alix

Die Uni Leute haben nur gesagt ich brauche nur User Cals alles andere ist im Landesvertrag enthalten. Wegen Office werde ich noch mal fragen, ich glaube das ist auch im Landesvertrag, da hab ich gedacht es ist egal ob ich das auf einem PC oder auf einem Server nutze. Ich hab Offie 2013. (die hängen an einem KMS Server der Uni) Ich denke ich versuch das mal mit der RDS Host Rolle und dem RDS Lizenierungsserver. DAs klingt machbar und ich hab jetzt erst mal eine Vorstellung wo ich suchen kann (bei den Rollen!) Danke für die Infos

Device calls nutze ich nicht. Wir haben ca. 10 Nutzer, die bisher w2008R2 remote von Linux aus nutzen, falls die mal ein MS-Office brauchen und ca 3 die W2008R2 nehmen, um SPSS von zu Hause aus verwenden zu können. W2008R2 wird aber bald nicht mehr vom Microsoft unterstützt, also hab ich 2 neue W2016 Server aufgesetzt. Da ich es nicht geschafft habe, roaming profile mit dem Microfocus ZEN und OES Clienten zu kombinieren, sind die beiden neuen Server ans Uni AD angeschlossen worden, damit brauche ich dann keine eigene Nutzerverwaltung mehr. Remote anmelden darf sich die AD Gruppe "remwin" Direkt anmelden geht sowieso nicht, da es virtuelle Maschinen sind und nur ich Zugang zum übergeordneten Host habe. Mein Lizenzserver für SPSS ist auch virtuell, dort kann keiner drauf. Den kann ich bei Bedarf zum "Nutzer-Cal-zählen" benutzen. Hätte den Vorteil, der ist im Backup (KVM-Server die *.qcow2 Datei wird wegkopiert.) Servercals sind unendlich viele im Landesvertrag der Uni. Nur user cals müssen gezählt werden und unser Bereich hat 20 für 2016 gekauft. Ich frag mich eben nur reicht es, die Menge der Leute mit "darf remote" zu zählen und solange die kleiner als die gekauften 20 für 2016 ist ist alles ok oder muss ich den Server zählen lassen? Irgendwelche Rollen hab ich noch nicht installiert, nur den Remotezugang für die AD Gruppe erlaubt. Lokale Nutzer gibt es da nicht.

Hallo, ich hab 2 neue Windows 2016 Server installiert, die für ca. 10-20 Nutzer remote erreichbar sind. Diese Server sind in einem AD und Remote benutzen dürfen die Server nur Leuter der Gruppe "remwin", damit weiß ich genau wieviele Cals ich brauche (20 für 2016 sind gekauft in der Gruppe z.Z. 9 Leute) Frage jetzt: Bei den W2008R2 musste man noch einen windows Server benutzen um zu zählen wieviele angemeldet sind. Muss man das auch noch bei 2016 und wie geht das da? (Ich hab nur ne kryptische Anleitung vom damaligen Admin) Ich weiß, dass sich 2 Leute parallel anmelden können, ohne das es Probleme gibt, wenn die aber nur den remotedesktop schließen, ohne sich abzumelden ist abzusehen, dass bald ein Dritter sich anmelden will und dann geht es vlt. nicht mehr. (das war das Problem bei W2008R2 und ist jetzt gelöst, aber w2008 soll bis 2020 durch w2016 ersetzt werden also muss ich das zum laufen kriegen.) Probieren kann ich es nicht, ich hab im AD keine Rechte ausser der Gruppe remwin Leute hinzuzufügen und ich habe administrative Rechte auf den beiden PCs. Es sind noch mehr w2016 im Betrieb. Der eine ist Datenablage und der andere Lizenzzähler, aber da kommt außer dem Admin keiner drauf. Plan ist, den Lizenzzähler gleich noch zum CAL Zählen zu nutzen, falls nötig. Aber vlt muss ich das gar nicht, weil sich beliebig viele Nutzer anmelden können und ich ja die Anzahl nachweisen kann. Die Server laufen, bis auf den Datenablageserver alle virtuell auf KVM oder VMWare. Ich will aber auch keine snapshots erstellen, da die unter ESXI zu problemem führten, zumindest bei W10. Gibt es irgendwo eine Anleitung?

