holger.tems

@Sunny61 Das steht alles im ersten satz nach der begrüßung. Wie schon gesagt hab ich etwas rumgeschaut aber nichts gefunden. Wenn du es in einen kleinen homelab daheim nachbauen könntest würdest du vielleicht das selbe phänomen erleben anstatt nur über mich zu urteilen. Das schaue ich mir doch gerne mal an. Danke Tut mir leid. Das verstehe ich nicht. Wie soll mir ein if exit helfen via dism (eingestellte Windows sprachen unabhängig) zu prüfen ob smb1 aktiv ist? Den mit dem vorschlag von testperson "dism /online /get-featureinfo /featurename:SMB1Protocol | findstr Deaktiviert" kommt man der sache schon näher. Nur prüft man da wirklich die ausgabe (in der sprache wie sie angezeigt wird) und keinen logischen z.b. bool wert auf aktiviert/deaktiviert. Ich bin legastheniker wie man vielleicht schon an meiner rechtschreibung mitbekommen hat. Da sind bei leuten wie mir manchmal die finger schneller als die augen oder das hirn. Das schlimme daran ist,... das wenn ich es kontrolle lese ich fehler wie das fehlende ? automatisch im kopf ergänze. Daher hab ich mich eigentlich schon damit abgefunden^^ Solange man den inhalt versteht ist mir (zumindestens im netz) die struktur egal^^

@testperson Start-Transcript hat leider auch nicht geholfen. Es wurde auch keine textdatei erzeugt. Bei "| findstr Deaktiviert" sehe ich ehr das problem das nicht nur deutsche WIn10 Versionen hier im einsatz sind und findstr wirklich 100%ige gleichheit erfordert. Deshalb hätte ich ja gerne (was anscheinend ja geht) das man den state parameter der ausgabe "DISM /online /get-featureinfo /featurename:SMB1Protocol" direkt in form eines bool wertes abfragt. @BOfH_666 Wenn du es schaffst diese powershell Zeilen in ein Startskript das via GPO auf das Computerobjekt angewand wird zum laufen zu bekommen bist du mein Held. Am system direkt funktionieren die von dir genanten powershell zeilen prima. Nur als startscrtipt werden die nicht angewandt. Deshalb kahm ja auch schon mehrmal der vorschalg hier das script über de GPO als Aufgabe an das lokale system auszurollen. Mich würde aber interessieren warum es nicht als start script funktioniert.

@Sunny61 Im ersten post steht das es auf eine OU mit Computerobjekten als start script angewandt werden soll. Es wurde wie geschrieben im Eventlog versucht nacht fehler oder warnungen zu suchen welche auf ein nichtausführendes skript hinweist unter folgenden pfad: "ereignisanzeige -> anwendungs- und dienstprotokolle -> windows powershell" Wenn du ein besseren suchpunkt in der ereignisanzeige vorschlägst schau ich da auch gerne nochmal nach. Bezüglich des einbaus einer fehlerbehandlung im powershell script kenne ich micht leider zu wenig aus. Das kannst du mir ja gerne ein beispiel zukommen lassen! Wie würde denn deine IF abfrage im batch aussehen mit reinen DISM Ich hab es schon mit "DISM /online /get-featureinfo /featurename:SMB1Protocol" probiert aber bekomme den wert "status" (der irgendwie noch hinten ran müsste) nicht auf aktiviert/deaktiviert geprüft. Das es mit der Aufgabenplanung sicher funktioniert ist ja schön. Ich würde trotzdem gerne das wenigstens eine vorgeschaltete DISM abfrage mit prüfung ob es schon aktiviert ist zum laufen bekommen. Wie schon im vorherigen post geschrieben hat denn niemand von euch (diejenigen die halt mehr erfahrung und wissen haben als ich) noch ein testlab daheim laufen wo er/sie das mal kurz selbst gegentesten kann.

