Nummernschild-B

Hallo, danke für die schnelle Rückmeldung! Genau, werde dazu einen neuen Thread ertellen, wobei das kein brennendes Thema darstellt, denn es treten nur Warnhinweisen über abgelaufene Zertifikate und keine Probleme auf. Dieses Thema ist dank der spitzenmäßigen Hilfe erst einmal gelöst. Frohe Weihnachten! Clemens

Hallo, das Problem mit der Zertifikats-Fehlermeldung ist nun beseitigt. Habe dem selbsignierten Exchange-Zertifikat für den internen Sendeconnector den SMTP-Dienst zugewiesen und seitdem ist Ruhe. Außer, dass keine Meldungen auftauchen, hat sich nichts geändert - auch gut. Bei den Zertifikaten muss generell mal aufgeräumt werden, denn es befinden sich gut und gerne 6 Stück abgelaufene Exemplare im Ordner; selbsignierte wie auch extern zugekaufte. Aus Vorsicht, mehr Schaden als Nutzen anzurichten, habe ich nur immer neue Zertifikate eingebunden und die abgelaufenen nicht gelöscht. Unter anderem wegen Antworten wie dieser hier: Zitat zu finden unter:https://administrator.de/forum/abgelaufenes-exchange-2016-zertifikat-laesst-sich-nicht-loeschen-666300.html Aber das weicht wohl vom eigentlichen Thema ab und benötigt eher einen eigenen Thread. Die Sache mit dem Journalpostfach werde ich nochmal überdenken und optimieren, denn so ganz gefällt mir das auch nicht. Wahrscheinlich muss ich mich mal mehr mit den Archivierungsoptionen auseinandersetzen. vorweihnachtliche Grüße Clemens

Guten Morgen, die Erweiterung der virtuellen Festplatten im laufenden Betrieb hat einwandfrei funktioniert. Die Befürchtungen, dass insbesondere das Laufwerk mit den Datenbanken Schaden erleidet, war unbegründet. Habe zur Sicherheit vorher noch ein Backup mit der Windows Serversicherung gemacht - man weiß ja nie. Nun laufen die eigentlichen Backups endlich wieder konsitent durch und im ALTARO ist alles grün und der Exchange-Writer steht auf >Stabil<. Der Grund war vermutlich, dass die freien 45GB der 300GB-Platte für die Datenbanken einfach nicht mehr ausreichten, um einen Prüfpunkt / Schattenkopie für die VSS-Sicherung zu erstellen. Schön zu sehen, wie die Zahl der Fehler-Logs so langsam wieder zurückgeht! Im Prinzip ist jetzt nur noch der Zertifikatsfehler relevant, doch der wird auch noch in den Griff zu bekommen sein. Sollte gar nichts mehr helfen, muss das Zertifikat eben neu erstellt werden - obwohl es noch gültig ist. Für das Journalpostfach habe ich nun eine eigene Aufbewahrungsregel erstellt, obwohl ich eigentlich nicht möchte, dass dort automatische Löschungen stattfinden. Das Postfach dient quasi als Sammelkopie unseres gesamten Mailverkehrs und es kam schon mehrfach vor, dass genau die eine wichtige, vor Tagen versehentlich gelöschte Mail, nur dort noch gefunden und wiederhergestellt werden konnte. Daher finde ich es nicht so toll, wenn das System dort eigenmächtig herumpfuscht und ungefragt Mails löscht. Werde es trotzdem mal ausprobieren. Fazit also bis jetzt: - Die Neuverteilung der Host-Ressourcen hat schon zu einer spürbaren Verbesserung geführt. - Die Änderung der Virenscan-Tasks war ebenfalls günstig. - Das Leeren des übergelaufenen Journalpostfachs hat beim Exchange den Durchbruch gebracht. - Durch das Erweitern der virtuellen Festplattenkapazitäten der Exchange- und Datenbank-Laufwerke laufen die Backups wieder ordnungsgemäß. Somit ist anzunehmen, dass die gesamte Kombination der Misstände zur Verlangsamung des Gesamtsystems geführt hat und die Probleme auf dem Exchange auf die anderen VMs zurückgewirkt haben. Grüße Clemens

