goat82

Hallo Zusammen,

ich habe das Problem dass sich nur Administratoren am Terminalserver anmelden können.

Der Workarround hier hat leider nicht geholfen. Hat jhemand noch eine Idee?

Wir haben folgende Umgebung:

2008R2 Domaincontroller, Terminalserver mit Xenapp 6.5.

User xy ist in Publicgruppe, welche am Terminalserver in der lokalen Admingruppe ist.

Es funktioniert nur, wenn der User in der lokalen Admingruppe des Terminalserveres ist.

Wie kann ich hier Hauptbenutzer oder Benutzer verwenden um den Zugriff einzuschränken?

Bei Anmelden über RDP zulassen habe ich den User xy hinzugefügt, leider ohne Erfolg.

Wenn der User in der Remotedesktopusergruppe ist, funktioniert es auch nicht, nur in der Administratorengruppe.

Und ja, gpupdate lief auch.

Wo kann ich noch etwas drehen?

 

 

Ich habe genau das gleiche Problem. Das Konto um das es geht, ist in der Administratorengruppe.

Ohne diese Gruppe läuft nix. Auch wenn ich den User in die Remotedesktop Anmeldegruppe hinzufüge. geht es nicht.

Hat jemand noch eine Idee?

vor 34 Minuten schrieb NorbertFe:

In deinem Screenshot steht aber nicht *.mcseboard.de

ja, das hab ich euch falsch rein kopiert. Mein Eintrag steht so drinnen: *.goat.intern. Bis auf den Namen stimmt alles

Kann man es eventuell auch am Client direkt lösen ohne mein erfolgreicher Versuch mit der Hostdatei? Ich kann ja primärer und sekundärer DNS in Win7 wählen. Das funkt aber nur, wenn ein DNS Server nicht erreichbar ist. Ich hab mal unterschiedliche (einen öffentlichen und einen internen) eingetragen, er nimmt aber immer nur den Primären.

Das löst aber mein Anliegen nicht unterschiedliche DNS für intern und extern zu verwenden.

vor 55 Minuten schrieb testperson:

Laut https://www.sonicwall.com/en-us/support/knowledge-base/170505634644040 musst du bei "Split DNS" ein *.<domain>.<tld> nutzen. Ebenso steht in dem Artikel, dass man für "Split DNS" den DNS Proxy anschalten muss.

Hab ich getan, funkt aber dennoch nicht. Die Antwort kommt dann von einem externen Server und nicht von dem, den ich hinterlegt habe

vor 11 Minuten schrieb NorbertFe:

Naja also eine reine Konfiguration seitens der Sonicwall hinsichtlich Split-DNS oder DNS Request routing (je nachdem wie das bei Sonicwall heißen mag). Also einfach jemanden mit Sonicwall-Erfahrung mal fragen (ich nicht). Ist sicher nur ne Kleinigkeit.

müsste so eingendlich funktionieren, tut es aber nicht. Die mcsebaorddaten habe ich natürlich nur zum Test eingegeben.

 

vor 27 Minuten schrieb testperson:

Kannst du in der Sonicwall nicht konfigurieren, dass alles was *.<deine Domain>.<tld> an den DNS in der Zentrale weitergeleitet wird?

Das du / man an den Telekom DNS nix machen kannst / kann, scheint mir ganz gut so. ;)

Leider funktioniert das Splitdns an der Sonicwall nicht. Habe es genau so eingetragen. Eventuell liegt es am VPN. Werde den Hersteller mal kontaktieren.

Genau so habe ich mir das auch vorgestellt, dass alle Anfragen von @domain.de an unseren DNS weitergeleitet werden und der Rest über Telekom läuft.

 

vor 19 Minuten schrieb NorbertFe:

Steht die Sonicwall nicht zwischen LAN (am Standort) und Standort-Internetrouter? ggf. kann auch die Sonicwall einfach die Einwahl ins Internet erledigen (falls es PPOE) sein sollte, dann wäre das meiner Meinung nach relativ easy zu lösen. Und _definitiv_ ohne Domain Controller am Standort. ;)

Standort A: Glasfaseranschluss und 2 DC sowie eine Sonicwall

Remotestandort B: VDSL PPPoE Einwahl direkt über eine eigene Sonicwall.

Über beide Sonicwalls bzw. Standorte läuft ein aktiver VPN Tunnel.

An Der Sonicwall oder am Client am Standort B kann ich den DNS von Standort A eintragen, dann funktioniert alles.

