Trix

vor 8 Stunden schrieb daabm:

@Trix Bist Du Dir sicher, daß Du den Unterschied zwichen "lokaler Benutzer" und "Domänenbenuzter mit lokal gecachten Credentials" kennst?

Hallo daabm

Erklär es mir bitte.

Nach meinen jetziges Kenntnissen ist ein lokaler Benutzer via GPO nur gut, wenn ich dem auf seinem gerät mehr rechte resp. Sonderrechte einräumen will.

Was anderes ergibt sich mir nicht.

 

 

vor 5 Minuten schrieb testperson:

Als evtl. dritte Option:

Wenn nur das VPN über die Mutter läuft und ihr ansonsten völlig losgelöst seid, warum implementiert ihr keine eigene VPN Infrastruktur?

Gute Frage.
Geht im Moment nicht. Es gibt halt gewissen Vorgaben, die wir nicht umgehen können.

vor 19 Stunden schrieb Dukel:

Ist der Client und der Benutzer im AD angelegt / gejoint?

Was ist das für ein VPN?

Gibt es ein AD für die Mutter und ein eigenes für euch oder ist das nur ein AD?

Cisco VPN.
Das Mutterschiff hat eigene Server und ein eigenes AD.

wir wird sonst völlig unabhängig.

vor 19 Stunden schrieb BOfH_666:

Hast Du das getestet oder glaubst Du nur, dass das nicht geht? Es wäre nämlich für 99,99% der Fälle der Normalfall.  

Ein VPN verbindet auch keine Server sondern Netzwerke, bzw. in Deinem Fall Clients mit Unternehmensnetzwerken.

Das machen viele andere auch so ... das kann aber nicht das Problem sein.

... das ist eher unüblich, wie ich glaube.

 

Ich habe das getestet. Es funktioniert nicht. Ich bekomme immer die schon beschriebene Fehlermeldung.

 

vor 12 Stunden schrieb daabm:

Ich sehe da eine grandiose Kette von Mißverständnissen

• Seit MS15-025 kann man per GPO _keine_ lokalen User mehr anlegen (ok ok - es geht, wenn man fragwürdige Kennwortrichtlinien auf seine Computer verteilt. Aber das macht hoffentlich niemand)
• Um das WIndows-Kennwort eines Benutzers zu ändern, ist eine (VPN- oder sonstartige) Verbindung zur Authentifizierungsinstanz erforderlich. Für lokale Benutzer ist das der lokale SAM, für Domänenbenutzer das AD. Ohne AD-Verbindung keine Kennwortänderung.
• Das Ändern des Kennworts über OWA ändert zwar das Kennwort im AD. Aber wenn der Computer keine Verbindung zu selbigem hat, kommt diese Änderung dort nie an - lokal gilt also bis in alle Ewigkeit das bisherige zwischengespeicherte Kennwort (-> "Cached Credentials").
• Das "Sperren" eines AD-Benutzers hat keinerlei Auswirkung auf die Möglichkeit, sich am entsprechenden Computer weiterhin offline anzumelden (-> noch mal "Cached Credentials")

Danke Dir für Deine Erklärung.

So wie ich das im Moment sehe, gibt es zwei Möglichkeiten.
1. wieder ganz normale lokale User anlegen (wollte ich eigentlich nicht mehr)
2. über VPN den unseren Domänencontroller anbaggern können.

ich hab noch keinen Plan wie, aber anders geht es ja wohl nicht.

Danke

BOfH_666:

Genau das was Du da beschreibst geht nicht.

Das liegt daran, dass die VPN Verbindung nicht mit unseren Servern konfiguriert ist und auch nie sein wird.

Wir melden uns mit einem anderen User am VPN an und verbinden uns danach mit einer anderen Anmeldung mit unseren Servern.

Das geht nicht.

Mit einer VPN Verbindung kann ich dann zwar das AD pingen, hab als normaler user da nichts zu suchen.
Ich kann nur auf Daten zugreifen, wenn ich mich als Admin anmelde.

 

XP-Fan:

Das was Du da schreibst ist mir soweit schon klar.

aber wo ist dann der nutze der GPO bei der ich einen lokalen Benutzer anlegen kann.

