reedbeat

Hallo Leute!

Mich würde mal interessieren, wer von euch per WSUS die Wichtigen- und Sicherheits-Updates automatisch installieren lässt! Da ich gerade bei meinen "ersten Schritten" mit dem WSUS bin, bräucht ich da etwas Erfahrung!

Kommen Updatefehler des öfteren auch bei Wichtigen- und Sicherheitsupdates vor? Ich denke da zb. an Patches wie Security Bulletin MS06-015!

Derzeit lasse ich diese Updates automatisch installieren (Default- Einstellung).

http://support.microsoft.com/kb/918165

http://www.golem.de/0604/44734.html

vielen Dank!

Reedbeat

Mal eine andere Frage:

Wie geht ihr denn vor, wenn ihr die Genehmigung mehrerer Updates für bestimmte Gruppen ändern wollt?

:jau:

@reedbeat

 

Das verstehe ich nicht was du jetzt damit sagen willst ?

Denn du wirst doch darauf aufmerksam gemacht, das das passiert was du nicht haben willst ?

Warum machst du das trotzdem ?

Ganz einfach:

Ich habe mehrere Gruppen definiert (so um die 20). Ich selektiere mehrere Updates und ändere die Genehmigung, indem ich im Fenster "Genehmigung Ändern" für jede Gruppe den Status ändere (normalerweise von "Genau wie Gruppe alle Computer" auf "Installieren").

Möchte ich nachträglich für eine weitere (zb. neu erstellte) Gruppe die Genehmigung ändern (sodass zb. auch für die neue Gruppe Updates installiert werden), selektiere ich wieder die gwünschten Updates, gehe auf "Genehmigung ändern" und befinde mich wieder im Fenster "Genehmigung Ändern". Nun steht in der Liste bei jeder Gruppe "Genau wie Gruppe alle Computer" und nicht wie bei einem einzelnen Update der zuvor definierte Status. Und genau das ist das Problem.

Wenn du die Updates wirklich einzeln prüfst und einem Test unterziehst,

dann genehmigt man eh einzeln nur die Updates.

Es geht darum, die Genehmigung mehrerer Updates zu ändern. Nicht von Einzelnen.

Grüße

Reedbeat

Hai,

was erwartest Du denn??, wenn Du z.B. 3 verschiedene Updates unterschiedliche Genehmigungen einzeln erteilst, kannst Du doch von diesen nicht erwarten, wenn Du sie alle zugleich anklickst und ändern willst, das sie ihre Berechtigungen behalten...

Es geht ja auch nicht ums behalten, sondern um die Information, die angezeigt werden soll. Auf jeden Fall wäre das ein wünschenswertes, hilfreiches Feature für die zukünftige WSUS Version. Die technische Implementierung wäre sicher machbar.

dafür wird aber beim Klick auf Genehmigung ändern extra drauf aufmerksam gemacht, das andere Genehmigungen existieren und nachgefragt, was damit passieren soll...

Das stimmt. Und genau diese Meldung könnte dann einfach entfallen. :D

Hi!

Hätte eine Frage zum Ändern von Genehmigungen in WSUS (Build 2.0.0.2472):

Mir ist aufgefallen, dass beim Ändern von Genehmigungen mehrerer Updates im Fenster "Genehmigung Ändern" für alle Gruppen in der Liste "Genau wie Gruppe alle Computer" steht. Da ich aber bereits zuvor in diesem Fenster unterschiedliche Genehmigungen für verschiedene Gruppen eingetragen habe, sollte doch der Status angezeigt werden (zb. Installieren)? Tut es aber nicht. Es steht immer bei jeder Gruppe "Genau wie Gruppe alle Computer". Wichtige Updates haben bei meinem WSUS-Server durch die unterschiedlichen Genehmigungen den Status "Vermischt".

Außerdem muss auch im 1. Feld bei "Genehmigung:" der Status geändert werden, um nicht den Status "nicht genehmigt" zu verteilen.

Ich muss also bei jedem erneuten Ändern von Genehmigungen immer wieder den Status bei jeder Gruppe neu definieren? Oder lieg ich da falsch?

Ist das normal? Denke der WSUS ist da noch nicht ganz ausgereift?

Grüße!

Reedbeat

Hi!

