MurdocX

Ok, hab´s noch angepasst. Jetzt wird alles geändert. SamAccountName, CN und Name  ;)

Write-Host 'Gruppen werden erfasst...' -NoNewline
$RW_Gruppen = Get-ADGroup -Filter {Name -like '*-RWCEMF'}
$R_Gruppen = Get-ADGroup -Filter {Name -like '*-RF'}
Write-Host '[OK]' -ForegroundColor Green

foreach ($RWobj in $RW_Gruppen)
{
    try
    {
        $RWName = (($RWobj).Name).Replace('RWCEMF','RW')
        Set-ADGroup -Identity $RWobj -SamAccountName $RWName
        Rename-ADObject -Identity $RWobj -NewName $RWName
        Write-Host "[+] $($RWobj.Name) wurde erfolgreich in $RWName umbenannt." -ForegroundColor Green
    }
    catch
    {
        Write-Host "[ERR] $($RWobj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red
    }
}

foreach ($Robj in $R_Gruppen)
{
    try
    {
        $RName = (($Robj).Name).Replace('RF','R')
        Set-ADGroup -Identity $Robj -SamAccountName $RName
        Rename-ADObject -Identity $Robj -NewName $RName
        Write-Host "[+] $($Robj.Name) wurde erfolgreich in $RName umbenannt." -ForegroundColor Green
    }
    catch
    {
        Write-Host "[ERR] $($Robj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red
    }
}

Hi Kuddel,

ich habe für Dich ein PS-Skript geschrieben um Gruppen umzubenennen. Ist getestet und funktioniert. Viel Erfolg ;-)

Write-Host 'Gruppen werden erfasst...' -NoNewline
$RW_Gruppen = Get-ADGroup -Filter {Name -like '*-RWCEMF'}
$R_Gruppen = Get-ADGroup -Filter {Name -like '*-RF'}
Write-Host '[OK]' -ForegroundColor Green

foreach ($RWobj in $RW_Gruppen)
{
    try
    {
        $RWName = (($RWobj).Name).Replace('RWCEMF','RW')
        Rename-ADObject -Identity $RWobj -NewName $RWName
        Write-Host "[+] $($RWobj.Name) wurde erfolgreich in $RWName umbenannt." -ForegroundColor Green
    }
    catch
    {
        Write-Host "[ERR] $($RWobj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red
    }
}

foreach ($Robj in $R_Gruppen)
{
    try
    {
        $RName = (($Robj).Name).Replace('RF','R')
        Rename-ADObject -Identity $Robj -NewName $RName
        Write-Host "[+] $($Robj.Name) wurde erfolgreich in $RName umbenannt." -ForegroundColor Green
    }
    catch
    {
        Write-Host "[ERR] $($Robj.Name) wurde nicht umbenannt.`n$_" -ForegroundColor Red
    }
}

NACHTRAG: Bitte beachte, dass nur das der Objekt-Name ohne sAMAccountName geändert wird! Falls das nicht gewünscht ist, muss das Skript nochmal leicht modifiziert werden.

Probier mal das ;-)

Das Wort "Setup" durch deine Gruppe ersetzen und "D:\" durch den Netz oder Laufwerkspfad und los gehts...

$Berechtigungen = Get-ChildItem -Path 'D:\' -Recurse -ErrorAction SilentlyContinue | Get-Acl

Foreach ($obj in $Berechtigungen){

    if (($obj.Access).Identityreference -like '*Setup*')
    {
        Out-File -FilePath 'D:\Out.log' -InputObject $obj.PSPath
    }

}

Für Excel (Schriftart+Größe), OneNote (Nur Schriftgröße) ist es in den Versionen 2010/2013 über die Gruppenrichtlinien möglich. Ob und in wiefern das auch in der 2007 Variante geht weiß ich nicht. Hierfür müssen aber die Gruppenrichtlinien für Office importiert worden sein.

Pfad:

Microsoft Excel 20XX > Excel-Optionen > Allgemein > Schriftart

Microsoft OneNote 20XX > OneNote-Optionen > Bearbeiten > Standardschriftart

Das hab ich wohl im EIfer des Gefechts überlesen  ;)

@Alle

Danke für Eure Hilfe!

