jarazul

Das gilt nicht für AD RMS. Diese Daten sind über ein Public Key Verfahren verschlüsselt. Der DRA Serviceaccount muss auch nicht von einem Admin abgebildet werden. Hochsensible Daten werden oft durch den Einsatz eines Kontos geschützt, das voraussetzt, dass zwei User notwendig sind für eine Authentifizierung / Authorisierung. Es gibt genügend Unternehmen, die genau solche Anforderungen haben müssen und diese auch umsetzen. Diese vertrauen die ganz heiklen Daten auch keinem Admin an :)

Mittels ADRMS bzw. EFS (not preferred) kann bei vorhandenem Rechte Modell ein Administrator administrieren ohne Zugriff auf die geschützten Dokumente zu haben. Es können aber nicht alle Filetypen geschützt werden. AD RMS Supported Files - Active Directory Rights Management Services - AD RMS - Site Home - MSDN Blogs Ein Dienstkonto das analog zu einem DRA (Data Recovery Agent) die Files im Notfall natürlich öffnen sollte, ist vielleicht ebenso notwendig wie ein Dienstkonto zum Backup / Restore. Auch Lösungen die heikle Files in ein Archiv-System aufnehmen (inkl. Retention Policies etc) und mit Berechtigungen des Archiv-Systems vor Admins / unerwünschten Personen schützen, habe ich schon im Einsatz gesehen. Und nein, nur weil jemand "Admin" ist (welche Rolle ist das bei der Definition eigt), muss diese Person nicht immer Zugriff auf alles bekommen bzw. die Möglichkeit haben sich diesen Zugriff zu beschaffen. Ebenso, wie ein Vorredner anmerkte, kann auch der Einsatz von organisatorischen Richtlinien sinnvoll sein. Nach dem Motto "Vertrauen ist gut, Kontrolle ist besser" sollte aber auch ein geeigneter technologischer Schutz auf Basis von den Anforderungen (wie lauten die eigt genau) umgesetzt werden.

You're welcome! Das /rearm könntest du wahrscheinlich sogar weglassen. Wie du aber gemerkt hast, bringt es nichts durcheinander. viel Spaß beim deployen cheers, Daniel

Stimmt, das wäre optimaler :)

Hol mich bitte ab, versteh grad net was du meinst. cheers, Daniel

Per Loopback Processing auf der OU der Notebooks. In der GPO kann dann User-based Konfiguration vorgenommen werden, und die Maschinen verarbeiten diese dann. Wird z.b in VDI Umgebungen ebenfalls so gemacht. - User OU - Users (Mit GPO Folder Redirection an) - Workstation OU - PCs - Notebooks (Mit Loopback GPO Folder Redirection disabled) Aber dann doch noch mal einen Schritt zurück. Warum möchtest du das denn so? Welchen Nachteil hast du, wenn die Ordnerumleitung auf Notebooks UND PCs eingerichtet ist? Genau für diesen Zweck, Zugriff auf Daten unabhängig vom zugreifenden Gerät wurden die Folder Redirection Policies ja unter anderem entwickelt :)

Du erwartest professionellem Support aus einem professionellen Forum. Die Fragestellungen die du erwähntest sollten dich auf folgenden Punkt lenken: In einer professionellen Umgebung müsste entweder an den Anforderungen oder an der Umgebung selbst gedreht werden. Wenn du (ihr) beides nicht möchtet, dann sollte der Thread allerdings geschlossen werden. cheers, Daniel

Das gilt aber nur für die ConfigMgr 2012 Version. Die ist derzeit noch RC2. Die offiziell verfügbare ConfigMgr 2007 (alle Versionen) ist nur in 32bit verfügbar. cheers, Daniel

Du kannst davon ausgehen, dass es oftmals nicht die beste Entscheidung ist, die gleiche Anforderungen parallel über zwei verschiedene Settings umzusetzen. Das führt zu Fehlern und du kannst nicht sicher nachstellen, welche Quelle zu diesem Fehler führt. Wie von Oliver schon angemerk, prüfe die Verzeichnisse auf ordnungsgemäßge Berechtigungen. Da du einen Terminalserver einsetzt, kannst du auch den Reiter Remotedesktopdienstprofil (o.ä) nutzen. Dieser wird unabhängig von dem vielleicht vorhandenen Servergespeicherten Profil betrachtet. Deine Doings: - Check der Berechtigungen (NTFS / Share) - GPO aus Wirkungsbereich entfernen - im Userprofil unter Remotedesktopdienstprofil den Pfad zum Profil angeben - Testen - Bei Fehler das Eventlog konsultieren cheers, Daniel

Schon das Isolieren des Druckertreibers testweise konfiguriert? What's New in Print and Document Services in Windows Server 2008 R2

Da Office, wie viele andere Microsoft Anwendungen, per zugreifendem Gerät lizensiert wird, ist die Anzahl der benötigten Lizenzen die selbe. Pro zugreifendem Gerät eine. Wenn du es über Volumenlizenz lizensierst, erhältst du, AFAIR, das Recht: - für eine Instanz auf einem Terminaldienstbasiertem Service (RDS, Citrix...) - eine auf der Workstation - + auf dem Notebook des Hauptusers der Workstation Du kannst natürlich auf einem Terminalserver das Office entweder per MSI installieren oder als APP-V Package bereitstellen. Die benötigten APP-V Lizenzen sind gesondert zu erwerben bzw. Bestandteil der 2008 TS / 2008 R2 RDS Cals.