Wir haben auf unserem Exchange 2003 Server einige komische Public Folder mit zufällig aneinandergreihten Zahlenreihen. Da vor einigen Monaten ein 2. Exchange entfernt wurde, kann ich mir vorstellen, dasa diese Folders Reste von dem Server sind (Public Folder wurden zwischen den beiden Servern repliziert). Die komischen Folders werden nur in der Suchmaske im AD angezeigt, nicht im ESM. Daher ist auch kein Zugriff auf den Inhalt möglich.

Ich habe davon gelesen, dass es sogenannte "verwaiste" Objekte (engl: orphaned Objects) sein könnten. Da ich die Folder gerne entfernen würde, dachte ich mir, das könnte das Tool ISINTEG bewerkstelligen?

Microsoft schreibt:

"the tool looks for orphaned objects, or objects that have incorrect values or references".

Kann mir jemand sagen, ob ich mit meiner Vermutung richtig liege? Oder hat da schon jemand gemacht?

Bin für jeden Hinweis dankbar!!

Vielen Dank!

Reedbeat

Authenticated Users ist eine lokale Systemgruppe auf eiinem jeden Rechner und damit nicht verwaltbar.

grizzly999

Super, danke!

Das dachte ich mir schon!

Vielen Dank für Deine Hilfe!

Meine Fragen wurden somit ausreichend beantwortet!

Grüsse!

Reedbeat

:D

..jetzt hätt ich mir gern die Members der Gruppe Authenticated Users angesehen.

Suche im AD: Custom Search/Field Foreing Security Principals/Name /Auth ENTER

AD spuckt die Gruppe aus, jedoch ist die mit einem roten Pfeil versehen. Es gibt keine Lasche "Members". In den Eigenschaften steht ein Hinweis, dass die Gruppe ein "Placeholder" wäre und zu einer externen Domain gehört und auch dort erstellt wurde?

Ist das Ok so? Wir haben ja nur eine Domäne.

Gibts sonst noch eine Möglichkeit die Members der Gruppe Auth. Users auszulesen?

thx!!

Nein, auch ein Computerkonto ist ein Authentifizierter Benutzer im AD. Ein Computerkonto ist ja nix anderes als ein Verstecktes Benutzerkonto mit dem Namen <Computername$>

 

 

grizzly999

Darüber mus sich jetzt mal nachdenken. Das war mir nicht bekannt!

Also sollte es auf jeden Fall ein Problem darstellen, wenn die Gruppe "Authenticated Users" aus dem GPO entfernt wird (und keine andere Gruppe hinzugefügt wird), da dort Computerkonten enthalten sind?

Danke jetzt mal für die raschen Antworten! :)

Dass einzelne Computer (oder Computergruppen) zwecks Filterung angegeben werden können war mir klar.

Was ich jetzt gern gewusst hätte, ist ob die Gruppe Authenticated Users (oder auch andere User) obsolet werden, sobald nur Computersettings definiert werden?

Thx

Reedbeat

Sehr gut. Also dann gilt einfach, was MS sagt:

> Computerrichtlinien wirken nur auf Computerkonten.

> Userrichtlinien wirken nur auf Userkonten.

Ganz einfach. Nicht mehr und nicht weniger. (Ausnahme Loopback).

Danke für den Hinweis bezüglich Loopback-Modus! Darüber bin ich auch schon bei meinen Recherchen gestolpert.

Um jetzt nicht unnötig nerven zu wollen. Eine Frage hätt ich noch:

Wozu dient Scope "Security Filtering" mit Gruppe "Authenticated Users" wenn nur Computer-Einstellungen definiert wurden?

Standardmässig sind "Authenticated Users" drinnen. Ist das nicht ein Widerspruch? Computerstettings gelten, wie gerade festgestellt, doch nur für Computer?

Mir ist aufgefallen, dass die Computer-Einstellungen nicht mehr funktionieren, wenn ich die Gruppe rausnehme.

Was geschieht wenn ein GPO mit Usersettings in eine OU mit Computerkonten verlinkt wird?

Werden die Usersettings bei Anmeldung an den User übergeben?

Da bei der Anmeldung erneut eine Anfrage per GetGPOList an Sysvol gestellt wird (für die Ermittlung der USersettings), und laut MS GetGPOList beim Initieren des OS nur Computereinstellungen abfrägt, eher nicht, oder?

Super, danke!

Genau das wollte ich wissen!

Dankeschön!

Reedbeat

PS: gibts das irgendwo schriftlich von MS? Link?

