Sunny61

Wei handelst Du die ganzen AddOns? Darüber hast Du normalerweise keinen Einfluß, erst Recht nicht auf den Code, auf die Sicherheit und natürlich auch nicht auf die Lücken, die dir solche AddOns öffnen. WSUS gibt das alles her. ;) Zukleben hilft nicht, wenn dann im BIOS deaktivieren. Alternativ mit der DEVCON.EXE, gibt es von MSFT kostenlos, automatisch alles was mit USB zusammenhängt deaktivieren. Maus und Tastatur sollte dann natürlich nicht an USB hängen. ;)

Seit VISTA gibt es die Hauptbenutzergruppe nur noch aus Kompatibilitätsgründen. Mehr Rechte hat diese Gruppe nicht mehr. Wenn es also keinen zwingenden Grund gibt die Benutzer in diese Gruppe zu packen, dann lass es bleiben. Bist incl. XP gilt der von micha42 gepostete Link natürlich. Und bezüglich Sicherheit solltet ihr auch auf Firefox verzichten. Das up2date halten des Browsers ist für 'normale' Benutzer schwer möglich und en Admin verbraucht sehr viel Zeit mit Scripten dafür. Wenn Du wirklich Sicherheit willst, und wirkliche Sicherheit ist auch unbequem, dann kommst Du an Software Restriction Policies nicht vorbei. Zum Spielen kannst Du dir ja einen Rechner installieren und das hier austesten: http://schneegans.de/computer/safer/

Welche genaue Fehlermeldung kommt denn? In Excel 2013 gibt es keine Menübars mehr, Du wirst das auf Ribbons umstellen müssen. Du kannst dir den Ribboncreator für Office 2013 anschauen, damit kannst Du das Problem lösen. http://www.ribboncreator2013.de/

Schade das MSFT hier einen guten Weg verlässt. Yepp, ist in einem der weitereführenden Links aus dem Technet Artikel zu sehen. Genau. Ziehen denn GPO-Einstellungen für Click-and-Run Office 2013 überhaupt? Mir war so, also ob ab Office 2013 nur noch gewisse Editionen in Sachen GPO unterstützt werden. Finde aber auf den schnelle nichts dazu. :(

Bei einem frische WSUS auf 'W2008R2' ist es sehr wichtig die in der WSUS-FAQ No. 44 gen. Updates zu installieren. http://www.wsus.de/faq Prüfe direkt in der WSUS-Konsole nach, welche Version Du jetzt einsetzt. Falls es nicht die .274 ist, bitte unbedingt updaten bis Du in der WSUS-Konsole die .274 angezeigt bekommst. You get what you pay for. In dem von iDiddi verlinkten Technet Artikel gibt es viele weitere Links, die dir bei der Lösung helfen werden. Nichts überstürzen, im Fall von Click-and-Run wirst Du ohne WSUS auskommen müssen. Am besten erstellst Du dir mit Hilfe des Office Deployment Tool immer wieder eine neue Source, darauf können die Clients dann zugreifen. EDIT: Ob mit dem WPP etwas geht, wage ich zu bezweifeln. Vielleicht möchte es ja jemand testen. ;)

Ich glaube, Du solltest dir jemanden holen der dich dabei untersützt.

Was sagt das Log vom ISA? Das meiste geht mit einem gpupdate ab, notfalls auch gpupdate /force. Windows Eventlog schreibt welche Events zu diesem Zeitpunkt?

Wichtig ist das geladene Firewallprofil zu diesem Zeitpunkt. Welcher AV-Scanner *genau* ist installiert? Beachte auch den Hinweis von zahni. Natürlich funktionieren die GPOs/GPPs auch über VPN. Einfach einrichten und testen. In einem früheren Job hatten wir bis zu 70 MA die nur via VPN Verbindung aufgenommen hatten, sogar damals (2009) hat das alles über GPO/GPP funktioniert. Das was Du evtl. machen mußt, ist ein gpupdate nach dem Verbindungsaufbau absetzen. Aber das lässt sich sicherlich mit der uns unbekannten Art und Weise des VPN-Aufbau regeln.

Du machst Sachen. Lass mich raten, die Benutzer sind alles lokale Admins und installieren sich auch Adobe Reader und Java Updates manuell wenn sie im Infobereich dazu auffordern. Oder nicht? Der WSUS ist wirklich sehr schnell aufgesetzt, wenn Du jetzt nicht gleich eine Automatische Genehmigungsregel erstellst, wird auch nicht ein ganzer Wust an Updates gedownloadet, sonder die Clients fordern nur Updates an. Und nur die gibst Du dann auch zum installieren frei. Zusätzlich kannst Du mit dem WSUS Package Publisher auch 3rd Party Updates von Adobe oder Sun den Clients zur Verfügung stellen. http://www.gruppenrichtlinien.de/artikel/wsus-package-publisher-software-ueber-windows-server-update-service-bereitstellen/

Kannst Du den Rechner über VPN denn pingen? Oder auf etwas anderes zugreifen? Welchen Status hat die NW-Verbindung zu dem Zeitpunkt? Öffentliches oder Domänen Netzwerk? Das ist für die Firewall ausschlaggebend. Dann erkennt der Client ja auch ein Domänen Netzwerk und lädt das passende Profil der Firewall. Ab wieviel Clients 'rechnet' sich denn für euch ein GPO? Ab 3 Rechner möchte ich nicht mehr Turnschuh Admin sein, genau dafür wurden die GPOs und GPPs geschaffen. Nutze das Werkzeug.