Das mit den nicht ausgeführten Skripten bei der ersten Anmeldung muss ich wohl dann so hin nehmen.... ;-)

Vielen Dank für den Tipp! Das Tool habe ich gleich mal ausprobiert, jedoch macht er nur 2 Reg-Keys  :(  Geholfen hast du mir aber trotzdem. Ich denke ich werde mir ein PS-Skript schreiben, das mir die Einträge in XML-Code umwandelt. 

Fall jemand auch keine 60€ zur Hand hat, habe ich eine gute Alternative. Ich habe, wie angekündigt, ein Powershell-Skript als Konverter geschrieben.

http://www.it-explorations.de/registry-nach-xml-converter-fuer-gpp/

Am 25/03/2015 um 11:25 schrieb Sunny61:

Spricht etwas dagegen, das schon in einem Computerstartupscript zu setzen?

Nein, spricht nichts dagegen. Wir hatten nur keins konfiguriert und ich wollte das alles "kiss" halten  :) In der kommenden Image-Version der Schulungsplätze habe ich die schon integriert. 

Am 25/03/2015 um 11:25 schrieb Sunny61:

Mit Hilfe von http://www.reg2xml.com/ kannst Du ein REG-File in ein XML konvertieren, das XML per Drag and Drop in ein GPP-Registry Fenster ziehen, schon sind die 10.000 Werte und Schlüssel importiert.

Vielen Dank für den Tipp! Das Tool habe ich gleich mal ausprobiert, jedoch macht er nur 2 Reg-Keys  :(  Geholfen hast du mir aber trotzdem. Ich denke ich werde mir ein PS-Skript schreiben, das mir die Einträge in XML-Code umwandelt. 

Hallo Zusammen,

das Problem mit den Benutzervariablen umgangen gelöst. Der Tipp von NilsK, die GPP für zu nehmen, war goldrichtig. Zwar nicht für meine Regfiles, aber für die Benutzervariablen  :) Problem mit dem nicht ausgeführten Anmeldeskript bei der ersten Anmeldung aber nicht gelöst.

Interessantes Verhalten

Die Gruppenrichtlinie wird fehlerfrei angewandt, jedoch das Skript nicht ausgeführt. RSOP zeigt in der MMC, sowie in der CMD das das Skript nicht angewendet/ausgeführt wurde. Fehler im Eventlog sind keine vorhanden.

Führe ich jedoch die CMD mit erhöhten Berechtigungen des gleichen Benutzer aus (nach der ersten Anmeldung), dann sind die Benutzervariablen gesetzt. Ohne erhöhte Berechtigung der CMD sind die Variablen nicht sichtbar  :confused: Übersehe ich hier was?

"SETX LM_LICENSE_FILE 28000@FQDN" lautet der Befehl

Hallo,

 

mein Bauchgefühl liesse mich mal testweise Loopback deaktivieren.

Danke. Werde ich am Mittwoch gleich testen und eine Rückmeldung geben. 

Schau mal, ob das Erleuchtung bringt. ;)

https://sdmsoftware.com/group-policy-blog/tips-tricks/warning-group-policy-logon-scripts-delays-in-windows-8-1/

 

Bye

Norbert

Danke für den Hinweiß, jedoch schon deaktiviert ;)  (Siehe erster Post)

Ich weiß auch nicht ob man das wirklich als neues "Feature" betrachten kann, aber das ist denke ich eine andere Diskussion  :)

Hast Du nach der ersten Anmeldung mal einen RSoP erstellt? Steht das Anmeldeskript da drin? Und was steht im Group Policy Eventlog möglicherweise Interessantes?

Danke für deine Antwort.

1. Einen RSoP über die CMD mit "/Z". Unterhalb des Skripteintrags stand (ungefährer Wortlaut nach) "Wurde noch nicht ausgeführt.". Sobald ich Mittwoch wieder im Büro bin, kann ich den genauen Wortlaut gerne nachliefern. Die Gruppenrichtlinie wurde aber nicht gefiltert, sondern ohne Fehler angewandt.

2. Das Anmeldeskript setzt Variablen über "Setx" für die Benutzersitzung und über "reg.exe /import" werden auch nur für eine Anwendung in "HKCU" Standardeinstellungen importiert. Die *.reg-Datei liegt direkt mit im Sysvol in der Gruppenrichtlinie.