Hi!

Habe die Aufgabe erhalten, dass ich unsere GPO´s "ausmisten" soll.

In einem der GPO´s sind sowohl User- als auch Computer-Einstellungen definiert worden. Da das GPO mit einer OU verlinkt wurde, wo nur Useraccounts liegen, stellt sich die Frage, ob die Computer Einstellung entfernt werden können. Computer-Einstellungen machen ja keinen Sinn für Userkonten? Ich würde gerne wissen, ob bei der Anmeldung im Zuge der Ausführung der GPO-Settings auch die Computer-Settings mitabgerufen werden.

Microsoft formuliert das Verfahren der Policy-Anwendung etwas ungenau:

"Die auf Computer bezogenen Gruppenrichtlinien werden bei der Initialisierung des Betriebssystems und der regelmäßigen Aktualisierungszyklen angewendet".

Soviel ist klar. Aber:

Was geschieht wenn sich ein User anmeldet, für den eine GPO gilt (welche in "seine" OU verlinkt wurde), in der beide Einstellungen (User,Computer) definiert wurden?

thx!

Reedbeat

Hi Leute!!

Gehe ich in ADUC auf die Suchmaske und wähle "Exchange Recipients", "OK", dann werden mir alle Mail aktivierten Puiblic Folder angezeigt.

Das Problem ist aber, dass dort PubliC Folders aufgelistet werden, die schon seit Monaten, Wochen gelöscht wurden. Ich sehe diese Ordner aber nicht im ESM!

In der Speichergruppe ist ein Wert von 7 Tage für gelöscht Ordner eingestellt.Trotzdem sind im Suchergebniss älter Public Folder vorhanden!

Es sind im Suchergebniss auch einige PublicFolders mit Random Names drinnen, also zb. Buecher245456 usw.!

Weiss wer bescheid?

Vielen Dank schonmal,

ergebens

Reedbeat

Hallo Forum!

mir ist gerade aufgefallen, dass Distribution-Groups in die ACL von öffentlichen Ordner hinzugefügt werden können. Vor ein paar Monaten gabs da immer eine Fehlermeldung dass das nicht ginge! :shock:

System: Exchange 2003 (SP1, alle Hotfixe)

Ist das ein neues Feature?

Außerdem ist mir aufgefallen, dass die hinzugefügte DistributionGroup nachweislich automatisch zu einer SecurityGroup wird.

Ich denke das ist normal?

Seh ich genauso, werd jetzt mal meinen Useraccount aus der ACL entfernen.

Das mit adsiedit.msc merk ich mir auf jeden Fall!

Vielen Dank!

Hi!

Super! Danke! Unter Configurations/Services/Exchange sehe ich nun meinen User mit schwarzen Haken bei den Rechten zum Erstellen von Public Folders.

Kurze Frage: da mein User eh nicht mehr Mitglied einer Admingruppe ist und ich das Recht zum Erstellen von PublicFolders nicht mehr benötige, kann ich mich jetzt von hier einfach rausnehmen, oder? Sollte keine Probleme geben?

Danke auf jeden Fall für den Hinweis!

Reedbeat

Hallo Leute,

Exchange 2003 Server (aktuelle Servicepacks, Hotfixes):

Habe bei "Active Directory Sites and Services im Serviceordner bei "Microsoft Exchange/Domainname" der Gruppe "Jeder" global das Recht genommen, öffentliche Ordner zu erstellen (Haken raus bei "Create Public Folders") um Wildwuchs einzudämmen.Diesen Trick habe ich aus dem Buch "Exchange Server2000" von Thomas Joos entnommen.

Habe zu diesem Zeitpunkt meinen User-Account (Domain-User) und ein paar andere Leute hinzugefügt, die das Recht haben sollen öffentliche Ordner zu erstellen. Jetzt möchte ich mich wieder herausnehmen und sehe dass das Recht von oberster Stelle vererbt wird (ergrauter Haken bei create Public Folders)! Die anderen Personen bekommen nix vererbt (schwarzer Haken)!

Im Buch steht, dass "ActiveDirectory Services and Sites" das "Herz" von Exchange ist, und man sich auf "oberster Ebene" befindet.

Von woher wird dann meinem Useraccount das Recht vererbt?