Welchen Sinn hat dies GPO oder wann würde man den sowas überhaupt einsetzten.

Die GPO Möglichkeit macht ja dann nichts wirklich.

XP-FAN:

Und wie soll das gehen?
ich melde mich ja von extern nur am Gerät an.

ein normaler Benutzer hat nur die Möglichkeit sich auf seine Daten in der Firma via VPN zu verbinden.
Wie soll sich das Gerät mit dem AD verbinden?

 

MurdocX:

Die VPN Umgebung gehört nicht uns. Wir haben hier keine Möglichkeiten oder Einfluss.

VPN gehört dem "Mutterschiff"

Auch wenn ich mir irgendwas sonst verbaue.
Warum kann ich bei einem User, der über GPO lokal angelegt wurde, das Passwort nicht ändern?

 

genau das wäre mein Wunschszenario.

Das geht aber nicht.

Die Meldung erscheint:

“Die Konfigurationsinformation konnte vom Domänencontroller nicht gelesen werden. Der Computer ist entweder nicht verfügbar, oder der Zugriff wurde verweigert.”

Ob ich zum Zeitpunkt der Passwort Änderung eine VPN Verbindung hab oder nicht ist egal.

 

 

Danke

Ja, genau über OWA Outlook. Dort können die User Ihr AD Passwort ändern. Aber nur diejenigen, die auf einem privaten Gerät arbeiten.
Bei den Laptop Usern ist es so, dass zwar Ihr AD Passwort geändert hat, aber Ihr LoginPasswort am Laptop nicht, bis Sie sich dann irgendwann mal im Büro wieder anmelden.

Das darf aber nicht so sein. Das Gerätelogin muss auch änderbar sein.

 

Ich kann keinen VPN Zugang machen bevor der User sich nicht angemeldet hat.

Das geht bei uns nicht, da der VPN Client nicht von uns ist.
Mit dem VPN Client melden wir uns an ein Mutter Netz an, von dem aus wir dann in unser Netz gelangen.

Deshalb die Idee mit dem lokalen User über GPO.

 

Die Idee dahinter ist, dass ich über das AD einen User erfassen kann und dieser sich an einem Laptop anmelden darf.
Das ist ja mit einem normalen AD User das übliche.

Sollte dem Gerät (nicht in Haus) aber etwas passieren, will ich den Account vom AD aus sperren können.

Immer noch normales Verhalten.

Das Problem ist, der User muss sein Passwort auf dem Laptop ändern können.

Das krieg ich aber so nicht hin.

Wenn er es über sein WebMail ändert ist es zwar auf dem AD geändert. Das login am PC bleibt aber alt.
Ich hoffe Du verstehst was mein Problem ist?

ähmm… nein, wie den?
normale AD User können extern Ihr Passwort nicht ändern.
Wie geht das?

 

Hallo zusammen

Ich habe über GPO Lokale Benutzer und Gruppen einen user aus der Domäne angelegt.

Den user hat es auch lokal angelegt, aber erst, wenn man sich mit dem user anmeldet. ist das so?

Über "eingeschränkte Gruppen" hat er auch nur Benutzerrechte, was man aber beim lokalen user nicht sieht. wieso?

Soweit schon mal für mich nicht logisch.
Die Idee ist, dass er sich am PC anmelden kann, wenn er nicht am Domänennetz ist.

Er soll nun aber auch wenn er nicht am Domänennetz ist sein Passwort ändern können.

Das geht aber nicht. er kann sein Passwort nicht ändern.

 

geht das so generell nicht?
Dann begreife ich die GPO Lokale Benutzer und Gruppen nicht oder falsch.

 

Danke für jeden Tipp

Trix

 

Hallo an Alle,

 

wir haben hier ein nerviges Problem.

 

Jeder Mitarbeiter hat sein Mailarchiv.

Jeder Mitarbeiter kann selber wählen, wie er erledigte Mails ins Archiv ablegen will.

Ob Manuell, durch ziehen (verschieben) in den entsprechenden Archivordner oder via Archivrichtlinien.

 

Im Einsatz sind

Exchange 2013 und Outlook 2010

 

Das Problem ist nun, dass es oft passiert, dass wenn Mails aus dem "gesendete Elemente" Ordner in einen Archivordner verschoben werden die Leerzeilen einfach entfernt werden.

