Rumak18

Jetzt muss ich doch noch nachhacken....wenn ein Mitgliedsserver seinen LOGON Server auf Zeit abfragt, macht er das ebenfalls über UDP Port 123 oder geschieht das im Kerberos Verfahren? Weil ja dann, auch jeder DC über UDP Port 123 zugänglich sein muss.

Danke euch!

Hallo, in einer Active Directory Domäne (2008R2) wird die Zeitsynchronisierung ja an sich automatisch erledigt, WENN man den PDC entsprechend konfiguriert. Allerdings ergeben sich in diesem Konstrukt für mich zwei Fragen und ich hoffe Jemand weiß genau Bescheid. 1. Holt sich ein Mitgliedsserver seine Zeit vom "PDC" oder von einem Domaincontroller bei dem er sich authentifiziert? Das ist ja ein Unterschied, wenn man mehr als einen DC im Netzwerk hat. 2. MUSS der "Windows-Zeitgeber" Dienst auf den Mitgliedsservern laufen? In vielen Beschreibungen findet man die Information, dass dieser Dienst nur dann notwendig ist, wenn die Zeit über einen NTP Server IM INTERNET synchronisiert wird.

Hallo, ich habe mehrerer Win2k8R2 Server, auf denen Sitzungen teilweise über 50 Tage im Ruhezustand laufen. Gibt es eine Möglichkeite über CMD oder Powershell diese Sitzungen zu schließen? Finden kann man es ja leicht durch "net session". Dadurch , dass aber der Benutzer desöfteren an dem Computer angemeldet ist und auch aktuelle Sitzungen des Benutzers vorhanden sind, möchte ich einen Weg finden, NUR die "älteren" Sitzungen zu schließen. Beispielsweise Sitzungen, die länger als 7 Tage laufen. Auch das kann ich ja mit cmd über "net session | findstr /I "D.*H" | findstr /I %username%" realisieren. Nur wie schlißet man die Sitzungen, die über X-Tage laufen.

Hallo, wollte nur abschließend Bescheid geben, dass es so funktioniert hat. Alle neuen Win2k12R2 Server lassen sich nun aktivieren. Danke für die HIlfe.

Hallo, danke für deinen Beitrag. Den Hotfix hatte ich bereits. Das steht ja auf vielen eingeschlägigen Seiten. Aber nicht , dass man den "neueren" KMS Key auf einem "älteren" OS auch installieren muss. Naja...dann werde ich das mal jetzt machen (-:

Hallo, wir betreiben eine Win2k8R2 Domäne (Gesamtstruktur und Domäne) mit zwei Win2k8R2 Servern. Diese beiden Server dienen auch als KMS Hosts für die Produktaktivierung. Wir haben bis dato nur Win2k8R2 Server betrieben. Nun sollen Win2k12R2 Server als Mitgliedsserver der Domain hinzukommen. Laut diesem Artikel: http://www.server-talk.eu/2014/02/14/key-management-service-kms-mit-windows-server-2012-r2/ soll man hierzu einfach den "KMS Host Key" auf dem "KMS Server" für Windows Server 2012R2 installieren: Nun habe ich allerdins die Befürchtung , dass wenn ich den Win2k12R KMS Host Key auf dem KMS Host (OS: 2008R2) installiere, dass dann die bestehenden "Win2k8R2-Server" nicht mehr aktiviert werden. Hat Jemand hier schon Erfahrung bzw. kann meine "Ängste" zu nichte machen?

Hallo, @daabm: Das habe ich natürlich schon versucht gehabt. Aber die Namen bleiben dann in der MMC immer noch, obwohl ich sie entsprechend austausche. ich denke , da müsste ich die angegebenen IDs der XML auch austauschen, was natürlich wieder zu dazuführt, dass ich die neuen IDs erst mal rausfinden müsste. @Sunny61: Toll. Die Funktion kannte ich bis dato gar nicht. Das sollte an sich genügen. Hier habe ich ja auch alle Konten.

Hallo Zusammen, ich müsste mir eine MMC Konsole erstellen (Dienste) , über die ich auf hunderte von Desktops zugreifen möchten. Leider habe ich natürlich keine Luste mir jeden Rechner manuell über "hinzufügen" und "Rechnernamen eingeben" hinzuzufügen. Geht das auch irgendwie etwas schneller? Automatisierter? Eventuell irgendwas, wo ich eine Liste an Rechnernamen einspeisen kann?

Hallo Sunny61, super...die Option "Automatische Updates konfigurieren : 2 - Vor Herunterladen und Installation benachrichtigen" kann natürlich nicht automatisch die Server neustarten bzw. die Updates installieren lassen. Das ist wohl genau die Ursache. Ich werde den Patch gleich installieren und Abends verifizieren, ob die neuen Einstellungen (Option 4) greifen.

Hallo, @Sunn61: Es handelt sich tatsächlich um Win2k8R2-Desktops (Also keine Win7/8 Clients), die aktualisiert werden sollen. Aber das sollte ja keinen Unterschied machen. hier sind die Server Einstellungen: @zahni: Ich kann natürlich das Update einspielen. Ich dachte aber immer, dass das der WSUS selber macht mit den Windows Updates.

