phatair

Hallo zusammen,

wir setzen bei uns Windows 10 Pro ein. Im Moment noch 1803, aktualisieren aber im Moment auf 1903. Unser Image beinhaltet eine gewisse Auswahl an Microsoft Standard Apps. Apps wie Xbox oder Solitär sind zum Beispiel entfernt worden.

Bisher blockieren wir den Microsoft Store per GPO (Richtlinien für Softwareeinschränkungen). Hintergrund ist, dass nicht gewünscht ist, dass User sich beliebige Apps aus dem Store installieren können. Laut mehreren Infos soll man den Store auch nicht entfernen.

Nun würde ich das ganze Thema gerne etwas überarbeiten.

Folgende Punkte würde ich gerne ändern.

- Updates für Standard Microsoft Apps sollen funktionieren (Fotos, StickyNotes, usw.)

- einzelne Apps sollen installiert werden können

- wenn möglich den Microsoft Business Store verwenden

Wie macht ihr das? Gibt es eine Möglichkeit den "normalen" Store so zu konfigurieren, dass nur bestimmte Apps installiert werden können (Whitelist)?

Es scheint dann ja noch den Microsoft Store for Busniess zu geben. Hier scheint es aber zwingend notwendig zu sein sich mit einem Azure Account anzumelden. Das fällt bei uns raus.

Als letzte Möglichkeit gibt es wohl noch den Store for Business und den Offline Apps. Diese können dann ohne Azure Account verwendet werden.

Hat hier jemand Erfahrungen mit oder Tipps?

Danke und Gruß,

Ich habe jetzt mal einen MS Lizenz Fachmann bei unserem Systemhaus angefragt - da ich nicht die Zeit habe mich hier einzulesen.

Laut dem Software Hersteller wird für den SQL Server nur eine Device CAL für den zugreifenden IIS benötigt, nicht aber für die User. Das klingt für mich eher unrealistisch, aber das soll jetzt ein Profi klären.

Danke für die Hinweise.

Danke für den faq-o-matic Link. Hat so einiges erklärt und wieder etwas gelernt. 

Werde mich dazu noch etwas mehr einlesen und  dann wohl die Berechtigung nochmal überarbeiten. 

Hallo zusammen,

wir haben folgendes Problem. Auf einem File Server gibt es eine Freigabe. Diese hat als Freigabeberechtigung "JEDER"-> Vollzugriff

Als NTFS Berechtigung sind unterschiedliche Gruppen gesetzt und die lokalen Administratoren haben Vollzugriff.

Bisher haben wir mit dem Domänen Admin auf diesem File Server gearbeitet und konnten somit auch auf diesen Ordner/Freigabe lokal ohne Probleme zugreifen.

Auch der lokale Administrator Account kann darauf zugreifen.

Nun haben wir für den Server dedizierte Admin Accounts erstellt (AD User). Diese Admins sind in einer AD Gruppe zusammengefasst und diese AD Gruppe ist dann der lokalen Administratoren Gruppe hinzugefügt.

Klappt soweit auch alles - wir sind lokaler Admin auf dem Server.

Möchte ich aber auf den oben genannten Ordner zugreifen. Erhalte ich eine Meldung "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf Fortsetzen um dauerhaft Zugriff zu erhalten".

Mache ich das, wird der lokale Admin Account direkt in die NTFS Berechtigung mit Vollzugriff eingetragen. 

Das möchte ich aber gar nicht - er hat doch sowieso schon über die Gruppenberechtigung der lokalen Administratoren Zugriff. Warum wird das nicht erkannt? Der lokale Administrator Account kann ja auch problemlos zugreifen.

Hat hier jemand eine Idee was hier schief läuft?

Ok, dann habe ich das falsch interpretiert. 

Wäre irgendwie auch zu schön gewesen ;)

Danke Dir!

Hi Dukel,

die Antwort verstehe ich nicht so wirklich. 

Ich spreche hier nicht von lokalen Windows Benutzern, sondern von Benutzern die in der Software direkt angelegt werden.

Ich kann also in der Web Applikation (die auf IIS und MSSQL basiert) die User anlegen. Damit werden die User in der MSSQL DB angelegt und sie können sich an der Webseite anmelden.

Ich kann aber auch die User in der AD anlegen, in eine AD Gruppe packen und diese in der Software hinterlegen. Dann können sich die User an der Web Oberfläche mit dem AD User anmelden.

