Daniel -MSFT-

Hi Tim, bitte lies doch noch einmal meine Antwort. Vor allem der Teil "einfach bei der Konfiguration des Dateiversionsverlaufs unten links die Systemsicherung auswählen" ist der relevante Part. Du nutzt da gerade nicht den Dateiversionsverlauf, sondern die eingebaute Image-Sicherung, die Dir komplette Partitionen sichert und wiederherstellen kann. Auf Wunsch auch mit inkrementeller Sicherung - Restore geht auch auf Dateiebene, wenn man die VHD-Datei mit dem Explorer öffnet. Wenn noch was fehlt, meld Dich einfach. Have fun! Daniel

Neuere Firmware-Revisionen haben eine Filterfunktion namens DefenseWorm. Kann man über Telnet mit dem Kommando "mngt defenseworm off" ausschalten: http://forums.whirlpool.net.au/archive/1578963

Sie Sie greift bei Volumenlizenzversionen von C2R und MSI und bei Office 365 Midsize Business, Office 365 Enterprise E3/E4 und Office 365 ProPlus.

Ich wünsche Euch viel Spaß. Ich musste leider wegen einer Knieverletzung absagen.

Hi Martin, um BitLocker auf einem Computer ohne TPM zu aktivieren, kannst Du mittels GPO in der Konfiguration Zusätzliche Authentifizierung beim Start anfordern unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktivieren. Nachdem diese Einstellung auf den lokalen Computer angewendet wurde, werden die Nicht-TPM-Einstellungen im BitLocker-Setup-Assistenten angezeigt. In diesem Modus ist für den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, in Form eines USB-Schlüssels auf dem USB-Laufwerk gespeichert. Wenn der USB-Schlüssel verfügbar gemacht wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn Du hier die Systemstart-PIN sowie Systemstartschlüssel und -PIN deaktivierst und nur die Verwendung des Systemstartschlüssels erzwingst, sollte das auch bei Computern ohne TPM funktionieren. Es gibt noch eine zweite Richtlinie PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassen. Wenn Deine Anwender keine Administratoren sind, dann ist das der Weg, die Nutzung zu unterbinden. Sollten sie allerdings Admins sein, gibt es keine verbindliche Lösung, denn sie könnten die Einschränkungen, die durch die GPOs gesetzt werden, leicht rückgängig machen. Eine dritte Möglichkeit ist die Option Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren. Wenn Du die auf Deaktiviert setzt, sollte die Verwendung einer Systemstart-PIN auch nicht möglich sein. Ich habe alle drei Optionen so, wie Du es Dir wünschst, selbst noch nicht ausprobiert, denn ich finde, dass gerade die Möglichkeit, ein Kennwort zu nutzen, besser ist, als ein USB-Laufwerk zwingend erforderlich zu machen. Der USB-Stick wird dann von den Benutzern oft in der gleichen Tasche wie das Notebook aufbewahrt oder gleich am Gerät gelassen. Weiterhin kann ein Systemstartschlüssel vom USB-Stick sehr schnell kopiert werden. Ein Passwort bietet hier in beiden Fällen einen besseren Schutz. Have fun! Daniel

Hi Senftutgut, gibt es einen triftigen Grund für die Umstellung von Öffentlichen Ordnern auf Postfächer? Mit denen hast Du dann auch einen separaten Kalender- und Kontakte-Ordner automatisch im Outlook mit drin, wenn Du das Info-Postfach bei jemanden einbindest. Have fun! Daniel

Hi timhorn, einfach bei der Konfiguration des Dateiversionsverlaufs unten links die Systemsicherung auswählen. Das erstellt Dir auf Knopfdruck ein Image des Rechners, welches Du mit Hilfe der Windows-DVD oder eines Wiederherstellungsdatenträgers (kannst Du nach der SIcherung direkt erstellen lassen) zurückspielen kannst: Die Image-Sicherung erfolgt dabei in eine VHD-Datei, die Du auch separat mit einem Doppelklick als Laufwerk verbinden kannst. Dann geht auch ein drag&drop, um die gewünschten Dateien wiederherzustellen. Have fun! Daniel

