pvlavh

vielleicht bei Systembereichen?. Den Fall habe ich gerade aktuell an einem neuen Windows 2016 Server und der D Datenplatte getestet... ...trotz angeschaltetem UAC (Srandard) kann ich Daten kopieren und/oder anlegen usw. ohne einer UAC Nachfrage...

Hi All! die Lösung ist ganz einfach! Dieser Umstand, das die UAC bei jeder Änderung nachgefragt wird, obwohl es sich um einen Administrator handelt, passiert, wenn in den NTFS-Berechtigungen der "ERSTELLER-BESITZER" entfernt ist. Also einfach über Sicherheit und Erweitert den "ERSTELLER-BESITZER" für "Nur Unterordner und Dateien" mit Vollzugriff hinzufügen! So ist nämlich die Berechtigung bei einem frisch installierten Laufwerk. Zumindest war es bei mir so und bin übers Ziel hinausgeschossen Ich dachte ich mach die NTFS Berechtigung mal ganz sauber und löschte den "ERSTELLER-BESITZER" raus. CU Ralf

Nachbrenner: Nachdem ich mit Rechteverbesserungen in der Domain zu tun hatte und plötzlich unser WDS im Bezug "Speicherort des Computerkontos" und Access Denied erhielt Wie oben geschrieben, kann mit dem Befehlen das Recht zum hinzufügen von Computern zur Domöne gewährt werden. Im Bezug WDS sind dann noch weitere Rechte notwendig. Da man normalerweise keinem Bentuzer das recht gibt hier anhand meiner lokale AD-Gruppe: "Domäne\lokale_Domäne_MachineAccount_hinzu" Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:CA;"Reset Password"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP;"Account Restrictions"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to DNS host name"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to service principal name"; Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computer REM: reicht eigentlich für eine OU; Hier Beispiel OU=Computers_WDS Dsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computer REM: Damit WDS im Bezug "Speicherort des Computerkontos" geändert werden kann REM: Habe ich nur mit tüfteln herausgefunden und ist ggf. nicht 100%ig; offizielle Infos habe ich dazu nirgends gefunden Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:RP Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP vllt hilft es jemanden... Gruß

Microsoft Technet: Strengthening Domain Controller Policy Settings https://technet.microsoft.com/en-us/library/f21957b3-26bd-4085-bc44-73fac78340a4 Strengthening Domain Policy Settings https://technet.microsoft.com/en-us/library/4695b475-f87e-45c5-93c7-49af2f94215f

wäre schön gewesen wenns du die Standard Werte auch gepostet hättest...

Ich habe das Problem gelöst, das einige User ihre lokalen Drucker umleiten können sollen und andere unbedingt ohne lokale Drucker arbeiten sollen. 1. In der Sammlung des RDS 2012 R2 unter Clienteinstellungen erst mal generell für alle "Clientdruckerumleitung zulassen" 2. im ActiveDirectory-Objekt des jeweiligen Benutzers kann im Reiter Umgebungen bei Clientgeräte die Punkte "Beim Anmelden Verbinden zu Clientdruckern herstellen" und "Standardmäßig den Hauptdrucker des Clients verwenden" an-/abgewählt werden, je nachdem ob das nun erwünscht ist oder nicht. Ganz Userabhängig. 3. Und Schlussendlich in den Optionen "Lokale Ressourcen" der Remotedesktopverbindung unter "Lokale Geräte und Ressourcen" bei Drucker ebenfalls an-/abwählen. Fertig. Zudem kann ggf. per GPO eingestellt werden das nur der Standarddrucker umgeleitet wird, so das die Übersicht gewahrt wird. PS: Ich hoffe damit jemanden geholfen zu haben. Man braucht ja nicht glauben das solche Fallbeispiele bei Microsoft selbst gefunden werden kann :/

altes Thema aber immernoch aktuell. Ich hätte einen nachbrenner dazu. Es wird nach der Nummerierung der Verknüpfungsreihenfolge abgearbeitet. Daher hat die höhere Nummer das letzte Wort Im Bezug Software Verteilung lege ich mit der Verknüpfungsreihenfolge die Reihenfolge der Installationen fest. Wichtig, sofern eine Sofware auf eine andere aufbaut, sofern es MSI pakete sind. Besonderheit gibts bei per Batch installierte Software, Diese verhindert nicht das nachfolgende Grupenrichtlinien abgearbeitet zu werden.

ich habe es nun einfach gewagt und nur -Remotedesktop Sitzungshost und -Remotedesktoplizenzierung installiert, da ich noch keinen Lizenzserver dafür eingerichtet hatte. Und das ist der Wermutstropfen, das man sich nun bei jeglicher Software auf dem Server Gedanken um eine Terminalserver Lizenzierung machen muss. ups eine Antwort 8) 3 gleichzeitige Absolute Anmeldungen Danke und Grüße

So sehe ich das auch wie Ihr es beschrieben habt. Damit wir 3 gleichzeitige Zugriffe auf einen Server möglich ist, habe ich 3 UserCAL gekauft. Nun frage ich mich aber, welche genauen Teile der Remotedesktop-Rolle ich benötige, um nur einfach eben per Remote anmelden zu könne. Remoteapplikationen und Virtualisierung brauche ich eigentlich nicht. Hat jemand eine Idee welche Teile der Remotedesktop-Rolle das wären? VG Ralf

Hi All! Hi Eyeswide! Super gemachtes Script! Nur kommt eine Fehlermeldung wenn eine Datei/Ordner im Zugriff (sprich geöffnet und daher gesperrt) ist. Und danach suche ich schon länger, wie ein solcher Fehler umgangen werden kann und das Skript mit den restlichen Dateien weiter macht. Kennt jemand eine Lösung? Oder hatte einen ähnlichen Fall? grüße Ralf

Wir haben das gleiche Problem und nirgends im Web gibts was dazu. Ist ja auch wirklich nicht Denkbar, das manche per GPO gesetzte OfflineDatein nicht greifen. zB DefaultCacheSize (Standardcachegröße) sowie der komplette Zeitplan. In der Registry unter \Policies\ ist alles drin, aber in der GUI "OfflineDateien" stehen noch Standardwerte bzw. kein Zeitplan aktiv. Die Registryeinträge werden komplett ignoriert! Ratlos Ralf

so wird ein schuh draus (create anstatt delete ;) Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:CC;computer

anstatt der beiden Smily wart "doppelpunkt D" gemeint :D

ein wichtiges Detail hat noch gefehlt!!!! die 4 zuvor erklärten Dsacls können zwar vorhandene computer-Objekte überschreiben/aktualisieren, aber einen neu installierten Computer kann es nicht hinzufügen. Dazu muss den entspr. User das Recht zum " "Computer"-Objekt erstellen " gegeben werden: Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer Bei uns in unserem Fall das ganze für die OU=Computers_WDS in die bei der Isntallation per WDS die neuen Computer-Objekte abgelegt werden: Dsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer greetings rAtze

SUPER! Das ist die perfekte Art die entpr. Rechte zu delegieren! Danke für die Vorarbeit! Noch zur Ergänzung: Die Delegierung kann auch auf einfachere ABER dafür nicht so genaue Weise gemacht werden: In MMC "Benutzer- und Computer" mit Rechts auf die Domäne klicken und "Objektverwaltung zuweisen..." (Delegate Control) anklicken. Dann kann die enstpr. Gruppe/Benutzer und das Recht "Fügt einen Computer einer Domäne hinzu" ausgewählt werden. Gruß rAtze