Dann versuche gleich mal rauszukriegen wie das geht... und künftig daran zu denken. Danke jedenfalls noch mal.

Ich hab mich auch mit Roaming profiles und w10 herumgeschlagen. Unter w7 funktioniert es ohne Probleme (auch ohne AD, wir speichern die auf einem OES/Sles Laufwerk, das vom Novellclienten erzeugt wird.) Es ging nur schief, wenn das Profil zu groß ist. (Ich hab die Ordnerumleitung nicht geschafft, da ich kein AD hatte) Roaming profile braucht man bei vielen Nutzern und wenigen PC (z.B. in Schulen) für Notebooks ist schon One-drive oder eine vergleichbare cloud sinvoller. Bei w10 funktioniert beim roaming das Startmenü nicht mehr, aber auch der Wechsel von OES aufs AD klärt das Problem nicht. Ich kenne auch nur die Information dass Microsoft kein Roaming mehr will und jetzt One-drive erzwingt. Zu dem temporären profil problem hab ich https://www.windows-faq.de/2012/07/27/profil-fehlermeldung-sie-wurden-mit-einem-temporaeren-profil-angemeldet/ gefunden, Aber das ist keine Lösung, wenn der Fehler immer wieder auftritt. Was mir bei onedrive oder ähnlichen cloudlösungen unklar ist, wie da die Apps ihre Einstellungen speichern. Z.B. Farbe im Editor, ... Also alles was im Profil unter Appdata/roaming steht. Das läßt sich nach meiner Info auch oft nicht umleiten. Unser Uni RZ hat das roaming unter w10 mit einem AD irgendwie hinbekommen, die Ordner werden umgeleitet und der Rest steht noch im raoming, startmenü ist fest und "start" leer. Allerdings nehmen die nur die LTSB Version. Ich erforsche gerade ob ich mich da mit meinen 500 Studenten und 30 PC reinhängen kann.

Probiere ich aus, danke! Wir nehmen die Office 2013 oder 2010 Version momentan. Die meisten Studenten machen sowieso LateX, Office und mathematische Formeln geht nicht. Nur die SPSS Benutzer brauchen es manchmal zum Export für ihre Ergebnisse, Es gibt ja auch noch open Office.

Danke für den Link. Wir haben nur PC und alles gleiche Hardware. Momentan ist Office 2013 drauf und Firefox. Wenn der Defender unter Umständen Probleme macht, sollte ich wohl sophos zusätzlich nutzen. Wobei ich durchaus der normalen Version nicht ablehnend gegenüber stehe, aber ich hab da noch kein image. Sysprep beschwert sich über den MS store. Am liebsten wäre mir wenn man den store im audit modus deinstallieren könnte, hab ich aber nicht geschafft. Aber momentan reicht mir die LTSC im PC pool. Wir haben keine APPS im Einsatz die den store brauchen. Danke, das wars! Ich hab "Benutzer" aus "lokal anmelden zulassen" entfernt und dort die AD Gruppe Mathe reingeschrieben. Bei Benutzer in der systemsteuerung stehen jetzt nur noch die beiden NT-Authoritäts gruppen drin. Da ist aber jeder AD Nutzer Mitglied, hab ich mit whoami /groups herausgefunden. Aber wenn in den lokalen Gruppenrichtlinien "Benutzer" nicht mehr bei Du darfst drin steht kann sich ein AD nur lokal anmelden wenn er in der passenden Gruppe ist.