Natürlich gibt es die Möglichkeit das über den WSUS zu lösen, auch ohne zusätzliche Freigabe. ;) Ist das Update denn im Microsoft Update Catalog zu finden? http://catalog.update.microsoft.com/v7/site/Install.aspx Wenn ja, dann kannst Du das auf dem WSUS direkt aus der WSUS-Konsole heraus importieren und zum installieren freigeben. Wenn es nicht im Update Catalog zu finden ist, dann kannst Du es per *Computerstartupscript* auf die Clients kopieren und dann im gleichen *Computerstartupscript* *vor* der Benutzeranmeldung installieren lassen. Alternativ holst Du dir den WSUS Package Publisher, dort das Update importieren und zur Installation genehmigen. Hier ein kleines HowTo: http://www.gruppenrichtlinien.de/artikel/wsus-package-publisher-software-ueber-windows-server-update-service-bereitstellen/

Bei 5 Clients hätte ich schon einen WSUS, du hast vermutlich nur einen oder zwei Clients, richtig? ;)

Normalerweise muß man da nichts anpassen. Wie genau sieht denn die Freigabe aus? Vermutlich liegt dort der Hund begraben.

Welches Betriebssystem habt ihr *jetzt* im Einsatz? Das macht man am besten über Group Poliys bzw. über Group Policy Preferences. Welche *genaue* Fehlermeldung bekommst Du denn wenn Du über die 'Computerverwaltung' *NICHT* zugreifen kannst?

Bezüglich Clients up2date halten solltest Du dir einen WSUS anschaffen. Ist kostenlos von MSFT und hilft dabei ungemein. ;)

Kein Anhang. Wenn es um 'normale' Clients geht, kann dir der IE11 im Zweifelsfall Probleme bereiten. Falls Du auf einem Rechner mit installiertem IE11 von WU auf MU umschalten willst, wirst Du nicht umhin kommen den Kompatibilitätsmodus dafür zu nutzen. Alternativ den IE11 deinstallieren, das klappt aber auf einem W8.1 oder W2012R2 nicht.

Wie genau sieht denn deine verwendete Ordnerumleitung aus? Du hast vermutlich etwas falsch eingestellt. Die Desktop.ini ist eine versteckte Datei. Klick doch einfach mit dem Explorer in den o.g. Pfad. Jetzt mit der Maus oder via ALT + E in die Adresszeile vom Explorer klicken. Ganz am Ende vom Pfad fängst Du einfach an zu tippen: desktop.ini [ENTER]. Wenn sie in diesem Pfad liegt, wird sie geöffnet, auch wenn Du sie nicht siehst.

Dann wäre jetzt der richtige Zeitpunkt zumindest in Sachen SMB-Signing zu beginnen. Das tut nicht weh und es ist in wenigen Minuten erledigt. Anschließend prüfen ob die Änderungen auch von allen beteiligten Maschinen übernommen werden.

GPRESULT in einem Script, das Script dann in der Aufgabenplanung ca. 10 Minuten nach dem Start oder nach der Anmeldung laufen lassen. Den Inhalt in eine Textdatei auf einem Share schreiben lassen. Dateiname kann eine Kombination aus Datum, Uhrzeit, Computer- und Usernamen sein.

Dann lies dich hier ein: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

Normalerweise gilt: Last Writer wins. Falls ihr das umgehen wollt, solltet ihr euch mit Ordnerumleitungen beschäftigen. Wo *genau* hast Du diese Datei auf dem Client/Server gespeichert? Ist evtl. schon eine Ordnerumleitung eingerichtet? Bist Du der Admin?

Alternativ in der Registry auf dem W2008. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate > WUServer. Hier findest Du den Wert. Falls Du mehrere WSUS-Server im Einsatz hast, also Master und Replica, kannst Du auf dem Master auch eine Spalte 'Server' einblenden lassen. Darin ist vermerkt, auf welchem WSUS sich dieser Client/Server gemeldet hat.

Nichts verändert bedeutet jetzt aber für mich, ihr habt auch die GPOs nicht dem BestPraxis angepasst, richtig?

SMB-Signing habt ihr in den GPOs passend konfiguriert? http://www.gruppenrichtlinien.de/artikel/smb-signing-kommunikation-digital-signieren/

Servermanager - Feature hinzufügen - Desktopdarstellung - Neustart. Datenträgerbereinigung > Windows Update auswählen.