Jump to content

Community durchsuchen

Zeige Ergebnisse für die Tags "'GPO'".

  • Suche mithilfe von Tags

    Trenne mehrere Tags mit Kommata voneinander
  • Suche Inhalte eines Autors

Inhaltstyp


Forum

  • Windows Server Forum & IT Pro Forum
    • Windows Forum — Clients
    • Windows Forum — Server & Backoffice
    • Windows Forum — LAN & WAN
    • Windows Forum — Scripting
    • Windows Forum — Security
    • Tipps & Links
  • MCSE Forum & Cisco Forum
    • Microsoft Zertifizierungen
    • Cisco Forum — Allgemein
    • Testsoftware & Bücher
    • Off Topic

Blogs

  • MCSEboard.de Blog

518 Ergebnisse gefunden

  1. Hallo mit Windows 8.1 und Windows Server 2012 kamen zwei neue Security Identifiers hinzu: S-1-5-113 für NT AUTHORITY\Local account und S-1-5-114 für NT AUTHORITY\Local account and member of Administrators group: https://blogs.technet.microsoft.com/secguide/2014/09/02/blocking-remote-use-of-local-accounts/ Soweit so gut, jetzt will ich NT AUTHORITY\Local account im Rahmen einer GPO verwenden und z.B. "Deny log on through Remote Desktop Services" für diese SID setzen. In der GPMC kann ich das aber nicht auflösen, auch wenn als Typ Built-in security principals ausgewählt ist. Warum ist das so und wie kann man den Bezeichner bei Windows Server 2016 korrekt auflösen/eintragen...? Danke
  2. Hallo zusammen, wenn ich Links in Outlook geschickt bekomme, dann kann ich darauf klicken. Es öffnet sich kurz ein CMD-Fenster (keine Ahnung ob was drin steht, dafür geht es zu schnell) und dann wird man an die entsprechende Adresse weitergeleitet. Wenn in der Adresse aber noch variablen sind (z.B. so, ohne Wertung/Werbung machen zu wollen): https://www.cyberport.de/tv-audio/fernseher.html?productsPerPage=24&sort=price_asc&manufacturerName=Panasonic,SONY,Samsung&79_Diagonale+in+Zoll=56-66&page=1 Dann werden diese (ganz oder teilweise(?)) abgeschnitten. Ich vermute mal, dass es da eine Richtlinie gibt die sowas anstellt (Links "entschärfen" oder so), aber weiß es vielleicht jemand genauer Danke jetzt schon vorab!
  3. Hi ich soll einer AD Gruppe per GPO den Mailabrufintervall zentral steuern, d. h. diese Gruppe soll nur alle 6h in Outlook Emails empfangen. Zu allen anderen Zeiten sollen die Emails nicht automatisch eintrudeln. Eine ADMX Vorlage für Outlook2016 hab ich nicht finden können. Mit Procmon hab ich versucht die Reg Änderungen zu erfassen die erfolgen wenn ich das in Outlook selbst ändere, aber da sieht man den Wald vor lauter Bäumen nicht mehr. Hat das schonmal jemand umgesetzt und kann mir Tipps geben? Entweder schreib ich die Werte in der Registrierung um oder es gibt eine ADMX Vorlage, das war zumindest der Plan. (Config: Office365 und Outlook 2016, AD in Azure und onprem) Danke und Grüße Rainer
  4. Hallo zusammen, welche Möglichkeiten gibt es, Internetseiten zu sperren? Die Lösung über den Router (Content-Filter) kommt leider aus Kostengründen nicht zum Einsatz da es nur ein oder zwei Rechner betreffen soll. Einzelne Seiten eingeben ist auch nicht so der Hit... Ich hätte gerne eine einfache Software dafür verwendet (z.B. http://www.jugendschutzprogramm.de/download-2) aber in einer Domäne scheinbar nicht wirklich anwendbar, da die Benutzerkonten nicht erkannt werden. Hätte hier jemand vielleicht einen Tip?
  5. Hallo und guten Tag Ich hoffe, das ich bei euch Hilfe finde. Ich habe auf unserem Server die Festplatten gewechselt um mehr Platz zu bekommen. Jetzt danach habe ich verschiedene Probleme mit Freigaben gehabt, wo die Rechte nicht mitkopiert wurden. Dies sollte jetzt ausgeräumt sein. Problem ist aber immer noch, das keiner der Clients die Automatischen Updates ausführt. Ich habe schon versucht die GPO einfach mal umzustellen und wieder zurückzustellen. Leider kein Erfolg ( gpupdate per cmd versucht kein Erfolg). Mit gpresult bekomme ich nichts, das auf die Updateeinstellungen hinweisen würde. Wenn zusätsliche Infos von nöten sind bitte Fragen bin leider noch nicht so erfahren, was Server angeht. Ps WSUS habe ich auch schon neuinstalliert aber keine Änderung
  6. GPO, Fehler scripts

