rt1970

wenn der Man-in-the-Middle einen Domänen-Member-Computer hat... Wenn nicht (privater Laptop z.B.) dann hat er dann auch keinen Zugriff MEHR auf die Richtlinie trotz bekanntem Username/Passwort... Aber wie Du schon gesagt hast: Haarspalterei! Beides geht und reicht. Per Default ist ja auch der Lese-Zugriff für die "Authentifizierten" erlaubt!

Ich lege ganz normal eine Richtlinie an, verknüpfe sie auf die entsprechende übergeordnete OU und trage im Sicherheitsfilter die User/Gruppen ein. Fertig. Unterschied: GPP liegt nicht im root sondern in der OU, was aber eigentlich auch egal ist... Dafür ist ja der Filter... Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused: Wieder etwas zum testen und wieder dazu gelernt! Mag sein. Ist aber schneller zu kontrollieren und einfacher im Sicherheitsfilter ;) :cool: ...und Sicherheitsaspekt ;)

Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe. Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen! Genau in dem Augenblick fehlen die in der Lasche "Delegierung" Und da die Richtlinien NUN vom Computeraccount gelesen werden und nicht mehr vom Useraccount gibt es Probleme, wenn der Computeraccount (PC1$) nicht mehr darauf zugreifen kann. Wenn man die "DomänenComputer" hinzufügt ist die Richtlinie noch ein Stück sicherer als mit "authentifizierte Benutzer" wo man nur Username und Passwort braucht... Sollte ich mich irren bitte ich um Korrektur!

Will ich nicht ausschließen, dass ich schlampig gelesen habe! Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;) Ich würde das so übersetzen: Wenn Du Sicherheitsfilter benutzt, dann füge die entsprechenden Domänen-Computer hinzu... Es geht ja hier um ein Sicherheits-Update, dass den Man-in-the-Middle verhindern soll: Da könnte er sich authentifizieren, aber nicht als Computer... PS: meine Meinung/Interpretation

Falsch. Entweder "Domänencomputer" oder "Authentifizierte Benutzer". Beides geht auch - muss aber nicht! Grund: "Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context." https://support.microsoft.com/en-us/kb/3163622

ACHTUNG! Englisches AD! Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen!

Wenn die drin stehen hast Du auch keine Probleme! Die Domänencomputer brauchst dann nicht hinzufügen!

@NorbertFe :D Geht aber nicht... Wenn ich die "authentifizierten User" aus der Delegierung löschen will, sind sie auch im Sicherheitsfilter raus :( Wie kann ich nun die Richtlinie nur bestimmten Usern/Gruppen zuweisen??? Ach gefunden! Falsch herum gedacht! "Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen." von http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493

Oh man.... Peinlich! Hab ich im falschen Thema nachgesehen... Also MUSS im Sicherheitsfilter die "Authentifizierter User" rein? Und unter Delegierung dann die Usergruppe? Oder verstehe ich da was falsch?

Hallo! Konfiguration: SBS 2011 und Windows 7 Pro x64 Clients Problem (seit gestern): Richtlinien bei denen ich "Authentifizierte Benutzer" gelöscht habe und eine Sicherheitsgruppe (User) hinzugefügt habe werden nicht angewendet. Ich möchte aber dass Laufwerke und Drucker bestimmten Benutzergruppen zur Verfügung gestellt werden. Bis vorgestern ging alles einwandfrei. Seit gestern Mittag verschwinden Laufwerke und Drucker bei einigen(?) Computern... Die Windows-Updates des SBS habe ich erst vorhin installiert. Daran sollte es nicht liegen... Die Clients installieren immer Mittags ihre Updates... GPResult bringt bei den betroffenen GPOs folgende Meldung z.B.: {41B3ECDE-2AC3-48E1-8629-969D580475B2} Zugriff nicht möglich Via Explorer komme ich sowohl über \\Servernamen als auch \\Domaene.local auf die Richtlinie... Ereignisanzeige ist auch Clean... Ist irgendein Update gekommen, das die Richtlinien, die User bzw. Gruppen zugeordnet sind, nicht mehr gehen? Gruß René