Ich könnte die LTSC oder die Edu Version nehmen, wir haben eine Landeslizenz an der Uni für beide. Im PC pool für die Studenten reicht wahrscheinlich die LTSC, da ist mathesoftware drauf (matlab, mathematica und maple, LaTeX und Office/Openoffice, VLC, firefox, gimp... ) Ich hoffe keiner braucht den edge. Bei den Mitarbeiter PCs brauche ich schon den Edge, skype und anderes. Ich versuche allerdings so viel wie möglich apps zu entfenen hab schon gelernd das geht für noch nicht angemeldete Nutzer mit: Get-AppxProvisionedPackage -online |? displayname -like *zune* |remove-appxprovisionedpackage -online und für den defaul mit Get-AppxPackage |? name -like *zune* |remove-appxpackage Allerdings hab ich sysprep bei der Edu Version noch nicht erfolgreich hinbekommen, das schipft über Apps aus dem shop, die beim Adminstrator installiert sind. (den shop gibts nicht bei der LTSC) Ich hab aber schon ein paar Hinweise gefunden, wie ich das umgehen kann. Wenn ja nehme ich die Edu Version und verschiebe nur die Updates auf die Semesterpause. Für meine Tests mit dem AD ist das LTSC image erst mal ganz hilfreich. Ich bin mir auch noch nicht sicher, ob ich sophos nutze oder mich auf den defender verlasse. (Ich denke ich lasse sophos weg, Die Daten der Studenten sind im Backup und den Rechner kann ich clonen im Virenfall, Das letzte MS update hat sich nciht mit sophos vertragen und musste manuell im abgesichterten modus deinstaliert werden) Hab ich jetzt gelesen, danke! Entscheidend ist der Satz Wenn Konten aus Versehen gleichzeitig die Anmeldung erlaubt und verweigert wird, weil man sie in zwei verschiedene Listen aufgenommen hat, dann setzt sich das Verbot durch. d.h. es bleibt wohl nur irgendwie "unerlaubte" Benutzer wieder abzumelden. Ich habe keine Gruppe "du darfst nicht" nur eine Gruppe "mathe" und eine gruppe "Alle" und deren Mitglieder ändern sich sehr häufig. Wobei eine manuell erzeugte Gruppe "du darfs Nicht"= "Alle"- "mathe", die wir dann auf die lokalen Recher kopieren könnten, zwar eine Idee ist aber ich weiß nicht wie lange das Anmelden dann dauert, wenn der PC jedesmal eine Liste von 5000 Einträgen durchsucht. Ich kann mir "alle" und "mathe" mit dem Befehlen net groups /domain "Alle" und net groups /domain "mathe" zwei listen erstellen und so die differentmenge erzeugen. Ich werde das mal probieren

Ich bleib dran, muss ich ja! Irgendwie ist es mein Job dieses Jahr auf 30 PC im Pool w7 durch w10 LTSC am AD zu ersetzen!!! (und weitere ca. 25 für individuelle Nutzer w7 durch w10edu mit Novellclient und ZEN) Komplett inclusive automatischer Softwareverteilung, Drucken im Netz, Homeverzeichnisse im AD oder auf dem OES/sles. Bisher (w7) erfolgte die Nutzerautentifizierung über den Novellclienten/Zenagent und LDAP auf dem OES Server. Ich hab ein w7 image, einen PE stick und installiere das in eine primäre partition (im PC pool sind dualboot PC mit ubuntu/windows) Die individuelle Software und Druckerverteilung macht ZEN. Aber w7 endet 2020 und in w10 funtioniert roaming nicht wie bisher (und schon gar nicht nicht ohne AD) Deshalb hab ich für den Pool die eigenen Nutzerverwaltung aufgegeben und will die zentrale der Uni im AD abgreifen. (macht auch Sinn, dann brauchen wir nicht mehr jedes studentenlogin selbst zu verwalten) Danke! Jedenfalls schon mal für die Ideen. Ich melde mich wenn ich was herausgefunden habe.

