sfr

Hat mir sehr geholfen.. Das Script, dass ich anfangs gepostet habe, wäre so in Ordnung? Wenn ja, dann fasse ich nochmal zusammen: 1. Neue OUs anlegen in der Active Directory (Meine Computer, Meine Benutzer), in der AD die Computer und User in die neuen OUs verschieben 2. Im GPO Verwaltungseditor die neuen GPOs mit den neuen OUs verlinken 3. In der neuen GPO in der OU "Meine Computer" folgendes ändern: -- Computerkonfiguration/ Richtlinien/ Administrative Vorlagen/ Drucker. Der relevante Punkt ist: “Point-and-Print-Einschränkungen”. wie beschrieben 4. Ich binde in die neue GPO der OU "Meine Computer" das Druckerscript im Punkt "anmelden" wieder ein. 5. Neustart des Rechners und läuft Ich habe das bisher mit einer GPO in oberste Instanz geregelt. Wenn ich diese jetzt entferne, dann muss ich die Einstellungen, die ich dort vorgenommen habe in neue GPOs schreiben, die auf die entsprechenden OUs verlinkt werden. Aber in welche? Bisher hatte ich nur ein Anmeldescript für Netzlaufwerke. In welcher OU bzw. welchem zweig stelle ich diese jetzt in meiner neuen OU/GPO ein. Ich würde dies jetzt in der OU "Meine Benutzer", im GPO Zweig "Beutzerkonfiguration" einstellen. Passiert denn jetzt irgend etwas oder besser gefragt muss ich etwas beachten, wenn ich die Benutzer und Computer aus den Standardcontainern in meine neuen OUs stecke oder kann ich das bedenkenlos tun? Wenn ich das jetzt richtig verstanden habe, dann dürfte nichts passieren, selbst die Einstellungen, die ich über die GPO erzeugt habe sollte auch für meine neuen OUs gelten, da sie für alle OUs gelten. Nur wenn ich die GPO in oberste Instanz lösche, dann würde ich die Einstellungen in meine neuen OU bezogenen GPOs schreiben. Wir haben ja darüber geschrieben, dass ich die Einstellung des Druckerscript auf den Computercontainer anwenden soll. In meinem Fall also die OU "Meine Computer". Innerhalb dieser GPO gibt es aber weitere Möglichkeiten, einmal Computerkonfiguration, Benutzerkonfiguration. In welchem Zweig sollte ich diese Konfiguration mit dem Druckerscript vornehmen? Generelle Frage meinerseits: Welche Konfiguration ändere in welcher OU? (Meine Computer, Meine Benutzer) Woher weiß ich welche Konfiguration ich in welcher OU ändern muss? Weitergehend stellt sich mir die Frage nachdem ich dann herausgefunden habe, dass ich eine bestimmte Einstellung in der OU "Meine Computer" vornehme, in welchen Zweig gehe ich dann? Computerkonfiguration, Benutzerkonfiguration? Ich gehe mal ganz stark davon aus, dass dies damit zu tun hat, ob ich es Benutzer- oder Computerspezifisch erstellen möchte. Benutzer haben einen Bildschirmschoner mit Kennwortschutz nach 1min Lerrlauf. Also Unter Benutzerkonfiguration in der OU Meine Benutzer. Wenn ich das jetzt in der Computerkonfiguration vornehmen würde, dann würde es generell für jeden gelten, der an diesem Computer arbeitet. Ist das nicht genau das Gleiche? Anders herum habe ich doch schon 2 OUs. Computer, Benutzer und innerhalb der GPO nochmal in Benutzer und Computer unterteilt. Ist das nicht doppelt gemoppelt?

