drzoidberg

Habe WSUS auf einen Server 2012R2 in der Domäne laufen, die Win7-Clients updaten auch alle davon, passt soweit. Da viele User ihre PCs so gut wie NIE neustarten, möchte ich per Gruppenrichtlinie einstellen, dass die PCs wie bisher auch die Updates vom WSUS beziehen, diese Automatisch installiert werden (Option 4) und dannach zum Neustart aufgefordert wird bzw. nach einer gewissen Zeit automatisch durchgeführt wird. Soweit ich weiß kann der User zwar den Neustart um xx Min verzögern, aber mir reicht wenn der Client irgendwann "gezwungen" bootet. Wie ich gelesen habe geht das so per GPO, ich hätte die nötigen Einstellungen getroffen, leider sind zwar bei meinen Test-Clients (Win/ Pro) Updates vom WSUS vorhanden, es erfolgt aber keine automatische Installation bzw. kein Neustart. Ich teste seit mehreren Wochen, leider tut sich nichts. Hat jemand Erfahrung, bzw. eine laufende Konfig mit dem was ich möchte, bzw. sieht jemand den Fehler? Screenshots anbei. Vielen Dank für die Hilfe. P.S. Die PCs laufen durch! Die GPOs werden sicher gezogen, habs per Richtlinienergebnissatz getestet und andere Einstellungen der gleichen GPO ziehen! Weiß nicht weshalb keine Installation bzw. Reboot erfolgt.

Hallo, habe jetzt mühevoll einzelne Einstellungen geändert und immer wieder versucht! Habe die "fehlerhafte" Einstellung (in Zusammenarbeit mit Sophos-Webproxy) gefunden: Computerkonfig -> Richtlinien -> Win-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsrichtlinien: Punkt "Netzwerksicherheit: Minimale Sitzungsicherheit für NTLM-SSP-basierte Clients)" steht Standardmäßig auf "128Bit-Verschlüsselung erfordern", mit SCM-Vorgabe von MS ist zusätzlich bei dieser Einstellung "NTLMv2-Sitzungsicherheit erfordern" angehackt. Diesen zweiten Haken habe ich wieder wegenommen -> Sophos Webproxy funktioniert! Es kann durchaus sein, dass man diesbzgl. auch eine Einstellung bei der Sophos-UTM machen könnte, aber so funktoiert es auf jeden Fall!!

Nein, mit Win7Client und installierten IE11 mit GPMC keine Konfiguration möglich! Aber hab etwas von Microsoft gefunden, man benötigt 2012R2 oder Windows8.1 http://support.microsoft.com/kb/2898604

Vielleicht haben wir uns missverstanden, ich hatte geschrieben "Board Veteran" hat geschrieben, bin noch nicht lange dabei, das ist ja der "Status", ich meinte den User "Dunkel", dieser hat oben geschrieben es geht unter IE10, dem ist aber nach dem letzten Screenshot nicht so wie ich sehe. Die obere Einstellung ist auch ausgegraut und nicht zu editieren! Schade, hatte gehofft das wird in Zukunft anders. Kann mir das eigentlich jemand erklären was Microsoft damit bezweckt? Habe gelesen das der "Trick" mit XML anpassen auf z.B. "99.0.0.0" nicht von Microsoft unterstützt wird, d.h. man kann mit einer Umgebung Server2008R2 und Win7-Clients (denke das ist momentan zum Großteil Standard) keine höhere Version als IE8 nutzen bzw. mit Richtlinien verwalten. Jetzt könnte jemand sagen man muss eben auf die aktuelle Version vom Server 2012R2 gehen dann klappts, schön und gut, dann kommt in einem halben Jahr der IE12 raus und das war es dann wieder??? Gibt es den einen vernünftigen Grund von MS diese vorhandene Einstellung zu deaktivieren, weil z.B. MS ein Sicherheitsrisiko sieht???? Finde eigentlich die Möglichkeit mit wpad.dat und automatischer Suche ganz NICE. Naja, werde dann Registrykeys in der GPO verteilen da sich in Zukunft nix ändern wird...Danke für die vielen Antworten. UPDATE: ............................................................................. Hab es jetzt selbst getestet: Testserver 2012R2 mit IE11 installiert, GPMC installiert. So ganz stimmen die oben stehenden Aussagen nicht. Siehe Screenshot "Screen_098.jpg", zur Auswahl steht höchstens der IE10 (nicht der IE11). Aber immerhin, ich konnte es fast nicht glauben, nächster Screenshot "Screen_099.jpg", der Haken ist zu setzen!!! Jetzt kann ich mir für meine Umgebung überlegen ob ich für diese Einstellung eine 2012R2-Lizenz verbrate damit ich sie treffen kann oder doch über Registry gehe. Immerhin weiß ich das es wohl in Zukunft einstellbar sein wird. Den "Trick" mit der XML muss ich ab der Verteilung IE11 zwar trotzdem machen...es geht zumindest schon einmal zum einstellen! Das Rätsel weshalb der Haken bei 2008R2 ausgegraut bleibt...bleibt.