Guten Morgen, hier eine kurze Zwischenmeldung zum gegenwärtigen Stand. Habe die Ressourcenverteilung auf dem Host gemäß einer leicht abgewandelten Empfehlung von NilsK überarbeitet. Angesichts der dürftigen Ausstattung ist es so wie mit einer zu kurzen Bettdecke - entweder fehlt es oben oder unten. Der Exchange hat nun 32GB, was laut Rückstauüberprüfung immer noch gerade so an der Grenze ist, aber schon spürbare Verbesserungen bringt. Dafür muss sich der DC / Fileserver nun mit mageren 6GB begnügen, was auf der VM zu 90% Speicherauslastung führt, aber gefühlt ausreicht. Die Prozessorverteilung funktioniert auch ganz gut, lediglich beim Exchange könnte es natürlich noch etwas mehr sein. Weiterhin habe ich Häufigkeit die Virenprüfung der Daten reduziert, was auch noch etwas gebracht hat. Danke also nochmal für die Tipps! Außerdem war das Journalpostfach auf dem Exchange vollgelaufen, was zu entsprechenden Fehlermeldungen geführt hat. Normalerweise leere ich das regelmäßig, doch da der Fokus in der vergangenen Tagen auf der Fehlersuche lag, habe ich das vernachlässigt. Vermutlich war auch das ein Grund, warum der Exchange so langsam war. Nun sind hier nur noch die Fehlermeldungen 12014 und 12035 bezüglich des nicht auffindbaren (aber gültig vorhandenen) Zertifikates für den internen Sendeconnector zu tilgen. Und natürlich noch der geringe Speicherplatz der Partitionen für den eigentlichen Exchange und der Mailboxen. Da gibt es zum Glück kein so enges Limit auf dem Host - je 100GB sind noch drin. Laut meiner Info kann man das bei einer .vhdx auch im laufenden Betrieb machen, oder sollte man die VM besser herunterfahren? Grüße Clemens

Guten Morgen, danke nochmal für die Unterstützung. Heute früh läuft das System einigermaßen flüssig, ohne dass etwas geändert wurde (bin am Wochendene nicht dazu gekommen). Wird aber noch gemacht; werde berichten. Grüße Clemens

Danke, werde ich mal versuchen.

Hallo, danke für die schnellen Antworten - Sptizenforum hier! @ testperson: Der Host befindet sich im Büro und die PCs greifen entweder direkt oder über VPN darauf zu. Arbeite ich im Homeoffice, dann geife ich auf meinen PC über VPN/RDP zu, welcher sich dann wiederum direkt im Büronetz befindet. Gerade bei speicher- und grafikintensiven CAD-Anwendungen hat sich das bestens bewährt. Bei einem direkten Zugriff auf die VM über den Host gibt es keinen Unterschied zum RDP-Zugriff vom Büro-PC , bzw. VPN aus. Auch ein Versuch große Datenmengen innerhalb der VM von einem Laufwerk auf ein anderes läuft ähnlich langsam wie über das Netz. Ein NIC-Team ist nicht konfiguriert. @ NilsK: Danke für die Hinweise, werde ich so versuchen, wollte das RAM eh neu verteilen.

Hallo, Hostprozessor: Xeon E3-1230v6; 4 Core, 8 Threads DC: 6 Prozessoren zugeordnet Fileserver: 4 Prozessoren Datenbank: 4 Prozessoren Exchange: 4 Prozessoren Die Einstellungen zur Gewichtung wurden nicht verändert. Grüße Clemens