Ich möchte aber das Surfen und die Namensauflösung ins Internet welche nix mit der Domaine zu tun hat nicht über den VPN Tunnel bzw. die Leitung geht.

 

 

 

Gerade eben schrieb NorbertFe:

Also an meinem PC wird immer der identisch lautende lokale Nutzer genommen wenn ich keine weiteren Handstände veranstalte.

Naja eben: Gefrickel. Auch wenn du das anders(t) siehst. ;)

Ich beschreite ja gar nicht das es "Murks" ist. Ein Domainecontroller wird hier definitiv nicht hingestellt.

Es ist eine Sonicwall. Der DNS Server kommt ja von der Telekom hierauf hat man keinen Einfluss.

Hostdatei funktioniert bisher gut, aber halt nicht immer

Hallo Zusammen,

wir haben einen Remotestandort ohne Domainecontroller.

Da viele Verwaltungstools nur mit Domaine funktionieren, möchte ich gerne die PCs in die Domaine hängen.

Die Standorte sind über einen VPN Tunnel verbunden. Wenn ich auf einem Remotesystem den DNS der Hauptniederlassung eingebe, kann ich die PCs in die Domaine bringen.

Sowie so gut. Was ich jedoch möchte ich das die User, welche sich alle als lokaler Admin anmelden weiterhin am PC anmelden können.

Dies funktioniert mit .\admin.

Wie kann ich standardgemäß das umstellen das die Domaine xyz nicht automatisch gewählt ist und die user nicht .\eingeben müssen ?

Wenn die Verbindung abbricht soll der DNS Server von der Hauptniederlassung natürlich nicht verwendet werden, weil sonst gar nix mehr geht.

Ich habe dies so gelöst das ich die hoste datei manuell bearbeitet habe und den DNS Server auf DHCP umgestellt habe.

Der DHCP kommt vom Router, DNS ist somit die Telekom.

HIer kommt es jedoch vor, dass manchmal die Meldung kommt: Es stehen keine Anmeldeserver zur Verfügung.Wie bekomme ich das auch noch hin ohne einen Domainecontroller am Remotestandort zu installieren?

Ich dachte dass die Namensauflöäsung primär mit der Hostdatei funktioniert. Alles was er nicht findet, wird über den eingetragenen DNS Server umgewandelt.

Das ist eigendlich das was ich möchte.

Domainezughriff und VPN über Hostdatei und Internetauflösung nicht über VPN wegen dem Traffic sondern über den DSL Router.

Hat hier jemand eine bessere Idee?

Splitt DNS am Router hat leider nicht funktioniert.

Vielleicht denke ich aber auch zu kompliziert.

Zur Zusammenfassung: Bei PC Anmeldung mit Domaine standard .\Davor setzen damit immer die lokale Anmeldung gewählt werden kann.

DNS Serverproblem. Kein AD Server/DNS am Remotestandort, nur VPN zur Hauptniederlassung.

Ziel: Namensauflösung für Clients und Server über Hostdatei oder anderst. Alles andere www soll über den DSL Router gehen.

Fällt das VPN aus, soll Internet dennoch möglich sein.

Zur Info, die Remoteuser arbeiten 95% sowieso nur über Citrix, daher ist die lokale Anmeldung und das mit dem DNS nicht so tragisch.

 

Gruß und Dank

 

Goat

 

 

 

 

 

 

der bisher nicht in der Domaine ist.

Hallo Zusammen,

ich verwendet Veritas Backupexec 16 für Backup to Disk und Backup to Cloud.

MIt der alten Version konnte ich einzele Emails aus dem Store prtoblemlos rücksichern.

Bei der neuen VErsion funktioniert das nur mit Fileserverdateien aber nicht mit Exchange/DAG.

Instant GRT und GRT für die Voll und Inkrementellen Jobs sind gesetzt.

GRT müsste das doch eigendlich können?

Das doofe BE16 versucht beim Restore jedoch den gesammten Store in das Tempverzeichnis zu kopieren (Aktiv: Lauft Staffelung). Irgendwann bricht er dann mit einem E/A Fehler ab.

Die MX hat 0,6TB, so lange will/kann ich nicht warten.

Das Netz ist voll voller andere Beiträge aber schlau bin ich daraus nicht geworden.

Ich kann den Backupjob auch gerne neu einrichten, nur wie? Früher war GRT auch angewählt, anscheinend wurde aber vioa MAPI gesichert.

