schnibibbi 10 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Hallo, ich habe folgendes Szenario: Windows 2000 ADS Domäne mit ca. 250 Clients (sowohl W2k als auch Win XP Pro). Folgende 2 Dinge möchte ich realisieren: 1. den Dienst "Gemeinsame Nutzung der Internetverbindung" (unter W2k) bzw. "Windows Firewall/Gemeinsame Nutzung der Internetverbindung" (unter Win XP Pro) deaktivieren 2. Zugriff auf die Registry HKEY_LOCAL_MACHINE gewähren (Betrifft nur Win XP Pro) Zu 1. Ich möchte dies über das ADS verwirklichen und habe es auch schon probiert und zwar habe ich in der default domain policy unter Computerkofiguration\Windows-Einstellungen\Systemdienste mir den gewünschten Dienst geschnappt und ihn auf deaktiviert gesetzt, leider funktioniert das aber nicht. Auf der Seite http://www.gruppenrichtlinien.de (die sehr gut ist) habe ich es auch so beschrieben gefunden. Aber wie gesagt es funzt nicht :-\ Zu 2. Ich möchte Zugriff auf die Registry unter HKEY_LOCAL_MACHINE gewähren. Ich weiß nicht ob ich ihn standardmäßig haben müßte, aber wenn ich per MMC oder Dameware auf die Registry eines Win XP Pro Zugreifen möchte, kann ich nicht in die HKEY_LOCAL_MACHINE. Daher kann ich Software nicht verteilen. Habe hier ebenfalls schon unter Computerkofiguration\Windows-Einstellungen\Registrierung versucht einzurichten aber ohne Erfolg. :-\ Kann mir bitte jemand weiterhellfen und mir viell. einen Tipp geben? Vielleicht bin ich auch total auf dem Holzweg oder übersehe eine Kleinigkeit. Schonmal vielen Dank für die Hilfe bzw. Bemühungen!!! Grüße schnibibbi Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Also: Die "default domain policy " würde mit Vorsicht ändern, weil die auch auf Server angewendet wird. Zum Test zuerst eine OU erstellen und dort eine leere Richtlinie. Da kommt der PC und der User rein. Zugriffrechte und Service-Richtlinien stellst Du unter Computerkonfiguration/Sicherheitseinstellungen ein. Am PC dann gpupdate /force ausführen bzw. neu starten. -Zahni Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 21. Juli 2005 Autor Melden Teilen Geschrieben 21. Juli 2005 Ja ok das ist richtig das ich die mit vorsicht genießen sollte. Aber das ändert ja nichts daran es nicht funktioniert :) Aber ich kann es auch mal in einer separaten OU versuchen, aber bezweifel dass das dort funktioniert. Danke schonmal Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Hi schnibibbi Ja ok das ist richtig das ich die mit vorsicht genießen sollte. Aber das ändert ja nichts daran es nicht funktioniert :) http://www.grurili.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm wo steht denn da, dass die Dienstedeaktivierung nicht funktioniert... hab schon mehrere Dienste per Gruppenrichtlinie deaktiviert hat einwandfrei funktioniert. Ist bei den XP stationen nur den Dienst aktiviert oder ist die Firewall auch aktiv? LG Gadget Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 21. Juli 2005 Autor Melden Teilen Geschrieben 21. Juli 2005 So habe es mal mit einer separaten OU versucht und tatsache mein erster Fehler ist behoben :) Danke hätte echt nicht gedacht dass es daran liegt, aber mein zweites Problem besteht leider immer noch :( Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 21. Juli 2005 Melden Teilen Geschrieben 21. Juli 2005 Hi, Zu 2. Was hat die Registry-Berechtigung mit der Softwareverteilung zu tun? Standardberechtigungen stehen lassen und Anwendungen mittels eines MSI-Paket per Policy zuweisen. http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Deploy-Applications.html Falls kein MSI Paket vorhanden wird halt eins erstellt (Repackaging): http://www.admincollege.net/themen/TB1/MSI/msi.htm Aber natürlich solltest du trotzdem Registry-Zugriff haben. Gehts nur Remote nicht oder auch Lokal am Rechner nicht. (Immer mit dem gleichen Benutzer authentifizieren ...) Lokale Gruppenmitgliedschaften schon