Rumak18

Jetzt muss ich doch noch nachhacken....wenn ein Mitgliedsserver seinen LOGON Server auf Zeit abfragt, macht er das ebenfalls über UDP Port 123 oder geschieht das im Kerberos Verfahren? Weil ja dann, auch jeder DC über UDP Port 123 zugänglich sein muss. 

Danke euch! 

Hallo,

in einer Active Directory Domäne (2008R2) wird die Zeitsynchronisierung ja an sich automatisch erledigt, WENN man den PDC entsprechend konfiguriert. Allerdings ergeben sich in diesem Konstrukt für mich zwei Fragen und ich hoffe Jemand weiß genau Bescheid.

1. Holt sich ein Mitgliedsserver seine Zeit vom "PDC" oder von einem Domaincontroller bei dem er sich authentifiziert? Das ist ja ein Unterschied, wenn man mehr als einen DC im Netzwerk hat.

2. MUSS der "Windows-Zeitgeber" Dienst auf den Mitgliedsservern laufen? In vielen Beschreibungen findet man die Information, dass dieser Dienst nur dann notwendig ist, wenn die Zeit über einen NTP Server IM INTERNET synchronisiert wird. 

Hallo,

ich habe mehrerer Win2k8R2 Server, auf denen Sitzungen teilweise über 50 Tage im Ruhezustand laufen. Gibt es eine Möglichkeite über CMD oder Powershell diese Sitzungen zu schließen?

Finden kann man es ja leicht durch "net session". Dadurch , dass aber der Benutzer desöfteren an dem Computer angemeldet ist und auch aktuelle Sitzungen des Benutzers vorhanden sind, möchte ich einen Weg finden, NUR die "älteren" Sitzungen zu schließen. Beispielsweise Sitzungen, die länger als 7 Tage laufen. Auch das kann ich ja mit cmd über

"net session | findstr /I "D.*H" | findstr /I %username%" realisieren. Nur wie schlißet man die Sitzungen, die über X-Tage laufen.

Hallo,

wollte nur abschließend Bescheid geben, dass es so funktioniert hat. Alle neuen Win2k12R2 Server lassen sich nun aktivieren. Danke für die HIlfe.

Hallo,

danke für deinen Beitrag. Den Hotfix hatte ich bereits. Das steht ja auf vielen eingeschlägigen Seiten. Aber nicht , dass man den "neueren" KMS Key auf einem "älteren" OS auch installieren muss. Naja...dann werde ich das mal jetzt machen (-:

Hallo,

wir betreiben eine Win2k8R2 Domäne (Gesamtstruktur und Domäne) mit zwei Win2k8R2 Servern. Diese beiden Server dienen auch als KMS Hosts für die Produktaktivierung. Wir haben bis dato nur Win2k8R2 Server betrieben. Nun sollen Win2k12R2 Server als Mitgliedsserver der Domain hinzukommen.

Laut diesem Artikel:

http://www.server-talk.eu/2014/02/14/key-management-service-kms-mit-windows-server-2012-r2/

soll man hierzu einfach den "KMS Host Key" auf dem "KMS Server" für Windows Server 2012R2 installieren:

 

Nach der Installation muss der Server neu gestartet werden, es reicht nicht nur der den Service neu zu starten. Nach dem Neustart kann der alte Product Key entfernt und jener für Windows Server 2012 R2 installiert werden:

• cscript %windir%\system32\slmgr.vbs /upk
• cscript %windir%\system32\slmgr.vbs /ipk <KMS Host Key>
• cscript %windir%\system32\slmgr.vbs /ato

Nun habe ich allerdins die Befürchtung , dass wenn ich den Win2k12R KMS Host Key auf dem KMS Host (OS: 2008R2) installiere, dass dann die bestehenden "Win2k8R2-Server" nicht mehr aktiviert werden. Hat Jemand hier schon Erfahrung bzw. kann meine "Ängste" zu nichte machen?

Hallo,

@daabm: Das habe ich natürlich schon versucht gehabt. Aber die Namen bleiben dann in der MMC immer noch, obwohl ich sie entsprechend austausche. ich denke , da müsste ich die angegebenen IDs der XML auch austauschen, was natürlich wieder zu dazuführt, dass ich die neuen IDs erst mal rausfinden müsste.

@Sunny61: Toll. Die Funktion kannte ich bis dato gar nicht. Das sollte an sich genügen. Hier habe ich ja auch alle Konten.

