MurdocX

Naja, vielleicht nicht gerade von einem Vista Rechner, falls es noch neuere Betriebssystem gibt :o.... ;)

Du könntest UPN-Suffixe anlegen. https://support.microsoft.com/en-us/kb/243629/de

Beispiele Aktueller Domaincontroller 2008 R2, zusätzlicher Domaincontroller 2012 R2 - Schema-Update: Ja (Wird aber durch den Assistenten erledigt.) Nachtrag: "With Server 2012, Adprep has been integrated into the Active Directory Domain Services (AD DS) role installation process." Aktueller Domaincontroller 2012 R2, zusätzlicher Domaincontroller 2012 R2 - Schema-Update: Nein Weitere Informationen - http://www.faq-o-matic.net/2009/04/08/ad-schemaerweiterung-ein-paar-hinweise/ - http://social.technet.microsoft.com/wiki/contents/articles/13422.manual-schema-upgrade-for-windows-server-2012windows-server-2012-r2.aspx

Klar geht das ;-) Setze unter das "Write-Host" jeweils diesen Befehl "Out-File" und ersetze dabei "PFAD" durch den Dateipfad deines Logs und "TEXT" durch den Text der nach dem "Write-Host" jeweils steht. Out-File -FilePath 'PFAD' -Encoding utf8 -Append -InputObject "TEXT"

Zum Abschluss des Threads.... Hat es mit dem Skript wie gewünscht geklappt?

Ok, hab´s noch angepasst. Jetzt wird alles geändert. SamAccountName, CN und Name ;) Write-Host 'Gruppen werden erfasst...' -NoNewline $RW_Gruppen = Get-ADGroup -Filter {Name -like '*-RWCEMF'} $R_Gruppen = Get-ADGroup -Filter {Name -like '*-RF'} Write-Host '[OK]' -ForegroundColor Green foreach ($RWobj in $RW_Gruppen) { try { $RWName = (($RWobj).Name).Replace('RWCEMF','RW') Set-ADGroup -Identity $RWobj -SamAccountName $RWName Rename-ADObject -Identity $RWobj -NewName $RWName Write-Host "[+] $($RWobj.Name) wurde erfolgreich in $RWName umbenannt." -ForegroundColor Green } catch { Write-Host "[ERR] $($RWobj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red } } foreach ($Robj in $R_Gruppen) { try { $RName = (($Robj).Name).Replace('RF','R') Set-ADGroup -Identity $Robj -SamAccountName $RName Rename-ADObject -Identity $Robj -NewName $RName Write-Host "[+] $($Robj.Name) wurde erfolgreich in $RName umbenannt." -ForegroundColor Green } catch { Write-Host "[ERR] $($Robj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red } }

Hi Kuddel, ich habe für Dich ein PS-Skript geschrieben um Gruppen umzubenennen. Ist getestet und funktioniert. Viel Erfolg ;-) Write-Host 'Gruppen werden erfasst...' -NoNewline $RW_Gruppen = Get-ADGroup -Filter {Name -like '*-RWCEMF'} $R_Gruppen = Get-ADGroup -Filter {Name -like '*-RF'} Write-Host '[OK]' -ForegroundColor Green foreach ($RWobj in $RW_Gruppen) { try { $RWName = (($RWobj).Name).Replace('RWCEMF','RW') Rename-ADObject -Identity $RWobj -NewName $RWName Write-Host "[+] $($RWobj.Name) wurde erfolgreich in $RWName umbenannt." -ForegroundColor Green } catch { Write-Host "[ERR] $($RWobj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red } } foreach ($Robj in $R_Gruppen) { try { $RName = (($Robj).Name).Replace('RF','R') Rename-ADObject -Identity $Robj -NewName $RName Write-Host "[+] $($Robj.Name) wurde erfolgreich in $RName umbenannt." -ForegroundColor Green } catch { Write-Host "[ERR] $($Robj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red } } NACHTRAG: Bitte beachte, dass nur das der Objekt-Name ohne sAMAccountName geändert wird! Falls das nicht gewünscht ist, muss das Skript nochmal leicht modifiziert werden.