kontrolliert? Ne deaktivierung von "regedit" per Policy vorgenommen? LG Gadget Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 Hi Kohn, also das Problem ist folgendes. Ich möchte Trend Micro einsetzen und dafür gibt es ja eine Weboberfläche über die man Trend Micro auf den Clients installieren kann. Soweit wunderbar es funktioniert bei allen W2k Rechnern nur bei XP happerts. Inzwischen habe ich herausgefunden dass es bei den XP Rechnern an denen es nicht funktioniert daran liegen müßte, dass ich keine Berechtigung auf die Registry habe und zwar auf den kompletten MACHINE Zweig. Ich habe es schon mit allen Usern versucht (lokaler Admin, Domainenadmin), lokal habe ich mit regedit Zugriff. regedit habe ich nicht verboten. Was meinst du mit lokaler Gruppenmitgliedschaft? Glaube ich steh gerade auf dem Schlauch :) Also der Rechner ist einer OU zugewiesen und bekommt auch die normalen Gruppenrichtlinien. Vielen Dank schonmal an alle für die Tipps!!! Grüße Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hi Was meinst du mit lokaler Gruppenmitgliedschaft? Glaube ich steh gerade auf dem Schlauch :) Also der Rechner ist einer OU zugewiesen und bekommt auch die normalen Gruppenrichtlinien. du versucht also die Registry, Remote zu ändern. Dazu müssen imho folgende Vorraussetzungen erfüllt sein: 1. Der Dienst "Remote-Registrierung" muss laufen 2. Dein Benutzer muss Mitglied der Gruppe "Administratoren" auf der Ziel-Maschine sein. Das meine ich mit Lokale Gruppenmitgliedschaft. Kontrollieren kannst du das folgendermaßen: Windows-Taste + R => compmgmt.msc Lokale Bnutzer und Gruppen / Administratoren / Eigenschaften von Administratoren: Dort sollten die Domänen-Admins drin stehen u. ggf falls du nicht Mitglied der Domänen-Admins bist auch dein Domänen-Benutzeraccount. So aber ich würde dir trotzdem empfehlen TrendMicro nicht per WebConsole zu installieren sondern ein MSI-Paket zu erstellen und per Gruppenrichtlinie zu verteilen: http://www.admincollege.net/tipps/t21xx/T2198/T2198.htm#Verwenden_des_Client_Packagers'>http://www.admincollege.net/tipps/t21xx/T2198/T2198.htm#Verwenden_des_Client_Packagers Alternative wäre auch noch der Vulnerability Scanner den ich auch im Einsatz habe um "ungeschützte Clients" zu finden. => http://www.admincollege.net/tipps/t21xx/T2198/T2198.htm#Ferninstallation_mit_dem_Vulnerability_Scanner Allgemein ist der ganze Artikel zu TrendMicro von Admincollege.net interessant den solltest du dir mal reinziehen. http://www.admincollege.net/tipps/t21xx/T2198/T2198.htm LG Gadget Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 Hi kohn So ich habe deine Tips mal durchgespielt. 1. der Dienst läuft, auf den XP mit und ohne Problemen, auch die Einstellungen sind komplett identisch 2. das habe ich kontrolliert und die Einstellungen sind so wie sie sein müssen. Das mit dem MSI Paket ist zwar eine alternative aber leider von meinem Chef keine akzeptierte Lösung. Das Problem ist, dass wir momentan noch NAV im Einsatz haben und wenn man Trend Micro über die Weboberfläche installiert wird dieser direkt automatisch deinstalliert. Und das ist gewünscht weil es ansonsten bei ca. 250 Clients ne menge Aufwänd wäre Danke für deine Unterstützung Falls dir nochwas einfällt bin ich für alle Ratschläge offen :) Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hi Das Problem ist, dass wir momentan noch NAV im Einsatz haben und wenn man Trend Micro über die Weboberfläche installiert wird dieser direkt automatisch deinstalliert. Und das ist gewünscht weil es ansonsten bei ca. 250 Clients ne menge Aufwänd wäre Danke für deine Unterstützung Mh ehrlich gesagt ist es per MSI und Gruppenrichtlinie imho einfacher... was passiert denn wenn ein neuer Client ins Netz installiert wird... dann musst du in die Weboberfläche und musst den Client manuell nachinstallieren und was ist wenn du es vergisst und der Client