3. Bisher liefert die Ereignisanzeige keine Fehler für Gruppenrichtlinenprobleme. Ich könnte, falls gewünscht, das debugging der Gruppenrichtlinien mal aktivieren um genaueres zu erfahren. Hier habe ich mir gehofft etwas Arbeit sparen zu können, falls ich eine andere Möglichkeit übersehen habe  :)

Hi Zusammen,

ich hab ein interessantes Startskript Verhalten bei der Anmeldung.

Umgebung

Client: Windows 8.1 Enterprise

DCs: Windows Server 2012 R2

GPO:

+ Computerkonfiguration, Loopbackverarbeitungsmodus aktiv (zusammenführen), Benutzer Anmeldeskript auf Batchdatei-Basis

+ Anmeldeskriptverzögerung, deaktiviert

+ Auf Netzwerk warten, aktiviert

+ Hybrider Standbymodus, deaktiviert

Keine Roaming Profiles !

Problematik

Bei einer erstmaligen Anmeldung an einem Rechner durch einen Benutzer (Benutzerprofil wird lokal angelegt) werden alle Gruppenrichtlinienobjekte angewendet, jedoch nicht das Anmeldeskript. Auch nicht mit einer Verzögerung von 5min. "gporesult /z" meldet das das Skript nicht ausgeführt wurde. Meldet sich der Benutzer jedoch AB und wieder AN, dann wird das Anmeldeskript einwandfrei ausgeführt. 

Dieses Verhalten hatten wir bei WIndows 7 Enterprise nicht. Dieser Fehler lässt auf allen Computern reproduzieren. 

Hat hierzu vielleicht jemand eine Idee oder schon ein ähnliches Verhalten festgestellt?

Grüße

Jan

Hallo Shemeneto,
 
zu deinen Problemen:
 
1. Gebietsschemaeinstellungen
 
Hier ist darauf zu Achten, dass du 0407:00000407 oder de-DE verwendest. Zur Not, welcher Input verwendet werden soll, kannst du im SIM (System Image Manager) die Hilfe zur Rate ziehen. Die ist ziemlich gut!
 
Anbei die XML Konfiguration für deine Unattendet ;-)
 
<component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <SetupUILanguage>
  <UILanguage>de-DE</UILanguage>
 </SetupUILanguage>
 <UILanguage>de-DE</UILanguage>
 <UILanguageFallback>de-DE</UILanguageFallback>
 <UserLocale>de-DE</UserLocale>
 <InputLocale>0407:00000407</InputLocale>
 <SystemLocale>de-DE</SystemLocale>
 <LayeredDriver>1</LayeredDriver>
</component>
 
2. Authentifizierung in der Domäne
 
Du meinst wahrscheinlich den Computer automatisch in die Domäne hinzuzufügen. Dies erledigst du mit dem UnsecureDomainJoin in der WDS-Sektion.
 

<WindowsDeploymentServices>
 <Login>
  <Credentials>
   <Domain>D O M Ä N E</Domain>
   <Password>PASSWORT</Password>
   <Username>BENUTZERNAME/Username>
  </Credentials>
 </Login>
</WindowsDeploymentServices>

 
 
3. Auswahl des erstellten WIM-Images
 
Hier ist WICHTIG die den Dateinamen, sowie als auch die Gruppe richtig abzuschreiben ;-)
 

<WindowsDeploymentServices>
 <ImageSelection>
  <InstallImage>
   <ImageGroup>PoolPCs</ImageGroup>
   <ImageName>WIN7-ENT-SP1_POOLPC_V1.6</ImageName>
   <Filename>WIN7-ENT-SP1_POOLPC_V1.6.wim</Filename>
  </InstallImage>
  <InstallTo>
   <DiskID>0</DiskID>
   <PartitionID>1</PartitionID>
  </InstallTo>
 </ImageSelection>

</WindowsDeploymentServices>
 
4. Partitionierung
 
Hier erstelle ich zwei Festplatten. Alle Partitionen werden geöscht. Die Erste ist 204800MB groß und die zweite dynamisch anhand der Restgröße.