Wenn "wichtige" Daten von lokalen Geräten recovert werden müssen, liegt das Problem wahrscheinlich eher am Konzept der lokalen Datenhaltung (grusel) als an der SSD selbst.

Diese Klausel ist, wenn sie so formuliert ist, unwirksam. Quelle: Überstunden sind mit dem Gehalt abgegolten - Arbeitsrecht.org

Mach bitte Screenshots von dem Rechtsklick und der Taskleiste selbst.

Während das Programm läuft, rechten Mausklick auf das Symbol in der Taskleiste. Steht dort Unpin this program from Taskbar oder Pin this programm to taskbar.

Das Programm bleibt nur in der Taskleiste "stehen", wenn das Programm zuvor an die Taskleiste angepinnt wurde. Das Symbol des Programms bleibt dann immer in der Taskleiste, egal ob es gerade ausgeführt wird oder nicht. Wird hingegen ein Programm aus dem Startmenü oder von sonst wo aufgerufen, und dieses Programm ist nicht an die Taskleiste angepinnt, dann verschwindet es beim Schließen auch wieder. cheers, Daniel

Im Consulting-Geschäft wo Projektarbeit die Regel ist, wird eine ergebnisorientierte Arbeitsweise erwünscht. Die Arbeitszeit (Netto) beträgt i.d.R 40h, wenn mehr erforderlich ist, dann wird dies geleistet + in Rechnung gestellt und dem Stundenkonto angerechnet. Da der Kunde naturgemäß nicht immer am Wohnort sitzt, kommt die An- und Abreise hinzu. Dies gilt als Arbeitszeit und wird ebenfalls auf das Stundenkonto angerechnet. Im Schnitt komme ich in etwa auf 50h / Woche. cheers, Daniel

Und du behältst Recht mit deiner Vermutung. In dem verlinkten Thread wird auf ein Tutorial verwiesen. Deploying Windows 7 - Part 5: MDT 2010 Enhancements Dies wäre der passende Artikel. Wie in dem Thread schon beschrieben, am besten alles lesen und gleich testen. cheers, Daniel

Ich würde in etwa so vorgehen: Mittels GPMC (auf XP / 2003 installiert) ein GPO für die XP Clients erstellen. In diesem GPO unter Computer Config > Admin Templates > Netzwerk > Netzwerkverbindungen > Windows Firewall > PROFIL > Eingehende Remoteverwaltungsausnahme zulassen Mittels RSAT (auf Win 7 installiert) ein GPO für die Win 7 Client erstellen. In diesem GPO unter Computer Config > Sicherheitseinstellungen > Win Firewall mit erw. Sicherheit > Eingehende Regeln > Windows-Verwaltungsinstrumentation cheers, Daniel

Warum aktivierst du den Rechner der als Referenz-Image dient?

Richtig. Du kannst deine vorhandenen Antwortdateien mittels MDT hinterlegen.

MDT ist kein Produkt das WDS ersetzt. MDT ergänzt den WDS um einige sehr interessante Features. MDT erzählt dem Boot Image das im WDS eingebunden ist, dass es den MDT zur Verwaltung benutzen soll. Die gesamte Logik hängt dann beim MDT. WDS ist nur ein Transportweg. cheers, Daniel

"Nur Treiber" wäre nur mit Umstand möglich. Wieso nicht den gesamten OS Deployment Prozess mittels MDT realisieren? Wenn du schon ein aufgezeichnetes Referenzimage hast, bindest du das ein. Nutzt die Tasksequenz um dies zu verteilen und mittels Driver-Management stellst du die passenden Treiber bereit. Lesestoff: MDT 2010 New Feature #19: Improved Driver Management - Michael Niehaus' Windows and Office deployment ramblings - Site Home - TechNet Blogs Deploying Windows 7 - Part 26: Managing Drivers – By Make and Model Aus dem Tutorial von Mitch am besten alles lesen. cheers, Daniel

Das Startmenü komplett löschen (z.b per Computer GPP) und mittels GPP und Item Level Targeting userbasiert Startmenu-Links erstellen.

Genau, das hat mich auch immer ein wenig schmunzeln lassen. Wenn ich einmal die physische Kontrolle über das System verloren haben (Diebstahl), dann ist das System sowieso kompromittiert.