    Hallo Miteinander, ich habe seit ein paar Tagen einen Fehler mit der ANwendung von Gruppenrichtlinien auf allen Clients. Mir ist aufgefallen das wenn ich irgentwelche scripte mit dem PC start ausführen möchte diese nie angewendet werden. Heute habe ich mal Zeit gefunden und bin dem nachgegangen und habe sowohl auf den Clients als auch auf den DCs mmer folgend Meldung Rsop auf dem DC Freitag, 6. Juli 2018 09:23:18 Scripts ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen. Das System kann die angegebene Datei nicht finden. gpresult auf dem Client Bei der Verarbeitung der Computerrichtlinie sind folgende Warnungen aufgetreten: Fehler beim Anwenden der "Scripts"-Einstellungen. Die "Scripts"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen". Die Aktualisierung der Benutzerrichtlinie wurde erfolgreich abgeschlossen. Im eventlog vom CLient EventRecordID 1712 - Correlation [ ActivityID] {78E06BBD-4BB5-485A-AEB2-F2F2966BDA55} - Execution [ ProcessID] 3692 [ ThreadID] 4712 Channel Microsoft-Windows-GroupPolicy/Operational Computer Buero_GanserI.igw.local - Security [ UserID] S-1-5-18 - EventData CSEElaspedTimeInMilliSeconds 16 ErrorCode 2 CSEExtensionName Scripts CSEExtensionId {42B5FAAE-6536-11D2-AE5A-0000F87571E3} Jetzt habe ich was mit der Netzwerkfreigabe vermutet, aber da kommen alle drauf auch die Rechte habe ich nochmal überprüft, alles OK. Das System hat vollen zugriff, als auch Authentifizierte Benutzer. Kann es etwas mit der CSE selber zu tun haben? Ich hoffe einer weis hier Rat?! Grüße
  7. Hallo, ich wende mich an Euch, weil ich hier ein seltsames Phänomen bei der Anwendung einer GPP habe. Und zwar habe ich darüber zwei Netzlaufwerke verteilt. Zum einen ist das der Standard Gruppenordner und weiterhin das Share zu den eigenen Dateien, die per GPO Ordnerumleitung da abgelegt werden. Das merkwürdige dabei ist, dass das bei den meisten Clients auch funktioniert - bei einigen aber eben nicht. Das kann logisch betrachtet weder am Rechner noch am Profil liegen. Denn ein User der die Laufwerke an dem einen Rechner hat, hat sie auf einem anderen Rechner nicht. Ein weiterer User bekommt jedoch seine Laufwerke auf demselben Rechner. Bei einigen davon ist es so, dass gar keine Laufwerke angezeigt werden - nicht einmal die Systemlaufwerke, Sticks usw. . Bei mir (wie auch bei manchen anderen) ist es aktuell so, dass nur das Gruppenlaufwerk fehlt. Die Sichtbarkeit der Laufwerke kann man ja in den 'Laufwerkszuordnungen' einstellen. Hier habe ich auch verschiedene Einstellungen getestet. (aktuell 'Aktualisieren' u. Sichtbarkeit 'keine Änderung') GPResult gibt die korrekten GPOs zurück. Für mich sieht das irgendwie so aus, als ob die GPOs nicht immer korrekt interpretiert werden. (ist das möglich?) Habt Ihr da möglicherweise ein paar Denkanstöße oder im besten Fall Lösungen für mich? (Es ist auch nicht ausgeschlossen, dass ich da irgendwo etwas übersehen habe ...) Grüße
  8. Hallo Zusammen, gibt es in den GPO's die Möglichkeit die Serverauthentifizierung innerhalb vom "Internetexplorer ==> Optionen ==> Inhalte ==> Zertifikate ==> Erweitert ==> Serverauthentifizierung " den Haken zu entfernen. Ich konnte bisher keinen Punkt finden. In den Benutzereinstellungen kann ich bei der Config des IE den Reiter nicht auswählen, er ist leider ausgegraut. Beste Grüße itsa
  9. Hallo zusammen, Mein Problem ist die lokale Sicherheitsrichtlinie "Objektzugriffsversuche überwachen". Und zwar wird diese nur ausgeführt, wenn ich sie manuell auf dem Server aktiviere. (Vorher die GPO im AD deaktiviere) Dann allerdings nur so lange, bis die Domänenrichtlinien (Default Domain Policy ??) diese überschreiben. Versucht habe ich im AD: - Neue OU erstellt, den Server hinzugefügt. - Neues Gruppenrichtlinienobjekt angelegt, wo die Überwachungsrichtlinie aktiviert wird. Diese Explizit nur dem einem Server zugewiesen. Verknüpfung aktiviert. - Vererbung deaktiviert - Erzwungen rsop.msc auf dem Server zeigt mir das korrekte Ergebnis an, so als würde die Richtlinie laufen. Leider tut sie das aber nicht. Probiert habe ich weiterhin nach Recherche: - Die Richtline "Überwachung: "Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen" deaktiviert. Leider alles ohne Erfolg. Habe schon überlegt, ob ich die Richtlinie irgendwie ein ein Script basteln kann. Das scheint aber wohl nicht möglich zu sein. Hat von euch noch jemand eine Idee? LG Cosi