 

Weiß jemand was falsch gemacht sein könnte?

 

Gruß Goat

 

vor 5 Minuten schrieb NorbertFe:

Dazu gibts den Loopbackmodus. Alternativ einfach für die Terminalserver eigene GPO mit den Usereinstellungen auf die OU der TS verlinken und den Loopbackmodus mit "Ersetzen" aktivieren. Gibts übrigens seit ca. 18 Jahren ;)

Vielen Dank ich werde das später einmal ausprobieren. Wie ist denn die Reihenfolge. Erst die GPO an TS aktivieren und dann die GPO für die User oder umgekehrt ?

 

vor 17 Minuten schrieb NorbertFe:

Dazu gibts den Loopbackmodus. Alternativ einfach für die Terminalserver eigene GPO mit den Usereinstellungen auf die OU der TS verlinken und den Loopbackmodus mit "Ersetzen" aktivieren. Gibts übrigens seit ca. 18 Jahren ;)

Eine Frage noch: Bei Sicherheitsfilterung: muss ich dann Authentifizierte Benutzer entfernen und nur den Terminalserver hinzufügen damit der Loopbackmodus nur für den Terminalserver greifft? In der Ou Server sind natürlich mehrere Server vorhanden. Oder braucht er die Authentifizierte User um die GPO Loopbackmodus für die USer zu aktivieren?

Hallo Zusammen,

 

ich möchte auf 2008R2 eine GPO für die OU User aktivieren welche an vielen Accounts Outlook Cache mode aktiviert.

Nun gibt es einige Konten die Pc+Laptop verwenden und zusätzlich noch auf dem Terminalserver mit Outlook arbeiten.

Am Terminalserver sollte Cachemode natürlich nicht zur Verfügung stehen.

 

Mehrere Konten mit Cache mode+Handy Push sollte kein Problem sein.

Wie kann ich allerdings Cachemode am Terminalserver unbedingt für User A verweigern, wenn User A aber ein Laptop und Pc mit Cachemode hat.

Ich würde gerne alles rein via GPO einstellen, wenn möglich.

GPO sind ja Userbezogen. Ich dachte an eine Sicherheitsfilterung, bin aber nicht sicher ob dies auch auf Computebene funktioniert.

 

Danke für eure Tipps

 

Genau so wollen wir es aber nicht.

Sinn soll sein dass bei wichtigen Angelegenheiten, Termine, Fristen usw. oder bei bestimmten Sendern welche Verträge abschließen immer automatisch eine zugeordneter Verteiler in CC gesetzt wird. Der Empfänger könnte ja auch mal krank sein oder die E-Mail ignorieren. Bei Vertraulichen Angelegenheiten soll der Sender diesen automatisch hinzugefügten CC natürlich wieder entfernen können.

hat sich alles nix geschenkt. Ursache war vermutlich eine falsche Garfikeinstellung im Bios

Hallo Zusammen,

 

wir haben Exchange 2010 in einer DAG und Outlook 2010/2013/2016 im Einsatz.

Seitens der GL kommt nun folgende Regelassistentanforderung:

 

Wird eine Mail an xyz geschickt, soll automatisch immer eine hinterlegte Emailadresse oder Emailkontakt in CC oder BCC erscheinen.

Sofern man den CC/BCC diesmal nicht anschreiben möchte, soll man einfach den CC oder BCC wieder entfernen können genau so wie das auch normal funktioniert wenn ich keine Regel habe.

 

 

Das ist schon alles.

Kennt jemand ein Tool oder vielleicht eine Lösung mit Boardmitteln?

 

Gruß Goat

 

 

 

Also die ganzen Keys waren alle nicht da. Trotz dem Anlegen passierte nix wenn ich mich als User in der Admingroup anmelde und drucken will.

Muss ich die Kiste neu booten, damit die Regcodes  AdminsCanManageClientPrinters  angewendet werden oder muss das ganze am Druckserver gemacht werden ?

Ich habe dies nur am Terminalserver ausprobiert auf dem auch XenDesktop läuft

Am 26.1.2018 um 16:40 schrieb testperson:

Guck einfach was ggfs. dort in der Registry zu finden ist. Default ist meine ich, dass administrative User alle Drucker sehen.