Vielen Dank erst einmal für das zahlreiche Feedback!!! Die Alternative mit ThinPrint: Wow! Die haben aber stolze Preise!!! Mehr als für Server - und das "nur" zum drucken! Ich denke das Problem ist die Einstellungen unter Sicherheit des Druckers. Ich selbst als Domänen-Admin darf nur "Speziell" aber nicht ändern oder Konfigurieren in der Sicherheitslasche. Soweit ich weiß druckt EasyPrint als "System". Interssant ist nur, dass das Mapping mit einem Windows 10 Client funktioniert... :confused: :schreck: Also das Problem ist jetzt bei Kyocera als Problem "eingetütet". Mein Kunde hat einen Full-Service-Vertrag mit einer Firma, die einen "heißen Draht" zu Kyocera hat, also Kyocera-Servicepartner ist. Mir wurde aber davon abgeraten, den KX-Treiber zu nutzen. Ich solle lieber den Universal-Treiber für PCL6 nehmen. Das würde ich umsetzen, wenn ich wüßte wie ich den Treiber für die Drucker, die via Gruppenrichtlinie zugewiesen wurden, auf den Clients ersetzen kann ohne an jeden Client zu gehen... Gibt es einen Trick? "Ersetzen" reicht nicht. "Löschen" und den Drucker neu zuweisen? Recht umständlich aber machbar. Wie macht Ihr das?

Beim EasyPrint dauert es ca. 20 sek bis eine Seite gedruckt wird. Auch die Folgeseiten...

Und genau das macht Probleme! Das 2. Fach des Druckers wird ja weder erkannt, noch kann es konfiguriert werden!

Verwirrt die Anwender nur. Es sind halt nur Anwender mit minimaler PC-Erfahrung. Im TS 2003 ging es ja super mit den hinterlegten Treibern, bis auf die Zusatz-Fächer, die ich aber auf dem TS in der Sitzung definieren konnte... So groß ist die Umgebung nicht. Es gibt nur x64 Clients. Ist aber nicht die Problemlösung...

Dann hat ja jeder den Drucker zur Auswahl. Das soll nicht sein! Ja. Auch gleiche Version. Wofür den 32bit Treiber wenn es nur x64 Clients gibt?

Ich hatte ja mit dem Easy-Print-Treiber gehofft, weniger Probleme zu haben... (keine Treiber mehr bereitstellen) Aber dass es noch nicht einmal mit den Treibern des Herstellers funktioniert (was vorher auf einem TS 2003 ging), ist mir ein Rätsel! Ja. keine Lust und Zeit mich an jeden Client zu setzen und die Drucker manuell einzurichten... Ich habe aber gerade festgestellt, dass die Fächeranzahl von meinem Windows 10 Client aber übernommen werden!!! :confused: :nene: Was ist das denn??? Nur die Windows 7 x64 Pro haben hier Probleme...

Hallo Testperson! Habe gerade die 0180-6 Nummer angerufen: Terminalserver überfordert diese Hotline :confused: :nene: Die versuchen es auf Microsoft zu schieben... :jau: :jau: :jau: Schönes Ping-Pong-Spiel :confused: :nene:

Leider nur dir teure 0900er Service-Rufnummer :schreck:

Das habe ich versucht. Beide identische und aktuellste KX-Treiber. Geht alles super bis auf die Konfiguation des 2. Papierschachtes. Den kann ich nicht "anhaken" in den Druckereinstellungen. Auch nicht als Administrator :confused: Und den Universaltreiber möchte ich nicht benutzen... Wie das? Wie oben erwähnt: nur das mit dem Port 8080... Und Kyocera hat ja nur eine 0900er Supportnummer :nene:

Hallo Crazy57! Hatte ich vergessen zu erwähnen: Der Drucker am LAN, der TS als auch der Client ist über Gigabit-LAN im gleichem Subnet! Also an der Übertragungsgeschwindigkeit Client/Server/Drucker kann es nicht liegen! Irgendwo habe ich gelesen, dass wenn die Firewall des TS ausgeschaltet ist, der Druck mit dem Easy-Print-Treiber wieder flott geht, da Traffic auf Port 8080 sein soll. Ob es stimmt konnte ich leider noch nicht testen. Den Port 8080 TCP habe ich in der Firewall des TS freigegeben, aber keine Änderung! Deshalb habe ich auf dem TS den Kyocera-Treiber hinterlegt, der soweit auch flott funktioniert, bis auf die Einstellungen der Papierfächer... Den Easy-Print-Treiber habe ich in der GPO an 2. Stelle definiert.

Naja, ich habe halt den Haken gesetzt: Drucker vom Client verbinden. Ja. Ja habe ich. Und da kann ich das 2. Fach "anhaken". Wegen den vorhandenen Lizenzen für TS 2008...