Hallo Zusammen,

ich müsste mir eine MMC Konsole erstellen (Dienste) , über die ich auf hunderte von Desktops zugreifen möchten. Leider habe ich natürlich keine Luste mir jeden Rechner manuell über "hinzufügen" und "Rechnernamen eingeben" hinzuzufügen. Geht das auch irgendwie etwas schneller? Automatisierter? Eventuell irgendwas, wo ich eine Liste an Rechnernamen einspeisen kann?

Hallo Sunny61,

super...die Option "Automatische Updates konfigurieren : 2 - Vor Herunterladen und Installation benachrichtigen" kann natürlich nicht automatisch die Server neustarten bzw. die Updates installieren lassen. Das ist wohl genau die Ursache. Ich werde den Patch gleich installieren und Abends verifizieren, ob die neuen Einstellungen (Option 4) greifen.

Hallo,
 
@Sunn61:
Es handelt sich tatsächlich um Win2k8R2-Desktops (Also keine Win7/8 Clients), die aktualisiert werden sollen. Aber das sollte ja keinen Unterschied machen.
hier sind die Server Einstellungen:
 
 

 

Windows-Komponenten/Windows Updatehide
Richtlinie Einstellung Kommentar
Automatische Updates konfigurieren Aktiviert  
Automatische Updates konfigurieren: 2 - Vor Herunterladen und Installation benachrichtigen
Folgende Einstellungen sind nur erforderlich
und gültig, wenn 4 ausgewählt wird.
Geplanter Installationstag:  1 - Jeden Sonntag
Geplante Installationszeit: 23:00
 
Richtlinie Einstellung Kommentar
Automatische Updates sofort installieren Aktiviert  
Clientseitige Zielzuordnung aktivieren Aktiviert  
Zielgruppenname für diesen Computer KundenDesktops_View_Oracle
 
Richtlinie Einstellung Kommentar
Empfohlene Updates über automatische Updates aktivieren Aktiviert  
Erneut zu einem Neustart für geplante Installationen auffordern Aktiviert  
Folgenden Zeitraum (in Minuten)
warten, bevor zu einem Neustart
aufgefordert wird:  1440
 
Richtlinie Einstellung Kommentar
Internen Pfad für den Microsoft Updatedienst angeben Aktiviert  
Interner Updatedienst zum Ermitteln von Updates: http://10.10.10.11:8530
Intranetserver für die Statistik: http://10.10.10.11:8530
(Beispiel: http://IntranetUpd01)
 
Richtlinie Einstellung Kommentar
Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Deaktiviert  
Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienste zulassen  Aktiviert  
Zeitplan für geplante Installationen neu erstellen Aktiviert  
Wartezeit nach
Systemstart (Minuten):  15
 
 

 
 
@zahni:
Ich kann natürlich das Update einspielen. Ich dachte aber immer, dass das der WSUS selber macht mit den Windows Updates.

Hallo,

ich habe hier eine Win2k8R2 Domäne mit einem WSUS Server. Es befinden sich Win2k8R2-Desktops in einer OU, die mit WSUS konfiguriert sind. Ich sehe diese Desktops auch am WSUS Server in der korrekten Computergruppe, sie ziehen sich auch die Updates vom WSUS Server und ich könnte sie bei allen manuell installieren, allerdings instalieren diese Desktops die Updates nicht wie im Zeitplan erfasst, obwohl das definitiv in der GPO korrekt konfiguriert ist. Mein Problem ist jetzt eher so, dass ich nicht weiß, wo ich mit der Analyse überhaupt beginnen soll.

Die UPdates sollten SOnntag um 23:00 eingespielt werden.

Das %windir%\WindowsUpdate.log des "Clients" sagt folgendes:

 

