mcdaniels

Hallo,

hat jemand von euch zufälligerweise mit folgendem Szenario bereits Erfahrungen gemacht:

Anstatt der üblichen Windows-Client-PC sollen Linux-Client-PC verwendet werden, die dann in weiterer Folge als Terminalserver-Clients fungieren. Für "Linux" gibt es einen RDP-Client, allerdings habe ich diesen noch nicht auf Herz und Nieren überprüft.

Ich stelle mir vor, dass man - sofern dies umsetzbar ist- auch ältere PC (die z.b. von Win10 nicht mehr wirklich unterstützt werden) als Terminalserverclients verwenden kann. Ggf. spart man hier auch Lizenzkosten ein. (Durchgerechnet hab ich mir das aber noch nicht.)

Wie seht ihr das?

Danke!

Hallo nochmals,

das war wohl eine Kombination von Fehlern, die dazu geführt hat, dass die GPO nicht wirklich funktioniert hat. Das Replikationsproblem hat sicher das seine dazu beigetragen.

Ich hab die GPO des IE11 neu erstellt / alte Settings entfernt. Hierfür habe ich Benutzerkonfig -> Administrative Vorlagen -> Windows Komp. -> Internetexplorer --> .... verwendet.

Nun funktioniert es.

Den Edge lass ich dann mal einfach Edge sein, nachdem der ja offenbar einen sehr guten Ruf genießt

vor 4 Minuten schrieb Sunny61:

Und aufpassen dass Du auch einen User mit dem GPO erwischt! :)

den hab ich sicher "erwischt". ;)

vor 1 Minute schrieb NorbertFe:

Naja Edge und Startseite ist aber auch der ungünstigste Fall, den man sich aussuchen kann. ;)

achso :)

Ist der IE11 generell unter Win 10 noch per GPO ansteuerbar?

Die Replikation funktioniert nun auf jeden Fall wieder.

Allerdings kommen die Einstellungen, die ich in der Policy unter: Benutzerkonfig -> Systemsteuerungseinstellungen -> Interneteinstellungen tätige nicht am Client an. Die in der GPO getätigten Einstellungen scheinen am Client überhaupt nicht in der Verzeichnisstrktur (des Richtlinienergebnissatzes) auf.

Um zu testen, ob GPO Einstellungen am Client ankommen, habe ich weiters unter  Benutzerkonfig -> Administrative Vorlagen -> Windows Komponenten -> Microsoft Edge eine Startseite hinterlegt.

Lt. Richtlinienergebnissatz kommt diese Policy (betr. Edge) auch am Client an, mit entsprechend hinterlegter Startseite. Edge öffnet aber beim  Start eine ganz andere Seite.

Keine GPP vorhanden.

Also jetzt steh ich an.

Habe jetzt ein paar Replikationstest mit dem Sysvol Ordner durch. Die Replikation funktioniert wieder. (war wohl das unterschiedliche MaxOfflineTimeInDays).

Checke nun nochmals die GPO des IE.

Hey Sunny,

danke für die Antwort. Ich habe mir jetzt die Eventlogs genauer angeschaut. Es scheint so zu sein, dass es vor einiger Zeit 400 Tage ein Replikationsproblem (dfs) gab. Die Replikation hat dann nicht funktioniert. Habe mit dem Admin, der damals das Problem hatte, gesprochen. Es wurde mittels

wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=999

die OfflineTime hinaufgesetzt, weil dieser Fehler sehr lange bestand und niemandem aufgefallen ist. Danach sind die Eventlogs betreffend Dfsr-Problem verschwunden. Erstellt man aber nun auf einem der 2 DCs eine GPO wird diese definitiv nicht auf den zweiten DC repliziert. (Keine Sysvol-Replikation). Komisch ist, dass es in den Eventlogs überhaupt keine Fehlermeldungen gibt.

Weiters hat DC1 eine MaxOfflineTimeInDays von 400, und der DC2 hat hier einen Wert von 999.

Habe beiden DCs nun den gleichen Wert verpasst und den DFS-Replikationsdienst (auf beiden neu gestartet).

repadmin /syncall sagt: SyncAll wurde ohne Fehler beendet.

Der Diagnosebericht, der über die DFS Verwaltung gestartet werden kann, meldet ebenso keine Fehler.