Probier mal das ;-) Das Wort "Setup" durch deine Gruppe ersetzen und "D:\" durch den Netz oder Laufwerkspfad und los gehts... $Berechtigungen = Get-ChildItem -Path 'D:\' -Recurse -ErrorAction SilentlyContinue | Get-Acl Foreach ($obj in $Berechtigungen){ if (($obj.Access).Identityreference -like '*Setup*') { Out-File -FilePath 'D:\Out.log' -InputObject $obj.PSPath } }

Für Excel (Schriftart+Größe), OneNote (Nur Schriftgröße) ist es in den Versionen 2010/2013 über die Gruppenrichtlinien möglich. Ob und in wiefern das auch in der 2007 Variante geht weiß ich nicht. Hierfür müssen aber die Gruppenrichtlinien für Office importiert worden sein. Pfad: Microsoft Excel 20XX > Excel-Optionen > Allgemein > Schriftart Microsoft OneNote 20XX > OneNote-Optionen > Bearbeiten > Standardschriftart

Das hab ich wohl im EIfer des Gefechts überlesen ;) @Alle Danke für Eure Hilfe! Das mit den nicht ausgeführten Skripten bei der ersten Anmeldung muss ich wohl dann so hin nehmen.... ;-) Fall jemand auch keine 60€ zur Hand hat, habe ich eine gute Alternative. Ich habe, wie angekündigt, ein Powershell-Skript als Konverter geschrieben. http://www.it-explorations.de/registry-nach-xml-converter-fuer-gpp/

Nein, spricht nichts dagegen. Wir hatten nur keins konfiguriert und ich wollte das alles "kiss" halten :) In der kommenden Image-Version der Schulungsplätze habe ich die schon integriert. Vielen Dank für den Tipp! Das Tool habe ich gleich mal ausprobiert, jedoch macht er nur 2 Reg-Keys :( Geholfen hast du mir aber trotzdem. Ich denke ich werde mir ein PS-Skript schreiben, das mir die Einträge in XML-Code umwandelt.

Hallo Zusammen, das Problem mit den Benutzervariablen umgangen gelöst. Der Tipp von NilsK, die GPP für zu nehmen, war goldrichtig. Zwar nicht für meine Regfiles, aber für die Benutzervariablen :) Problem mit dem nicht ausgeführten Anmeldeskript bei der ersten Anmeldung aber nicht gelöst. Interessantes Verhalten Die Gruppenrichtlinie wird fehlerfrei angewandt, jedoch das Skript nicht ausgeführt. RSOP zeigt in der MMC, sowie in der CMD das das Skript nicht angewendet/ausgeführt wurde. Fehler im Eventlog sind keine vorhanden. Führe ich jedoch die CMD mit erhöhten Berechtigungen des gleichen Benutzer aus (nach der ersten Anmeldung), dann sind die Benutzervariablen gesetzt. Ohne erhöhte Berechtigung der CMD sind die Variablen nicht sichtbar :confused: Übersehe ich hier was? "SETX LM_LICENSE_FILE 28000@FQDN" lautet der Befehl In dem Fall der Regfile sind 10000 Einstellungen vorhanden. Kennst du eine Möglichkeit die Reg-Einträge zu importieren außer über den Registrierungs-Assistenten? Hat leider nicht zum Erfolg geführt. Ich hab´s mit einer separaten Benutzergruppenrichtlinie probiert, jedoch ist das Ergebnis gleich.

Danke. Werde ich am Mittwoch gleich testen und eine Rückmeldung geben. Danke für den Hinweiß, jedoch schon deaktiviert ;) (Siehe erster Post) Ich weiß auch nicht ob man das wirklich als neues "Feature" betrachten kann, aber das ist denke ich eine andere Diskussion :) Danke für deine Antwort. 1. Einen RSoP über die CMD mit "/Z". Unterhalb des Skripteintrags stand (ungefährer Wortlaut nach) "Wurde noch nicht ausgeführt.". Sobald ich Mittwoch wieder im Büro bin, kann ich den genauen Wortlaut gerne nachliefern. Die Gruppenrichtlinie wurde aber nicht gefiltert, sondern ohne Fehler angewandt. 2. Das Anmeldeskript setzt Variablen über "Setx" für die Benutzersitzung und über "reg.exe /import" werden auch nur für eine Anwendung in "HKCU" Standardeinstellungen importiert. Die *.reg-Datei liegt direkt mit im Sysvol in der Gruppenrichtlinie. 3. Bisher liefert die Ereignisanzeige keine Fehler für Gruppenrichtlinenprobleme. Ich könnte, falls gewünscht, das debugging der Gruppenrichtlinien mal aktivieren um genaueres zu erfahren. Hier habe ich mir gehofft etwas Arbeit sparen zu können, falls ich eine andere Möglichkeit übersehen habe :)

