daabm

Hm... Für manche Lösungen muß man wohl erst das Problem erfinden. Alle Drucker übernehmen - und die nicht benötigten löschen dauert höchstens 2 Minuten...

Hm, ja. Sunny61 und ich pushen Suchmaschinen :cool:

Aber ok - Du must an der Domäne schrauben, besser gesagt an den Kerberosrichtlinien der Domäne: "Maximale Gültigkeitsdauer des Benutzertickets" und "Maximale Gültigkeitsdauer des Diensttickets". Und Du solltest Deine LAN-Infrastruktur prüfen - normalerweise werden die automatisch erneuert.

Ich hasse diese ganzen XML-Reports - das kann man auch als Text posten... :cool:

Kerberos TGT abgelaufen... Deshalb geht auch die IP noch - da kommt NTLM zum Zuge. Rest sagt Dir jede Suchmaschine :cool:

Stimmt - wenn die MMC ein SnapIn enthält, das es unter älteren OS-Versionen nicht gibt oder tatsächlich inkompatibel ist :) Hab leider gewohnheitsmäßig dsa und domain genommer :P

Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :)

Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune...

OT: Wir würden das per BFH regeln :D

http://msdn.microsoft.com/library/ms680938.aspx

Viel Spaß dabei - auch wenn ich den Sinn der Frage nicht verstehe :cool:

Nicht nachvollziehbar... Hab mir grad mal ne Konsole in 8.1 erstellt und gespeichert, die kann ich auf nem 2008R2 problemlos öffnen. Die MMC-Version ist bei beiden OS-Versionen "3.0". Kann es sein, daß die msc-Datei einfach kaputt ist?

Administratoren haben per se Vollzugriff, wenn Du sie nicht explizit rausnimmst. Und mit Administratoren arbeitet man nicht, mit denen administriert man nur. Vollzugriff brauchst Du also nicht.

Und für jede lokale Gruppe auch noch eine globale, das ist schon mal falsch. Die globalen Gruppen sind rollenorientiert, die lokalen sind rechteorientiert. Beispiel: Globale Gruppe "Buchhaltung" braucht Lesezugriff auf xyz, kommt also in lokale Gruppe xyz-r.

Chrome installiert sich bei Bedarf einfach ins Benutzerprofil, das geht immer, auch ohne Adminrechte...

Im Hinblick auf das genannte Szenario ist das aber Security Theater - das geht voll am Problem vorbei. Auch das Informationen über LDAP eingesehen werden können (ich habe jetzt nicht geprüft, welche Berechtigungen dafür tatsächlich notwendig sind) ist nicht das eigentliche Problem. Du musst doch die privilegierten Accounts generell schützen und nicht die Information versuchen zu verstecken, dass diese existieren.

Entweder den Security Descriptor aller Objekte ändern und AuthUsers entfernen oder List Object Mode aktivieren (entspricht dem "Traversal Checking" in Verbindung mit ABE in NTFS).

an jedem Standort ist min 1 2008 R2 DC vorhanden 

Wozu brauchst Du dann noch RODCs?

ich beziehe mich nicht auf die Funktionsweise von UAC. Die ist OK, und als Sicherheitsbaustein verfechte ich sie seit, naja, der ersten Stunde.

 

Ich meinte hier das Verhalten des Explorers, und das ist einfach unsinnig. Er bietet einem an, auf einen geschützten Ordner zuzugreifen, ändert dann aber im Hintergrund die ACL, ohne darauf hinzuweisen.

Ok, da hammer aneinander vorbei geredet. Mit der UAC-Inkompatibilität des Explorer hast Du leider recht. Wenn man sich nicht mit "elevatet unelevated factory" rumschlagen will, dann ist der Explorer bei aktivierter UAC - und wenn man die "Administratoren" verwendet und nicht anderweitig delegiert hat - als Dateimanager unbrauchbar.