Wenn nslookup tatsächlich die Adresse auflöst, dann stammt die Antwort vom DNS-Server. Einziger Grund, wie der Name von WINS da reinkommen könnte, wäre, wenn DNS und WINS geloppelt wurden, so dass unbekannte Namen im DNS im WINS nachgeschlagen werden: http://technet.microsoft.com/de-de/library/cc731480.aspx

TMG gibt es weiterhin als Appliance z.B. von Celestix, SecureGuard und Winfrasoft (auch als virtuelle Appliance) ohne CALs zu brauchen: http://www.wickhill.de/produkte/hersteller/product/450/MSA---Forefront-TMG http://www.secureguard.at/ http://www.winfrasoft.com/products/appliances/tmg/

Du kannst es genauso per GPO abschalten. Was ist also komfortabler: Manuell im BIOS von jedem Rechner eine Einstellung durchzuführen oder es automatisch per GPO zu setzen? Verstehst Du meinen Punkt jetzt? @Carnivore: Es geht hier um die Möglichkeit des Filterns von USB-Geräten. Du könntest damit auch nur Bekannte Tastaturen erlauben. Daher passt Dein Beispiel hier nicht so gut.

Hi Alex, plant ihr denn nicht, die XP-Rechner auf ein neueres Betriebssystem zu migrieren? XP ist seit April aus dem Support und damit ein Sicherheitsrisiko, weil neu gefundene Sicherheitslücken nicht mehr durch Patches geschlossen werden. Viele Grüße, Daniel

Welche RDP Client-Version nutzt Du denn? Installier mal die aktuellste. Siehe http://blogs.msdn.com/b/rds/archive/2013/12/16/resolution-and-scaling-level-updates-in-rdp-8-1.aspx

Hast Du den Server an der Konsole auf 125% gestellt?

Das ist kein Einschränken, sondern ein Abschalten dann. Da kannst Du auch Bauschaum in die Buchsen pusten. Sinnvoll ist das nicht, denn USB-Mäuse, Tastaturen, Scanner, Kameras, etc. können aus Geschäftsanforderungen heraus erforderlich sein. Und was soll das mit Komfort zu tun haben? Du sperrst zum Beispiel ganze USB-Klassen und erlaubst nur die in der Firma eingesetzten Geräte. Per GPO automatisch für alle betroffenen Clients. Devcon ist dort aufgeführt zum ERMITTELN der notwendigen IDs, wenn man nicht per Maus das über den Gerätemanager machen will. Wo ist da das Problem? Hast Du das überhaupt mal probiert oder reden wir hier über theoretische Vorbehalte? Ich habe das bei der Einführung von Vista oft live vorgeführt. Wenn ich mich recht erinnere, war das auch eine der Demos auf dem Launch. Auf jeden Fall kam das immer super beim Publikum an.

Ja bitte, ich hätte gern die Header. Bitte beim obfuskieren sorgfältig sein.

Der Tipp aus dem Artikel war ja auch nicht für Windows 7: Die Informationen in diesem Artikel beziehen sich auf: • Microsoft Windows XP Home Edition • Microsoft Windows XP Professional • Microsoft Windows 2000 Advanced Server • Microsoft Windows 2000 Professional Edition • Microsoft Windows 2000 Server • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) • Microsoft Windows Server 2003, Standard Edition (32-bit x86) Seit Vista geht das direkt per GPO: http://technet.microsoft.com/de-de/magazine/2007.06.grouppolicy.aspx

Das sollte auch mit den anderen C2R-Versionen gehen. Bei Office 365 ist Push-Deployment der Enterprise-Version vorbehalten.

Was ist denn dann noch auf Englisch? Mit dem Sprachpaket kannst Du den Server komplett eindeutschen, denn der deutsche Server ist nichts weiter als der sprachunabhängige Kern mit deutschem Sprachpaket. Guck mal unter Systemsteuerung\Zeit, Sprache und Region\Sprache\Erweiterte Einstellungen nach. Dort kannst Du die Sprache auch für das Hoch- und Herunterfahren, die Anmeldeseite, etc. einstellen.