Hallo, genau das habe ich schon ausprobiert und würde funktionieren, hatte nur nicht gedacht das Microsoft mir keine andere Möglichkeit gibt als mir selbst den Reg-Key zu suchen und zu verteilen. Aber gut, so funktioniert es zumindest. Danke Ich habe es noch nicht probiert, aber "Board Veteran" schreibt weiter oben, das der Haken beim IE10 gesetzt werden kann, diese Möglichkeit suche ich ja, darum ist zwar das XML-File zu editieren schön und gut, gibt mir aber meine gesuchte Funktion nicht. IE10 habe ich am Server bisher nicht installiert (ausgenommen vom WSUS für diesen Server) damit ich noch die IE-Wartung in den Gruppenrichtlinien habe. Diese möchte ich eben jetzt anders machen, damit ich bei meinem Server auch den IE updaten kann. GPMC auf W8.X zu installieren bzw. auf einer Machine wo ich die Gruppenrichtlinien administriere (in meinem Fall Win7 mit IE11) geht denke ich nicht, da ich keine Auswahl höher als IE8 in den GPP habe. Kann das sein oder mache ich da was falsch?? Evtl. gibt es ein "Update" der ADMX-Vorlagen oder so etwas ähnliches, dass ich die neueren IE-Versionen auswählen kann und vorallem dann die vorhandenen Funktionen an- und abwählen kann (so ein Blödsinn von Mircosoft so eine elementare Funktionalität einfach wegzulassen wenn sie vorher mit IE-Wartung so einfach zu setzen war!)!

Ah, ok, das ist eine gute Info. Beim AD mit Server 2008R2 geht es nur bis IE8 (habe in der Policy wie in anderen Beschreibungen genannt das Textfile angepasst das es bis max=99.0.0.0 geht). Mit dieser Änderung im Textfile in den Policies ziehen die Einstellungen auch für ie9,10,11... Komisch das der Haken bei IE10 geht, die Einstellung gibt es ja auch im IE8, hier ist es aber deaktiviert. Gibt es eine Möglichkeit ohne Server 2012, d.h. im 2008R2-AD die Gruppenrichtlinien upzudaten damit ich z.B. bei den GPP auch IE10 und 11 habe? Das wär gut und ich könnte damit leben wenn es so geht. Danke

Genau diesen Haken gibt es nicht per GPP, das is ja mein Problem. Muss mich wohl erstmal damit abfinden das es so ist, hätte ja sein können das jemand etwas besseres als meinen "Registry"-Nachbau kennt. Habe keinen Server 2012, ist da die Situation genauso?