Guten Morgen, danke für die Antworten. Wie es der Zufall will, läuft das System heute früh erst einmal weitgehend flüssig, so wie es an Freitagen immer (in den vergangenen 4 Wochen) ist. Besonders schlimm ist es Montag morgen, also könnte es an eingestellten Prozessen liegen, wobei auch hier keine Veränderungen vorgenommen wurden. Der Virenscan läuft jeden Tag zur gleichen Zeit, auch Sicherungen, etc. starten dann, wann sie immer starten. Der Hinweis mit den Energieeinstellungen ist gut; der Host war tatsächlich auf Ausbalanciert eingestellt - wie vermutlich seit 6 Jahren schon. Habe trotzdem mal auf Höchtsleistung umgestellt, mal sehen, ob's was bringt. Am, bzw. im BIOS war ich seit dem letzten Festplattenchrash vor 2 Jahren nicht mehr, wie ich am Host generell so wenig wie möglich hantiere. Dazu gehört das turnusmäßige Wechseln der Sicherungsfestplatten und ab- und an mal ein Update. Die Treiber der Netzwerkkarten sind demzufolge nicht mehr aktuell, aber ob es daran liegen könnte? Möglich ist alles, werde ich bei genügend zeitlichem Freiraum mal aktualisieren. Das Eventlog gibt hauptsächlich nichtssagende Informationen aus, die zwar stetig, aber eben auch seit Jahren auftreten. Interessant ist allerdings folgende Fehlermeldung, die gehäuft seit Ende Oktober zu finden ist - weit davor allerdings auch schon: Die Beschreibung für die Ereignis-ID "3280" aus der Quelle "Microsoft-Windows-Hyper-V-Worker" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren. Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden. Die folgenden Informationen wurden mit dem Ereignis gespeichert: TEXC1_V2 AB9ABAC4-157A-4FAE-BAAB-47744094F158 %%2147754996 0x800423F4 Die gebietsschemaspezifische Ressource für die gewünschte Meldung ist nicht vorhanden Auslöser ist der Exchange mit seinem zu beinahe 100% ausgelastetem Speicher. In dessen Log gibt es einiges zu lesen, doch das wäre wohl ein anderes Thema. Oder könnte es sein, dass der ausgelastete Exchange auf die anderen VMs zurückwirkt? Könnte ihn am Wochenende mal vom Netz nehmen und dann testen, ob der Rest flüssiger läuft. Werde berichten. Die Speicherkonfiguration des DC mit 12GB erklärt sich daher, dass wir zu Anfang nur 2 Serverlizenzen hatten und der DC auch als Fileserver laufen musste. Hat sich bis jetzt so beibehalten, ist aber derzeit - seit 1 Jahr- in der Umstellung. Nach Abschluss wird der Speicher neu verteilt. Grüße Clemens Ach so, habe den Hinweis auf den Virenscanner erst jetzt gelesen. Hatte ich schon getestet und komplett abgeschaltet, soweit wie das bei Gravity Zone möglich ist. Brachte aber keine Veränderung, wobei ich sagen muss, dass auf dem Host selbst nur der Windwos Defender läuft, da mir der Eingriff des Bitdefenders ins System zu umfangreich erscheint. Danke und Grüße Clemens

Hallo, seit Beginn des Monats November hat unser System mit einem merkwürdigen Problem zu kämpfen. Zuerst die ganz groben Eckdaten: Hyper-V-Host Server 2016 Standard mit 1 Prozessor und 64GB Ram (zu wenig, aber bisher kein Problem) 4x VM Server 2016 Standard DC mit 12GB Fileserver mit 8 GB Datenbankserver mit 12 GB Exchange mit 20 GB Virenscanner Bitdefender Gravity Zone. Systemsicherung Altaro VM Backup Wie schon erwähnt, ist die Speicherkonfiguration absolut unterdimensioniert, aber das sollte wohl nicht die Ursache des Problems sein, denn so läuft das Ganze schon seit 6 Jahren. Natürlich sind damit keine Geschwindigkeitsrekorde zu knacken, aber Beschwerden über besondere Trägheit gab es bislang nicht. Seit gut 3 Wochen ist es allerdings so, dass sämtliche RDP-Zugriffe auf die VMs häufig nur im Zeitlupentempo ablaufen; ebenso benötigen Datenübertagungen mitunter eine Ewigkeit. Direkte Fehler gibt es nicht, doch alles ist quälend langsam. Die Prozessor- und Speicherauslastungen der einzelnen VMs geben keine Hinweise auf hohe Auslastung – bis auf den Exchange, der mit seinen 20GB schon deutlich an der Auslastungsgrenze angekommen ist. Im Prinzip ähnelt es dem hier beschriebenen Update-Fehler: probleme-mit-update-kb5041578 wobei es sich eben nicht um Server 2019 handelt und auch der zeitliche Bezug zum August fehlt. Auch wurden Anfang November 2024 keine Updates eingespielt, so dass es daran vermutlich nicht liegen kann. Eine Prüfung der VMs und des Host mit dem aktuellen mscert, ergibt während des Scanvorgangs zwar Funde im 1-stelligen Bereich, allerdings wird am Ende der Prüfung alles als grün und ohne Fund ausgegeben. Dieses Verhalten von mscert soll laut Internetrecherche so in Ordnung sein. Demnach kommt Malware (z.B. CPU-Mining) wohl nicht in Frage und so langsam gehen mir die Ideen aus, woran es liegen könnte Es betrifft es nur die VMs; der Host selbst zeigt dieses Verhalten nicht und läuft einwandfrei. Im RAID-Controller werden keine Fehler hinsichtlich Festplattendefekt angezeigt. Ein Neustart des gesamten Systems brachte keine Veränderung. Mitunter läuft auch alles ohne erkennbaren Grund für eine gewisse Zeit wieder ganz normal, um dann ebenso plötzlich in den Schlafmodus zu fallen. Manchmal ist es beim Arbeitsplatzechner ja so, dass eine defekte, oder nicht richtig eigesteckte USB-Festplatte / Speicherkarte oder eine fehlerhafte Netzwerkleitung ein beinahe identisches Verhalten hervorruft, allerdings ist bei den VMs ja physisch nichts angesteckt. Um auch das auszuschließen, habe ich die über USB an den Host angesteckten externen Sicherungsfestplatten deaktviert und abgesteckt - ohne Veränderung -. Langsam gehen mir die Ideen aus, woran es liegen könnte…. Danke für Antworten und Grüße Clemens

