Jump to content

AMiGA

Members
  • Gesamte Inhalte

    33
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von AMiGA

  1. Hat jemand vielleicht eine Idee, wo man technische Informationen zum Ablauf der Benutzerzertifikat-Erneuerung bekommen kann? Ich finde im Netz nicht wirklich eine Erklärung des Mechanismus. Viele Grüße, AMiGA
  2. Hallo, in einem AD mit interner CA haben wir eine (Benutzer-)Zertifikatvorlage, deren Zertifikate eine Gültigkeit von 6 Monaten haben. Als Erneuerungszeitraum haben wir 3 Monate konfiguriert. Mitglieder einer bestimmten AD-Sicherheitsgruppe haben die Berechtigungen Lesen, Registrieren und Automatisch registrieren. In einer GPO ist unter Benutzerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatdienstclient - Automatische Registrierung aktiviert, so dass abgelaufene Zertifikate erneuert werden sollen. Das GPO greift auch, die Zertifikate werden automatisch bei der CA beantragt und registriert. Nun zum seltsamen Verhalten: ca. 4 Wochen vor Ablauf eines Benutzerzertifikats wird ein neues Zertifikat durch die CA ausgestellt und im AD-Konto des Benutzers hinterlegt. Zu diesem Zeitpunkt ist der Benutzer aber überhaupt nicht online, d.h. weder an einem AD-Computer angemeldet, noch per ActiveSync noch per VPN-Client verbunden. Benutzer, die zu genau diesem Zeitpunkt (längere Zeit) außer Haus sind, können daraufhin die Applikation, in der das Zertifikat genutzt wird nicht mehr benutzen, da sie auf ihrem Rechner das neue Zertifikat noch gar nicht haben. Kann man dieses Verhalten beeinflussen, so dass die Erneuerung von Zertifikaten nur stattfindet, wenn ein Benutzer auch im AD angemeldet ist? Viele Grüße, AMiGA
  3. Das wäre definitiv ein Rückschritt. Die Personen müssten ständig den zusätzlichen Posteingang des Raumpostfaches im Blick haben... Mittlerweile CU19.
  4. Nutzt niemand anders solch eine Funktionalität? Es ist für die Person, die mehrere Räume verwaltet sehr unpraktisch, dass die ganzen "Raum"-Termine auch in ihrem eigenen Kalender erscheinen...
  5. Hallo, ich habe diverse Raumpostfächer als Ressource in Exchange 2013 eingerichtet. Bei diesen sind Stellvertreter eingerichtet (sowohl als "Senden als", "Senden im Auftrag von" und "Buchungsanfragen"). Soweit so gut. Wenn Buchungsanfragen eingehen, erhalten alle Stellvertreter eine Mail und können die Anfragen zusagen/ablehnen. Nun das Problem: Zugesagte Buchungen werden sowohl im Kalender des Raumes angezeigt, als auch im privaten Kalender des Stellvertreters (unabhängig vom Client, Outlook 2010-2016). Wie kann ich die Termine im Privatkalender deaktivieren? Ich finde weder in der Exchange Verwaltungskonsole, noch an der Mailbox (get-mailbox) noch am Kalender (get-calendarprocessing) eine Eigenschaft, um dieses Verhalten beeinflussen zu können. Gruß, AMiGA
  6. Was nutzt man denn heutzutage am besten zur Analyse? gpresult setzt ja vermutlich auf rsop auf? Nur den GroupPolicy-Zweig in der Ereignisanzeige?