Somit wird der AD User nicht für einen Zugriff auf einen File Server, Windows Anmeldung oder sonst was verwendet, sondern nur für die Anmeldung an der Webseite.

Ich habe es bisher immer so verstanden, dass CALs notwendig werden, wenn man damit auf Ressourcen (also z.B. File Server, Exchange, usw. zugreift). Das wäre ja in dem Fall nicht der Fall.

Für einen reinen AD USer wird erstmal keine CAL benötigt, so lange dieser eben nicht für genannte Zugriffe genutzt wird.

Ist das komplett falsch?

Moin zusammen,

wir setzen bei uns eine Software ein, die nur über eine Webseite genutzt wird (darunter läuft ein IIS). 

Jetzt ist die Überlegung, ob man die User lokal in der Software anlegt oder ob man diese User in der AD anlegt.

Die AD User würden in einer Gruppen zusammengefasst und diese Gruppe in der Software zum anmelden berechtigt.

Die User würde nichts anderes machen, als sich damit in der Software (also auf der Webseite) anzumelden. Für die Windows Anmeldung wird ein anderer (globaler) User genutzt.

Werden für diese AD User CALs oder andere Lizenzen notwendig oder können diese "kostenlos" angelegt werden?

Vielen Dank schon mal.

Gruß,

Steffen

Hallo zusammen,

wir haben einige Schulungs AD Accounts, die nur an den entsprechenden Schulungs-Notebooks genutzt werden sollen.

Die Geräte und User liegen in einer eigenen OU.

Ich hätte jetzt die User in eine Gruppe gepackt, eine GPO erstellt und in dieser der Gruppe per "Zuweisen von Benutzerrechten" das lokale anmelden verboten. Die GPO würde dann für unsere OU mit den "normalen" PCs gelten.

Oder sollte man lieber den Schulungs AD Usern im Tab "Konto" unter "Anmelden an..." die entsprechenden DNS Namen der PCs eintragen? 

Die GPO finde ich eigentlich übersichtlicher und einfacher zu managen, da ich nur eine Gruppe pflegen muss. 

Oder gibts noch eine ganz andere Lösung?

Danke und Gruß,

Steffen

Lizenz war da und ich habe unsere VLSC ISO genommen. Aktivierung läuft über den KMS.

Also es gibt noch 1 konkrete Frage. Vielleicht kann mir hier noch jemand einen Tipp geben.

Wie realisiere ich am besten einen Kalender, der bestimmte Ereignisse/Besprechungen beinhaltet?

Bei uns werden z.B. Reisen auch in den öffentlichen Ordner eingetragen. Nun könnte ich doch hergehen und für Reisen ein Ressourcenpostfach erstellen. Dieses füge ich als optionalen Teilnehmer bei Reisen hinzu. Somit habe ich weiterhin eine Übersicht über alle Reisen. Mitarbeiter die diese Info benötigen können sich den Kalender dann anschauen.

Das gleiche könnte man für andere Ereignisse machen.

Wäre das ein komplett falscher Weg?

Hallo zusammen,

ich habe eine kurze Frage zu Windows Server CALs.

Eine Windows Server User CAL berechtigt den entsprechenden User auf alle Windows Server im Netzwerk zuzugreifen (Voraussetzung ist nur, dass die Server Version stimmt).

Habe ich eine 2012R2 User CAL, darf der entsprechende User auf alle unsere 2012R2  (und 2012R2 -2 Versionen) Server zugreifen.

Haben wir einen weiteren Server der aber 2016 ist - müsste eine 2016er CAL gekauft werden, diese würde dann aber auch für die anderen 2012R2 Server gelten.

Das gleiche gilt dann auch für Device CALs. 1 CAL erlaubt einem Gerät auf alle entsprechenden Server zuzugreifen.

Das ist doch soweit korrekt oder?

Ja, es gibt so einiges zu tun bei uns :)

Unsere Raumpostfächer sind schon in einer Raumliste zusammengefasst. Die User können somit über die Raumsuche die Raumliste auswählen und sehen alle Besprechungszimmer.

Soweit ich den momentanen öffentlichen Ordner "Termine" verstehe, geht es nur darum eine Übersicht über alle vorhandenen Termine zu haben (ohne das man jetzt aktiv einen Raum benötigt).