Vermutlich liegt mein GPO Problem mit dem IE hier begraben...

Es scheint so zu sein, dass die TLS Settings (TLS 1.0, TLS 1.1, TLS 1.2) ausgegraut und angehakt sind. Dennoch sind sie nicht aktiv.

Die oben erwähnte Einstellung führt dazu, dass etliche SSL-Seiten mit dem IE 11 nicht mehr geöffnet werden können.

Fehler:

Seite kann nicht geöffnet werden.

Hallo Leute,

folgendes Szenario:

Windows 10 Pro Spring Update, aktueller Patchstand.

Domänennetzwerk, es bestand eine GPO für den IE10 unter Benutzerkonfiguration / Systemeinstellungen / Interneteinstellungen / Internet Explorer 10

Diese GPO Verknüpfung wurde mittlerweile entfernt. Dennoch meint der IE10 "Einige Einstellungen werden vom Systemadministrator verwaltet". Abgesehen davon sind bei den Internetoptionen / Reiter Erweitert einige Optionen ausgegraut + aktiv (z.b. SSL3.0 verwenden, TLS1.0, TLS 1.1, TLS 1.2).

Ist dieses Verhalten normal? Ich bin davon ausgegangen, dass - wenn die GPO entfernt wird (bzw. die Verknüpfung) a.) die Meldung "Einige Einstellungen werden vom Sysadmin verwaltet" verschwinden müsste und nichts mehr ausgegraut / nicht veränderbar sein düfte?

Danke!

Es scheint nun so zu funktionieren:

1.) Wie erwähnt im ECP bei der sharedmailbox1 den Vollzugriff des Users1 entfernen (sofern vorhanden).

2.) Danach per Cmdlet: Add-MailboxPermission -identity sharedmailbox1 -User user1 -AccessRights fullaccess -Automapping $false die Berechtigung setzen und Automapping abdrehen.

3.) Im ECP bei der sharedmailbox1 dem User1 das "send as" Recht geben (Er sollte nun also FullAccess und SendAs Rechte auf die sharedmailbox1 haben).

4.) Das Mailkonto als zweites Mailkonto einbinden

5.) Beim  Senden das entsprechende Konto in Outlook wählen (Dropdown).

Hallo,

@testperson: gute Frage, ich denke das gabs generell nicht.

 

ist jedenfalls "Set-Mailbox <Dein Postfach> -MessageCopyForSendOnBehalfEnabled:$true -MessageCopyForSentAsEnabled:$true"

Genau. Das habe ich bei einer Mailbox getestet, finde es aber extrem unpraktisch, dass gesendete Emails dann sowohl in der Hauptmailbox landen als auch in der shared Mailbox.

Sauber wäre es, wenn die gesendeten Emails immer auch im Mail-Konto (gesendete Objekte) landen, von wo aus sie versendet wurden.

Bin aber noch am testen...

LG

Folgendes habe ich nun gemacht:

Dem user1 den Vollzugriff auf die Shared Mailbox entzogen.

Danach per CMDLet:

Add-MailboxPermission -identity sharedmailbox1 -User user1 -AccessRights fullaccess -Automapping $false

Somit hätte der User also dann Vollzugriff auf die Mailbox "sharedmailbox1" und die Mailbox wird NICHT per Automapping in Outlook eingebunden.

Per Systemsteuerung -> Mail -> E-Mailkonten... das Konto (sharedmailbox1) erfolgreich hinzugefügt.

Somit bestehen in Outlook 2016 nun 2 Konten, 1x mein Konto und das Konto von "sharedmailbox1".

Will ich nun aber ein Mail senden und wähle "Neue Email" - von: sharedmailbox1@.... dann erhalte ich beim Vesuch das Mail abzusenden:

"Sie besitzen nicht die Berechtigung die Nachricht im Auftrag des angegebenen Benutzers zu versenden"

Mein Konto hat doch Vollzugriff. Wieso erhält man dann diese Meldung.

Gut möglich, dass ich etwas falsch verstehe, aber ich kann das nicht nachvollziehen...

Beide Mailkonten sind eingebunden und entsprechend authentifiziert, wieso will das System "im Auftrag von..." senden?

Danke für eure Tips.