  7. Ich denke schon. An dem GPO darf per Delegierung die Gruppe "Authentifizierte Benutzer" das Objekt lesen. Zu dieser Gruppe gehört ja auch der RDS Server. Auch ein explizites Hinzufügen einer Berechtigung des RDS-Servers verändert leider nichts... Edit: Ich vermute, die Ursache gefunden zu haben. Ich kann es leider nicht "mal eben" im Produktivsystem testen. An dem RDS-Server gibt es u.a. ein GPO, in welchem in der Computerkonfiguration der Loopbackverarbeitungsmodus aktiviert ist und sich im Modus "Ersetzen" befindet. Dadurch werden vermutlich die Benutzereinstellungen des Benutzers aus dem speziellen GPO an der Benutzer-OU ersetzt. Könnte das sein? Hintergrund des GPOs mit dem aktivierten Loopbackverarbeitungsmodus ist folgender: Mit diesem GPO soll die Default Domain Policy von Benutzern einer vertrauten Domäne, welche den RDS-Server nutzen ersetzt werden, da diese verschiedene Einstellungen enthält, die in unserer Domäne nicht angewendet werden sollen. Auf dem GPO gibt es eine Filterung für Benutzer der vertrauten Domäne. So wurde dies damals durch unseren Berater eingerichtet. Da der Loopbackverarbeitungsmodus aber in den Computereinstellungen konfiguriert ist, vermute ich, dass die Filterung auf eine Benutzergruppe gar keinen Einfluss auf die Anwendung des Objekts hat. Sehe ich das richtig? Gruß, AMiGA
  8. Habe ich gemacht, wird auch zügig repliziert. repadmin /showrepl zeigt, dass die Replizierungen erfolgreich waren. Ich habe nun eine neue OU angelegt. In dieser OU habe ich einen Testbenutzer angelegt. Mit dieser OU habe ich ein neu erzeugtes GP-Objekt verknüpft. Wenn ich mich mit diesem Benutzer auf dem RDS-Sitzungshost anmelde, zeigt gpresult /r, dass das GP-Objekt weder angewendet noch herausgefiltert wurde. Gibt es in Bezug auf RDS-Umgebungen eventuell noch irgendwelche Besonderheiten? Gruß, AMiGA
  9. Hmm, es ist ein recht umfangreiches Objekt (zum starken Reduzieren des Windows Desktops). Das manuelle Neuanlegen wäre sehr aufwändig, mal schauen, ob ich diesen Weg gehe. 2 DCs, einen Server 2012 R2 und einen 2008 R2. Die Verzeichnisse C:\windows\sysvol sind auf beiden Rechnern inhaltlich absolut identisch. Gruß AMiGA
  10. Leider nein, zumindest hatte ich weder unter Application, System noch unter Microsoft/Windows/GroupPolicy etwas entscheidendes gefunden. Die Liste der anzuwendenden Gruppenrichtlinienobjekte wird per LDAP angefragt und erhalten, die anzuwendenden und herausgefilterten Objekte entsprechen genau denen, die per gpresult ausgegeben werden. Das "Problem"-Objekt taucht nirgends auf.
  11. Ich verstehe nicht wirklich, wieso das Objekt nicht angewendet wird. Bei der Anmeldung des Benutzers an einer Workstation wird es angewendet. Bei der Anmeldung des Benutzers an einem anderen Server wird es angewendet. Nur bei der Anmeldung des Benutzers an einem RDS-Sitzungshost wird es nicht angewendet (mit diesem habe ich bei der Problemrecherche gestartet). Wenn ich das genannte GP-Objekt deaktiviere, wird ein weiteres GP-Objekt, was mit der Benutzer-OU verknüpft ist ausgeführt. Wenn ich das genannte GP-Objekt aktiviere wird auch das weitere GP-Objekt, was mit der Benutzer-OU verknüpft ist, nicht ausgeführt. Sehr seltsam.
  12. Aber wo könnte ich da noch etwas falsch gemacht haben? Ich habe die OU, sehe das verknüpfte Gruppenrichtlinienobjekt, die Verknüpfung ist aktiv, das Objekt ist aktiviert, das Objekt enthält Benutzerkonfigurationseinstellungen. Der Benutzer ist definitiv in der OU, trotzdem wird das Gruppenrichtlinienobjekt nicht angewendet...
  13. Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten. Ja, es gibt ein Objekt mit aktiviertem Loopbackverarbeitungsmodus, was auf dem Client angewendet wird, es wird aber für den Benutzer nicht angewendet (aufgrund der Sicherheitsfilterung). Gruß, AMiGA
  14. Ja genau. Eine OU, in der mehre Benutzerobjekte sind. Mit dieser (Benutzer-)OU ist ein Gruppenrichtlinienobjekt verknüpft. Dieses enthält verschiedene Benutzereinstellungen, keine Computereinstellungen. Mit einem Benutzer aus der OU melde ich mich an einem RDS-Broker an. Für diesen Computer gibt es einige direkt verknüpfte und einige geerbte Gruppenrichtlinienobjekte. Ich prüfe, ob mein gewünschtes Gruppenrichtlinienobjekt angewendet wurde, indem ich die angewendeten/herausgefilterten Objekte mit "gpresult /r" anzeige. Außerdem überprüfe ich zusätzlich mit "rsop.msc", ob die Einstellungen aus dem Objekt angewendet wurden. Leider wird das Objekt offenbar nicht angewendet. Gruß, AMiGA
  15. In der OU stecken wie oben geschrieben Benutzer-Objekte. Der Loopback Modus wurde aktiviert, da seit 2016 meines Wissens zunächst das Computerobjekt, an dem sich der Benutzer anmeldet die Richtlinie liest und erst danach an den Benutzer übergibt. Daher auch die Delegierung an "Authentifizierte Benutzer", da das GP-Objekt sonst nie durch ein Computerobjekt ausgeführt würde.