2014-12-21    20:32:55:633     852    830    Report    REPORT EVENT: {2C852C9E-0B18-4F60-AE52-2EC8C35E7652}    2014-12-21 20:32:55:477+0100    1    147    101    {00000000-0000-0000-0000-000000000000}    0    0    AutomaticUpdates    Success    Software Synchronization    Windows Update Client successfully detected 53 updates.
2014-12-21    20:32:55:633     852    830    Report    REPORT EVENT: {B3400592-1A96-40A6-A64C-4D30492CAAC2}    2014-12-21 20:32:55:493+0100    1    156    101    {00000000-0000-0000-0000-000000000000}    0    0    AutomaticUpdates    Success    Pre-Deployment Check    Reporting client status.
2014-12-21    20:32:55:633     852    b88    AU    >>##  RESUMED  ## AU: Search for updates [CallId = {FA6C8ECF-4D16-4472-A98F-B81D7125E052}]
2014-12-21    20:32:55:633     852    b88    AU      # 53 updates detected
2014-12-21    20:32:55:633     852    b88    AU    #########
2014-12-21    20:32:55:633     852    b88    AU    ##  END  ##  AU: Search for updates [CallId = {FA6C8ECF-4D16-4472-A98F-B81D7125E052}]
2014-12-21    20:32:55:633     852    b88    AU    #############
2014-12-21    20:32:55:633     852    b88    AU    Successfully wrote event for AU health state:0
2014-12-21    20:32:55:633     852    b88    AU    Featured notifications is disabled.
2014-12-21    20:32:55:633     852    b88    AU    AU setting next detection timeout to 2014-12-22 16:05:28
2014-12-21    20:32:55:633     852    b88    AU    Successfully wrote event for AU health state:0
2014-12-21    20:32:55:649     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:32:55:649     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:32:55:649     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:32:55:649     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:32:55:649     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:32:55:649     852    b88    AU    Successfully wrote event for AU health state:0
2014-12-21    20:33:00:516     852    830    Report    CWERReporter finishing event handling. (00000000)
2014-12-21    20:44:34:408     852    830    Report    Uploading 2 events using cached cookie, reporting URL = http://10.10.10.11:8530/ReportingWebService/ReportingWebService.asmx
2014-12-21    20:44:34:424     852    830    Report    Reporter successfully uploaded 2 events.
2014-12-22    10:34:53:313     852    60c    AU    AU setting next sqm report timeout to 2014-12-23 09:34:53
2014-12-22    11:45:40:986     852    60c    AU    Launched new AU client for directive 'Download Approval', session id = 0x1
2014-12-22    11:45:41:017    3056    324    Misc    ===========  Logging initialized (build: 7.6.7600.256, tz: +0100)  ===========
2014-12-22    11:45:41:017    3056    324    Misc      = Process: C:\Windows\system32\wuauclt.exe
2014-12-22    11:45:41:017    3056    324    AUClnt    Launched Client UI process
2014-12-22    11:45:41:345    3056    324    Misc    ===========  Logging initialized (build: 7.6.7600.256, tz: +0100)  ===========
2014-12-22    11:45:41:345    3056    324    Misc      = Process: C:\Windows\system32\wuauclt.exe
2014-12-22    11:45:41:345    3056    324    Misc      = Module: C:\Windows\system32\wucltux.dll
2014-12-22    11:45:41:345    3056    324    CltUI    AU client got new directive = 'Download Approval', serviceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, return = 0
2014-12-22    11:45:48:755     852    9e0    AU    Getting featured update notifications.  fIncludeDismissed = true
2014-12-22    11:45:48:755     852    9e0    AU    AU featured software notification sequence number is 459, Generation Time:2014-12-22 10:45:48
2014-12-22    11:45:48:755     852    9e0    AU    No featured updates available.
2014-12-22    13:12:27:145     852    60c    AU    AU received policy change subscription event
2014-12-22    13:19:20:828     852    ef0    AU    Getting featured update notifications.  fIncludeDismissed = true
2014-12-22    13:19:20:828     852    ef0    AU    No featured updates available.
 

Ok. Danke.

Aber sollte so ein Script im Kontext der Computer-GPOs laufen können? Weil ich im ersten Step gesehen habe, dass es nicht gelaufen ist.

Hallo,

ich habe im ersten Thread aus Versehen die Zeile nicht verfollständigt. Hier der komplette Aufruf des Scriptes, welcher nicht läuft (Nach Analyse läuft das Script wie erwähnt nicht in den GPOs der Benutzerkonfiguration\Windows-Einstellungen\Scripts(Anmelden) wegen eingeschränkten Berechtigungen. Ich war mir eben nicht ganz sicher, unter welchem Kontext die Script in dieser GPO laufen. Betrifft das  Ausführen von Scripten im Kontext des Users auch das Anmeldescript im Active Directory Profil des Benutzers? Somit hätte ich wohl wirklich nur die "Computerkonfiguration" als Ausweg.

@echo off

:OSPP
reg query HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM
if %errorlevel%==1 (goto RUN) else (goto END)

:RUN
set ProgramFilesPath=%ProgramFiles%
"%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE"
C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act
set ProgramFilesPath=%ProgramFiles(x86)%
"%ProgramFilesPath%\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPREARM.EXE"
C:\Windows\system32\cscript.exe "%ProgramFilesPath%\Microsoft Office\Office14\ospp.vbs" /act
REG ADD "HKLM\Software\Microsoft\Office\14.0\Common\OSPPREARM"

:END
Exit

Hallo,

ich habe eine Win2k8R2 Domain. Ich fuehre mehrere Script beim Anmelden aus (GPO Anmeldescripte fuer User und Computer). Es gibt allerdings einige, die "administrative" Berechtigungen benötigen. Laufen solche Script bzw. Befehl denn in den GPOs nicht von Haus auf mit administrativen Berechtigungen? Wenn nein, wie könnte man es anstellen solche Script mit höheren Berechtigungen laufen zu lassen.