Naja, Auditing fällt einem da spontan ein...

http://technet.microsoft.com/en-us/library/dn319115.aspx

"Firewall blockt NIX" (wie oft hab ich das schon gehört) - "Single Label" - "Domain wird umbenannt" - "Es ist ein Junge" :jau:

Manchmal fällt "keine Ironie, bitte" echt schwer...

Hm nun - wenn man sich mit dem restricted Token mal genau auseinandersetzt, dann ist das Verhalten weder unsinnig noch unerwartet. "Administrators - deny only" sei das Stichwort... Falsche ACLs im Stammordner führen zu dem hier beschriebenen Verhalten, und wenn man das nicht möchte, sollte man sich halt mal mit der Vererbung (besser dem "Erben" von Rechten) genauer auseinandersetzen.

Anders formuliert: Verwende niemals "Administrators", um Zugriff auf etwas zuzulassen, wenn UAC aktiviert ist. Verwende welche Gruppe auch immer Du in Deinem AD dafür ohnehin schon hast.

Man glaubt es kaum, aber es ist tatsächlich so: Windows mappt Drucker mal groß, mal klein - mir ist da kein Schema bekannt. Noch besser: Mappe ich Drucker bei servergespeicherten Profilen manuell mit großgeschriebenem Server, dann habe ich beim nächsten Logon manchmal - nicht immer!  - kleingeschriebene Servernamen... Und zwar in einer Umgebung mit 700 Domänen, die alle vollautomatisiert bereigestellt werden, und mit Druckerzuordungen, die ebenfalls immer gleich und mit den gleichen Werkzeugen vorgenommen werden. Manuelle Abweichungen ausgeschlossen.

Du wirst damit leben müssen...

zur Auswahl steht höchstens der IE10 (nicht der IE11).

Ja - und zwar wegen dem hier:

<FilterFile lte="0" max="99.0.0.0" min="10.0.0.0" gte="1" type="VERSION" path="%ProgramFilesDir%\Internet Explorer\iexplore.exe" bool="AND" not="0" hidden="1"/>

Seit Windows 8 steht da immer max="99.0.0.0" drin - warum sie das im UI nicht angepasst haben, wissen sie nur selber...

Batch? Ja, geht - aber mühsam, wie Du selbst schon festgestellt hast... BTW: "for /r" -> rekursiv. Und nach dem "move" bräuchtest Du noch einen "rename". Und dafür wiederum einen Zähler für das Jahr. Hmpf :rolleyes:

GPMC auf W8.X zu installieren bzw. auf einer Machine wo ich die Gruppenrichtlinien administriere (in meinem Fall Win7 mit IE11) geht denke ich nicht, da ich keine Auswahl höher als IE8 in den GPP habe.

Das ist richtig - Du hast auf jedem OS als höchste Version diejenige drinstehen, mit der dieses OS ursprünglich ausgeliefert wurde. Da hilft immer noch nur "XML bearbeiten".

Und als kleines Schmankerl hat MS noch allen Versionen die gleiche GUID verpasst - wenn Du auf einem Computer dann ein IE8-Element (gepatcht auf versionMax="99.0.0.0") und ein IE7-Element (auch gepatcht auf versionMax="99.0.0.0") anwendest, dann kannst Du keinen Gruppenrichtlinien-Ergebnissatz mehr erstellen - Fehler: "Schlüssel im Wörterbuch bereits vorhanden"... So isses halt :cool:

http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/

Einer meiner Lieblingsartikel! :thumb1:

Ist leider so, wie Du sagst... Keine "gescheite" Lösung vorhanden.

Da bist Du schon durch? https://www.google.de/search?q=windows+save+and+restore+desktop+icon+positions

https://www.google.de/search?q=file+bulk+rename+windows

Da dürfte was Geeignetes dabei sein...

Am einfachsten: Central store verwenden und dann alle ADMX/ADML vom Server und vom Client reinkopieren. Beide haben jeweils ein paar dabei, die dem anderen fehlen. Dämlich, aber wahr...