  10. Hallo! Neu angelegte User im AD unter SBS2011 mit Windows 7 Client leitet seine Ordner "Dokumente" und "Desktop" nicht an den Server um. Konfiguriert habe ich die Umleitung via GPO. Es hatte auch mal funktioniert. Lt. GPResult wird es auch angewendet. Das Ereignisprotokoll zeigt auch nichts auffälliges. Kann es mit dem damaligem MS-Update zusammen hängen, als Drucker und Laufwerke nur noch in der Computer-GPO zugewiesen werden konnten? Falls ja - was tun? Gruß René
  11. Hallo zusammen, für einen Kunden haben wir eine Analyse seiner bestehenden Computer Group Policies durchgeführt. Das Ergebnis haben wir konsolidiert und in 11 neue Policies logisch unterteilt. Es wurde eine neue OU angelegt (die am Namen erkennbar ist, nennen wir sie "Neuwelt") und die 11 neuen Policies dorthin verlinkt. User Policies sind nicht mit inbegriffen. Ständiger Abgleich mit der Altwelt bestätigt, dass es effektiv keine nennenswerte Unterschiede gibt. Zumindest keine, die auf unser Problem schließen lassen. Zur Neuinstallation der Clients wird MDT benutzt. Wir verwenden momentan noch Windows 10 1709. Testweise sitzen in der neuen OU zwei Maschinen. Eine (Dell) lässt sich ohne Probleme installieren. Die zweite (HP) zwar auch, hat aber in interessantes Phänomen. Zu Beginn werden alle Treiber MDT-seitig Out-of-the-Box geladen. Genau so wie es sein soll. Dann kommt irgendwann im Prozess ein Reboot, wonach das das UMTS Modul nicht mehr erkannt wird und nur noch als einzelnes Gerät "Unbekannter USB-Controller" auftaucht. Wir können nun auch nicht mehr die Treiber installieren, egal in welcher Konstellation, es schlägt fehl. Und das, bevor überhaupt eine Applikation aus MDT heraus installiert wird. Verschiebe ich den HP wieder in die Altwelt, und installiere ihn neu, funktioniert das tadellos wie gewünscht. Es sind das aktuellste BIOS und die aktuellsten Patches drauf. Ein Hardware-Defekt schließen wir aus, da das Modul problemlos funktioniert, bis der Reboot kommt. Uns ist bewusst, dass beim ersten Reboot nach dem Domain Join natürlich die Group Policies gezogen werden. Doch da ist effektiv kein Unterschied zur Altwelt zu finden. Die Policies werden auch sauber gezogen, laut Eventlog. In den Eventlogs und den Logs von MDT finden wir ebenso nichts, was erklärt warum der Treiber flöten geht. Das einzige Problem, das wir sehen, ist vermutlich ein Zeitzonen-Problem, das wir auch per GPO konfigurieren. Da müssen wir nochmal etwas korrigieren, aber darin sehe ich keinen Zusammenhang mit dem Treiber - zumal alle anderen Treiber keine Probleme bereiten... Habt ihr mit solchen oder ähnlich gelagerten Fällen schon Erfahrungen gemacht oder könnt uns einen Hinweis auf eine mögliche Ursache geben? Grüße, xola
  12. Moin, per lokaler Gruppenrichtlinie habe ich die Ausführung eines Powershell Logonscripts (Benutzerkonfiguration) konfiguriert. In diesem Logonscript ist folgende Funktion enthalten, die ein Netzlaufwerk mappen soll. ##### Netzlaufwerk verbinden ##### function lw_mapping($freigabe){ Start-Process -FilePath cmd -Wait -ArgumentList "/c net use Z: $freigabe" } lw_mapping "\\servera.ad.local.net\p1" Auf dem Client existiert ein lokales Benutzerkonto, welches per Autologin nach Reboot direkt angemeldet wird. In der Anmeldeinformationsverwaltung wurden für die Serveradresse "servera.ad.local.net" Zugangsdaten hinterlegt, die Zugriff auf die genannte Freigabe haben. Das Problem stellt sich jetzt so dar, dass nach einem Reboot das Logonscript ausgeführt wird, aber das Laufwerk nicht gemappt wird. Stattdessen erscheint ein CMD-Fenster mit der Bitte einen Benutzernamen für