Ich versuch mal meine Frage unter Security, vielleicht hatte dieses Problem schon jemand: Situation: Netzwerk, AD Server 2008R2, Windows 7 Client, als Proxy-Server Sophos UTM 9 Habe als Basis-GPO für meine Standardcomputer (Win7) die Microsoft Security Compliance Richtlinie 1.0 für Computer genommen (also die aktuelle Richtlinie für Win7SP1 aus dem MS Security Compliance Manager). Darin sind über 200 Einstellungen. Ob man dies in der Praxis (ca. 400 PCs) Sinn macht wäre eine Zwischenfrage, habe dies schon 2 Jahre so im Einsatz, bisher eigentlich keine Probleme. Neu ist nun als Proxy-Server die UTM9 von Sophos. Funktioniert soweit ganz gut (es wird grundsätzlich über Citrix gearbeitet), nur bei lokalen PCs mit der besagten Security-Richtlinie von MS funktioniert der Proxy-Server nicht. Es erscheint immer im IE nach 2-3min "Sanduhr" die Meldung "Seite kann nicht angezeigt werden", nimmt man die GPO von MS weg bzw. schiebt man den Client in eine OU ohne diese GPO von MS funktioniert der Client und man kommt beim Öffnen des IE sofort über den Sophos-Proxy ins Internet. Da ich gerne die Gpo von MS behalten möchte (es sei den es sprechen Argumente dagegen) habe ich nun die Möglichkeit über 200 Einstellungen einzeln durchzuprobieren und zu hoffen das es nur eine Einstellung ist und ich diese finde...oder das Problem hatte schon jemand (evtl. ähnlich) und kann mir sagen an welcher Einstellung es liegt????

Ich setzte im Netzwerk einen Proxy-Server ein. Proxy-Einstellungen werden per wpad.dat im Netzwerk gefunden, der Haken im Internet Explorer unter "Verbindungen -> Erweitert -> Automatische Suche der Einstellungen" muss dazu aktiviert sein. DIESEN Haken kann ich per GPO nicht setzen. AD unter Windows Server 2008R2, altes Problem das ab Installation von IE10 die altbekannte Internet Explorer Wartung verschwindet, das Thema ist bekannt. Ich muss daher den Haken bei Interneteinstellungen im Dialogfenster setzten (so wie die Interneteinstellugnen im IE aussehen), hier ist aber die Option diesen Haken zu setzen ausgegraut. Habe tagelang das Internet durchgoogelt, und auch ähnliche Themen gefunden. Microsoft selbst beschreibt in der Tabelle wie der "verlorene"-GPO-Knoten IE-Wartung ersetzt wird, dass man diese Einstellung mit IEAK machen soll. Das ist ja wohl für eine zentrale Verwaltung ein Witz oder??? Habe nun bisher als "Ersatz" das Szenario, dass ich den Haken per Registry-Eintrag im AD setze bzw. wieder entfernen kann. Ist zwar ein wenig umständlich und wieder eine Extra-Wurscht, aber es funktioniert immerhin wenn man die Registry-Keys gefunden hat. Würde es gerne vernünftig machen wenn jemand das Problem kennt und eine Lösung dazu weiß bitte melden. Danke

Hallo, Danke DLensing, Problem gelöst! Problem war das ich im Batch den "shutdown"-Behfehl von Windows genutzt habe und ich neben den lokalen Rechten "Anmelden als Stapelverarbeitungsauftrag" auch noch - Erzwingen des Herunterfahrens von einem Remotesystem aus - Herunterfahren des Systems als Berechtigung zuweisen musste, dies ist nötig, da ansonsten der shutdown-Befehl nicht ausgeführt werden kann. Danke

Habe mir meine Frage nochmals durchgelesen und fasse zusammen: Ich möchte in der Aufgabenplanung unter Windows Server 2008 R2 eine Aufgabe ausführen. Bei dieser Aufgabe wird ein Batchjob ausgeführt welcher den Server neu startet (mit Befehl shutdown). Ausgeführt soll diese Aufgabe mit einem Domänenkonto werden, deshalb wurde per Gruppenrichtlinie dem Benutzer das Recht "Anmelden Als Stapelverarbeitungsauftrag" hinzugefügt -> Ergebnis beim Ausführen der Aufgabe: Fehler 0x5. Das war es grob zusammengefasst. Wenn der Benutzer als Administrator hinzugefügt wird funktioniert es, auch wenn er in der lokalen Gruppen "Sicherungs-Operatoren" ist funktioniert es. Das möchte ich ja eben nicht, es muss eigentlich anders funktionieren. Dachte jemand hat evtl. schon einmal so ein Problem gehabt?