<DiskConfiguration>
 <WillShowUI>OnError</WillShowUI>
 <Disk wcm:action="add">
  <CreatePartitions>
   <CreatePartition wcm:action="add">
    <Size>204800</Size>
    <Order>1</Order>
    <Type>Primary</Type>
   </CreatePartition>
   <CreatePartition wcm:action="add">
    <Order>2</Order>
    <Extend>true</Extend>
    <Type>Primary</Type>
   </CreatePartition>
  </CreatePartitions>
  <ModifyPartitions>
   <ModifyPartition wcm:action="add">
    <Active>false</Active>
    <Extend>false</Extend>
    <Format>NTFS</Format>
    <Label>Windows</Label>
    <Letter>C</Letter>
    <Order>1</Order>
    <PartitionID>1</PartitionID>
   </ModifyPartition>
   <ModifyPartition wcm:action="add">
    <Active>false</Active>
    <Extend>false</Extend>
    <Format>NTFS</Format>
    <Label>Daten</Label>
    <Letter>D</Letter>
    <Order>2</Order>
    <PartitionID>2</PartitionID>
   </ModifyPartition>
  </ModifyPartitions>
  <WillWipeDisk>true</WillWipeDisk>
  <DiskID>0</DiskID>
 </Disk>
</DiskConfiguration>
 

 
Für weitere Informationen kannst du auch gerne auf meine Homepage schauen.
http://www.it-explorations.de/windows-bereitstellungsdienste/

www.bereitstellungsdienste.de

Hallo lindi200000,

Nun hatte ich vor wie folgt vorzugehen. Bitte schaut einmal drüber ob ich was vergessen habe.

Du hast vergessen das AD-Schema für Server 2012 R2 anzupassen. Das Tool findest du auf der Server-DVD unter "\support\adprep\adprep.exe". Am Besten du führst es direkt auf dem Domaincontroller (Schemamaster) aus.

Eine gute Anleitung für eine Migration wäre diese hier: http://community.spiceworks.com/how_to/show/57636-migrate-active-directory-from-server-2003-to-server-2012-r2

Nachtrag:

Adprep.exe muss auf einem 64Bit-System ausgeführt werden, da keine 32Bit-Software von Adprep bei Server 2012 & R2 (adprep32.exe) vorhanden ist. 

http://blogs.technet.com/b/activedirectoryua/archive/2013/02/05/adprep-in-windows-server-2012.aspx

Gruß
Jan

Die Gruppenrichtlinien sind zu finden unter: 

Benutzerkonfiguration > Windows-Komponenten/Internet Explorer/Internetsystemsteuerung/Sicherheitsseite > Liste der Site zu Zonenzuweisungen

Hallo wmaze,

über halten der Taste "STRG" und ein rechtsklick auf das Outlook-Symbol erscheint ein zusätzlicher Eintrag der lautet "Verbindungsstatus". Hier könntest du nach Informationen nochmal nachsehen.

Hast du die Connectoren auf gewisse Subnetze beschränkt?

Gruß

Jan

Wir haben KeePass, OneNote & Access DB benutzt.

Wobei das sich natürlich bei der Anzahl der Admins in grenzen gehalten hat.

ok.. wenn der Admin sich lokal wiederum ein Admin-Konto anlegt, dies den lokalen Administratoren hinzufügt, kann er sich interaktiv anmelden. Bis die Gruppenrichtlinien dies wieder überschreiben. Ja es gibt immer Wege :rolleyes:  Fragt sich nur ob ein Otto-Normal-User das auch hinbekommen würde :)

Den Deckel auf den Topf finde ich hier sonst nicht ;)

Hallo zusammen,

für dein Anliegen habe ich eine Lösung.

1. Erstelle im AD einen Benutzer mit normalen Berechtigungen (Domänen-Benutzer). Setze unter dem Reiter "Konto" unter "Anmelden an" die Einstellung "Folgenden Computern". Lasse dabei die Karteikarte leer.

2. Erstelle eine GPO (Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen). Erstelle die Gruppe der "Administratoren". Achtung! Hier wird die lokale Administratorengruppe überschrieben, also Vorsicht walten lassen. Füge den "Administrator" (den lokalen!!), die "Domänen-Admins" und eben deinen gewünschten Benutzer ( oben erstellt ) hinzu.

Nun hast du einen Administrator Benutzer, der sich aber nicht an dem Rechner anmelden darf. Durch die Gruppenrichtlinien (evtl. mit Gruppenmitgliedschaften ) kannst du dann einstellen für welche Computer die Richtlinie angewendet werden soll.

Gruß

Jan 

SP1 kann er sich sparen, da SPs immer kumulativ sind. Also nur das SP3 installieren und ggf. auch die aktuellsten Rollups noch hinterherziehen.