Richtig, offline nur durch Anmeldung mit Admin-Rechten über die der externe Mitarbeiter aber nicht verfügt.

@NorbertFe: Danke, dann ist die Frage ja beantwortet, nur konnte ich oben mit >Ja, nein< nicht soviel anfangen, bzw. habe es wohl nicht richtig interpretiert. @testperson: Ja, Punkt 1 ist richtig, die Richtlinie soll einmal angewandt werden und dann bis auf Widerruf auch offline dauerhaft gültig sein. @NilsK: Das ist richtig, meine Kenntnisse von Gruppenrichtlinen bewegen sich derzeit noch auf unterstem Niveau, wobei ich die beabsichtigten Einstellungen schon gut konfigurieren konnte und die damit versorgten Rechner auch so funktonieren wie gewünscht. Nur bei der Frage, ob die Einstellungen auch bei offline genutzen Domänenrechnern dauerhaft wirksam bleiben, war ich mir unsicher. Danke auch für die Links - das klärt auch Fragen, welche ich noch nicht gestellt habe. Der Ordnung halber noch für mich mal zusammengefasst: Die durch eine Domäne verteilte GPO wird während der Verteilung dauerhaft auf dem Clientrechner gespeichert. Sie ist somit auch öffline unbegrenzt wirksam, es sei denn, sie wird aktiv und bewusst durch eine andere GPO ersetzt. Die Frage ist hiermit beantwortet und das Thema kann geschlossen werden.

Ja, das habe ich natürlich schon versucht, aber da die Einstellungen in den GPOs identisch sind, ist auch das Ergebnis gleich. Klar könnte ich eine der GPOs ändern, selbst weiter forschen und dann davon ausgehen, dass es irgendwie läuft. Eine Abfrage zur Anwendung der GPO mit gpresult/r klappt nicht, da die Nutzung, bzw. Nichtnutzung von cmd/powershell einen Teil der Restriktionen darstellt. Insofern war/ist es auch umständlich, bzw. mehrmaligem An- und Abmelden verbunden, eine lokale GPO wie gewünscht anzupassen. Da dachte ich, das ich mit der Frage die Sache etwas beschleunigen könnte und vielleicht noch die ein- oder andere Hintergrundinfo erhielte, warum es so oder so funktioniert. Stichwort "best practice, etc." Trotzdem danke für die Antwort, dann werde ich mal weiter testen... Sollte ich zu einem verwertbaren Ergebnis kommen, werde ich es mitteilen. Grüße Clemens

Hallo, hier eine vielleicht etwas naive Frage zur Wirksamkeit einer GPO, welche in einer Domäne verteilt wurde - die vorherige Suche hat mich hierzu nicht viel schlauer gemacht. Oder ich habe falsch gesucht. Für einen neuen externen Mitarbeiter wurde im Büro ein Laptop eingerichtet, welches über die Domäne eine, für diese Nutzergruppe gedachte GPO empfangen hat. In der Domäne funktionieren alle Einstellungen perfekt, doch wie sieht es aus, wenn die Anmeldung am Laptop extern erfolgt, entweder über VPN (hier Anmeldung vor Tunnelaufbau), oder gänzlich ohne Verbindung zur Firma (privat, etc.). Sind dann die Einstellungen der Domänen-GOP auch noch wirksam, oder wird dann die lokale GPO angewandt? Momentan gehe ich von letzterem aus und habe die entsprechenden Resitriktionen auch noch einmal in einer GPO für Nicht-Admins angelegt. Aber vielleicht muss man sich diese Arbeit nicht machen und es funktioniert wie gewünscht? Danke für etwaige Antworten Clemens