Ich werde mal fragen ob das eine samba domäne ist. Ich arbeite ja nicht im zentralen RZ, dort gibts 2 Leute für windows, die haben leider immer Stress. Zumindest hab ich jetzt erst mal ein paar ideen zum weiter forschen. Danke dafür! Das mit dem "er muss sich erst anmelden" um festzustellen dass er es nicht darf ist ein interessanter Gedanke!!!!! Ich weiß mir fehlen Grundlagen. Alles was ich weiß, hab ich aus Büchern und Foren. (Bis 1983 hab ich Mathe studiert nicht Informatik, wir hatten noch Lochkarten und Fortran) Seit 1992 versuche ich mich an PC und Nutzer Betreuung. Jetzt bau ich mir erst mal wieder eine neue virtuelle Maschine und mach ein snapshot bevor ich an den lokalen Gruppenrichtlinien herumspiele und alle Nutzer aussperre. War schon interessant, dass man auf diese Weise den PC komplett unbrauchbar machen kann. Wozu brauch ich einen lokalen Administrator, wenn der nix darf? Aber Bill Gates wird sich schon was dabei gedacht haben.

Doch, der Rechner ist Mitglied in der Domäne des RZ. Die haben da eine www Seite, da kann man den PC anmelden, der lokalen Administrator muss dabei offen sein und sein Passwort wird übermittelt. Dann nehmen die den PC ins AD auf und verpassen ihm auch eine Reihe von Gruppenrichtlinien. (man muss den firwall ausschalten und mit powershell Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol ausführen) Danach kann ich den lokalen Admin wieder schließen oder ein anderes PW geben, das smb1 disablen und den Firewall schließen) Durch die Aufnahme im AD ist es allen Studenten der Uni möglich sich an dem PC anzumelden (sind 5000) . Das will ich aber nicht. Es gibt im AD eine Gruppe mathestudenten (150) , die kann ich auch bearbeiten. Ich möchte dass nur diese Studenten zugreifen dürfen die anderen aber nicht. (wir haben mathesoftware im Pool) Lokal anmelden muss sich niemand, außer einem Administrator zur Softwareinstallation. Ich werde jetzt noch mal einen neuen PC erstellen und mal beobachten was die Registrierung im AD bewirkt. Wahrscheinlich war es falsch die gruppe Benutzer zu bearbeiten. Ich bekomme den "benutzer" auch nicht wieder in die Gruppe der Leute die sich anmelden dürfen hinein. Ich hab schon im RZ gefragt ob die eine Idee haben aber die hatten den Fall noch nicht. Die meinten nur, ich soll dann eben die gruppe "alle AD Nutzer" entfenen und die Gruppe mathe hinzufügen. Danach können sich aber immer noch alle anmelden, die bekommen zwar eine Fehlermeldung die kann man aber ignorieren. Dann meinten die noch ich soll NT-AUTORITÄT\Authentifizierte Benutzer (S-1.5.11) und NT-AUTORITÄT\INTERAKTI (S-1-5-4) entfernen... da hab ich aber weiter oben gelesen, dass macht dann vlt Probleme mit der Software. Ist ja noch etwas Zeit bis 2020 wenn mein w7 wegfällt. Irgenwann kann ich vlt Windows verstehen. Momentan hab ich das Gefühl, je mehr ich lese desto mehr bgreife ich dass ich eigentlich nichts verstehe. Hab jetzt gerade nden zweiten virtuellen PC geerdet. Er ist im AD! bei Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften kann man "Hilfe" anklicken und da steht dass das unter w10 gar nicht mehr unterstützt wird... Ok also vlt über die lokale Gruppenrichtlinien (die vom AD darf ich ja nicht ändern) Richtlinien für den lokalen Computer -> Computerkonfiguration -> Windows-Einstellungen-> Sicherheitseinstellungen, Lokale Richtlinien, -> Zuweisen von Benutzerrechten unter Lokal anmelden zulassen steht jetzt Administratoren, Benutzer, Gast, Sicherungs-operatoren und AD gruppe mathestudeten und unter lokal anmelden verbieten: gast, und die AD gruppe "alle uni studenten" Resultat ist, nicht mal mehr der Administator kann sich anmelden! auc nicht mit .\Administrator als loginname! kann mir mal einer sagen was sich MS dabei denkt? Auf jeden Fall scheint verbieten stärker zu sein als erlauben, Aber es gibt keine Gruppe "Unistudenten ohne mathestudenten" Wobei mir nicht klar ist, wieso sich der lokale Administrator nicht mehr anmelden kann "der Administrator" nicht mal im abgesichertern Modus.

