2. Kostenloses Produkt-Upgrade für Kunden, die über eine gültige Seriennummer (S/N) verfügen, und ein Upgrade auf den aktuellsten Activation Code (AC) Produktrelease durchführen möchten. Kunden die bereits einen gütligen AC einsetzen, folgen bitte der Installationsroutine #1) und bestätigen das Upgrade.

EDIT: Hier gibts ein paar Tipps wie der Roaming Mode aktiviert wird unter 6.5 o. 7:

http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=21893&id=21893

http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=24309&id=24309

LG Gadget

Dürfen wir hier denn schon trotzdem einige Links posten oder spricht da was gegen? :(

lad dir einfach meine OPML-Datei runter u. importiere sie, dafür habe ich se ja bereitgestellt. (Sind alle Feeds drin die ich abonniert hab)

LG Gadget

Bei Interesse PN

Kohn

Hi Brolek,

deine Frage ist recht Allgemein gehalten, was für Gruppenrichtlinien definiert werden müssen, hängt immer von der Umgebung ab u. wie weit du deine User einschränken willst.

Beispiel in einem Softwarehaus, in der Abteilung der Anwendungsenticklung wirst du sicherlich nicht die gleichen Einschränkungen, für die Programmierer, definieren können wie in der Finanzbuchhaltung.

Als Empfehlung kannst du dir aber mal die Beispielkonfigurationen auf http://www.gruppenrichtlinien.de/ unter der Rubrik "Praxis Szenarien" anschauen.

Weiterhin stellt sich die Frage ob eine Ordnerumleitung u. Ausblendung der lokalen Laufwerke in Betracht kommt. In vielen Firmenumgebungen ist die Speicherung von Daten auf der lokalen Arbeitsstation nicht erwünscht. Deshalb wird ein Homelaufwerk eingerichtet u. der Ordner "Eigene Dateien" auf dieses gemappte Laufwerk umgeleitet.

Wenn du genauer beschreibst welche Einschränkungen du vornehmen willst können wir dir, die geeigneten Lösungswege bzw. Policies dafür nennen.

EDIT: Achja dem normalen Mitarbeiter wird natürlich nur das Benutzerrecht auf der Workstation erteilt, u. falls ggf. jemand selbst die Berechtigung erhalten soll Anwendungen zu installieren, kann dafür ein zusätzlicher "Lokaler Admin" eingerichtet werden.

Hinweise wieso u. weshalb "LUA" gibts hier:

http://www.mcseboard.de/showthread.php?t=66853

LG Gadget

Hi DJ-Silver,

hm bist du mit der Windows Benutzerverwaltung u. Authentifizierung vertraut?

PC sperren => Strg + Alt + Entf / Computer sperren

oder

Windows-Taste +r / "rundll32.exe user32.dll,LockWorkStation"

hier gibts ´n Bild unter W2k dazu is aber bei XP u. bei 2k3 dasselbe Prinzip:

http://www.is.tcu.edu/helpdesk/faculty/win2k/lock.html

LG Gadget