Hallo,

die Mailbox ist momentan per Automapping eingebunden. Rechte NICHT über die Shell gesetzt, sondern im ECP dem UserX auf die Shared Mailbox Vollzugriff gegeben.

D.h. Vollzugriff entfernen,

Automapping für die (noch) Shared Mailbox deaktivieren

Und die Mailbox ganz normal als weiteres E-Mail-Konto einbinden. Somit hat der User dann die 2 Mailboxen direkt in Outlook eingebunden.

Werde ich testen.

Danke!

Hallo,

in Exchange 2016 CU7 gibt es das Cmdlet

Set-MailboxSentItemsConfiguration

ja nicht mehr.

Gibt es bei Exchange 2016 eine Möglichkeit bzw. einen anderen "Befehl", um sinngemäß diese alte Variante auszuführen:

Set-MailboxSentItemsConfiguration "Customer Support Feedback" -SendAsItemsCopiedTo SenderAndFrom

Danke!

Um es nun korrekt zu formulieren: Die Netze sind über eine Firewall verbunden, die die NAT erledigt.

LG

 

Warum soll zwischen zwei Netzen genattet werden die identisch sind?

Sorry, hatte mich vertippt. Habs jetzt ausgebessert.

Danke!

Hallo zusammen,

ich hätte da eine kurze Frage zum Thema DHCP / NAT.

2 Netze sind per NAT "verbunden".

Netzaufbau kurz dargestellt:

10.0.0.1/24 (DHCP Server) <->Clients <- NAT -> 10.0.2.1/24 <-IP Phone-> (DHCP Server)

Ist es korrekt, dass DHCP grundsätzlich nicht von einem Netzwerk ins andere übersetzt wird? 

Genauer gesagt der DHCP Broadcast (Discover).

Danke!

...und ich denke, wir reden aneinander vorbei. ;)

Hallo

@Norbert:

 

Du mußt dann natürlich in das jeweilige Konto wechseln um Mails dort zu senden.

Ich glaub wir haben aneinander vorbei geredet. ;). Beide Mailadressen sind in einem Profil eingebunden gewesen. Beide werden in Outlook angezeigt (gleichzeitig). Wechseln ist also nicht möglich. Da hätte ich 2 Profile einrichten müssen. Es war aber nur 1 Profil mit 2 Konten. Man muss für beide Emailkonten bei der EInrichtung die Anmeldedaten eingeben. Deshalb bin ich davon ausgegangen, dass beim Versenden von Emails immer die jeweiligen Userdaten/Passwörter des Sendenden herangezogen werden und man senden als bzw. Vollzugriff nicht braucht.

@Chomper:

Genau so hab ich es nun im Endeffekt auch gelöst.

User A om ECP Vollzugriff und senden als auf User B gegeben

Mailkonto von User A angelegt

Automapping bindet mir dann das Konto B automatisch mit ein

Den RegKey am Client gesetzt.

Nun läuft es wie es soll.

Danke euch!

Hallo,

wenn ich den Vollzugriff und das senden als wegnehme, das Konto aber wie oben erwähnt eingebunden ist, erhält man die Meldung "Sie besitzen nicht die notwendigen Berechtigungen um im Auftrag von.... zu senden".

Ich versteh es nicht...

 

Wenn da zwei unterschiedliche Anmeldedaten hinterlegt sind, brauchst du logischerweise keinen vollzugriff.

Eben das dachte ich mir auch...

+ ich brauche auch keine Berechtigung "Senden als", sofern ich das richtig sehe.

Die Einbindung erfolgte auf dem "Standardweg":  Systemsteuerung -> Email(32-bit) -> Neues Profil erstellen-> Postfach 1 hinzufügen (Benutzername/Passwort eingeben), Postfach 2 hinzufügen (Benutzername/Passwort eingeben).

Wann müsste ich nun konkret das Automapping abdrehen?

Hallo Norbert,

danke für deine Antwort.

Ok. D.h. Senden als und Vollzugriff reicht + das Postfach als weiteres Posfach einbinden (ist schon so). Am Automapping muss ich dann nix schrauben, oder ist das jedenfalls abzuschalten?