Diese Übersicht habe ich ja, wenn ich mir alle Räume in meinem Outlook hinzufüge und dann übereinander lege. 

Wie meinst du das mit dem Abteilungskalender? Ist das dann ein öffentlicher Kalender und dort werden solche Besuche eingetragen oder wie muss ich mir das vorstellen?

Über unser ERP System möchte ich nicht so viele Worte verlieren.... es ist kein SAP, MS Dynamics, Infor oder ähnliches und was Anbindungen angeht sehr eingeschränkt...

Im ERP werden keine Termine oder ähnliches geplant - das läuft alles über Outlook/Exchange. Im ERP wird nur das Zeitmanagement geführt und somit auch Urlaub, Dienstreisen usw. gebucht. Diese Info hätte ich dann eben gerne im persönlichen Kalender, damit das auch dort korrekt gebucht und geblockt ist.

So 3. DC läuft und Lizenz passt auch 

Danke euch!

Hallo zusammen,

wir nutzen noch einen Exchange 2010SP3 und bisher gibt es einige gewachsene Strukturen was öffentliche Kalender angeht.

Kurz zusammengefasst:

- Termine werden in Räumen gebucht, werden danach aber noch in einen öffentlichen Kalender "Termine" kopiert (um eine globale Übersicht aller Termine zu haben). Organisator, Betreff und Infos sind für alle sichtbar

- Abwesenheiten werden ebenso in einem öffentlichen Ordner eingetragen, dies passiert automatisch über unser ERP System in dem Urlaub usw. gebucht wird. Sie sind aber nicht im eigenen Kalender enthalten

- daher ist der persönliche Kalender oft nicht richtig gepflegt und somit laufen Einladungen ins leere, weil der Kalender zwar frei anzeigt aber der Kollege doch einen Termin hat

Mir gefällt das alles nicht so wirklich und würde daher gerne eine saubere Struktur aufbauen. 

Ich habe mir jetzt folgendes überlegt und würde gerne eure Meinung dazu wissen

1. der öffentlichen Ordner Termine wird abgeschafft. 
   • Besprechungen die in Besprechungszimmer stattfinden werden mit den Räumen gebucht. Will man eine Übersicht aller Besprechungen, lege ich mir die Räume Kalender einfach übereinander
   • Die Kalender werden mit -DeleteSubject $True -AddOrganizerToSubject $True so konfiguriert, dass nur noch der Organisator für alle sichtbar ist
   • Wenn eine Bewirtung in der Besprechung benötigt wird, muss ein User "Catering" für die Besprechung mit eingeladen werden (damit das Catering eine Übersicht hat, wer alles an der Besprechung teilnimmt und die Bewirtung einschätzen kann
   • FRAGE: Bisher werden in den öffentlichen Kalender auch Termine eingetragen, die keinem Raum zugeordnet sind (z.B. Kunde XY ist im Haus oder befindet sich in Halle 2). Habt ihr eine Idee wie man solche "Termine" eintragen/managen könnte?
2. der Ordner Abwesenheiten soll laut der Geschäftsführung weiterhin bestehen bleiben. 
   • FRAGE: ich würde aber gerne die Einträge auch in die persönlichen Kalender bekommen. Dazu bräuchte ich doch nur einen User der die Berechtigung hat in alle persönlichen Kalender zu schreiben. Dann könnte das ERP System auch die entsprechende Abwesenheit in den persönlichen Kalender schreiben, oder?

Vielen Dank schon mal.

Gruß,

Steffen

Im Moment haben wir nur 2012R2 Lizenzen (sowohl die Standard als auch die Datacenter Lizenzen) - wir nutzen also kein Downgrade Recht von einer 2016er Lizenz.

vor 12 Stunden schrieb lizenzdoc:

hi,

es gibt ne feritige 16er SVR-Lizenz.
Preislich liegen die Kosten etwas über dem Preis von der damaligen 1 Prozessorlizenz des 2012er-SVRs.

Also nicht ganz so schlimm.

 

vor 10 Stunden schrieb NorbertFe:

Nein, denn 2012r2 wurde nicht nach Cores lizenziert.

Hm... steht jetzt hier Aussage gegen Aussage? :) 

Oder sprichst du von Server 2016 Franz?