Ersteinmal vielen Dank. Ich hatte gerade auch nur die Möglichkeit auf einen SBS zu schauen. In der Realität ist es ein Enterprise. Muss ich beim Enterprise neue Organisationseinheiten erstellen oder befinden die sich dort auch und heißen nur anders? Bisher habe ich da noch nichts erstellt und alles befindet sich an seinem "standard-Ort". habe gelesen, dass das nicht sinnvoll ist. Die neuen OUs erstelle ich in der AD. Z.B Meine Computer und Meine benutzer, verschiebe die Computer und Benutzer dann in meine neuen OUs und die policys verlinke ich auf diese OUs. Wenn ich die neuen OUs in der AD erstellt habe werden sie dann auch im Gruppenrichtlinienverwaltungseditor angezeigt damit ich dort die neuen Policys drauf verlinken kann? Dann könnte ich bei den OUs noch Unterscheiden zu: Win 7 Computer, Win XP Computer und kann die Policys dann nunr auf die OUs verlinken für die sie gelten sollen. Also die Geschichte mit dem Druckerscript soll die Policy nur für die OU Win 7 Computer gelten nicht für die anderen.. Wenn ich es in oberster Instanz machen sprich in der Domain Policy dann gilt diese für alle OUs, richtig? Srry bin echt noch ein purer Anfänger.. :(

OK, vielen dank dafür! Ich habe natürlich nur eine Policy unter Domänen, an der Stelle wo auch die default Domain Policy ist. Ich habe dort eine neue erstellt: Meine neue policy. In dieser Policy wollte ich unter der Computerkonfiguration die Einstellungen ändern! Würde wahrscheinlich nicht funktionieren? Jetzt muss ich unter Meine Computer eine neue Policy erstellen, in der ich die beschriebenen Einstellungen vornehme. Liege ich da richtig? Unter dem Windows Server 2008 liegen die doch unter dem Punkt: My Business - Computers Mit Server meinte ich natürlich den Server auf denen sich die User mit ihren Clients anmelden.

das bedeutet für mich ich sollte es lediglich in der GPO auf dem Server unter der Computerkonfiguration erstellen. Bin mir aber nicht sicher, deshalb frage ich lieber vorher bevor das wieder in einem Chaos endet.

ich habe mir die Frage gestellt, ob ich das auf dem Server in der GPO unter der Computerkonfiguration machen kann. Oder, ob ich das wirklich am Client in der GPO unter Computerkonfiguration machen muss.

Hört sich genau danach an was ich suche. Nochmal zu meinem verständnis: 1. Ich binde über die GPO das Script nochmal ein. 2. In der GPO ändere ich in den Punkt unter: -- Computerkonfiguration/ Richtlinien/ Administrative Vorlagen/ Drucker. Der relevante Punkt ist: “Point-and-Print-Einschränkungen”. wie beschrieben 3. ein GPUPDATE /Force 4. Die Sache läuft!? Mit diesem Punkt: "Und wichtig: Die Gruppenrichtlinie muss auf die Computerkonten der 7-Rechner wirken, nicht auf die Benutzerkonten!" ist gemeint, dass ich es in der GPO des Server unter Computerkonfiguration erstelle und nicht bei der Benutzerkonfiguration oder direkt am Client in der GPO?? (wobei das ja das Gleiche wäre)

kann ich dann auch über den Zielgruppenadressierungseditor festlegen welcher Computer welchen freigegebenen Drcuker als Standarddrucker erhält? Z.B. Drucker a wenn Computername = PC001, PC002 usw.. Wir haben im Netzwerk mehrere Drucker, die ich alle über GPP erstellen müsste aber mit einer Weiche, dass bestimmte Computer bestimmte Standarddrucker erhalten. Schon Erfahrungen mit gesammelt? Klappt das gut? Eventuell auch eine Idee warum das nicht mit meinem Script funktioniert?

Wie kann ich das erstellen? Hast du ein TUT für mich?