Wenn ich Mails aus dem Ordner "gesendete Elemente" im Mailpostfach in einen Postfachordner ablege, konnte ich das entfernen von Leerzeilen noch nie beobachten.

Auch Mails welche mit den Archivrichtilinien archiviert werden nicht.

 

 

Eigentlich nur, wenn Mails manuell aus dem Mailpostfach ins Archiv gezogen werden. Egal aus welchem Ordner.

Wenn ich die Mails nicht verschiebe sondern ins Archiv kopiere, bleicht die Formatierung erhalten. Kein entfernen der Leerzeilen.

 

Das kann aber nicht die Lösung sein. Viel zu umständlich und nicht zumutbar.

 

im Netz gefundene Tipps wie Word Absatzformatierungen kontrollieren resp. einstellen oder auf den editor wechseln, entfernen der Haken unter Optionen in Outlook haben leider nicht geholfen.

 

kennt jemand dieses Problem und hat eine Annehmbare Lösung gefunden oder Tipps wo es zu kontrolliernede Einstellungen gibt?

 

Bin für jeden Hinweis dankbar.

 

Trix

Vielleicht aller Meinungen zum Trotz, war ich bis jetzt immer der Meinung, dass man ein Rad nicht zweimal erfinden muss. Dazu waren Foren mal gedacht.

Denn diesen Wunsch, überprüfen zu können, ob jeder Mitarbeitende in einer Verteilerliste steht, haben sicher viele Firmen.

Doof ist nur, dass ich das jeder selber erarbeiten soll...

 

 

Deshalb hier ein Teil der Lösung.

Auch wenn Sie sicher nicht DIE Lösung ist, da ich kein PowerShell Spezi bin und auch kein Geld habe um eine externe Firma zu beauftragen.

Aber es hat funktioniert.

 

Auslesen aller Verteilergruppen inkl. deren User Auflisten via Exchange PowerShell

 

$loc = "C:\temp\report.txt"

# alle Verteilerliste ermitteln und den Namen der Liste merken um Mitglieder zu ermitteln
$res_dg = Get-DistributionGroup | Select Name
foreach ($dg in $res_dg)
{
  # Name der Verteilerliste in Datei schreiben
  [system.String]$str = "Name der Verteilerliste: " + $dg.Name
  $str | Out-File $loc -append

  # Mitglieder der Verteilerliste ermitteln + in Datei schreiben
  $res_dg_member = Get-DistributionGroupMember -Identity $dg.Name | Select Name
  foreach ($dg_member in $res_dg_member)
  {
    $dg_member.Name | Out-File $loc -append
  }
}

 

 

Danach habe ich, vielleicht etwas umständlich gemacht, da ich kein PowerShell Spezi bin, im AD eine LDAP Abfrage aller Aktiven User gemacht und in eine Datei exportiert.

 

In Excel dann beide Listen automatisch vergleichen.

Fertig

und was ist mit meiner ursprünglichen Frage

LDAP Query.

geht das nicht?

 

und noch was:

es kann icht jeder auf jedem Gebiet spezi sein.

Das hat auch nichts mit Interesse zu tun.

 

Irgendwie interpretieren wir Forum nicht gleich.

ich will ja keine fetige "Geschichte"

Aber etwas mehr hätte ich schon erwartet.

 

Trotzdem Danke

Danke PowerShellAdmin

Wenn man aber keine Ahnung hat wie das geht, ist "man muss ja nur" ziemlich schwierig.

 

Kannst du etwas präziser warden?

Eigentlich ist es egal wie.

aber ich will nicht wissen wer in welcher Verteilergruppe ist, sondern ich brauche eine Liste

wer in keiner Vertetilerliste ist.

Also wer alles hat unter "Mitglied von" im AD keine VL Gruppe drin.

 

Deine Links sind toll, nur sagen mir die was wo drin ist.

ich will aber nur wissen, bei wem irgendeine Verteilerliste fehlt.

Hallo,

 

ich suche eine Möglichkeit im AD abzufragen, welche User in einer über Exchange 2013 erstellten Verteilergruppe drin ist und bei wem eine Verteilergruppe fehlt.

oder anders.

jeder Mitarbeitende soll in einer Mail Verteilgruppe drin sein. Wurde bei jemandem vergessen, eine Zuteilung einer Verteilgruppe zu machen, möchte ich dies mit einer Art Auflistung sehen, damit das korrigiert warden kann.