Hi Zusammen, ich hab ein interessantes Startskript Verhalten bei der Anmeldung. Umgebung Client: Windows 8.1 Enterprise DCs: Windows Server 2012 R2 GPO: + Computerkonfiguration, Loopbackverarbeitungsmodus aktiv (zusammenführen), Benutzer Anmeldeskript auf Batchdatei-Basis + Anmeldeskriptverzögerung, deaktiviert + Auf Netzwerk warten, aktiviert + Hybrider Standbymodus, deaktiviert Keine Roaming Profiles ! Problematik Bei einer erstmaligen Anmeldung an einem Rechner durch einen Benutzer (Benutzerprofil wird lokal angelegt) werden alle Gruppenrichtlinienobjekte angewendet, jedoch nicht das Anmeldeskript. Auch nicht mit einer Verzögerung von 5min. "gporesult /z" meldet das das Skript nicht ausgeführt wurde. Meldet sich der Benutzer jedoch AB und wieder AN, dann wird das Anmeldeskript einwandfrei ausgeführt. Dieses Verhalten hatten wir bei WIndows 7 Enterprise nicht. Dieser Fehler lässt auf allen Computern reproduzieren. Hat hierzu vielleicht jemand eine Idee oder schon ein ähnliches Verhalten festgestellt? Grüße Jan

Hallo Shemeneto, zu deinen Problemen: 1. Gebietsschemaeinstellungen Hier ist darauf zu Achten, dass du 0407:00000407 oder de-DE verwendest. Zur Not, welcher Input verwendet werden soll, kannst du im SIM (System Image Manager) die Hilfe zur Rate ziehen. Die ist ziemlich gut! Anbei die XML Konfiguration für deine Unattendet ;-) <component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <SetupUILanguage> <UILanguage>de-DE</UILanguage> </SetupUILanguage> <UILanguage>de-DE</UILanguage> <UILanguageFallback>de-DE</UILanguageFallback> <UserLocale>de-DE</UserLocale> <InputLocale>0407:00000407</InputLocale> <SystemLocale>de-DE</SystemLocale> <LayeredDriver>1</LayeredDriver> </component> 2. Authentifizierung in der Domäne Du meinst wahrscheinlich den Computer automatisch in die Domäne hinzuzufügen. Dies erledigst du mit dem UnsecureDomainJoin in der WDS-Sektion. <WindowsDeploymentServices> <Login> <Credentials> <Domain>D O M Ä N E</Domain> <Password>PASSWORT</Password> <Username>BENUTZERNAME/Username> </Credentials> </Login> </WindowsDeploymentServices> 3. Auswahl des erstellten WIM-Images Hier ist WICHTIG die den Dateinamen, sowie als auch die Gruppe richtig abzuschreiben ;-) <WindowsDeploymentServices> <ImageSelection> <InstallImage> <ImageGroup>PoolPCs</ImageGroup> <ImageName>WIN7-ENT-SP1_POOLPC_V1.6</ImageName> <Filename>WIN7-ENT-SP1_POOLPC_V1.6.wim</Filename> </InstallImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> </ImageSelection> </WindowsDeploymentServices> 4. Partitionierung Hier erstelle ich zwei Festplatten. Alle Partitionen werden geöscht. Die Erste ist 204800MB groß und die zweite dynamisch anhand der Restgröße. <DiskConfiguration> <WillShowUI>OnError</WillShowUI> <Disk wcm:action="add"> <CreatePartitions> <CreatePartition wcm:action="add"> <Size>204800</Size> <Order>1</Order> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="add"> <Order>2</Order> <Extend>true</Extend> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>false</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>Windows</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> <ModifyPartition wcm:action="add"> <Active>false</Active> <Extend>false</Extend> <Format>NTFS</Format> <Label>Daten</Label> <Letter>D</Letter> <Order>2</Order> <PartitionID>2</PartitionID> </ModifyPartition> </ModifyPartitions> <WillWipeDisk>true</WillWipeDisk> <DiskID>0</DiskID> </Disk> </DiskConfiguration> Für weitere Informationen kannst du auch gerne auf meine Homepage schauen. http://www.it-explorations.de/windows-bereitstellungsdienste/ www.bereitstellungsdienste.de