Hallo ich habe einen Windows Server 2008, der über GPO bei der Anmeldung 2 Scripte verteilt. Ein Anmeldescript für Netzlaufwerke und ein Script zur Verteilung von Standarddruckern pro Maschine. Die Clients haben ein Windows 7 Pro / 32bit. Das Druckerscript funktioniert nicht. Zwar werden zum Teil die Drucker eingebunden aber ständig werden Fehlermeldungen am Client ausgegeben. So sieht mein Script aus: rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC001 /n\\PC001\HL-2140_PC001 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC002 /n\\server\HL-2150N /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC003 /n\\server\HL-2150N /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC004 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC005 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC006 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC007 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC008 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC009 /n\\server\M3035 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC010 /n\\PC010\HL-2140_PC010 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC011 /n\\PC011\DCP-7030_PC011 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC012 /n\\PC012\HL-2140_PC012 /j"LanMan-Druckdienste" rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC013 /n\\PC013\HL-2140_PC013 /j"LanMan-Druckdienste" Die folgende Fehlermeldung wird u.A. ausgegeben: Pro Maschine Druckverbindungen können nicht hinzugefügt werden. Der serverseitige Druckspoolerdienst wird nicht ausgeführt. Starten sie den Spooler auf dem Server neu. Die Fehlermeldung kann wohl nicht ernst gemeint sein, denn der betroffene Client kann über den Server drucken. Nur taucht diese Meldung im Zyklus von ca. 30 Sek immer wieder auf. Bin mir auch sicher, dass es sehr lange dauert bis die Drucker wirklich eingebunden werden. Habe schonmal sämtliche Foren durchschaut, konnte aber leider keine passende Antwort finden. Habe ich etwas falsch im Script? Wäre über eure Tipps sehr dankbar. Gruß

dachte ich mir auch, sonst würde es bei den anderen 3 Usern auch nicht funktionieren. Ziehe mittlerweile alle Register, da ich wirklich keine Idee mehr habe. Wo könnte man noch nachschauen? Irgendeine Idee?

Ich habe jetzt nochmal nachgeschaut: Also unter Organisationskonfiguration - Hub-Transport -- Akzeptierte Domain --- Domain Eigenschaften ---- Interne Relaydomain Sollte hier nicht schon Extern Relaydomain stehen? Ich habe im Sendeconnector unter SMTP stehen, dass Mails immer über Smarthost gehen!

Ja das haben wir doch getan sonst würden die 3 ja keine Emails bekommen!

Die drei User bei denen es funktioniert sind ja gar nicht im Exchange genau wie der user bei dem es nicht funktioniert. Die 3 senden ihre Mails direkt über den Providerserver, genau wie der eine user bei dem es nicht funktioniert. Empfangen werden die Mails von den 4 usern direkt über POP3 vom Providerserver. Problem ist jetzt, dass die drei user bei denen es funktioniert von internen usern also über den Exchange Server Mails erhalten. Nicht bei dem bei dem es nicht funktioniert. Da bekommt der sendene user, der über den Exchange sendet o.g. Fehlermeldung. An dem Konto des betroffenen Users kann es nicht liegen, da er sonst Mails erhält. Nur eben nicht von diesem Exchange Server, der wiederrum nur über smarthost sendet.

ich habe eigentlich nur unter Exchange Verwaltungskonsole einen SMTP Connector angelegt, einen Namen verpasst, SMTP Adressraum -> Adresse = *, Häkchen gestzt bei Alle Unterdomänen einschließen, unter netzwerk, Mails immer über den Smart Host senden mit Standardauthentifizierung, Benutzernamen und passwort angegeben, sonst nichts. Der einzige Unterschied ist wohl, dass der user bei dem es nicht funktioniert auch nicht in der AD eingetragen ist, da er sich auch nicht am Server anmelden muss. Das ist der einzige Unterschied, der mir bekannt ist. Aber daran kann es doch wohl nicht liegen oder? Denn die User, die ihre Mails direkt vom Provider abholen haben ja auch kein Exchange Postfach und somit ist bei diesen auch nichtsim AD Profil gestempelt worden. Also sollte man doch dafür auch kein User in der AD brauchern oder etwa doch?

Warum funktioniert es aber nur bei einem nicht und bei den anderen 3 schon? Kann ja daran nicht liegen oder? Vlt stehe ich auch grad aufm Schlauch..

rundll32 printui.dll,PrintUIEntry /ga /y /c\\Computer /n\\Computer\Drucker /j"LanMan-Druckdienste" ist die Antwort.

