dmetzger

Updates für Microsoft-Produkte kannst Du per Windows Server Update Services 3.0 SP2 verteilen: Download details: Windows Server Update Services 3.0 SP2 Den Adobe Reader kannst Du als *.msi-Datei per Gruppenrichtlinie den Clientcomputern zuweisen; andere Anwendungen können als MSI paketiert und ebenfalls auf diesem Weg ausgebracht werden: How to use Group Policy to remotely install software in Windows Server 2003 and in Windows Server 2008 Du vermischt einige Dinge. "Deployment" ist die Verteilung von Betriebssystemen und Anwendungen, die Überwachung von Clientcomputern und Servern besorgen "Monitoring"-Systeme. Betreffend Softwareverteilung eignen sich Werkzeuge wie die WDS und MDT: Windows Deployment Services for Windows Server 2008 R2 Microsoft Deployment Toolkit Dann sind die WSUS möglicherweise nicht korrekt eingerichtet oder sie werden nicht konsequent verwaltet. Siehe oben. Lässt sich aus der Ferne kaum abschliessend beurteilen. Vielleicht musst Du Wissen hinzugewinnen, aber daran solls nicht scheitern, oder?;)

Für Deine sehr allgemeinen Fragen gibt es hier bereits sehr ausführliche Antworten. Du findest sie mit wenig Fleiss per Boardsuche.

Monitoring Group Policy Changes with Windows Auditing - Windows Security Logging and Other Esoterica - Site Home - MSDN Blogs Das von olc erwähnte Advanced Group Policy Management ist das Werkzeug meiner Wahl: AGPM Part 1: Introduction to Advanced Group Policy Management (a.k.a AGPM) v4 Schrittweise Anleitung für Microsoft Advanced Group Policy Management 4.0 Betriebshandbuch für Microsoft Advanced Group Policy Management 4.0

@SchackSchirack: Beachte die Boardregeln: http://www.mcseboard.de/rules.php#nr2 Soll es nun hier weitergehen oder dort?: http://www.mcseboard.de/ms-exchange-forum-80/e2k10-installationsprobleme-177721.html

Und Du wirst bestimmt auch nie mehr IPv6 auf Windows Server 2008 R1/R2 oder Win7-Clients ausschalten, oder? ;) Genau wie die Windows Firewall und die UAC. :rolleyes: Existiert in der Registry unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" ein Eintrag "DisabledComponents"?: MSXFAQ.DE - IPV6

Man kann das mit zwei VMs selbst testen. Das bringt einem AD LDS weit näher als nur das Pauken mit Büchern. ;) AD LDS 101 – How to Replicate Your AD LDS Instances Syncronizing AD LDS with Active Directory Active Directory Lightweight Directory Services (AD LDS) Getting Started Step-by-Step Guide Active Directory Lightweight Directory Services (AD LDS) Replication Step-by-Step Guide Appendix A: Configuring LDAP over SSL Requirements for AD LDS

Du beantwortest Deine Frage gleich selbst. ;) Ja, mit den WDS liegst Du in diesem Umfeld bestimmt richtig. 1 Referenzmaschine aufbauen, Sysprep, Image aufzeichnen und mittels Antwortdateien verteilen. Du findest hier im Board per Suche nach "Deployoment", "Image" und "Antowrtdateien" und "Unattend" reichlich Grundlagen. Ebenso bei Microsoft Technet: Windows Deployment Services Getting Started Guide

Oder eben doch. Würdest Du konsequent mit Gruppen arbeiten, müsstest Du Dir keine Gedanken über die geänderten SID der individuellen Benutzer machen. Du könntest z.B. mit ADMT die Gruppen und Benutzer Kopie-Migrieren, die Netzlaufwerke per Skript erstellen (md, net share) und mit icacls.exe die NTFS-Laufwerksberechtigungen für die migrierten Gruppen setzen. Die migrierten Benutzer erhalten Zugriff über ihre Mitgliedschaften in diesen Gruppen. Es ist in diesem Szenario bestimmt einfacher, eine Gruppe mit 50 Benutzern zu berechtigen als individuell 50 Benutzer. Es ist zudem Best Practices, nie einzelne Gruppen zu berechtigen, sondern mit Benutzer- und ggf. Ressourcengruppen zu arbeiten

Sind denn die Benutzer direkt oder übeer Gruppen in die ACLs eingetragen?