 

Da ich keine Lust habe, das bei jedem einzelnen Mitarbeitenden zu überprüfen, muss es doch irgend eine Möglichkeit geben.

 

Kriterien die ich hab sind

alle Verteilgruppen beginnen mit VL

alle Verteilgruppen sind in der selben OU

 

kann mir da jemand helfen?

 

danke

beme

Guten Tag,

wie der Titel schon aussagt, möchten wir den Kalender eines Mitarbeitenden für eine Person ausserhalb der eigenen Domäne freigeben.
Exchange 2013
Outlook 2010

Ich habe diesen Beitrag schon in ein anderes Forum geschrieben.

Aber da hatte niemand eine Antwort für mich.

War vielleicht das falsche Forum ;-(

So hoffe ich, dass mir hier jemand einen Tipp geben kann.

Also:
Unter der Exchange Admin Konsole habe ich unter Organisation - Freigabe - Individuelle Freigabe
eine Freigabe gemacht, welche auf "Freigabe für alle Domänen" zeigt.
Diese Freigabe habe ich dann dem User zugeteilt, welcher den Kalender freigeben soll.

Danach hab ich versucht den Kalender der externen Person freizugeben.
Das klappt aber nicht.
Es erscheint immer die Fehlermeldung
Dir Freigabe von Kalender ist aufgrund der Berechtigungseinstellungen Ihres Netzwerks für folgende Einträge nicht verfügbar: die externe E-Mailadresse wird angegeben.

Wir haben keinen Trust zu der externen Domäne resp. zu der externen E-Mail Adresse und wollen das auch nicht.

Da er aber was von Netzwerkberechtigung motzt...
Was ist falsch?

Im Exchange gibt es ja zwei Bereiche
Organisationsfreigabe (ich nehme an Freigaben mit Trust)
Individuelle Freigabe (nehme an ohne Trust)

Was verstehe ich falsch?

Vielen Dank
Freundliche Grüsse
Trix

Danke für Deinen Input.

Ich will die eigenen Dateien auch vergessen. Aber erst mit Win10 :-)

 

Das mit den Abteilungslaufwerken ist schon ein berechtigter Hinweis und auch in Firmen immer wieder ein Problem.

 

Hier sprechen wir aber von einer Universitäts-Fakultät.

Da ist der Aufbau etwas anders ;-)

Danke für Euer Inputs und Anregungen.

Ganz so einfach gestaltet sich das hier leider nicht.

Einige User kommen damit schon klar, ist klar :-)

Aber viele haben jetzt schon ein riesen durcheinander in Ihrer Ablage.

 

im Zeitalter WinXP und Server 2003 hatten die User einen Netzshare. Darin enthalten ein Eigene Dateien mit den Unterordnern Eigene Musik und Eigene Bilder

Mit der Migration auf Win7 und Server 2008 hatten die User dann auf einmal einen Netzshare mit dem Inhalt

Eigene Dateien mit den Unterordnern Eigene Musik und Eigene Bilder

Daneben Eigene Dokumente mit Inhalt Eigene Musik und Eigene Bilder und

auf Höhe Eigene Dateien und Eigene Dokumente noch einmal Eigene Musik und Eigene Bilder.

 

Also eigentlich schon ein Durcheinander.

Das dumme ist nur, dass es unter Eigene Dateien Einträge gibt mit Settings zu spez. Programmen. Finden diese Programme diese Einträge nicht, sind die darin enthaltenen Projekte weg.

Klar kann man das gerade biegen, ist aber bei 300 Usern etwas Mühsam.

 

Tja, das war der Zustand als ich damals hier angefangen hab zu arbeiten.

Inzwischen haben wir Win7 und Server 2012 im Einsatz und eigentlich haben wir bei der bestehenden GPO nur den Serverpfad angepasst.

 

Jetzt haben die User

Eigene Dateien

Eigene Dokumente

documents

Music

Picture

 

auf der ersten Ebene und in den jeweiligen Hauptordnern noch Eigene Musik und Eigene Bilder

 

Also noch ein grösseres Durcheinander.