den Zugriff auf die Freigabe einzugeben. Dieses Verhalten kenne ich grundsätzlich, wenn die hinterlegten Zugangsdaten in der Anmeldeinformationsverwaltung nicht korrekt sind. Daher habe ich diese als erstes Überprüft und konnte auch einen Fehler feststellen. Leider ist das Verhalten nach der Korrektur der Zugangsdaten weiterhin vorhanden. Um wirklich sicherzustellen, dass die Zugangsdaten korrekt sind, bin ich manuell auf die Freigabe gegangen und habe auf dem Server überprüft, dass die Anmeldung auch wirklich mit dem hinterlegten Konto erfolgt ist. Zunächst habe ich ein eventuelles Timingproblem mit der Netzwerkkonnektivität vermutet. Daher habe ich in den lokalen Richtlinien eine Skript-Verzögerung von 120Sek konfiguriert. Leider ohne Erfolg. Dann habe ich das Logonscript aus den lokalen Richtlinien entfernt, einen Reboot durchgeführt und das Logonscript manuell ausgeführt. Dies hatte dann Erfolg. Für einen weiteren Test und als aktuellen Workaround habe ich die Ausführung des Logonscripts per Aufgabenplanung eingerichtet (Ausführung bei Anmeldung). Dies funktioniert ebenfalls! Auf 4 anderen Clients funktioniert das Logonscript per lokalen Richtlinien auch. Nur dieser eine Client - auf dem einmal falsche Zugangsdaten hinterlegt waren - funktioniert so eben nicht. Gibt es irgendwie einen Cache den ich ggfs. löschen sollte? Oder andere Ideen, warum sich dieser eine Client komplett anders verhält? Vielen Dank und viele Grüße Stephan
  13. Hallo, ich habe heute einen WSUS Server in unsere Domäne eingebunden , der 50 Clients besitzt. Über GPO habe ich den Clients zugewiesen, dass sie Updates vom WSUS erhalten. Wenn ich die WSUS konsole starte, sehe ich, dass nach und nach ein Client dazu kommt, aber wieso passiert das so langsam? Meinen PC finde ich zB auch noch nicht in der Liste, aber wie kann ich das ändern? Ich habe auch schon Anwender gefragt ,ob sie etwas besonderes gemacht haben um in die WSUS Liste zu gelangen, aber typischerweise haben sie keine Ahnung.. reboot habe ich schon versucht Danke PS . wuauclt /detectnow und Connect2WSUS habe ich schon probiert, aber erfolglos
  14. Mahlzeit miteinander, ich hoffe das gehört ins Security Forum. Ich versuche unserem Netzwerk beizubringen, dass unser Sharepoint Online eine sichere Zone ist. Aber das klappt nicht so, wie ich es gerne hätte. Wenn ich bspw. aus einer Sharepoint Bibliothek ein Dokument über wen Windows Explorer via Drag 'n Drop auf den Desktop ziehe, kommt der bekannte Hinweis: "Durch diese Dateien entstehen möglicherweise Risiken für den Computer" Kennt man ja. Also habe ich die Site versucht via GPO als vertrauenswürdig einstufen zu lassen, aber kein Versuch klappt. Ich habe tenant.sharepoint.com sowohl mal als Vertrauenswürdige Site als auch als Lokales Intranet setzen lassen. Trotz jeweiligem Neustart, mag der Testclient das nicht und warnt mich über die Risiken. Wisst Ihr, wo und wie ich unsere Sharepoint-Site richtig eintrage? Besten Dank und Gruß, -nin
  15. Hallo zusammen, der Sysvol-Ordner wird ja repliziert, auch an die anderen Standorte. Ist es Ratsam (bzw. nicht Ratsam) dort Dateien zur Softwareverteilung abzulegen?
  16. Hallo zusammen, seit kurzem (ich kann nicht genau sagen seit wann) kann ich "keine" Ergebnisse mehr für die Gruppenrichtlinienergebniss mehr sehen. Das heißt, ich bekomme den Fehler "Fehler beim Erstellen des Berichts: Unbekannter Fehler bei der Erstellung des HTML-Berichts" Diese Abfrage starte ich am DC (2008 R2) für einen Client (Win 10) Führe ich die Abfrage an einem Server durch (also vom DC an einen anderen Server (Intranet, Exchange) funktioniert es und der Bericht wird angezeigt. Ich hab keine Idee mehr wonach ich suchen soll - habt ihr eine Idee? Test-GPOs von gestern (an Test-Clients) wurden schon wieder gelöscht (weil ich nicht wusste ob es damit zusammenhängt) Die "Geschichte", dass man einen Wert in der install.ins ändern soll habe ich ebenfalls geprüft, gibt es bei mir aber nicht.
  17. GPO für forced Reboot nach Update