Alle unsere Server sind 2012R2 (virtuell sowieso physikalisch).

Für die physikalischen haben wir immer 1 Standard Lizenz gekauft (ohne irgendwelche Cores zu berücksichtigen).

Für unsere 3 ESX Server haben wir je eine Datacenter Lizenz (auch hier ohne irgendwelche Cores zu berücksichtigen).

Laut Norbert wäre das dann ja richtig - laut Franz wäre das falsch lizenziert.

Für eine kurze Auflösung wäre ich sehr dankbar :)

Ich glaube ich werde bei unserem externen Dienstleister mal einen Lizenzprofi anfragen, um unsere Lizenzierung zu überprüfen.

vor 1 Stunde schrieb lizenzdoc:

hi phatair,

 

Wenn Du Key/ISO in Deinem VLSSC hast und eine gebrauchte SVR-Lizenz hast, warum solltest Du das Recht aus dem OPEN Vertag nicht nutzen dürfen?

 

Bei gebrauchten Volumen-Lizenzen >

Das originale Dokument von MS nutzen "transfer of licences", eine Vernichtungserklärung seitens des "Gebers (vom Unterschriftsberechtigten)",

dass er diese nicht mehr nutzt und komplett vom Gerät deinstalliert hat.

Dann dürfte kein Problem beim Audit auftauchen.

 

Beim WIN-SVR geht es immer nach den Regeln:

1. Wie viele physische CPUs hat das SVR-Blech

a)Pro physische CPU will MS mindestens 8 COREs lizenziert haben,
b) aber dennoch für das Blech mindestens 16 COREs!

Beispiel:

1xphysische CPUs mit 4 physischen COREs = 16 CORE-Lizenzen
2xphysische CPUs mit 6 physischen COREs = 16 CORE-Lizenzen

4xphysische CPUs mit 4 physischen COREs = 32 CORE-Lizenzen! siehe a)

4xphysische CPUs mit 20 physischen COREs = 80 CORE-Lizenzen!

STD + DC werden nach diesen Regeln gleich lizenziert.

Bei 2-5 SVR geht das ja alles bei OEM-/SB-SVR-Lizenzen noch gut mit der Lizenz-Zuordnung.

Aber bei z.B. 20 SVR-Blechen ist es sehr erleichternd, wenn man 1x via OPEN kauft, um dann alle einheitlich zu betanken.

 

VG, Franz

Danke Franz, 

Puh... wird immer komplexer. Das mit den Cores wusste ich nicht. 

Heißt, wenn ich bei unserem neuen physikalischen Server 1 CPU mit 8 Cores habe, will MS 16 lizenziert haben. Aber heißt das, ich muss 16 server 2012R2 Lizenzen kaufen? Wohl eher nicht oder? Wie lizenziere ich den Cores? Ich habe das noch nirgends irgendwo stehen sehen

Stehe wohl auf dem Schlauch

Ich kann es mir denken :)

Es ist und bleibt ein Wahnsinn mit diesen MS Lizenzen. Aber gut - ich lasse es jetzt mal gut sein.

Danke euch für die Hilfe!

vor 2 Stunden schrieb lizenzdoc:

Beim SVR-OS würde ich immer die höchste CORE_Anzahl 1x via OPEN-Volumen kaufen, damit hat man mit dem OPEN-Vertrag das Re-Image-Recht inkl. dem Dpwngrade-Recht! Da MS nur das ISO für den aktuellen SVR zzgl. dann nur noch N-1 bereitstellt, kann man man die VLSC-Hotline 0800 - 50 77777 anrufen.
MS ist es (leider noch nicht schriftlich) egal woher dann der Key stammt (Was ja auch wieder vertragsrechtlich höchst bedenklich ist)
aber MS hat es verpasst (oder will es absichtlich nicht) für ältere Versionen/Editionen saubere Keys/ISOs bereitzustellen ... Geld verschenkt!

Was meinst du mit CORE_Anzahl 1x - meinst du die CPU Cores??

Wenn ich deine Aussage richtig verstehe, muss ich dann ja immer Open Versionen kaufen, da ich sonst die ISO aus dem VLSC nicht verwenden darf.

Wir haben uns diesmal für die eine Lizenz für eine gebrauchte Lizenz entschieden (UsedSoft). Viel diskutiert aber bitte jetzt keine Grundsatzdiskussion darüber anfangen :) Diese Frage betrifft ja jeglichen Kauf außerhalb vom OPEN Vertrag.

