StRe

Liebe Mitstreiter, ich switche aktuell im Bereich AV von Kaspersky zum MS Defender. Im Intune Admin Center haben wir hierfür diverse AV-Richtlinien erstellt welchen wiederum Gruppen zugeordnet sind und den Gruppen wiederum ordne ich Mitglieder zu. Meine 2022er-Server werden problemlos nach kürzester Zeit die AV-Richtlinie, nur meine 2016er-Server wollen nicht :-( Auch nach mehreren Tagen leider kein Check-In :-( Ich bin mit meinem Latinum am Ende :-( Jmd. eine Idee, wo ich ansetzen könnte?

It works & https://blog.devilatwork.de/domain-admin-hat-keine-rechte-fuer-control-exe-und-mmc-exe-unter-windows-server-2019/ Scheint wohl so gewollt zu sein, dass Built-In Admins hier beschnitten werden/sind….

Wegwerfen geht nimmer :-( Ist unser Prod.-Fileserver...

Niemand eine Idee hierzu?

Hi, korrekt, ich meine den Built-In-Administrator. Danke für deine Ratschläge welche ich in der Zukunft befolgen werden. D.h. es soll so sein, dass der Built-In-Admin z. B. "sconfig" aus der Suche heraus nicht starten können soll?

Hallo zusammen, habe einen Server 2019 Std. neu hochgezogen und wollte via Suche in der Taskleiste nach "sconfig" suchen. Angemeldet bin ich mit dem Domainadmin. Suchtreffer kommt aber wenn ich Enter drücke oder den Treffer mit der Maus anklicke, so wird "sconfig" oder jegliche andere Cmd nicht ausgeführt/gestartet. Melde ich mich mit einem anderen Adminkonto an, so lässt sich der Befehl ausführen. Lösche ich das Profil zum Adminkonto auf dem Server und melde mich neu an, so funktioniert es dennoch nicht. Hat zufällig jmd. eine Idee hierzu?

Mit Zielgruppenadressierung arbeite ich bereits... Werde das Druckermapping nun grundlegend umbauen und die Drucker auf dem Druckserver in der Druckerverwaltung via "Mit Gruppenrichtlinie bereitstellen" ausrollen.

Drucker per GPO verteilt Einstellungen aktualisieren sich nicht - Administrator.de Aber eig. kann mir das egal sein, da vor dem verbinden sowieso ein "Löschen" läuft. Aber wenn ich so drüber nachdenke macht es dann ja eig. keinen Unterschied ob ich "Ersetze" oder "Aktualisiere" wenn ich zuvor eh alle Drucker lösche, oder?

Bzg. auf "Aktualisieren" umstellen: Lt. meinen Recherchen werden bei "Aktualisieren" die Printing Defaults !NICHT! neu gezogen auf den Clients. Keine Ahnung, was sich MS dabei gedacht hat bzw. was die "Aktualisieren"-Einstellung in der GPO denn sonst bewirken soll?! Dann wäre "Aktualisieren" leider keine Alternative für mich :-(

Wenn ich es richtig sehe, dann kann man bestehende Einträge leider nicht von "Ersetzen" auf "Aktualisieren" umstellen :-( D. h. ich muss alle durchgehen und neu anlegen, oder?

Bei uns steht die Aktion bei allen Druckern auf "Ersetzen" und vorweg läuft noch eine Aktion mit "Löschen".

Hi Ralf, kommt drauf an was du unter "direkt" verstehst? Ich habe eine GPO fürs Druckermapping und schiebe die User entsprechend der Notwendigkeit im AD in entsprechende Gruppen - je nach dem welche Drucker die benötigen. Die Drucker selbst werden von einem Druckserver (MS Server 2016) bereit gestellt. Wie gesagt, mich hat das selbst sehr stark gewundert dass die Anmeldung dann derart verzögert wurde nur weil ein Drucker offline war/ist....