  16. Hallo zusammen, ich habe irgendwie ein kleines Verständnisproblem. Ich habe in einer AD-Struktur eine Benutzer-OU, in welcher spezielle Benutzerkonten existieren. Für diese Benutzer soll der Windows Desktop stark reduziert sein, egal auf welchem Rechner sie sich anmelden. Dazu habe ich mit dieser OU ein Gruppenrichtlinienobjekt verknüpft. In der Sicherheitsfilterung ist die Gruppe "Domänen-Benutzer" eingetragen. In der Delegierung ist für die Gruppe der "Authentifizierten Benutzer" das Lesen des Objektes erlaubt. Ich hätte jetzt erwartet, dass das Objekt für diese Benutzer auf einem beliebigen Rechner angewendet wird. Dies ist aber nicht der Fall. Ein Aufruf von "gpresult /r" zeigt mir das Objekt überhaupt nicht an (weder angewendet noch herausgefiltert). Auch das Ergänzen des Loopbackverarbeitungsmodus für die Benutzergruppenrichtlinie (Zusammenführen) hat keine Auswirkungen. Wo genau ist da der Denkfehler/das Verständnisproblem? Gruß, AMiGA
  17. Schade. Mal eine ganz andere Frage: Ich bin in diversen Threads immer wieder auf LUP gestoßen als Tool zum Aktualisieren von Flash, Adobe Reader, Java, etc. Nun habe ich LUP auf dem WSUS installiert. Dieses crasht aber direkt beim Start (FileNotFoundException). Da LUP aus 2011 stammt ist meine Frage, ob das Tool überhaupt noch genutzt werden kann/sollte. Alternativ bin ich auf WPP gestoßen, was wohl einen ähnlichen Funktionsumfang bietet, aber deutlich aktueller ist. Sollte man aus heutiger Sicht wohl eher WPP nutzen? Gruß, AMiGA
  18. Also nach weiterer Recherche scheint es so, dass WSUS-seitig 20 Updates angezeigt werden, von denen aber 10 Updates durch andere Updates ersetzt werden. Jetzt ist es ein wenig unschön, dass mir zum einen für den Client alle 20 Updates angezeigt werden und entsprechend auch alle 20 nach der Genehmigung heruntergeladen werden (also 10 unnötigerweise). Kann man einstellen, dass Updates, welche durch ein anderes Update ersetzt werden, direkt ausgeblendet werden?
  19. Ich habe wie vorgeschlagen noch einmal von vorne begonnen. Nachdem der Testclient Updates angefordert hatte, tauchen im Statusbericht (erforderliche Updates) für den Client 20 Updates auf. Diese habe ich alle für die Installation genehmigt. Wenn ich im Client nun nach Updates suche, tauchen aber nur 10 Updates auf. Diese sind eine Teilmenge der Updates aus dem Statusbericht. Serverseitig sind alle Updates heruntergeladen worden. Wie kann es da zu einer Differenz kommen?