Ich möchte noch hinzufügen, dass mein Useraccount eine Zeit lang Mitglied der Gruppe Domain-Admins war. Wenn ich die ACL betrachte, fällt auf, dass auch Domäneadmins Rechte vererbt bekommen.

Danke für ev. Tipps.

LG

Reedbeat

Ist der am Exchange Server angemeldete Benutzer im ESM als "Exchange-Aministrator" mit "vollem Zugriff" eingetragen?

Ja sicher. Habs im ESM auch kontrolliert per rechte Maustaste "Delegation Control".

Ist der Exchange Server ein Member Server oder ein DC?

Ist ein DC.

Funktioniert die Replikation mit und unter den Globalen Domain Controllern (bitte mal mit replmon testen).

Hab nun replmon direkt am Exchange ausgeführt. Alle DCs hinzugefügt und durchgeklickt, keine Fehler, immer "succesfully". Auch keine Fehler aufgelistet beim Suchen per "Action/Domain".

In Eventviewer unter Replication keine Fehler. Immer ID 132519 so wies sein soll.

Ja. Können Sie. Kein Problem in Outlook und OWA. Funktioniert immer.

Nur ich kann alle paar Minuten die PublicFolders im ESM nicht öffnen.

Hallo Leute,

Exchange2003 Server (aktuelle Patches, Hotfixes):

kann seit kurzem den Ordner "Public Folders" im ESM (Exchange System Manager) nicht mehr öffnen. Genau gesagt, lässt sich der Ordner nur alle paar Minuten öffnen. Wenns geht steht nebenbei wie gewohnt das Pluszeichen,lässt sich auch aufklappen, andernfalls nichts.

Wie gesagt funktionerts nur zeitweise, wenns funktioniet, dann ohne Probleme ( Unterordner gehen, Eigenschaften von Folders ansehen und verändern, Hinzufügen von Public Folders etc.).

Hab mich schon dummgegoogelt, aber nichts gefunden. Anscheinend ist unser Exchange2003 der einzige Server der Welt der Probleme mit dem Öffnen des Ordners "Public Folders" hat.

Das einzige Event das ich im Eventviewer bekomme und das ungefähr hinkommt, ist das hier:

An error occurred on database "Common\Public Folder Store (Exchange)".

Function name or description of problem: Restrict/SetSearchCriteria

Error: -1102 Warning: fail to apply search optimization to folder (FID 1-12A56C) Retrying without optimization.

 

For more information, click http://www.microsoft.com/contentredirect.asp.

Wäre super, wenn mir jemand sagen könnte warum der Fehler auftritt.

LG

REEDBEAT

Ok, es funktioniert wieder. Der Login bringt die Abfrage des SSL Zertifikats und dann das Login-Fenster mit dem blauen Layout des Exchange2003.

Habe laut Punkt 4 dem Verzeichniss "Exchange" den "ExchangeApplicationPool" zugewiesen.

Einziges Manko: das Icon unter DefaukltWebsite/Exchange ist nun eine gelbe Schraube un dkein Ordner mit grünem Globus! Außerdem steht nicht mehr ergraut "Default Application" im Feld "Application Name:". Da soll sich einer auskennen.. naja "Windows" eben.

Sollte jemand einen Screenshot haben wäre ich sehr dankbar.

danke für die Antworten

reedbeat

Okey , werd ich mir anschaun.

Bin gerade bei http://support.microsoft.com/default.aspx?scid=kb;en-us;829167, Punkt 4.

Frage: was steht bei dir unter Default Website / Exchange, Feld "Application Pool"? Kannst du mir ev einen Screenshot von Lasche "VirtualDirectories" machen?

falls noch jeman dweiter weiss, bitte melden!

danke

reedbeat

Ich hab \\.\BackOfficeStorage\MeineDomain.de\MBX bei "Local Path:" drinnen.

Da hab ich ja auch nie was dran geändert!

Das einzige was ich gemacht hab war, dass ich wie gesagt unterhalb auf den Button "Create" geklickt hab! Dabei hat sich anscheinden etwas geändet, oder es wurde was überschrieben. ev. die Apllication "Exchange"? Nachdem ich auf den Button geklickt habe, füllte er das Feld mit "Exchange" bei Feld "ApllicationName:"aus !

Zuvor stand da "Default Apllication" ,aber ergraut, so steht das auch jetzt drinnen, weil ich dann auf Button "Remove" geklickt hab, um die Änderung zurückzunehmen!

reedbeat