Hallo zusammen, wir mappen unsere Drucker via GPO (Ben.-konfig > Einstellungen > Systemsteuerungseinstellungen > Drucker). Die letzten beiden Tage hatte ich eine massiv langsame Client-Anmeldung der User. Ursache war ein Drucker welcher aufgrund von Wartungsarbeiten aktuell offline ist. Nun die Frage, warum sich der Loginprozess an einem Offlinedrucker so lange aufhält? Kann man hier irgendwo eine max. Zeit einstellen? Oder kann man einstellen, dass die Drucker Asynchron verbunden werden?

Hi, ja, gibt beides den gleichen Inhalt zurück...

m. E. sind die Clients auch nur OnPrem-AD-Joined - in meinem M365 admin center habe/sehe ich jedenfalls nur Benutzer....

Anbei ein Screenshot der GPO. Wie gesagt, GPO greift in der RDP-Session aber in der RDP-Session wird der M365-Benutzername des Users nicht erkannt. Auf unseren W10-Clients hingegen schon....

Bin immernoch am grübeln :-( Warum erkennt z.B. mein W10-Client im Edge automatisch meinen M365-Benutzernamen und ein 2016-Server nicht?

Hi, also es ist so, dass die GPO ja gezogen wird und auch angewendet werden will. An der GPO selbst kann es m. E. nicht liegen. Problem ist vielmehr, dass der Edge auf unseren beiden Terminalservern in einer RDP-Session nicht den M365-Benutzernamen des Users erkennt?

Hallo zusammen, ich habe bei mir im lokalen AD eine GPO ausgerollt mit welcher ich im Edge-Browser eine M365-Synchronisation erzwinge. Bei unseren W10-Clients funktioniert dies problemlos und der Edge erkennt den User gleich mit seinem M365-Benutzernamen (=Mailadresse / z.B. m.mustermann@muster.de). Nun habe ich aber das Problem, dass dies in den RDP-Sessions auf unseren 2016-Terminalservern nicht funktioniert. Hier erkennt der Edge-Browser den User lediglich mit seinem OnPrem-UPN (mmustermann@muster.de). Nun die Frage, warum das in einer 2016er-RDP-Session nicht auch wie auf den lokalen W10-Clients funktioniert?

Hi, ich hab eine GPO mit welcher ich diverse Einstellungen im Unternehmen für den Edge steuere. Nun würde ich diese gerne erweitern und ein Roamingprofilverzeichnis angeben. Hierzu habe ich folgende Richtlinien gesetzt: Computerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Edge: Automatische Anmeldung mit einem Active Directory-Domänenkonto konfigurieren, wenn kein Azure AD-Domänenkonto vorhanden ist > Anmelden und Domänenkonto als nicht entfernbar festlegen Browser-Anmeldeeinstellungen > Benutzeranmeldung für Browserverwendung erzwingen Roamingprofilverzeichnis festlegen > Pfad angegeben Verwendung von Roamingkopien für Microsoft Edge-Profildaten ermöglichen > Aktiviert Hab dies dann mit meinem OnPrem-AD getestet und es funktioniert mit automatischer Anmeldung da AD-Domänenkonto. Dann habe ich das ganze in meinem Produktions-AD (auch OnPrem) getestet und es funktioniert leider nur bedingt, da wir hier aufgrund Exchange-Online in einer Hybridstellung unterwegs sind. Der Edge erkennt dann nicht das AD-Domänenkonto sondern das Azure AD-Domänenkonto und führt auch keine automatische Anmeldung mehr durch - man muss die Synchronisierung manuell aktivieren und wenn ich diese aktiviere weiß ich noch nicht einmal wohin er eig. synchronisiert?!

Hallo zusammen, ich würde meine bestehende GPO für den Edge gerne so anpassen, dass die Profildaten in einem lokalen Roamingprofilverzeichnis abgelegt werden da wir keine M365-Dienste verwenden welche einen Sync ins Azure-AD zulassen (nutzen nur Exchange Online (Plan 1)). Jetzt sitze ich in der Zwickmühle, weil unsere Umgebung ja hybridverbunden ist, oder? Wie bekomme ich nun ein lokales Roamingprofilverzeichnis gesteuert? Hat jmd. Erfahrung diesbzg.?