Beispiel:

"C:\windows\system32\cscript.exe" läuft nicht, auch nicht, wenn ich es unter den GPOs der "Computerkonfiguration" als Startscript hinzufüge.

Danke für euere Beiträge. Das mit dem Overkill habe ich mir schon gedacht, wollte aber eigentlich nicht jede Berechtigung jeder OU für einen User anfassen. 

Hallo,

wir haben hier eine AD 2008 R2. Nun gibt es meines Wissens nach, DREI Möglichkeiten, wie ich einem bestimmten User (Nicht Domänen Admin) erlaube, "Computerkonten" zur Domäne hinzuzufügen.

1. Über die Objektverwaltung (Delegierung) mit der Option "Fügt einen Computer einer Domäne hinzu"

2. Über die Computerkonfiguration Gruppenrichtlinie "Hinzufügen von Arbeitsstationen zur Domäne"

3. Benutzer zur Gruppe "Konten-Operatoren" hinzufügen.

Nun die große Frage:

Wo liegt der Unterschied bzw. was sollte man vielleicht nicht einsetzen?

Ich habe einen User, den ich explizit für das Hinzufügen von Computerkonten einsetzten möchte. Allerdings soll der User in der Lage sein ein Computerobjekt in jeder OU zu erstellen und nicht nur in der System OU "Computers". 

Ok...ich denke ich habe die Lösung:

http://clintboessen.blogspot.de/2011/08/ad-delegation-how-to-set-default.html

Keiner eine Idee?

Hallo @4077:

Nein, OU1_Admin ist leider nicht enthalten. Auch bringt das anlegen einer Startet GPO mit der entsprechenden Gruppe nicht das Ergebnis, dass dann die daraus erstellte neue GPO die Berechtigungen dieser Gruppe hätte.

Ach ok...danke!

Eine kleine Nachfrage noch dazu:

Kann man von Haus auf denn nicht irgendwo konfigurieren, dass beispielsweise die Gruppe "OU1_ADMIN" standardmäßig bei jeder "NEU"-erstellten GPO mit in den Berechtigungen drin ist?

Hallo,

wir haben hier eine AD 2008 R2 mit einfacher OU Struktur:

- Domain

              - OU1

                       - Verknüpfte GPO1

                       - Verknüpfte GPO2

                       - Verknüpfte GPO3

              - OU2

                       - Verknüpfte GPO4

                       - Verknüpfte GPO5

                       - Verknüpfte GPO6

Wie kriege ich die Berechtigungen für "Benutzer A" der "OU1" auch über die verknüpften GPOs "1" , "2", und "3" ??

Wenn ich meine Berechtigungen OU1 setze, dann gelten diese nicht für die verknüpften GPOs bzw. werden nicht vererbt. Muss hier wirklich jede GPO anfassen??

Da mich dieses Problem einen ganz Tag lang beschäftigt hat und ich dadurch sehr viele Nervenzellen verloren habe wollte auch ich diesen alten Beitrag nochmal rausholen und meine Lösung mitliefern:

Bei mir war das Problem, dass der "net use" Befehl das entsprechende Ziellaufwerk als "Variable" nicht gemappt hat. Habe ich anstatt der Variable den eigentlichen Namen eingegeben ist es gegangen.

@lefg

Auf diese Weise kann ich nur User meiner lokalen Administrator Gruppe hinzufügen, die aus meiner aktuellen DomäneA kommen.

@Sunny61:

Nein, das klappt wie gesagt nicht. Ich kann User nur aus meiner Domain hinzufügen. Klappt das denn bei euch? Das kann ich mir nicht vorstellen, deshalb schliesse ich mich auch der Meinung von NilsK an.

@Dunkelmann:

Danke für den Tipp, aber ich werde einfach eine Admin Maschine in der DomäneB installieren, die dann die entsprechenden MMC Konsolen direkt öffnen kann.

@Board Veteran:

Die beiden DCs der DomäneB sind manuell am DNS Server der Domäne A eingetragen. Netzwerktechnisch sind sie ebenfalls komplett erreichbar(IPSec Tunnel).

@Export Member:

Das wir nicht klappen, da der User den ich eingebe ja "Administrator" heißt und diesen gibt es auf den lokalen PC bereits.