 

BTW. Hauptbenutzer würde ich ebenfalls vermeiden: https://www.faq-o-matic.net/2007/01/27/wie-hauptbenutzer-zu-admins-werden/

gar nichts, der Schlüssel PrintingSettings existiert gar nicht. Kann es überhaupt funktionieren wenn alle als lokaler Admin angemeldet sind?

vor 17 Stunden schrieb zahni:

Zuerst würde ich mal Prozesse klicken und dann auf die  Spalte "Arbeitsspeicher".

Ist da schon ein Übeltäter zu erkennen?

Wenn nicht, wird  es etwas kompliziert.

 

Am Einfachsten ist es  zunächst nacheinander die Prozesse unter dem eigenen Konto abzuschießen. Jedesmal prüfen, ob  der "Pegel" Arbeitsspeicher sprunghaft runtergeht.

Wenn ja, Übeltäter gefunden. Auch ja, Die Pagefile.sys darf nicht deaktiviert sein.

ja klar wird dann der Ram deutlich sprunghaft weniger, das ist ja auch normal so. Pagefile ist mit 1GB aktiviert (habe eine SSD). Problem ist ja dass ich nicht mehr als 5GB/8GB verbrauchen kann.

 

vor 14 Stunden schrieb Nobbyaushb:

Moin,

 

lade dir mal den Prozess-Explorer von Sysinternals herunter, der zeigt deutlich mehr an.

 

Kann auch ein defektes Modul auf einem RAM sein.

 

Wie viele Module sind eingebaut, sind die gleich?

 

Ggf. mal andere einbauen, und direkt auf 16GB gehen.

 

;)

2 Module a 4GB DDR4. Ich konnte das Problem etwas umgehen indem ich im Bios bei den Grafikeinstellungen Initiate graphic adapter aus gestellt habe und von PEG auf IGB gestellt habe. Nun habe ich sehr viele Applikationen offen und bin unter 5GB. Der PC hat keine externe PCIe Grafikkarte, vermutlich lag hier die falsche Einstellung. Solnage ich fehlerfrei arbeiten kann bin ich zufireden, ob die MEldung bei 5GB erneut kommt, werde ich sehen. Danke für die Tipps.

Hallo Zusammen,

ich bekomme ständig die RAM Fehlermeldungen beim surfen oder anderen Applikationen.

Die Meldung würde ich akzeptieren wenn kein freier oder verfügbarer Speicher vorhanden wäre aber so nicht.

Die Meldung kommt kontinuierlich bei einer Arbeitsspeicherbelastung von über 5,1 GB

 

System:

8GB DDR4

AMD A10-7870K mit integrierter Radeon R7, anscheinend mit 1GB RAM laut Lansweeper, laut www mit 2GB shared memory

MSI A68HM GRENADE (MS-7891)

3 Fullhd Monitore, davon ABER nur 2 dauerhaft an, im erweiterten Desktop. Alle 10 Minuten wechselt der Hintergrund

 

Kann es sein, dass die R7 zuviel RAM zieht?

Wieso zeigt die Anzeige dann nicht mehr als 5,3GB an ?

Verfügbar sind meistens 2GB ram angeziegt, frei aber selten mehr als 500, eher gegen 0. Die Meldung und Programmabstürze sind dann natürlich normal.

Wenn ich unter Prozesse den Arbeitsspeicher mühsam addiere komme ich auch niemals auf 5,3GB, sondern ca. 1GB weniger!

Wie kann ich den RAM Bedarf OHNE Ramerweiterung und Applikationen schließen wie bisher veringern ?

Wie kann ich den derzeitig verwendeten Grafikram auslesen lassen ?

Sollte ich den dritten, ausgeschalteten aber eingesteckt und konfigurierten Monitor entfernen, falls dieser auch still RAM zieht?

Freier Ram geht oft auf 0, was ist der unterschied zwischen verfügbar und Frei ?

Zu Hause habe ich einen Intel i3 mit integrierter Grafikeinheit, hier komme ich locker auf 7GB /8GB Ramauslastung, bei diesem AMD System niemals

 

 

Gpresult/r zeigt nur aktive Benutzerrichtlinien an.

Computerrichtliniien werden mit gpresult/r /scope /commputer angezeigt

 

Vielen Dank an alle, ich begnüge mich mit Win+D

Hallo Zusammen,

vielleicht weiß einer einen kurzen Tipp,

wenn man mehrere Programme auf hat, kann man mit Alt+TAB zwischen den Fenstern herumschalten.