Hallo, ich habe hier eine Win2k8R2 Domäne mit einem WSUS Server. Es befinden sich Win2k8R2-Desktops in einer OU, die mit WSUS konfiguriert sind. Ich sehe diese Desktops auch am WSUS Server in der korrekten Computergruppe, sie ziehen sich auch die Updates vom WSUS Server und ich könnte sie bei allen manuell installieren, allerdings instalieren diese Desktops die Updates nicht wie im Zeitplan erfasst, obwohl das definitiv in der GPO korrekt konfiguriert ist. Mein Problem ist jetzt eher so, dass ich nicht weiß, wo ich mit der Analyse überhaupt beginnen soll. Die UPdates sollten SOnntag um 23:00 eingespielt werden. Das %windir%\WindowsUpdate.log des "Clients" sagt folgendes:

Ok. Danke. Aber sollte so ein Script im Kontext der Computer-GPOs laufen können? Weil ich im ersten Step gesehen habe, dass es nicht gelaufen ist.

Hallo, ich habe im ersten Thread aus Versehen die Zeile nicht verfollständigt. Hier der komplette Aufruf des Scriptes, welcher nicht läuft (Nach Analyse läuft das Script wie erwähnt nicht in den GPOs der Benutzerkonfiguration\Windows-Einstellungen\Scripts(Anmelden) wegen eingeschränkten Berechtigungen. Ich war mir eben nicht ganz sicher, unter welchem Kontext die Script in dieser GPO laufen. Betrifft das Ausführen von Scripten im Kontext des Users auch das Anmeldescript im Active Directory Profil des Benutzers? Somit hätte ich wohl wirklich nur die "Computerkonfiguration" als Ausweg. @echo off :OSPP reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM if %errorlevel%==1 (goto RUN) else (goto END) :RUN set ProgramFilesPath=%ProgramFiles% "%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE" C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act set ProgramFilesPath=%ProgramFiles(x86)% "%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE" C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act REG ADD "HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM" :END Exit

Hallo, ich habe eine Win2k8R2 Domain. Ich fuehre mehrere Script beim Anmelden aus (GPO Anmeldescripte fuer User und Computer). Es gibt allerdings einige, die "administrative" Berechtigungen benötigen. Laufen solche Script bzw. Befehl denn in den GPOs nicht von Haus auf mit administrativen Berechtigungen? Wenn nein, wie könnte man es anstellen solche Script mit höheren Berechtigungen laufen zu lassen. Beispiel: "C:\windows\system32\cscript.exe" läuft nicht, auch nicht, wenn ich es unter den GPOs der "Computerkonfiguration" als Startscript hinzufüge.

Danke für euere Beiträge. Das mit dem Overkill habe ich mir schon gedacht, wollte aber eigentlich nicht jede Berechtigung jeder OU für einen User anfassen.

Hallo, wir haben hier eine AD 2008 R2. Nun gibt es meines Wissens nach, DREI Möglichkeiten, wie ich einem bestimmten User (Nicht Domänen Admin) erlaube, "Computerkonten" zur Domäne hinzuzufügen. 1. Über die Objektverwaltung (Delegierung) mit der Option "Fügt einen Computer einer Domäne hinzu" 2. Über die Computerkonfiguration Gruppenrichtlinie "Hinzufügen von Arbeitsstationen zur Domäne" 3. Benutzer zur Gruppe "Konten-Operatoren" hinzufügen. Nun die große Frage: Wo liegt der Unterschied bzw. was sollte man vielleicht nicht einsetzen? Ich habe einen User, den ich explizit für das Hinzufügen von Computerkonten einsetzten möchte. Allerdings soll der User in der Lage sein ein Computerobjekt in jeder OU zu erstellen und nicht nur in der System OU "Computers".

Ok...ich denke ich habe die Lösung: http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html

Keiner eine Idee?

Hallo @4077: Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte.

Ach ok...danke! Eine kleine Nachfrage noch dazu: Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist?

Hallo, wir haben hier eine AD 2008 R2 mit einfacher OU Struktur: - Domain - OU1 - Verknüpfte GPO1 - Verknüpfte GPO2 - Verknüpfte GPO3 - OU2 - Verknüpfte GPO4 - Verknüpfte GPO5 - Verknüpfte GPO6 Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ?? Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??

Da mich dieses Problem einen ganz Tag lang beschäftigt hat und ich dadurch sehr viele Nervenzellen verloren habe wollte auch ich diesen alten Beitrag nochmal rausholen und meine Lösung mitliefern: Bei mir war das Problem, dass der "net use" Befehl das entsprechende Ziellaufwerk als "Variable" nicht gemappt hat. Habe ich anstatt der Variable den eigentlichen Namen eingegeben ist es gegangen.

@lefg Auf diese Weise kann ich nur User meiner lokalen Administrator Gruppe hinzufügen, die aus meiner aktuellen DomäneA kommen. @Sunny61: Nein, das klappt wie gesagt nicht. Ich kann User nur aus meiner Domain hinzufügen. Klappt das denn bei euch? Das kann ich mir nicht vorstellen, deshalb schliesse ich mich auch der Meinung von NilsK an. @Dunkelmann: Danke für den Tipp, aber ich werde einfach eine Admin Maschine in der DomäneB installieren, die dann die entsprechenden MMC Konsolen direkt öffnen kann.

@Board Veteran: Die beiden DCs der DomäneB sind manuell am DNS Server der Domäne A eingetragen. Netzwerktechnisch sind sie ebenfalls komplett erreichbar(IPSec Tunnel). @Export Member: Das wir nicht klappen, da der User den ich eingebe ja "Administrator" heißt und diesen gibt es auf den lokalen PC bereits.