@Sunny61 Das es auf eine OU via GPO als powershell start script angewandt werden soll steht alles im ersten post^^ Ich hab im Eventlog natürlich versucht zu schauen aber (meiner meinung nach) nichts eindeutiges gefunden was auf ein fehlgeschlagenes ausführen des skriptes deutet. Wenn du mir sagst wonach ich geziehlt suchen soll schau ich aber gerne nochmal nach^^ Das nutzen der Aufgabenplanung ist natürlich der workaround wie ihn NorbertFe schon beschrieben hat den ich dann als letzten ausweg auch probieren werde. Trotzdem würde mich interessieren ob ihr vielleicht wisst wie man bei DISM eine IF abfrage bezüglich einer statusabfrage basteln könnte. Hat den vielleicht einer von euch daheim noch ein virtuelles Labor laufen sodass er das beschriebene verhalten mit dem powershell skript bestätigen kann. Nicht das es nachher an andern faktoren in meiner umgebung liegt.

Vielen dank für die ganzen Tips. Leider funktioniert nicht mal das von "testperson" vorgeschlagene ausführen der powershell datei nachdem diese mittels einfachen xcpoy im batch start script rüber kopiert wurde. Ich bin vorhin aber auf eine alternative gestoßen. DISM /online /enable-feature /featurename:SMB1Protocol Mit DISM scheint es auch via startskript zu funktionieren. Nun würde ich aber gerne noch eine IF abfrage davor schalten um es nicht jedesmal auszuführen. Gibt es mittels DISM auch sowas wie ein "get-feature.status = enabled" welches man auf wahrheit prüfen kann um im vorfeld zu erfahren ob es schon aktiviert ist? Ich hab da momentan noch nichts passendes gefunden. Wenn das noch funktionieren würde hätte man eine einfachen ersatz für die powershell variante gefunden die irgendwie nur probleme macht.

Das reine "Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol" hab ich auch schon ausprobiert. Funktioniert leider auch nicht. Gibt es bezüglich Start Scripts noch unterschiedliche Berechtigungsstufen bei powershell? Ich dachte wenn ich es unter "computerkonfiguration\richtlinien\windows einstellunge\skripts" einbinde wird es sowieso mit systemweiten rechten ausgeführt. Wenn ich die zeile lokal via powershell console an einen Win10 PC eingebe mit Admin rechten funktioniert es übrigens. Auch mit dem vorherigen prüfen ob es schon aktiviert ist. Nur wenn ich es im Startskript packe wendet er es nicht an? Würde ja zu deiner theorie passen das es als start script mit unzureichenden rechten ausgeführt wird. Aber wo kann man da was ändern. Wie gesagt das powershell skript an sich läuft ja. Und auch die testzeile die eine leere textdatei auf C:\ anlegt muss ja erweiterte rechte haben. Sonnst würde das erstellen nicht funktionieren. Ich bin echt überfragt. Kann jemand der vielleicht daheim noch ein labor zu testzwecken virtuell laufen hat das ganze mal bei sich nachspielen? Nicht das irgendwelche einstellungen sich da in meiner umgebung in die quere kommen. Ich bin für jeglichen tip dankbar. mfg. Holger

Hallo Ich habe folgendes Problem. Für eine Taskforce muss ich vorübergehend auf einer OU mit Computeropjekten SMBv1 auf Windows 10 1803 aktivieren. Nun dachte ich mir,... schön folgende zeile in einem powershell start script und fertig. "Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol | ?{$_.State -ne 'Enabled'} | Enable-WindowsOptionalFeature -online -NoRestart" Nur leider funktioniert das nicht. Der Test-PC's an dem ich es gerade vor dem ausrollen ausprobiere hängt dann bei Software installation beim starten ca. 1min "äußerst detaillierte statusmeldungen anzeigen" sind aktiv. Wenn er dasnn hochgefahren ist und man den händisch den Status von SMB1Protocol überprüft ist es immernoch deaktiviert. Auch mehrmalige Neustarts bringen nichts. Hab ich da irgendwas GPO seitig vergessen damit Enable-WindowsOptionalFeature angewendet wird. Zur info,... das powershell skript wird auf dem client angewendet. Ich hab mal eine Zeile hinzugefügt die eine leere Textdatei auf C:\ erzeugt,... welches auch geklappt hat. Daher bin ich gerade überfragt. Auf Serverseiten wird Server2008R2 mit den neusten Win10 1803 ADMX Templates genutzt. Hab ich da irgendwas Serverseitig vergessen zu aktivieren um den Win10 Client das ausführen von Enable-WindowsOptionalFeature zu erlauben. Es wäre echt nett wenn ihr mir helfen könntet. Danke