schleppt nen Virus ins Netz? Und den Vulnerability Scanner solltest du auf den Server installieren und "schedulen" sodass, er einmal wöchentlich läuft. Aber ist nur meine Meinung... bleibt natürlich dir überlassen ;) LG Gadget Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hi Das Problem ist, dass wir momentan noch NAV im Einsatz haben und wenn man Trend Micro über die Weboberfläche installiert wird dieser direkt automatisch deinstalliert. das natürlich ein Argument habe ich vorher überlesen.. ober der NAV auch deinstalliert wird wenn man ein MSI Paket verteilt weis ich jetzt nich Auswendig ... kann ich evtl. nachprüfen... Zwecks Registrierungseintrag... muss evtl. folgender Eintrag in der Gruppenrichtlinie an die Computer noch übergeben werden: Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\Domänenprofil\Windows-Firewall: Alle Netzwerkverbindungen schützen => Deaktiviert Weiterhin solltes du mal testen ob du den OfficeScan Client manuell am System installiern kannst und in welcher Internet Explorer Sicherheitszone dein "Office Scan Server" liegt. => OfficeScan WebConsole aufrufen: https://FQDN-deines Officescanserver:4343/officescan/console/cgi/cgiChkMasterPwd.exe und dann auf jetzt installieren klicken. Der IE sollte rechts unten die Zone "Lokales Intranet" anzeigen. LG Gadget Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 Leider auch nicht :( Also ich kann machen was ich will aber sobald ich auf meinen Problemtestrechner gehe :) per Dameware und in die registry gucke, sind unter MACHINE alle eintrage mit einem Roten X versehen :mad: Gibt es nicht irgendwo ne Registryberechtigung ****** XP :wink2: Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hi Also ich kann machen was ich will aber sobald ich auf meinen Problemtestrechner gehe per Dameware und in die registry gucke, sind unter MACHINE alle eintrage mit einem Roten X versehen Rotes X... komisch ...habe ich noch nie gesehen ... er sollte dir die Keys normal anzeigen und dann in nem Popup sagen, dass du keine Berechtigungen hast. :suspect: Leider auch nicht :( Gibt es nicht irgendwo ne Registryberechtigung ****** XP :wink2: Doch klar ... rechte Maustaste in Regedit auf den Schlüssel den du dir anschauen willst also z.B. auf HKLM\Software und im Kontextmenü auf Berechtigung klicken. Evtl. Registryberechtigungen per Gruppenrichtlinie gestetzt? Kannst du kontrollieren mit Windows-Taste + R => rsop.msc Hast du´s eigentlich immer mit dem gleichen Benutzeraccount probiert? => Wenn ja anderen testen. LG Gadget Zitieren Link zu diesem Kommentar
schnibibbi 10 Geschrieben 22. Juli 2005 Autor Melden Teilen Geschrieben 22. Juli 2005 ein kleines JUHU :D Also wir kommen der Sache deutlich näher, wenn ich mir in der Registry die Berechtigung für alles gebe funktionierts (peinlich aber als Entschuldigung: ich sitze an nem W2k und da ist das nicht de Fall und ihc habe nicht alles auf beiden Systemen nachgeguckt) SO aber warum es nur ein kleines JUHU ist liegt daran wie kann ich das was ich jetzt geschafft habe über die Domainpolicy verteilen?? Viele Grüße schnibibbi Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 SO aber warum es nur ein kleines JUHU ist liegt daran wie kann ich das was ich jetzt geschafft habe über die Domainpolicy verteilen?? Kein Problem guckst du hier: http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Registrierung Aber Vorsicht!!... vergebe nicht zuviele Berechtigungen und solange keine gravierenden Fehlkonfigurationen im voraus gemacht wurden sollte dies auch nicht erforderlich sein. Auf keinen Fall solltest du die Berechtigungen zuweit öffnen wenn du dir nicht ganz sicher bist, dass du es benötigtst. Ich habe bestimmt schon 20 XP Client mit OfficeScan 6.5 per TrendMicro Webconsole installiert ohne das ich jemals Registryänderungen vornehmen musste. LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.