    Hallo zusammen, erstmal kurz zur Umgebung: Wir benutzen Win 10 x64 Clients und (noch) einige Win 7 x86/x64 Clients jeweils die Enterprise Edition. Wenn bei uns in der Firma Updats eingespielt werden (verteilt per WSUS 2012 R2) haben wir immer einige Spezialisten die sich weigern Ihren PC neu zu starten um die Installation der Updates abzuschließen. (Argument: Keine Zeit, wichtigeres zu tun etc) Also haben wir die GPO zum erzwingen des Neustarts nach den Updates aktiviert und auf unsere Testgruppe losgelassen. Funktioniert schon ganz gut, aber: - W10 Client: Ich habe die Möglichkeit nach der Update-Installation auf "Jetzt neu starten" oder "Schließen" zu klicken (siehe Anhang). Wenn ich auf Schließen klicke, startet der PC genau 180 Minuten später von alleine neu --> aber ohne erneute Vorwarnung. Dast ist sehr ärgerlich, kann man das noch mit einer anderen GPO steuern / umstellen? Ich habe erstmal nix gefunden. besten dank
  18. Hallo zusammen, in einer GPO wurden Ordnerumleitungen konfiguriert. Es werde z.B. Desktop, Bilder, Download, Dokumente und noch ein paar weitere Ordner auf ein Netzlaufwerk umgeleitet. GPO ist aktiv und funktioniert auch soweit bis auf eine "Kleinigkeit": Der Ordner "Dokumente" bzw. "Eigene Dokumente" bleibt lokal. Im Share werden die funktionierenden Ordner angelegt. "Dokumente" taucht dort nicht auf. Habe schon viele Informationen dazu gesehen. Aber alles, was ich bisher probiert habe, war erfolglos. Selbst ein neues GPO, in dem nur "Dokumente" umgeleitet werden, habe ich erstellt, auf eine "Sonder-OU" verlinkt, User dort platziert, gpupdate etc. durchgeführt: ohne Erfolg. Per gpresult wird angezeigt, dass die entsprechende GPO angewendet wird. (sonst würden die restlichen Ordner ja auch nicht umgeleitet werden) Da es sich um eine "alte" AD-Struktur handelt, würde ich gerne wissen, wie ich da weiter komme. Also welche "Tools", Befehle oder was auch immer ich nutzen kann, um dem Problem auf die Schliche zu kommen. DC´s sind 2012R2 Fileserver ist 2008R2 Clients laufen mit W7 32 und 64 Bit Nach viel "Rumspielerei" habe ich auch schon die Registry auf einem Client "manipuliert". Unter HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders habe ich bei "Personal" den richtigen UNC-Pfad zum Share eingetragen. Damit hat das dann funktioniert. Daher kann ich wohl den File-Server und die dortigen Berechtigungen ausschließen. Ein wünschenswerter Zustand ist dies allerdings nicht... Eventlogs auf den betreffenden Systemen sind soweit ohne Auffälligkeiten. So, nun sind die gefragt, die dieses Problem evtl. schon mal hatten. Ganz alleine stehe damit ja nicht da. Denn in den weiten des Internetzes gibt es haufenweise Threads zu diesem Problem. Aber wie schon weiter oben geschrieben, hat mich das (noch) nicht zum Ziel gebracht... Vielen Dank schon mal für hilfreiche Kommentare