Hallo lindi200000, Du hast vergessen das AD-Schema für Server 2012 R2 anzupassen. Das Tool findest du auf der Server-DVD unter "\support\adprep\adprep.exe". Am Besten du führst es direkt auf dem Domaincontroller (Schemamaster) aus. Eine gute Anleitung für eine Migration wäre diese hier: http://community.spiceworks.com/how_to/show/57636-migrate-active-directory-from-server-2003-to-server-2012-r2 Nachtrag: Adprep.exe muss auf einem 64Bit-System ausgeführt werden, da keine 32Bit-Software von Adprep bei Server 2012 & R2 (adprep32.exe) vorhanden ist. http://blogs.technet.com/b/activedirectoryua/archive/2013/02/05/adprep-in-windows-server-2012.aspx Gruß Jan

Die Gruppenrichtlinien sind zu finden unter: Benutzerkonfiguration > Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite > Liste der Site zu Zonenzuweisungen

Hallo wmaze, über halten der Taste "STRG" und ein rechtsklick auf das Outlook-Symbol erscheint ein zusätzlicher Eintrag der lautet "Verbindungsstatus". Hier könntest du nach Informationen nochmal nachsehen. Hast du die Connectoren auf gewisse Subnetze beschränkt? Gruß Jan

Wir haben KeePass, OneNote & Access DB benutzt. Wobei das sich natürlich bei der Anzahl der Admins in grenzen gehalten hat.

ok.. wenn der Admin sich lokal wiederum ein Admin-Konto anlegt, dies den lokalen Administratoren hinzufügt, kann er sich interaktiv anmelden. Bis die Gruppenrichtlinien dies wieder überschreiben. Ja es gibt immer Wege :rolleyes: Fragt sich nur ob ein Otto-Normal-User das auch hinbekommen würde :) Den Deckel auf den Topf finde ich hier sonst nicht ;)

Hallo zusammen, für dein Anliegen habe ich eine Lösung. 1. Erstelle im AD einen Benutzer mit normalen Berechtigungen (Domänen-Benutzer). Setze unter dem Reiter "Konto" unter "Anmelden an" die Einstellung "Folgenden Computern". Lasse dabei die Karteikarte leer. 2. Erstelle eine GPO (Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen). Erstelle die Gruppe der "Administratoren". Achtung! Hier wird die lokale Administratorengruppe überschrieben, also Vorsicht walten lassen. Füge den "Administrator" (den lokalen!!), die "Domänen-Admins" und eben deinen gewünschten Benutzer ( oben erstellt ) hinzu. Nun hast du einen Administrator Benutzer, der sich aber nicht an dem Rechner anmelden darf. Durch die Gruppenrichtlinien (evtl. mit Gruppenmitgliedschaften ) kannst du dann einstellen für welche Computer die Richtlinie angewendet werden soll. Gruß Jan

Habs in der Technet überlesen ... ja SP1 ist nicht nötig! ;-)

Nein das sollte kein Problem sein. Lt. Microsoft reicht es SP1 zu installieren um dann auf SP3 upzugraden. Erläuterungen zum SP3: http://technet.microsoft.com/de-de/library/ff607233(EXCHG.80).aspx Bitte sorgfältig durchlesen, da gewisse Vorarbeiten vor der Installation des SP1 sowie auch SP3 durchzuführen sind. Download http://www.microsoft.com/de-de/download/details.aspx?id=24111

Hallo, eine gedachte (nicht getestete!!) Lösung wäre es eine Dach-Domäne zu erstellen, unidirektionale Vertrauensstellungen der Firmen-Domänen mit der Dach-Domäne zu erstellen, eine lokale Sicherheitsgruppe auf den Domänen zu erstellen und diese mit dem Admin-Benutzer der Dach-Domäne zu füllen und dann über eine GPO "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen" die lokalen Administratoren der Clients / Server zu überschreiben. Was meint ihr dazu? Gruß

Naja.. was hat er für Auswege.. - Server 2003 & Terminalserver Installation erneut durchführen, Profile etc... oder - DC sauber herunterstufen und noch ewig rum probieren evtl. mit keinem Erfolg und anderen Problemen Meiner Meinung nach ist zeitlich gesehen und für ihn persönlich die bessere Variante. Für das entfernen der MetaDaten aus dem AD gibt es ja schon ein haufen Tutorials die er zur Not noch durchlesen könnte. Das halte ich durchaus für machbar, da ich das selber auch schon des Öfteren gemacht habe. Gruß