Hallo! Ich habe einen Server 2008 Standard x64 als Terminalserver konfiguriert. Nun habe ich ein Problem: Bei Kyocera-Drucker (z.Z. einen getestet) FS 1035 wird in der Session die Einstellung für das 2. Fach nicht übernommen und ich kann auch als Admin die Einstellung für das 2. Fach konfigurieren. Weder normal über mstsc noch über Remoteapp. Ich könnte THEORETISCH den Haken für das 2. Fach setzen, aber wenn ich klicke passiert nichts... Die Berechtigungen für Spool habe ich schon auf vollzugriff für Benutzer konfiguriert. Im Eventlog steht auch nichts... Treiberversion ist die aktuellste (auch auf dem Client): 6.3.909.0 Kyocera meint: "TERMINAL SERVER: Bei einer Treiberinstallation auf einem Windows Terminal Server NT4, 2000 oder 2003 Betriebssystem können sowohl Classic-Treiber (PCL oder KPDL) als auch KX-Treiber verwendet werden. Windows Server 2008 unterstützten wir mit den KX-Treibern. Bitte beachten Sie die Installationsanweisungen auf der Treiber CD bzw. im Internet." Quelle: http://www.kyoceradocumentsolutions.de/index/serviceworld/downloadcenter.-contextmargin-13890-files-91839-File.cpsdownload.tmp/Treiberauswahl_de_2009_08.pdf Der Easy-Print Treiber hat das Problem, dass es bis zu 20s dauert, bis die 2. Seite gedruckt wird... Weiß hier jemand eine Lösung hierfür? Gruß René

Firmware jeweils aktuellste (8.82.0100 und 9.10.0333) Nein. jeweils eth3 bzw. eth4. Ging nicht anders beim 1781 wenn ich mit dem Assi für Internetzugang "nicht aufgeführter Anbieter" und "externes Modem" gewählt habe. eth1 haben jeweils einen Laptop dran. Ja, hab ich! Was soll ich denn Tracen? VPN? siehe oben... Mehr kommt nicht :confused: Was mir noch auffällt: Ich kann keines meiner Geräte im 178er Netz (Fritzbox) erreichen. Durch gleichem Subnet? Vielleicht können sich die Router auch nicht untereinander erreichen? Ich kann auch nicht auf die 178er IP´s der LANCOMs pingen und auch http://192.168.178.1 geht nicht... FEHLER GEFUNDEN! In der Routing-Tabelle war ein Eintrag "Block private Networks"! Diese Route hab ich deaktiviert -> ALLES PERFEKT! Vielen Dank für Eure Mühen!!!

Ich habe jetzt öffentliche IP´s. Um VPN umzusetzen habe ich mir Testweise 2 Laptops und 2 Router zu Hause an die Fritzbox angeschlossen. Hier komme ich irgendwie nicht weiter - die Router verbinden sich nicht miteinander :confused: Also das 178er Netz der Fritzbox ist mein "Internet" Der LANCOM 1611+ hat auf eth3 192.168.178.103 bekommen und auf eth1 192.168.6.1 mit entsprechenden Internetzugang über den Assistenten. Der Laptop am eth1 kommt ins Internet und alles so, wie es sein soll. Der LANCOM 1781VA-4G hat auf eth4 192.168.178.101 bekommen und auf eth1 192.168.2.1 auch über den Assi. Auch der Laptop kommt ins Internet wie es sein soll. ABER: VPN zwischen den Boxen funktioniert nicht! Ich kann werder auf die 6.1 noch auf die 2.1 von der "Gegenstelle" pingen... Eingerichtet habe ich die VPN mit dem Assi "2 lokale Netze miteinander verbinden". Logging VPN: [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,270 selecting next remote gateway using strategy eFirst for LANCOM-P => no remote gateway selected [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,270 selecting first remote gateway using strategy eFirst for LANCOM-P => CurrIdx=0, IpStr=>192.168.178.101<, IpAddr=192.168.178.101, IpTtl=0s [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,271 VPN: WAN state changed to WanIdle for LANCOM-P (192.168.178.101), called by: 0019b2f3 [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: WAN state changed to WanCall for LANCOM-P (192.168.178.101), called by: 0019b2f3 [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: connecting to LANCOM-P (192.168.178.101): physical channel not available for keep alive [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: WAN state changed to WanIdle for LANCOM-P (192.168.178.101), called by: 0019b2f3 Kann mir jemand den Grund nennen?

KX-Treiber hatte ich auf dem Client istalliert -> allerdings mit dem Easy-Print-Treiber des TS 2008 benutzt @Dukel z.B. Druckerzuweisungen und Laufwerke. Habe gerade den WMI-Filter gesetzt. DANKE für den Hinweis! -> Schnell und gut!