  19. Morsche Leude, heut morgen verschlafen ins Büro gekommen und die Telefonliste ist schon voll. Ich hatte das Problem schon mit 1709, das einige Clients, trotz fehlender Freigabe das 1803 Upgrade installieren. - alle Clients sind in OUs, in denen auch andere Win 10 Geräte stecken, die nicht installieren - im WSUS ist das 1803 nur für eine Test OU mit Zielzuordnung freigegeben - GPO ist eingestellt (von einem der betroffenen Clients mit gpresult gezogen): Internen Pfad für den Microsoft Updatedienst angeben Aktiviert Interner Updatedienst zum Ermitteln von Updates: http://WSUS.netzwerk.intern:8530 Intranetserver für die Statistik: http://WSUS.netzwerk.intern:8530 Alternativen Downloadserver festlegen: http://WSUS.netzwerk.intern:8530 Empfohlene Updates über automatische Updates aktivieren Aktiviert Keine Verbindungen mit Windows Update-Internetadressen herstellen Aktiviert Durch die letzte Option ist zwar der Windows Store abgeklemmt, aber dadurch suchen die Clients ja auch nicht mehr im Internet nach Updates. Das müsste man mir auch noch mal erklären wie man das richtig einstellt, daß der Store geht aber WU im Intranet bleibt... Wo ist mein Denkfehler bei der ganzen Sache? Das bekloppte ist, möchte ich den Windows Store zulassen, Updaten die Clients fröhlich über den Proxy aus dem Internet.
  20. Hallo zusammen, kennt jemand von Euch eine Möglichkeit per Powershell die Deligierung von GPO's anzupassen? Folgendes Szenario: Eine bestehende GPO wird per Powershell importiert und korrekt verknüpft (New-GPO -> Import-GPO -> New-GPLink). Für eine bestimmte AD-Gruppe soll jetzt die Berechtigung "GPO übernehmen" auf "Verweigern" gesetzt werden. Ist dies überhaupt möglich? Habe leider bisher hierzu nichts gefunden. Vielen Dank für Eure Hilfe, Rüdiger
  21. Hallo zusammen, hier gibt es einen kleinen Überblick über die Features, die in W10 1803 entfernt wurden: https://docs.microsoft.com/en-us/windows/deployment/planning/windows-10-1803-removed-features Gleichzeitig weiter unten auch ein Ausblick auf die Zukunft. Features die nicht weiter entwickelt werden. Software Restriction Policies fällt z.B. auch darunter. Ein Schelm wer böses dabei denkt. ;)
  22. Drucker über GPO - Probleme