Hallo ich habe einen Microsoft Exchange 2007. Auf diesem sind ein paar wenige Mailkonten eingerichtet zum Zustellen in die AD Userprofile. Nun gibt es 4 Mailaccounts um die sich der MS Exchange nicht kümmern brauch. Damit der Mailverkehr nun auch funktioniert (von AD Usern nach Usern, die nicht in der AD sind) habe ich die Option gewählt, dass der Exchange immer über den Smarthost senden soll. POPCON holt die Mails per POP3 vom Provider und übergibt sie an den Exchange. Jetzt zu meinem Problem: Bei einem dieser Konten, deren user nicht in der AD ist kommt beim Versenden folgende Fehlermeldung: #550 5.7.1 RESOLVER.RST.AuthRequired; authentication required ## die Anderen funktionieren aber egal ob AD User oder nicht. Ich habe dem User auch schonmal von einem ganz anderem Konto eine Mail geschickt, die mit dem Exchange oder der Empfängerdomäne gar nichts zu tun hat, das funktiniert. Also muss es eben ein internes Problem sein. Weiß nicht wo ich noch suchen muss, Google schmeißt viele Antworten raus aber diese passen absolut nicht zu meinem Problem. Noch mal kurz als Bsp. AD User1 sendet nach Nicht AD User1 - o.g. Fehlermeldung Nicht AD User2 sendet an Nicht AD User1 - funktioniert. Die user, die sich nicht in der AD befinden holen ihre Mails direkt beim Provider ab und senden auch über diesen. (pop3, smtp) In der Active Directory wird über SMTP Smarthost an Provider gesendet und Eingang über POPCON POP3. Vielen Dank schonmal.

hallo ich würde gerne in einer Active Directory Computerspeziefische Standarddrucker vergeben. Bsp1. Computer1, Netzwerkdrucker1(192.168.2.22) Bsp2. Computer2, lokaler Drucker(USB) Das Ganze wollte ich per anmeldescript über GPO erzwingen. Mit dem folgenden Scriptcode: für bsp1 rundll32 printui.dll,PrintUIEntry /in /c /n /y \\192.168.2.22 bzw für bsp2 rundll32 printui.dll,PrintUIEntry /in /c /n /y \\Computer1\Druckerfreigabe1 Meine Frage ist wie schreibe ich den Syntax für /c (Computername) /n (Druckername), muss ich den /in verwenden, wenn es lokale drucker über TCPIP oder USB sind oder brauche ich den nur, wenn ich über eine Netzwerkfreigabe drucken möchte? Danke schonmal für eure Hilfe!

Danke schonmal für deine Antwort. Ich habe schon die richtige Lösung gefunden, diese mir auf eine VM gepackt und getestet, funktioniert genau so wie ich es brauche. Die Lösung heißt tatsächlich USB Wächter von tinity. Nur der Admin ist in der Lage irgendwelche USB Geräte zu installieren oder welche vorzudefinieren, die aktzeptiert werden.

Hallo ich habe eine Active Directory mit mehreren Benutzern. Ich möchte, dass die Benutzer aus Datenschutzgründen keine USB Geräte installieren können. DIe Benutzer haben keine lokalen Adminrechte also können sie sich auch nichts installieren. Ich stelle mir die Frage, ob es eine Möglichkeit gibt allen Usern die Installation von sämtlich USB Storages zu verbieten aber dies einen Administrator zu erlauben. Fernerhin stelle ich mir die frage, ob ich das Ganze per GPO, USB Wächte o.ä. realisiere. Habt ihr schon Erfahrungen gemacht mit 3rd Party Software oder per GPO, was wäre Best Practice? Danke schon mal!

Wenn User auf dem Ordner Leserechte haben, dann werden sie diesen auch sehen, es sei denn sie werden gemappt, dann wären sie direkt mit diesen verbunden und könnten die Berechtigungen auch nicht einsehen. Ich stelle mir hierbei die Frage warum in einem anderen Beitrag (ähnlicher Fall wie bei mir) geraten wurde auf die Freigabeberechtigung für jeder Vollzugriff zu vergeben. Es wurde auch davon geschrieben, dass das genau Best Practice wäre. Wenn ich mit jeder Vollzugriff auf Freigabeebene arbeite, dann habe ich genau das Problem, dass die User Berechtigung haben die NTFS Berechtigungen zu ändern. Was ist denn genau Best Practice für die Freigabeberechtigungen? Also ich habe auf die Freigabeberechtigung Jeder nur lesen/ändern gegeben und mit den NTFS Berechtigungen die Unterordner eingestellt. Mit der ABE Funktion werden Unterordner ausgeblendet (das war von dir gemeint Norbert) auf denen User keinen Zugriff haben.