So wie in den verlinkten Artikel war es ja im grunde auch. Nur mit den zusatz das über Sicherheitsgruppen verhindert wurde das paar "Spezies" sich trotzdem den falschen drucker greifen und im andern Raum/Gebäude Drucken. Es hat soweit ja auch immer ausgereicht. Nur wenn jetzt der Wunsch von oben kommt es trotzdem automatisch zu verbinden muss ich es halt versuchen umzusetzten. Nur wie gesagt beist sich das automatische verbinden via GPO mit der sicherheitsgruppe die auf den printserver (einzelne drucker) angewandt ist. Wisst ihr denn vielleicht über welchen "Benutzer" beim hochfahren die per GPO verbundenen Drucker ausgeführt werden. Wie gesagt der normale benutzer kann es nicht sein da dieser ja mittels der sicherheitsgruppe die rechte zum verbinden hat. Ich hab schon versucht um "jeden" als recht zu vermeiden nur nettzwerkdienst oder system als "Nutzer" hinzuzufügen bei den druckerrechten. Aber dann können auch Benutzer ausserhalb der Sicherheitsgruppe den Drucker wieder über den UNC Pfard verbinden. Das beisst sich irgendwie. Da muss es doch eine Lösung für geben. Ob es nun praktisch Admenistrativer selbstmord ist das zu machen liegt leider nicht in meinen macht. Ich hab das nur umzusetzten. Und daran verzweifel ich gerade. Eigentlich sollte es doch ganz simple sein. mfg. Holger

Kann mir denn keiner helfen? Hab ich da so ein ungewöhnlichen Aufbau? Wie regelt ihr das denn mit den rechten beim Printserver für die einzelnen Drucker wenn diese zusätzlich automatisch verbunden werden sollen? Man kann ja nicht einfach jeden das verbinden und drucken auf allen möglich zu verbindenen Druckern erlauben. Vielleicht mach ich ja auch was grundlegend falsch bzw. nicht standartmäßig. mfg. Holger

Hallo, Ich bräuchte jetzt mal bitte eure Hilfe. Ich bin gerade am verzweifeln an einer eigentlich simplen Aufgabe. Grundsituation: Ich habe ein Printserver WinServer2008R2 der für verschiedene Abteilungen Drucker bereitstellt. Bis jetzt war es immer so das die Nutzer sich den drucker selbständig verbunden haben. Die Druckerlaubniss für die Nutzer wurde über eine einfache Sicherheitsgruppe geregelt sodass nur die vorher (räumlich) festgelegten Drucker genutzt/verbunden werden konnten/durften. Nun soll aber auf basis dieser Sicherheitsrichtline der Drucker auch beim Hochfahren mittels verteilung über GPO automatisch verbunden werden. Und das klappt nicht! Wenn ich auf dem Printserver (wo die Sicherheitsgruppe) angewandt wird noch zusätzlich zum testen "jeder" hinzufüge und drucken erlaube, verbindet er den drucker beim hochfahren ordnungsgemäß. Aber wenn "jeder" die Erlaubnis des druckens bekommt mach ich mir ja die sicherheitsgruppe kaputt. Beim automatischen verbinden der Drucker via GPO (Nutzer) wird wohl beim Hochfahren nicht die Sicherheitsgruppe berücksichtigt oder der Drucker wird als "system" bzw. "netzwerkdienst" ausgeführ und nicht als Nutzer denke ich mal. Wegenfalls ist da irgendwo der Wurm drinne. Wie bekomme ich die automatische verbindung via GPO (beim Systemstart) hin ohne das im Reite Sicherheit beim Printserver (zu verteilender Drucker) "jeder" einzutragen ist? Oder hab ich da irgendwo ein groben Denkfehler drinn? Dann klärt mich bitte auf. Schonmal Danke im vorraus für eure Hilfe. mfg. Holger