Mir ist nicht ganz klar, warum man hier überhaupt derartige Berechtigungen vergeben muss, wenn doch beide Konten mit den entsprechenden User/Passwortangaben hinterlegt sind. (1 Profil / 2 Postfächer mit den Userdaten / Passwort. Outlook greift mit dem entspr. User auf das Postfach zu = Vollzugriff). Ist aber wohl doch nicht so?)

Automapping wäre ggf. dann so zu entfernen (wenn schon aktiv)?

Remove-MailboxPermission -Identity SharedMBX -User ‘User1’ -AccessRight FullAccess -InheritanceType All

Add-MailboxPermission -Identity SharedMBX -User1 ‘User1’ -AccessRight FullAccess -InheritanceType All -Automapping $false

Hallo Community,

ich kämpfe seit längerem mit einem doch recht gravierenden Problem.

Clientausgangsbasis: Win 7 / Office 2010

Server Exchange 2016

Problem:

1 Emailprofil mit 2 Emailadressen

Auftreten des Problemes: sporadisch

Sendet man mit Konto A landen Emails manchmal / nicht immer in den gesendeten Objekten von B

Lösungsversuche:

Cache Mode aus

Löschen der OST Dateien / Neuaufbau

Tausch des kompletten PC / Neuinstallation Windows 10 / Office 2016

Problem besteht weiterhin. (wie gesagt nicht immer / sporadisch)

Vom Postfachzugriff her sieht es so aus, dass Postfach B bei Postfach A : Senden im Auftrag von, Senden als und Vollzugriff hinterlegt hat.

Eigentlich bin ich davon ausgegangen, dass -wenn man 2 Emailkonten in einem Profil anlegt- es nicht mehr notwendig ist diese Berechtigungen zu setzen, da man ja eigentlich eben 2 Emailkonten (in einem Profil anlegt) und für beide Konten User / Passwort eingeben muss. Dem ist aber offenbar nicht so, denn wenn ich zb den Vollzugriff von Postfach B auf Postfach A wegnehme, dann hat der User B keinen Zugriff mehr auf die Ordner des Postfaches A.

Ganz versteh ich es nicht, bin aber auch absolut kein Exchange-Guru.

Wäre dankbar für einen Rat. Wodurch kann ein solches Problem enstehen bzw. wie löst man es?

Update: Offenbar hatte hier die Replikation (SYSVOL) zwischen den DCs extrem lange gedauert und das Problem wurde dadurch verursacht.

Hallo,

kann es sein, dass nach der Erstellung einer GPO per GPMC verlinkt mit dem Domänencontainer domäne.local (wo auch die Default Domain Policy enthalten ist) und dem späteren löschen dieser zuvor erstellten GPO in den Group_Policy_Objects unten genannter Fehler auftritt?

Nämlich, dass vom Client aus der Befehl gpupdate in einen Fehler läuft, weil die gpt.ini nicht gefunden werden kann?

Die Meldung entspricht dieser hier - ist aber nicht vom betroffenen Client (habe da keinen Zugriff drauf im Moment):

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domäne.local\SysVol\domäne.local\Policies\{XXXXXX-43F8-448A-9446-EEB1B3E2B783}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist.

Der Link zur GPO in domäne.local wurde durch das Entfernen der GPO in de GPO_Objects ordnungsgemäß entfernt.

Hoffe, jemand weiß Rat.

Könnte es auch sein, dass noch nicht alle DCs repliziert hatten und der Client noch einen alten GPO Satz verwendet? (Allerdings hab ich den Client mehrfach neu gestartet).

THX

Hallo,

Edit da unrichtig

die Sache ist ja die, dass (soweit ich weiß) SMBv1 bei Windows 10 gar nicht aktiv ist.

Na dann hab ich heute von einem doch sehr erfahrenen Techniker eine falsche Info erhalten.

Thx  Norbert.

Wenn man nun davon ausgeht, dass dies mit SMB v2 nicht passieren kann, da hier keine Schwachstelle besteht, wäre es schon schlüssig, dass Windows 10 nicht betroffen ist bzw. erst dann, wenn man SMBv1 manuell aktiviert, denn dadurch geschieht ja dann die Verbreitung innerhalb eines LAN (von Client zu Client).

Hallo Norbert,

danke für deine Antwort.

D.h. de facto aber, dass alle Versionen von 10 (vor dem Creatorsupdate) anfällig waren, oder sehe ich das falsch?

Danke!