Habs in der Technet überlesen ... ja SP1 ist nicht nötig! ;-)

Nein das sollte kein Problem sein. Lt. Microsoft reicht es SP1 zu installieren um dann auf SP3 upzugraden.

Erläuterungen zum SP3:

http://technet.microsoft.com/de-de/library/ff607233(EXCHG.80).aspx

Bitte sorgfältig durchlesen, da gewisse Vorarbeiten vor der Installation des SP1 sowie auch SP3 durchzuführen sind.

Download

http://www.microsoft.com/de-de/download/details.aspx?id=24111

Hallo,

eine gedachte (nicht getestete!!) Lösung wäre es eine Dach-Domäne zu erstellen, unidirektionale Vertrauensstellungen der Firmen-Domänen mit der Dach-Domäne zu erstellen, eine lokale Sicherheitsgruppe auf den Domänen zu erstellen und diese mit dem Admin-Benutzer der Dach-Domäne zu füllen und dann über eine GPO "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen" die lokalen Administratoren der Clients / Server zu überschreiben.

Was meint ihr dazu?

Gruß

Ich stelle das mal zur Diskussion: den 2003 von der Domäne zu trennen. Falls notwendig, die FSMO-Rollen auf dem 2011 zu seizen, den GC zu aktivieren und die Metadaten des 2003 am 2011 aus dem AD zu entfernen.

 

Der 2003 darf dann so aber nicht wieder mit dem Netz der Domäne verbunden werden, er muss erst neu installiert werden wegen der Gefahr eines USN-Rollback, falls die Metadaten nicht entfernt wurden.

Naja.. was hat er für Auswege..

- Server 2003 & Terminalserver Installation erneut durchführen, Profile etc...

oder

- DC sauber herunterstufen und noch ewig rum probieren evtl. mit keinem Erfolg und anderen Problemen

Meiner Meinung nach ist zeitlich gesehen und für ihn persönlich die bessere Variante. Für das entfernen der MetaDaten aus dem AD gibt es ja schon ein haufen Tutorials die er zur Not noch durchlesen könnte. Das halte ich durchaus für machbar, da ich das selber auch schon des Öfteren gemacht habe.

Gruß

Wenn du wirklich nicht weißt wer sich wo auf welchen Terminalservern anmeldet, könnte ich dir nur ein kleines Skript anbieten. Das ist zwar mehr eine Bastellösung als alles andere aber vielleicht für dich zielführend.

Erstelle eine Batchdatei mit folgendem Inhalt:

ECHO %Date%, %username% >> "C:\Anmeldungen.txt"

Alternativ kannst du dich natürlich auch der Anmeldeereignisse im Eventlog bedienen und dort Aufgaben an Ereignisse binden. Beispiel 4624 unter Sicherheit für ein erfolgreiches LOGON.

Eine Übersicht über die EventIDs für den Server 2008 findest du hier: http://www.microsoft.com/en-us/download/details.aspx?id=21561

Gruß

Löst der DC bei euch die DNS-Anfragen recursiv auf oder habt ihr eine Weiterleitung?

Alternativ kann ich PSEXEC von den Sysinternals empfehlen. http://technet.microsoft.com/de-de/sysinternals/bb897553.aspx

Über eine eigens gefüllte TXT-Datei mit Rechnernamen kannst du das Skript auf den gewünschten Rechnern remote ausführen lassen.

Um an alle Rechner aus dem AD abzurufen empfiehlt sich die Powershell.

Morgen,

zu der Hardware: 4GB für einen Exchange 2010 ?! Mein Freund du bist mutig ;-) Ich vermute das permanent auf der Festplatte gepaged wird.

Wieviel Mailboxen hat der Exchange denn produktiv?

Empfehlung für das sizen des Exchange 2010: http://www.msxfaq.de/konzepte/sizing2010.htm

Ich meinte auch mal gelesen zu haben, dass Microsoft 4 GB pro Exchange Rolle empfiehlt ( Hub-Transport, Mailbox, CAS, etc )

Gruß 

Hallo neulingheute,

welche Benutzer bisher auf dem Server gearbeitet haben oder gerade darauf arbeiten?

Am einfachsten siehst du anhand der Profile die vom Terminalserver lokal erstellt worden sind, ob die Benutzer sich schon einmal daran angemeldet haben. Unter: "C:\Users"

Gruß