Devcon ist ja sowas von XP. Das geht doch heute via GPO: http://social.technet.microsoft.com/Forums/windowsserver/en-US/012ea7bc-6d72-419f-89d5-66f47826bf74/forum-faq-how-to-restrict-mass-storage-drive-and-cdrom-access?forum=winserverGP Du kannst auch USB-Geräte nach Device ID black- und whitelisten.

Dort musst Du Dich ja mit einem Microsoft-Account anmelden, richtig? Die Office-Lizenz ist dann an diesen Account gebunden. Der angezeigte Key ist zur Installation auf einem Rechner. Du kannst nicht mit der Datensicherungskopie lokal eine DVD brennen und mit dem einen Key 35 Rechner installieren. Standardmäßig werden per Klick-und-Los bereitgestellte Microsoft Office 2013-Produkte automatisch aktualisiert. Die Klick-und-Los-Funktion prüft im Hintergrund automatisch, ob Updates vorliegen. Eventuell filterst oder blockierst Du an der Firewall die Updateseiten für den User/den Computer? Wenn Updates aktiviert sind und Du trotzdem eine ältere Version hast, kannst Du auch die Update-Prüfung erneut ausführen, indem Du Updates deaktivierst und dann erneut aktivierst: http://support.microsoft.com/gp/office-2013-click-to-run und http://technet.microsoft.com/de-de/library/jj219420.aspx#BKMK_C2RUpdates. Siehe auch Office 365-URLs und -IP-Adressbereiche. Hier mal eine Übersicht über die Bereitstellungsmethoden für Office 2013: http://technet.microsoft.com/de-de/library/ee624360.aspx

Von wo und wie hast Du denn den H&B Datenträger heruntergeladen? Welche Versionsnummer hat im Office nach der Installation gestanden? Die Boxprodukte sind primär für Einzelrechner. Für das, was Du vorhast, würde ich immer Volumenlizenzen nehmen.

Ich schlage vor, der OP dokumentiert einmal genau, welche Systeme wie beim ein- und ausgegenden Mailverkehr arbeiten. Es macht zum Beispiel einen grossen Unterschied, ob das Spamfiltern nach Annahme der Mail erfolgt oder während der Annahme. Da sind je nach Fall verschiedene Server für die Generierung des NDRs zuständig. Besonders hilfreich sind hier die Header entsprechender Mails, in denen eigentlich alles notwendige zu finden ist. Alternativ wäre es sicher einfacher, den gewünschten Soll-Zustand zu beschreiben und umzusetzen. @Samy: Du scheinst nicht so fit in Sachen Mailrouting und Debugging zu sein. Ich würde die Linuxkiste erstmal rausnehmen und die Komplexität rausnehmen. Danach kann man Schritt für Schritt erweitern.

Die C2R-Installation installiert immer die aktuellste Version vom Deploymentpunkt. Daher ist es absolut normal, dass Du direkt nach der Installation auch keine Updates einspielen brauchst: http://technet.microsoft.com/de-de/library/jj219427.aspx Ich empfehle Dir, Dich einmal grundlegend in die Unterschiede der beiden Deployment-Methoden und ihre Vor- und Nachteile einzulesen. BTW: Die Installation einer Office 2013 ProPlus bei vorhandener H&B-Lizenz ist ein Lizenzverstoss und wird langfristig vermutlich nicht funktionieren. Was genau hattest Du eigentlich gekauft? H&B als OEM-Version?

Das stimmt so nicht. Gruppenrichtlinien können sowohl für Windows Installer-basierte Office 2013-Produkte als auch für Produkte vom Typ "Klick-und-Los für Office 365" verwendet werden: http://technet.microsoft.com/de-de/library/jj219428.aspx#BKMK_GroupPolicy Für die Nutzung von GPOs für die Konfiguration von Office muss Office über einen Volumenlizenzvertrag erworben werden: http://technet.microsoft.com/en-us/library/cc179176.aspx#Administrative_templates Have fun! Daniel

Wer packt denn PSTs in das servergespeicherte Profil?