Wir haben also eine 2012R2 Standard Lizenz gekauft (UsedSoft).

Im VLSC haben wir 1 2012R2 Standard Lizenz, 3 2012R2 Datacenter Lizenzen.

Darf ich jetzt das ISO aus dem VLSC verwenden oder nicht? 

Ich hätte jetzt folgendes gemacht. Wir haben diesmal keine VL Lizenz gekauft, haben aber einen KMS und Zugriff auf das VLSC.

Ich hätte jetzt also eine ISO aus dem VLSC genommen, installiert und über den KMS aktivert. Die Lizenz für die 2012R2 habe ich dann im Schrank.

Wahrscheinlich sagt dann MS - ich hätte die ISO aus dem VLSC gar nicht nehmen dürfen und somit Lizenzverstoß...

Die Einzelhandelversion kann ich gar nicht über den KMS aktivieren - habe ich das richtig verstanden?

Also bleibt mir nix anderes übrig als auf die Einzelhandelsversion zu warten und diese dann mit dem entsprechenden Key zu installieren.

Das ist immer ein Rumgeeiere mit diesen Lizenzen

Nein und deswegen habe ich mir auch nicht ins Hemd gemacht

Es ging mir um die grundsätzliche Frage - darf ich mit einem KMS nur Systeme aktivieren, für die ich Volumenlizenzen gekauft habe oder kann ich damit auch Systeme aktivieren für die ich z.B. Lizenzen aus dem Einzelhandel erworben habe.

Den KMS Key (also den Key um den KMS Server zu aktivieren, nicht den generischen KMS Key den ich bei MS online für jedes System einsehen kann) bekomme ich ja nur, wenn ich eine Volumenlizenz gekauft habe und somit ein VLSC Konto besitze. Es könnte dann ja sein, das MS nur erlaubt Systeme mit dem KMS zu aktivieren, für die ich eine Volumenlizenz erworben habe.

Naja bestellt ist sie, aber sie liegt noch nicht im Schrank. Werde einfach den kms nutzen und die Lizenz ist am Mittwoch oder Donnerstag ja da. 

vor 19 Stunden schrieb Sunny61:

Die Trial Version darf nicht produktiv verwendet werden. Dauert es wirklich so viel länger mit dem Key?

Normalerweise beziehen wir die Microsoft Lizenzen über unser VLSC und den OPEN Vertrag. Für Server (da virtualisiert) benötigen wir im Normalfall keine weiteren Lizenzen, da diese über unsere Datacenter Lizenzen abgedeckt sind.

Nun handelt es sich ja um einen physikalischen Server und somit benötigen wir hier eine extra Lizenz. Diese haben wir jetzt aber nicht über das OPEN Programm bezogen.

Wir aktivieren unsere Server alle über einen KMS - kann ich diesen auch für unseren neuen DC verwenden oder dürfen mit dem KMS nur Geräte aktiviert werden, für die man OPEN Lizenzen besitzt? Wir haben für den neuen Server ja eine Lizenz - sie liegt dann halt im Schrank und nicht im VLSC.

Wir haben uns jetzt für einen DELL R330 entschieden. Unser Systemhaus hat uns hier einen guten Preis gemacht :)

Auch wenn es etwas OffTopic ist, vielleicht könnt ihr mir das kurz bestätigen.

Ich würde dann eine Win Server 2012R2 Evaluation Version installieren, da unsere Lizenz erst in ein paar Tagen kommt. Die Eval Version kann ich dann ja einfach in eine vollwertige 2012R2 Standard Version umwandeln, oder?

Danke Martin,

jap, da hast du Recht. Weiß auch nicht wie ich auf die Idee gekommen bin eine Bullet List zu erstellen 

Der Punkt 5 hat sich auf Anwendungen bezogen, in denen ich z.b. während der Installation schon einen User angeben muss, der dann als Service Account für einen Dienst genommen wird. Hier muss ich dann ja das Passwort leer lassen. Ich vermute jetzt, dass die Software dann einen Fehlermeldung ausgibt, da man kein Passwort eingegeben hat oder wie macht Windows das mit dem AD Passwort?

Ich werde das aber einfach mal bei nächster Gelegenheit testen :)