Hallo, das dachte ich mir schon. Unsere Daten sind ohnehin mit Berechtigungen versehen, das sollte schon dann schon passen. Dann werde ich noch einen spezielles Praktikantenverzeichnis anlegen und nur auf das gibt es Zugriff, die Einstellung des Rechners wird dann eben wie bisher auch gehandhabt. Habe den Beitrag als gelöst markiert. Danke Clemens

Guten Morgen, erst mal danke für die Antworten. Wahrscheinlich konnte ich das Problem nicht klar rüber bringen, deshalb noch mal: In den kommenden Tagen arbeitet bei uns ein Student zur Probe. Das Arbeitsgerät ist ein normaler Arbeitsplatzrechner mit vollem Anschluss an das Firmennetzwerk, einen anderen haben wir nicht zur Verfügung. Da wir den Herrn nicht kennen, wissen wir auch nicht, inwiewiet er sich mit IT auskennt. Es könnte ja möglich sein, dass er darin recht fit ist, und neben der eigentlichen Aufgabe im Internet surft, ein bisschen im Firmennetzt stöbert, die Eingabeaufforderung testet, ein paar CMDLETS absetzt, u.s.w. - Möglichkeiten gibt es viele. Natürlich soll man niemanden von vornherein Böses zutrauen, aber sicher ist sicher. Wäre ungünstig, wenn man im Nachhinein feststellen muss, dass ein paar Daten fehlen, oder gar welche hinzugekommen sind. Daher soll er bei Einwahl mit dem Praktikanten-Profil einen Rechner vorfinden, der außer der Erledigung der eigentlichen Arbeit keine weiteren Funktionen zulässt, auf dem sich also auch keine Verknüpfungen anlegen, Eingaben oder sonstige Veränderungen tätigen lassen. Wenn auf dem Desktop des Praktikanten z.B. eine neue Verknüpfungen angelegt werden muss, dann nur mit höheren Rechten. Dabei ist die Verknüfung auf dem Desktop nur als Beispiel zu verstehen um deutlich zu machen, worum es mir geht. Nämlich darum, ein stark eingeschränktes Nutzerprofil auch vom Erscheinungsbild her direkt auf dem Zielrechner so einzurichten, wie es der Nutzer vorfinden soll. Also quasi per Befehl und ohne neue Anmeldung alle Sperren lösen und dann z.B. optisch oder anderweitig anpassen. So als hätte das eingeschränkte Nutzerprofil dann Admin-Rechte, ohne Admin zu sein. Nach Abschluss der Einrichtungen würden die Rechte mit einem Klick entzogen und der beispielhafte Desktop mit der nun neuen Verknüpfung wieder festgefroren. Natürlich wird diese Einrichtung von einem Mitarbeiter vorgenommen und nicht von dem Nutzer (im konkreten Beispiel der Praktikant) der an dem Rechner arbeiten soll. Meines Erachtes funktioniert das mit den herkömmlichen Werkzeugen so nicht, dazu bräuchte es eine Funktion die ungefähr so lauten müsste: "Nutzerprofil direkt mit höheren Rechten bearbeiten". Nach Eingabe der entsprechenden Anmeldedaten eines höherwertigen Profils (z.B. Admin) würden dessen Rechte übernommen, die Anmeldesitzung bliebe aber die gleiche. Diese Funktion müsste auch ein automatisches gpupdate /force beinhalten, um die GPO-Einschränkungen vorübergehend aufzuheben. Den dankenswert zahlreichen Antworten entnehme ich aber, dass es eine solche Funktion nicht gibt und damit ist meine Frage im Prinzip auch beantwortet und ich brauche nicht mehr weiter danach zu suchen. Danke und Grüße Clemens