Welche Version von Outlook?

Existiert der DC bereits in der Domäne, den Ihr dem Standort zuordnen wollt, und welchem Standort ist er ggf. initial zugeordnet?

Um Zeit über die 21 Tage hinaus zu gewinnen, kannst Du in zuerst den Mitgliedserver mit W2K8R2 in die Domäne einbinden, E2K10SP1 installieren und die Postfächer verschieben. Erst anschliessend beginnst Du die eigentliche Ausmigration des SBS.

Zentrale Exchange Server-Infrastruktur mit 1 Server CAS/HUB/MB, E2K10SP1 auf W2K8R2, wobei vorhergehende Schemaerweiterung für E2K10SP1 erforderlich ist. Zugriff wie erwähnt per Outlook/https und/oder OWA. Eine dezentrale Infrastruktur ist für diese Grössenordnung nicht erforderlich und zu komplex.

Und wie viele Benutzer?

Kannst Du bitte noch ein paar Minimalinformationen nachliefern wie: - Windows-Domäne ja/nein, ggf. Version (2003/2008/2008R2) -> vermutlich, auf Grund Deiner Nennung von Exchange; - Domänencontroller an jedem Standort ja/nein; - alle Standorte in der gleichen Domäne ja/nein; - Bandbreiten Standleitung und DSL. Wenn die Bandbreiten der Standleitungen wirklich schwach sind und Ihr eine Windows-Domäne habt, läuft das wahrscheinlich auf eine zentrale E-Mail-Infrastruktur mit Exchange Server hinaus, mit Outlook-Zugriffen per https und/oder OWA von den Aussenstandorten ggf. über die DSL-Anbindungen.

Ich würde das ebenfalls in keiner Weise unterstützen, weder als IT-Verantwortlicher oder Dienstleister vor Ort noch als Hilfeleisteung hier im Board. Wir entfernen im Gegenteil wo technisch möglich mit der Gruppe "Eigentümerrechte" (Ändern) den Vollzugriff für Ersteller-Besitzer und den Reiter "Sicherheit", um eben zu verhindern, dass nicht geschulte Anwender in ihren ACLs herumbasteln. Das ist für jede spätere DAteimigration, für die Verwaltung und für Sicherungsprozesse ein Albtraum. Das gilt auch für Management, Geschäftsführung etc.

http://www.mcseboard.de/windows-server-forum-78/kennwortrichtlinien-gpo-greift-176509.html#post1087420

Betreffend Signaturen: The EXPTA {blog}: Using Dynamic Signatures in Exchange 2010 Hidden Microsoft: Standardized Signatures in Exchange Server 2010: enforcing your company

Nur SharePoint und die Office Web Apps.

Off-Topic: Herrje - da habe ich mich vollständig mit den Falschen angelegt. :D Aber irgendwie muss ich Dich mal wieder in Board bringen, Yusuf! ;)

Off-Topic: Norbert ist übrigens mein Zwilling. :D Er denkt oft zur gleichen Zeit das Selbe.

Du suchst nach "Access Based Enumeration". Access-based Enumeration - Inhaltsanzeige von Fileserver-Freigaben auf Unterordner mit Zugriffsberechtigungen eingrenzen Freigabe-Strukturen lassen sich auch so erstellen, dass Benutzer keinen Zugriff auf übergeordnete Ordner haben. Man weisst Ihnen per Skript oder GPP direkt die Freigaben als Laufwerke zu, auf die sie Zugriff haben sollen. Dadurch vermeidest Du das UNC- respektive DFSN-Surfen von Benutzern in übergeordnete Strukturen.

Der repliziert das vom DC am Hauptstandort, sofern die Replikation funktioniert. Wir haben hier eine augezeichnete Boardsuche, z.B.: http://www.mcseboard.de/active-directory-forum-79/dns-design-mehreren-standorten-172668.html

Wir reden aber nicht davon, dass Du Dich nicht mit NTFS-Berechtigungen (ACLs) auskennst? :suspect: Sprechen wir von DSN oder DFSN?

Ja. Ist i.d.R. nicht erforderlich. Domänen oder Domänencontroller? Zum Beispiel?