Danke erst mal für den Link. Es funktioniert irgendwie immer noch nicht. Ich hab bestimmt einen Denkfehler oder alles kaputt konfiguriert. Im zentralen AD kann ich nur Guppen anlegen und denen eine Teilmegen der AD Nutzer zuweisen. Ich kann also keine Gruppen irgendwie konfigurieren oder zentrale Gruppenrichtlinien benutzen. Ich hab jetzt bei Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften nur noch NT-AUTORITÄT\Authentifizierte Benutzer (S-1.5.11) und NT-AUTORITÄT\INTERAKTI (S-1-5-4) Dann wie im Artikel beschrieben hab ich den lokalen GRuppenrichtlinien Editor gestartet: Richtlinien für den lokalen Computer -> Computerkonfiguration -> Windows-Einstellungen-> Sicherheitseinstellungen, Lokale Richtlinien, -> Zuweisen von Benutzerrechten unter Lokal anmelden zulassen nur noch Administratoren, Sicherungs-Operatonen und meine "AD\mathe-studenten" Resultat ist jetzt kann sich gar niemand mehr anmelden außer dem lokale Administrator. "Die verwendete Anmeldemethode ist nicht zulässig" Füge ich die Gruppe AD\mathe-studenten zu Computerverwaltung ->lokale Benutzer und Gruppen -> Gruppen -> Benutzer - Eigenschaften hinzu ändert das auch nichts. Ich hab auch versucht die Gruppe "benutzer" wieder bei lokal anmelden zulassen einzutragen, das geht auch nicht "gruppe nicht gefunden" Unter w7 haben hat das Ganze mit dem Novellclienten, ZENworks und roaming profiles wunderbar funtioniert. Nur leider funktioniert das roamen unter w10 nicht mehr, also bin ich auf die Idee gekommen das AD des Uni RZ anzuzapfen statt unseren eigenen LDAP verteilenden OES-Sles. Wir haben da eine eigene Nutzerverwaltung aber kein AD, somit hab ich auch keine Erfahrung mit windowsservern und Gruppenrichtlinien.

//abgetrennt von: https://www.mcseboard.de/topic/214387-anmelden-von-domänen-benutzer-an-bestimmten-rechner-lässt-sich-nicht-unterbinden/ Gibt es zu dem Thema inzwischen eine Lösung? ich habe auch das Problem. Ich muss 30 PC in eine nicht von mir verwaltete Domäne eintragen. Ich möchte, dass nur Mathematik Studenten die PCs nutzen können und nicht alle Uni Studenten. Dazu hab ich aus der Gruppe "Benutzer" der lokalen gruppen die "AD Benutzer" herausgenommen und eine von mir verwaltete AD gruppe "mathe" hinzugefügt, der die mathestudenten angehören. Mathesstudenten können sich auch anmelden, allerdings auch alle anderen AD Nutzer! Die bekommen zwar eine Meldung "du darfst nicht" die man aber ignorieren kann und dann mit einem temporären Profil angemeldet wird. Meine Frage jetzt was sind NT-AUTORITÄT\AUTHENTIFIZIERTER BENUTZER (S-1-5-11) NT-AUTORITÄT\INTERAKTIV(S1-5-4) für Benutzer, Kann ich die aus der Gruppe "benutzer" entfernen in der Hoffnung dann funktioniert es? Für die lokale Anmelduing brauche ich nur den "Admininistrator" und evlt einen "administrator" gleichen Account "admin" Die Profile der AD Nutzer werden sofort nach Abmeldung wieder gelöscht. Notfalls wäre auch ein script möglich in der Art "wenn nicht Mitglied von mathe dann sofort wieder logout" Wobei ich nicht weiß, wie man das schreiben muss, aber das kann man vlt herausbekommen. Wir haben w10 LTSC 1809 Version.