Nach 5 Monaten Wartezeit gebe ich auf auf eine Lösung zu hoffen, habe noch probiert aber es selbst nicht hinbekommen, kann also selbst keine Lösung bitten, Vorschläge kamen keine, trotzedem Danke.

Situation: - Server 2008R2 - Aufgabenplanung mit neuer Aufgabe -> Programm starten -> Batchjob von Laufwerk "C:\Ordner1\" - Server in Domäne, User "fktest" auch Domänenkonto 1. Wenn keine GPO eingestellt ist (Weder Computer noch Benutzer) und der User "fktest" in der lokalen Gruppe "Administrator" oder "Sicherungs-Operatoren" ist dann funktoniert alles ohne Probleme 2. Ich möchte aber das der User "fktest" nicht in einer der beiden genannten lokalen Gruppen ist und es trotzdem funktioniert, deshalb in GPO eingestellt das Recht "Anmelden als Stapelverarbeitungsauftrag", den User "Domäne\fktest" hinzugefügt. Ergebnis: Job funktoniert nicht mehr, Ergebnis der letzten Ausführung: Fehler 0x5 Ich bekomme es nicht hin! User hätte das Recht, GPO zieht auch, habe auch noch zusätzlich das Recht "Anmelden als Dienst" und "Teil des Betriebssystems" vergeben, keine Änderung, Fehler 0x5 Es war auch so, dass nachdem ich die GPO aktiviert habe und nur der User "Domäne/fktest" beim Recht "Anmelden als Stapelverarbeitungsauftrag" drin war, das mit den lokalen Gruppen "Administratoren" und "Sicherungs-Operatoren" auch nicht mehr funktoniert hat, musst in der GPO beim Recht noch die beiden Gruppen hinzufügen, dann funktoniert es wieder mit den lokalen Gruppen, nur nicht der direkt darin stehende User, dann Fehler 0x5 Diese Gruppen müssen noch irgendwo anders Rechte besitzen, keine andere GPO ist aktiv, habe extra eine Test-OU im AD wo ich User und Server ohne GPOs habe! Kann mir hier jemand helfen??? Danke P.S.: Hacken bei "Mit höchsten Berechtigungen ausführen" hilft auch nichts -> 0x5

Gleiches Thema, keine Lösung! Situation: - Server 2008R2 - Aufgabenplanung mit neuer Aufgabe -> Programm starten -> Batchjob von Laufwerk "C:\Ordner1\" - Server in Domäne, User "fktest" auch Domänenkonto 1. Wenn keine GPO eingestellt ist (Weder Computer noch Benutzer) und der User "fktest" in der lokalen Gruppe "Administrator" oder "Sicherungs-Operatoren" ist dann funktoniert alles ohne Probleme 2. Ich möchte aber das der User "fktest" nicht in einer der beiden genannten lokalen Gruppen ist und es trotzdem funktioniert, deshalb in GPO eingestellt das Recht "Anmelden als Stapelverarbeitungsauftrag", den User "Domäne\fktest" hinzugefügt. Ergebnis: Job funktoniert nicht mehr, Ergebnis der letzten Ausführung: Fehler 0x5 Ich bekomme es nicht hin! User hätte das Recht, GPO zieht auch, habe auch noch zusätzlich das Recht "Anmelden als Dienst" und "Teil des Betriebssystems" vergeben, keine Änderung, Fehler 0x5 Es war auch so, dass nachdem ich die GPO aktiviert habe und nur der User "Domäne/fktest" beim Recht "Anmelden als Stapelverarbeitungsauftrag" drin war, das mit den lokalen Gruppen "Administratoren" und "Sicherungs-Operatoren" auch nicht mehr funktoniert hat, musst in der GPO beim Recht noch die beiden Gruppen hinzufügen, dann funktoniert es wieder mit den lokalen Gruppen, nur nicht der direkt darin stehende User, dann Fehler 0x5 Diese Gruppen müssen noch irgendwo anders Rechte besitzen, keine andere GPO ist aktiv, habe extra eine Test-OU im AD wo ich User und Server ohne GPOs habe! Kann mir hier jemand helfen??? Danke P.S.: Hacken bei "Mit höchsten Berechtigungen ausführen" hilft auch nichts -> 0x5