Wenn ich es nun schaffen würde, den Hauptordner wieder mit Eigene Dateien zu benennen, würden auch die Programmsetting weiterhin funktionieren.

 

Mir ist bewusst, dass man das mal aufräumen muss, das würde ich aber lieber mit der Migration auf Win10 machen.

Da wird es sowieso einiges geben, dass angepasst werden muss und würde im gleichen Aufwisch erledigt.

ja, hab ich.

Inzwischen weiss ich aber, dass es an der Shell32.dll liegt, dass der Ordner englisch angeschrieben ist.

über diese Datei und der Desktop.ini sollte das eigentlich entsprechend angezeigt werden.

In der Shell32.dll gibt es aber nur die englische Version der umgeleiteten Ordner.

Also Documents, Music, Pictures.

Warum auch immer. Ich weiss nicht welches installierte Programm das bewirkt hat.

 

Würde aber am Ende mein Problem nicht lösen, da der Ordner auch auf Deutsch Dokumente heissen würde und nicht Eigene Dateien.

 

So hab ich jetzt mal versucht in der GPO folgenden Weg zu gehen.

 

\\Freigabepfad\%username%

 

Im Ereignisprotokoll ist dann aber der Fehler drin

Der folgende Fehler ist aufgetreten: "Ordner kann nicht verschoben werden, da sich ein nicht umleitbarer Ordner im selben Pfad befindet".

 

\\Freigabepfad\%username%\Ablage war der nächste Versuch

Wieder die selbe Fehlermeldung.

Der Ordner und die Umleitung wird zwar angelegt und es sieht alles OK aus.

Auch Bilder und Musik folgen dem richtigen Ordner.

Nur halt bei jedem anmelden dieser Fehler. Das find ich nicht akzeptierbar.

 

Nur wenn ich den Originalpfad auf Englisch akzeptiere gibt es diese Fehlermeldung im Ereignisprotokoll nicht.

 

Wieso kann ich keinen Ordner selber anlegen?

 

Idee?

 

Guten Morgen Sunny61

 

Danke für Deine Antwort.

Leider bringt mir das keine Lösung.

Es wird bei uns im Startmenü nichts gemischt angezeigt. Es ist alles deutsch.

Bis zur Anpassung des Pfad's in der GPO war auch hier alles OK.

 

Die Meldung ist:

Die Verarbeitung der Richtlinie durch Folder Redirection ist noch nicht abgeschlossen. Die Verarbeitung werde abgeschlossen, wenn sich der Benutzer das nächste mal anmelden würde.

Dem ist aber nach einer Neuanmeldung nicht so.

 

Im Ereignisprotokoll bekomme ich den Fehler

Folder Redirection ID 502

 

Der Pfad "\\Server\pd$\user\Eigene Dateien"

wird genau so angegeben. Also ein Teil blau der andere schwarz

Deshalb denke ich, dass das Leerzeichen schuld ist.

 

Da der Anzeigename des umgeleiteten Ordners Dokumente aber so sein soll, muss man das doch irgendwie mit einem Platzhalter oder so machen können.

 

Hat noch jemand eine "zündende" Idee.

 

Danke

Trix

Hallo und guten Abend

 

Seit zwei Tagen versuche ich ein Problem mit den umgeleiteten eigenen Dateien zu lösen und sehr vor lauter Bäumen so langsam den Wald nicht mehr.

 

Situation heute:

Client: Win7

Server 2012 R2

 

Situation alt:

Client Win7

Server 2008

Damals wurden die Umleitung des Ordner Eigene Dateien (Eigene Dokumente) via GPO umgeleitet mit der Angabe:

Bei Zielordner : Einen Ordner für jeden Benutzer im Stamm.....

Stammverzeichnis:

\\Server\pd$\

der Rest wie %username%\Eigene Dateien hat er dann selber angehängt

 

Das hatte damals auch gut funktioniert.

Die Ordner im umgeleiteten Userbereich waren alle mit "Eigene Dateien" angeschrieben.

 

Jetzt zu der Situation heute.

Win 7 / Server 2012

 

Solange die GPO nicht angerührte wurde war auch noch alles OK.