  20. Ups. Nein, die Updates sind noch nicht alle auf dem WSUS angekommen, erst 250GB von ca. 550GB. Ähm, ja, ich hatte alle (auf der Welt) genehmigt. Ich hatte zunächst wie beschrieben die Produktauswahl leicht angepasst und nach Abschluss der Synchronisierung zunächst tatsächlich alle (rund 80.000) Updates genehmigt. Sinnvoller wäre wohl, nur die tatsächlich zur Installation erforderlichen dann zu prüfen und zu genehmigen? WSUS Build ist noch 6.3.9600.16384 (RTM). Gruß, AMiGA
  21. Ich habe direkt nach der WSUS-Installation *alle* Updates genehmigt und zwar für die Gruppe des Clients. Im WSUS-Bericht wird angezeigt, dass die Updates installiert werden können: Nichstdestotrotz wird mir auf dem Client in der Systemsteuerung folgendes angezeigt: ...und die Online-Suche ergibt folgendes: Das sieht für mich irgendwie inkonsistent aus. Gruß, AMiGA
  22. Hallo zusammen, ich bin gerade dabei, mich in das Patch Management mittels WSUS einzuarbeiten. Ich habe in unserem Netz einen neuen Windows Server 2012 R2 aufgesetzt und auf diesem die WSUS-Rolle installiert. Vor dem Wochenende habe ich initial alle Updates genehmigt, so dass diese über das Wochenende heruntergeladen werden konnten. Als Produkte habe ich mehr oder weniger die vorgeschlagenen übernommen und nur Office- und Windows-Varianten entfernt, die wir nicht mehr einsetzen. Nun habe ich per GPO testweise bei einem Windows 7 Client den WSUS-Server als Updateserver eingetragen. Mittels wuauclt.exe /detectnow habe ich das Suchen nach zu installierenden Updates angestoßen. Laut unserer bisherigen Patch Software (Ivanti Patch) fehlt auf dem Client ein einziges Sicherheitsupdate (Sicherheitsupdate für Outlook 2013, KB4011078). Laut Systemsteuerung / Windows Update (auf dem Client) fehlen dem Client 3 Sicherheitsupdates (alles Office, das oben genannte ist nicht dabei). Wenn ich auf dem Client online nach Updates suche fehlen laut Systemsteuerung / Windows Update 2 Sicherheitsupdates (beide Windows). Wenn ich mir auf dem WSUS-Server für den Client den detaillierten Statusbericht ansehe und in diesem nur zu installierende Updates ansehe, werden dort 15 Updates aufgelistet. Das Office-Update der Patch-Software ist enthalten, die 3 Office-Updates, die per Windows Update gefunden wurden, sind enthalten, von den beiden Windows-Updates ist nur eins enthalten. Nun bin ich ziemlich irritiert. Eigentlich hatte ich gehofft, dass mindestens Windows Update-WSUS, Windows Update-Online und WSUS-Bericht übereinstimmen. Wie können diese Differenzen sein und wie kann ich sicher sein, dass meine Rechner mit allen Sicherheitsupdates versorgt sind? Gruß, AMiGA
  23. Ich hole das Thema nochmal hervor, hat sich mit Server 2012 zufällig etwas grundlegend verändert? Ich habe durch die Unternehmens-PKI ein Zertifikat erzeugt, was ich auf dem RDP-Connection Broker in den Bereitstellungseigenschaften importiert und dadurch in den Zertifikatspeicher des Brokers übernommen habe. Für die Rollen wird vertrauenswürdig und Status OK angezeigt. Beim Zugriff auf eine RemoteApp bekomme ich seitdem keinen Fehler mehr, sondern "nur" noch eine Warnung. Im Fingerabdruck des Zertifikats habe ich alle Leerzeichen entfernt und diesen über eine GPO (Benutzerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopverbindungs-Client / SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdig sind) verteilt. Die GPO greift (mit rsop geprüft), der Fingerabdruck ist in der Registrierung unter HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services\TrustedCertThumbprints gelandet. Trotzdem erscheint weiterhin die Warnung/Nachfrage "Vertrauen Sie dem Herausgeber dieses RemoteApp-Programms"? Wenn ich in dem Dialog den Haken "Remoteverbindungen von diesem Herausgeber nicht mehr anfordern" anhake, landet der Fingerabdruck in HKCU\Software\Microsoft\Terminal Server Client\PublisherBypassList und die Warnung erscheint nicht mehr. Aber das kann ja nicht Sinn der Sache sein, das sollte doch auch über die Verteilung des Fingerabdrucks per GPO funktionieren. Was mache ich noch falsch? Gruß, AMiGA
  24. AMiGA

    NTFS-Standardbesitzer

    Danke für die hilfreichen Kommentare! Die Berechtigungen auf Freigabe- und NTFS-Ebene sind ausreichend vorhanden. Allerdings sind durch eine Änderung vor ein paar Tagen Benutzer über eine AD-Gruppe in die lokale Administratoren-Gruppe des Rechners "gerutscht". Dadurch wurde dann automatisch die Admin-Gruppe als Besitzer eingetragen. Gruß, AMiGA
  25. Hallo zusammen, ich habe einen Windows Server 2012 R2 mit diversen Freigaben. Kopiert nun ein User eine Datei in eine Freigabe, ist nicht der User der Besitzer der Datei, sondern die lokale Administratoren-Gruppe. Woran kann dies Verhalten liegen? Ich dachte, standardmäßig wäre der User Besitzer der Datei? Gruß, AMiGA
×
×
  • Neu erstellen...