    Hallo zusammen, Server 2008R2. Ich habe folgende GPolicy erstellt: Benutzer-Einstellungen-Systemsteuerungseinstellungen-Drucker. Hier sind ca. 20 -30 Drucker über eine Freigabe verbunden. Jeder Drucker ist über eine Zielgruppenadressierung mittels Sicherheitsgruppe festgelegt (abteilungsbezogen), sodass jede Abt. ihren Printer benutzerbezogen zugewiesen bekommt Dies hat bisher immer funktioniert. Jetzt Hinzufügen eines weiteren Druckers ( als Standarddrucker definiert) . Da die User wie gewohnt ihre Drucks absetzen, kamen plötzlich auch Drucks anderer Abteilungen dort raus. Offensichtlich tauchte dieser plötzlich auch in mehreren anderen Abteilungen als Standardgerät auf. Es gibt bei den Sicherheitsgruppen keinerlei Querverbindungen hinsichtlich Mitgliedschaften. Die GP hängt an denselben OUs. Ich habe den Eintrag für diesen Printer gelöscht und bei den Clients die Fehleinträge identifizieren und manuell löschen lassen. Damit war der Spuk vorbei. Wie kann das sein ? Hat es mit der Einstellung "Drucker als Standarddrucker verwenden" zu tun ? Kann man die immer nur 1x anwenden in diesem Konstrukt mehrerer Drucker und muss für jeden neuen Drucker eine separate GPO erstellen werden ? Das hatte ich bisher nicht so verstanden, zumal auch noch eine weitere Standardfestlegung existiert bei einem anderen Printer, was keine Probleme macht. Danke im voraus.
  23. Hallo, ich habe hier einen knifflige Frage (für mich zumindest). Im Netzwerk werden die Firewalleinstellungen der Clients über den Domänencontroller per GPO gesteuert. Nun soll auf einem Client "openVPN als Server" laufen. openVPN legt bei der Installation eine neue Netzwerkverbindung bzw. einen neuen Netzwerkadapter (in allen Profilen -> Domäne, privates- und öffentliches Profil) an. Diese neue Netzwerkverbidnng soll nun "nicht" durch die Firewall geschützt werden (siehe Anlage), alle anderer Verbindungen schon. Ist aber die Option "Alle Netzwerkverbindungen schützen" über die GPOs aktiviert, so kann man am Client naturlich nicht genau diese Netzwerkverbindung abwählen. Ist die Funktion deaktiviert, so kann man die openVPN Netzwerkverbindung von der Firewall in allen Profilen am Client ausnehmen, aber der User kann auch die ganze Firewall ausschalten, was unschön ist. Gibt es hier irgendeine Möglichkeit? Gruß, Peter
  24. Hallo Miteinander, ich hätte mal eine Frage bezüglich Gruppenrichtlinien. Wir haben gestern unser CAD Programm geupdatet , hier habe ich ein Startscript per GPO erstellt welches vor dem Windowslogon die Installation anschmeißt. Jetzt habe ich die gpo verlinkt und die betreffenden PCs neugestartet, jedoch wurde die Installation nicht ausgeführt. Erst wenn ich in der cmd gpupdate /force gemacht und dann neu gestartet habe hat es funktioniert. Auch Pcs wo aus waren haben im ersten start nichts installiert, erst ein Einloggen gpupdate /force, Neustart brachte erfolg. Wie lange dauert es nach dem erstellen bis die gpo wirkt? Ich finde immer nur das alle 90 min +- 30 die Richtlinien neu verarbeitet werden. Wie ist das denn eig. wenn ich 2 DCs habe und die gpo auf dem einen erstelle muss diese ja noch der AD Replikation und FRS gesynct werden, kann es sein das die Clients sich am anderen DC die Infos holen und die Replikation der beiden DCs noch nicht gelaufen ist? Um Hilfe wäre ich euch dankbar Grüße
  25. Hallo zusammen, folgendes Problem habe ich. Ich möchte einem AD-Benutzer die Anmeldung auf unserer Serverfarm (2 Terminalserver Windows 2012R2) unterbinden. Ich dachte dies könnte man per GPO Einstellen, und der OU indem der Benutzer ist zuweisen, aber ich finde in den Gruppenrichtlinien, diesbezüglich keine Einstellungen. Ist das überhaupt über die Gruppenrichtlinie machbar? oder gibt es da andere Möglichkeiten? Für jeden Tipp bin ich dankbar.
×