Jetzt mussten wir aber den Servernamen anpassen.

Den Rest haben wie belassen wie es war.

 

Jetzt haben die User den Ordner Eigene Dateien war immer noch in Ihrem zugewiesenen Bereich drin, aber zusätzlich noch einen Ordner Documents.

Dieser Ordner Documents ist jetzt der eigentlich gültige "Eigene Dateien / Eigene Dokumente" Ordner.

 

Das ist nicht toll.

Teilweise wird auch ein zweiter Ordner mit der Anschrift "Eigene Dokumente" generiert.

 

Nun hab ich versucht den Pfad anzupassen.

\\Server\pd$\%username%\Eigene Dateien

 

Im Prinzip hat er mir das soweit sogar gemacht, nur leider gibt es nun im Ereignisprotokoll immer wieder Fehlermeldungen, dass der Pfad nicht korrekt umgesetzt wurde usw.

Auch weitere Einstellungen auf dieser Basis (z.B. leere Ordner löschen) werden nicht mehr erledigt sondern fallen auf einen Fehler.

 

Irgendwie bin ich mir sicher, dass es mit dem leerschlag zwischen Eigene Dateien zu tun haben muss.

Der war aber eben schon vorher dein (nach alt) und soll so auch wieder weitergeführt werden.

 

Frage:

wie macht Ihr das mit der Umleitung und dem richtigen benennen oder gewünschten benennen?

Wie macht man es richtig?

Gibt es eine Möglichkeit diesen Leerschlag mit einer Variablen zu füllen?

 

Ausprobiert hab ich schon:

\\"Server\pd$\%username%\Eigene Dateien"

\\Server\pd$\%username%\"Eigene Dateien"

"\\Server\pd$\%username%\Eigene Dateien"

\\Server\pd$\%username%\Eigene%20Dateien

 

 

Für jede Hilfe und Idee bin ich Euch sehr dankbar.

 

Freundliche Grüsse

Trix

 

 

 

OK, Ihr Lieben.

Vielen herzlichen Dank für Eure zahlreichen Hinweise und Informationen.

Meine ganzen Test (offline - Online usw) werde ich wohl auf nächstes Jahr verschieben.

 

Wird auch noch etwas Abklärungen brauchen.

Hier ist es leider so, dass ein User heute mit einem Laptop arbeitet und morgen vielleicht nicht, und dann doch wieder.

Also wies beliebt. Somit wird es schwierig zu bestimmen, welcher User nun Offline haben soll oder nicht.

 

Wird wohl ne Denksportaufgabe. :confused:

 

Am schönsten wäre es, wenn man irgendwo die online/offline Prüfung abstellen könnte?

Ist aber wohl nur ein Wunschdenken....

 

Ok, erst mal wünsch ich Euch allen ein frohes neues Jahr und heute Abend nicht zu Feuchtfröhlich :)

 

und noch mal danke!

Entschuldigt bitte, jetzt steh ich mir wohl völlig auf dem Schlauch.

Mir ist schon klar, dass es eine temporäre Datei braucht.

Aber ich seh den Unterschied nicht wirklich ein.

Zur Zeit ist nur der Ordner Musik umgeleitet. Alle anderen Ordner unter Eigene Dateien sind im originalzustand.

 

Situation 1:

Ich bin offline. öffne Outlook offline. öffne z.B. ein pdf.  funktioniert einwandfrei.

Wo legt er die Kopie ab?

 

Situation 2:

Ich bin online. öffne Outlook online. Outlook synchronisiert. ich öffne ein pdf. funktioniert nicht.

Wo legt er die Kopie jetzt ab? Oder wo möchte er sie ablegen?

 

Wenn das öffnen nicht funktioniert, sehe ich gar nichts ausser einem kleinen Laufband über der zu öffnenden Mail.

 

Ich möchte gerne begreifen was da genau passiert.

Was glaubst du, versucht Excel, wenn du eine Datei aus einem Anhang öffnest?

 

Ja was den?

Er öffnet Excel welches lokal installiert ist und öffnet mein Dokument das in der lokalen OST gespeichert ist.

Klappt ja auch super wenn ich keine Internetverbindung hab und lokal arbeite.

Warum also nicht, wenn ich ne Internetverbindung hab?