Ich stelle mir jetzt vor in einer großen Datenstruktur einer Firma dies zu erlauben, dann würde es nicht lange dauern bis der eine User sieht, dass ein anderer User auf ein Verzeichnis mehr Rechte hat als er selbst. Das führt, so denke ich, sicher zu ungewünschten Handlungen oder Problemen. Als Bsp: UserA geht dann zu UserB und sagt, lass mich mal darein schauen :) Daher versuche ich das auszuschließen.

Der Vollzugriff ist ja zunächst nur auf die Freigabeberechtigung gesetzt wurden. Nachdem ich den Vollzugriff entfernt habe, konnte der UserA die Berechtigungen selbst nicht mehr ändern. Aber wie kann man die NTFS Berechtigung komplett ändern damit User erst gar nicht sehen welche NTFS Berechtigungen an welche User vergeben wurden? Geht das überhaupt?

Ich habe folgende Ordnerstruktur: Testfreigabe (freigabeberechtigung: Jeder: Vollzugriff) -UnterordnerA (NTFS Berechtigung: Administratoren, System: Vollzugriff; UserA: ??) •Ordner durchsuchen/Datei ausführen: •Ordner auflisten/Daten lesen: •Attribute lesen: •Erweiterte Attribute lesen: •Dateien erstellen/Daten schreiben: •Ordner erstellen/Daten anhängen: •Attribute schreiben: •Erweiterte Attribute schreiben: •Löschen: •Lesen: •Ändern: •Besitz übernehmen: Ziel ist es, dass UserA im UnterordnerA Ordner & Dateien schreiben, durchsuchen verändern, lesen kann. Gebe ich den UserA die Berechtigung: lesen, schreiben usw., dann hat er automatisch die Möglichkeit auch die NTFS Berechtigungen des Ordners zu ändern, das ist natürlich unerwünscht. Gehe ich in die erweiterten Berechtigungen und erteile dem UserA spezielle Berechtigungen, dann erhalte ich nie den Effekt, den ich gerne hätte. UserA soll natürlich nicht in den Eigenschaften des UnterordnerA die NTFS Berechtigungen lesen und schon gar nicht ändern können. Welche Berechtigungen vergebe ich jetzt an UserA? Liegt es eventuell an den Freigabeberechtigung: Jeder: Vollzugriff? Würde mich sehr über eine Hilfestellung freuen. PS: Ich habe in den Freigabeberechtigungen den Vollzugriff für Jeder verändert und nur auf lesen/ändern gesetzt. Nun kann UserA die Berechtigungen nicht mehr verändern nur noch lesen aber dieser kann immer noch den Besitz übernehmen. Habe jetzt folgende NTFS Berechtigungen angewendet: Ordner durchsuchen/Datei ausführen: Ordner auflisten/Daten lesen: Dateien erstellen/Daten schreiben: Ordner erstellen/Daten anhängen: Unterordner und Dateien löschen löschen o.g Berechtigungen werden erlaubt, der Rest wird verweigert. Gibt es eine Möglichkeit die NTFS Berechtigungen für UserA auszublenden und sind meine Berechtigungseinstellungen im Sinne des Erfinders?

Freut mich das du es geschafft hast und jemand auch noch bestätigt, dass das richtig ist. Da mich das auch interessiert frage ich nochmals nach, ob ich das auch verstanden habe: Stammordner (Freigabeberechtigung: Jeder: Vollzugriff) (NTFS Berechtigung: System, Administrator: Vollzugriff) UnterordnerA (Vererbung deaktivieren, NTFS Berechtigung: UserA, lesen/ändern) UserB wird nicht in die NTFS Berechtigung mit aufgenommen und hat somit auch keinen Zugriff auf UnterordnerA. So in Ordnung?