Normalerweise sehe ich neben den offenen Programmen auch einen Tab namens Desktop wo der einfache Desktop ohne offenen Applikationen angezeigt wird.

Hier fehlt fieser Eintrag leider.

Ich finde die Einstellung nicht.

Freue mich auf eure Hilfe

 

Viele Grüße und Danke im Voraus

 

Goat

 

 

vor 19 Minuten schrieb testperson:

Guck einfach was ggfs. dort in der Registry zu finden ist. Default ist meine ich, dass administrative User alle Drucker sehen.

 

BTW. Hauptbenutzer würde ich ebenfalls vermeiden: https://www.faq-o-matic.net/2007/01/27/wie-hauptbenutzer-zu-admins-werden/

ok, danke erstmal soweit Jan. Ich werde dies am MOntag testen, nun mache ich erstmal Feierabend :-)

Schönes Wochenende

Gruß Goat

vor 10 Minuten schrieb testperson:

Die User sind lokale Admins auf dem Terminalserver? Dann solltest du das ändern oder du musst eben https://support.citrix.com/article/CTX124885/ umsetzen und testen.

ok ich werde es am Montag testen. D.h. wenn die User nur Hauptbenutzer sind, dann sehen sie auch nur ihre Drucker und Sessions ?

Die User sind auf SiteB ebenfalls lokaler admin aber dies ist ja nicht relöevant da hier nur die Citrixverbindung zu SiteB aufgebaut wird.

https://support.citrix.com/article/CTX124885/  ist mir nicht ganz klar. Der Punkt unten stimmt bei mir ja nicht da alle user=loake admins alle Drucker anwählen können.

 

AdminsCanManageClientPrinters

0 (False)

0x00004000

By default, only the session users can access their autocreated printers. Even administrators on the server cannot access autocreated printers from other sessions. This flag adds the local administrators group to the ACL for all autocreated printers.

 

vor 1 Minute schrieb testperson:

Hi,

 

welche XenApp Version setzt ihr denn ein? I.d.R. sehen nur administrative User alle verbunden Drucker von allen Usern. Ich bin mir nicht sicher, ob man das per Citrix Richtlinie für jeden User aktivieren kann.

 

Veröffentlicht Ihr die Session oder nur Apps?

 

Gruß

Jan

Sorry die Info fehlte: Xenapp 6.5 / Appcenter V6

Benutzer sind in der lokalen admingruppe, da sonst manche Programme nicht richtig funktionieren.

Veröffentlicht wird die App zum Terminalserver. Von dort aus wird gearbeitet

 

Hallo Zusammen,

 

ich hoffe dass mir jemand helfen kann.

Derzeit verwenden wir übergangsweise folgende Produktivlösung.

 

Site A:

2008R2 Server, Exchangeserver 2010, Terminalserver mit Outlook.

Clients sind in der Domaine und greifen via Outlook ohne Cachemodus auf den Exchange zu.

 

Site B:

Anbindung via VPN, Clients verwenden keine Domaine, sind als lokale Admins angemeldet.

Verbindung zu Site A via Citrixreceiver zum Terminalserver.

Dort wird mit Outlook und anderen Programmen gearbeitet.

Am Terminalserver sind ca 5 Drucker für die ca. 15 Mitarbeiter installiert.

 

Hier das Problem:

Solange Frau Müller (PC1 Sitzung 13) mit dem Standarddrucker druckt ist alles ok, wenn sie allerdings einen anderen Drucker, z.B. pdf creator drucken will, dann hat sie insgesamt alle Drucker aller PCs bzw Sitzungen aufgelistet:

pdf creator von PC1 in Sitzung 13

pdf creator von PC5 in Sitzung 12

pdf creator von PC6 in Sitzung 6

pdf creator von PC33 in Sitzung 1

pdf creator von PC99 in Sitzung 4

 

Wird die falsche Sitzung oder der falsche PC gewählt, bekommt den Standarddrucker der jeweilie andere Benutzer der Sitzung.

Toll wäre, wenn jeder angemeldete Terminalbenutzer nur seine Drucker und seine Sitzungen sieht.

Oder auch super wäre sich dauerhaft die PCs der Sitzungen zuordnen lassen könnten, Z.B. PC1=immer Sitzung1

Wie ist das möglich ?

Bin über jeden Tipp dankbar

Benutzer müssen leider in der lokalen Admingruppe sein, damit ein bestimmtes Programm läuft.

 

Gruß und Danke

 

Goat