Hallo Nils, danke für die Antwort, dachte ich mir schon, dass ich es etwas unpräzise beschrieben habe. Daher noch ein Versuch. Wenn ich mich als Nutzer (Praktikant im konkreten Beispiel) an einem Domänenrechner anmelde, sehe ich dort ordnungsgemäß nur die Oberfläche / die Einstellungen, die per AD/GPO für dieses Benutzerprofil vorgesehen sind. Nun soll z.B. eine neue Verkünfung mit einem Netzwerkordner in der rechten oberen Ecke auf dem Desktop platziert werden. (Die entsprechenden NTFS-Berechtigungen sind gesetzt - hat zwar mit der GPO nicht zu tun, ist aber der Ordnung halber erwähnt.) Da ich als angemeldeter Praktikant die Netzwerkstruktur nicht sehen kann und mir auch die entsprechenden Befehle samt CLI/Powershell nicht zur Verfügung stehen, bzw. nicht aufzurufen sind, ist es schwer, die gewünschte Verknüpfung zu erstellen. Ebenso kann ich das Konto nicht zum lokalen Adminstrator machen und mich dann neu anmelden, da die Rechte gemäß Einstellung dafür fehlen. Gleich als Admin anmelden nützt auch wenig, denn dann sehe ich den Desktop und das Profil des Admin und nicht das des Praktikanten, um welches es ja geht. Also wäre es gut, ein Benutzerprofil während einer Anmeldesitzung mit höheren Rechten versehen zu können, so wie es beim Ausführen von Dateien ->als Administrator möglich ist. Oder auch wie bei der Installation von Programmen, wofür man sich per Eingabemaske als Domänen-Admin anmelden kann/muss. Um beim Beispiel der Desktopsymbole zu bleiben, wäre es mit meinem Kenntisstand derzeit nur möglich, diese in der GPO festzulegen und per gpupdate /force schnell zuzuweisen, wobei das allerdings auch nicht klappt, da das Praktikantenprofil keine Konsolenbefehle ausführen kann. Oder den Praktikanten im AD zum Admin machen, neu anmelden, die Änderungen vornehmen, den Praktikanten im AD wieder herunterstufen, neu anmelden. Ist das korrekt, oder gibt es eine elegantere Möglichkeit? Wie schon versucht mitzuteilen, es geht nicht darum, das Ziel zu erreichen, sondern nur um den besten Weg dahin. Meiner Meinung nach fehlt in Windows die Funktion, sich mit höheren Rechten an einem reglementierten Benutzerprofil anmelden zu können. Ich hoffe das war jetzt etwas verständlicher. Grüße Clemens

Hallo, hier eine Frage, zu welcher ich bei der bisherigen Internetrecherche keine rechte Lösung gefunden habe. Vielleicht habe ich auch nicht richtig gesucht, wäre auch möglich. Folgendes Problem - Windows-Domäne, Server 2016, Client Win10: Bei der Einrichtung eines Domänen-Rechners für Praktikanten werden ja diverse Einstellungen im AD / GPO für das jeweilige Benutzerprofil und den PC vorgenommen. Das Ergebnis ist ein Rechner, auf dem sich zwar die vorgesehenen Arbeiten ausführen lassen, der darüber hinaus aber keine weiteren Einstellungen, oder gar Netzwerkzugriffe, zulässt. Soweit die Theorie. In der Praxis gestaltet sich die Sache aus meiner Sicht etwas komplizierter, denn schon bei der Einrichtung der Benutzeroberfläche als eingewählter Praktikant scheitere ich daran, einen Netzwerkordner auf dem Desktop zu verlinken, denn es fehlen dafür ja logischer Weise jegliche Rechte. Und ich möchte den Rechner natürlich gern so einrichten, wie der spätere Nutzer später daran arbeiten soll, also alle Links auf dem Desktop auch an die richtige Stelle schieben, etc.. Eine Anmeldung als Admin ist dabei nicht zielführend, denn das Admin-Konto / der Admin-Desktop sollen ja nicht bearbeitet werden. Natürlich könnte ich während der Einrichtung das Praktikanten-Profil im AD temporär in die Admin-Gruppe schieben, doch scheint mir das eine Lösung der 2. Wahl zu sein. Daher die Frage: Ist es möglich, sich als Praktikant mit Admin-Rechten anzumelden, bzw. kurzfristig Admin-Reche zu erlangen? Damit meine ich nicht das Ausführen von Dateien mit Admin-Rechten - dass funktioniert auch so, sondern das erste und auch nachträgliche Einrichten der Benutzeroberfläche mit Desktopsymbolen, Netzwerkordnern, usw., indem man direkt vor dem Rechner sitzt. Vermutlich kenne ich mich Gruppenrichtlinien noch nicht so detailliert aus und es lässt sich alles darüber regeln, doch vielleicht gibt es noch andere Tipps. Ich hoffe das einigermaßen verständlich beschrieben zu haben. Für etwaige Antworten vielen Dank. Clemens