kaineanung 14 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Hallo Leute, wir installieren heir gerade probeweise Windows 8 für unsere Firmendomäne. Nun habe ich ein Problem bemerkt: wenn ich die Benutzerkontensteuerung (UAC) komplett herunterdrehe, kann ich die Foto-App (wahrscheinlich auch andere Apps oder alle Apps) nicht mehr benutzen. Wenn ich die UAC nicht deaktiviere, dann kann ich das zwar benutzen, aber unsere Logon-Scripte verlangen bei der Benutzeranmeldung dauernd Benutzereingaben die erlauben sollen das Registry-Einträge erlaubt werden. Wir haben leider noch nicht die Möglichkeit auf die Logon-Scripte zu verzichten. Somit habe ich hier nun ein kleines Dilemma.... Übrigens: es hat nicht gereicht die UAC herunterzudrehen in der Benutzerkontensteuerung per Regler, ich musste auch in der Registry (LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Policies->System) "EnableLUA" auf 0 setzen. Ich muss nicht die Apps der Metro-Oberfläche benutzen, jedoch will dadurch auch z.B. mein JPEG für den Startscreen nicht akzeptiert werden (komischerweise aber bei einem anderen JPEG geht das doch?!?!?).... Weiß jemand Rat? Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Wenn ich die UAC nicht deaktiviere, dann kann ich das zwar benutzen, aber unsere Logon-Scripte verlangen bei der Benutzeranmeldung dauernd Benutzereingaben die erlauben sollen das Registry-Einträge erlaubt werden. Wir haben leider noch nicht die Möglichkeit auf die Logon-Scripte zu verzichten. Somit habe ich hier nun ein kleines Dilemma.... Aha, warum habt ihr da keine Möglichkeit? Ich denke ihr arbeitet in einer Domäne? Somit sind GPP und GPO im Allgemeinen doch eine sehr schöne Möglichkeit. Bye Norbert Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Ich weiß das ich hier immer 'zusammengefaltet' werde wenn unsere begrenzte Möglichkeiten hier offenkundig werden. Aber es ist nunmal so: wir haben noch einen alten Windwos 2003 AD im Einstaz. Warum auch immer: mit dem funktioniert GPO zu 70% nicht. Sprich von 10 GPO-Einstellungen greifen lediglic 3 und der rest wird komischerweise ignoeriert. Ich habe mir sagen lassen daß das mit Windows 2003 AD und unserer IT-Landschaft (XP, Windows 7 und jetzt windows 8) problematisch sei und wir doch auf mindestens AD 2008 umsteigen sollten. Dazu fehlen uns jedoch momentan einfach die Ressourcen da wir nur zu Dritt sind und gerade erst ein ERP-Umstieg hinter uns haben und wir erst jetzt die Investitionen für das laufende Jahr erledigen (daher auch die Windows 8 Installation). Nächstes Jahr gleich im Januar oder Februar will ich mich diesem Thema widmen. Also zurück zu meiner Frage: gibt es denn gar keine Möglichkeit wie bei windows 7 das UAC mit dem Schieberegler komplett herunter zu drehen und dennoch die Apps oder wenigstens z.B. alle JPEG-Dateien benutzen zu können? Anzeigen ist ja kein Problem, ich habe die jpg-Dateiendung einfach dem Windows-Imageviewer (o.ä.) zugewiesen. Aber aktuell ist das Peroblem mit dem Zuweisen einer JPEG dem Startbildschirm welcher mir die Bilddatei erst gar nicht anbietet beim auswählen? Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 GPOs haben aber weniger was mit dem verwendeten AD DC zu tun, sondern mehr mit der verwendeten GPMC und die sollte natürlich auf dem aktuellsten OS ausgeführt werden. Bei dir also Windows 8. Bye Norbert PS: Und wenn ich jemanden "zusammenfalte", dann sieht das anders aus. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Das 'zusammenfalten' war ein kleiner irnoischer Einwurf meinerseits. Damit wollte ich zum Ausdruck bringen daß ich hier mir einiges anhören muss was gar nicht in meiner Macht steht es zu ändern und dann 'hilflos' zwischen allenm Fronten stehe. Wie auch immer: wie dem auch sei. Problem ist nicht nur das Logonscript mit diversen vorgenommenen Registry-Einstellungen sondern auch einige Programme (z.B. unser ERP-System) welches direkt beim Start die UAC aufpoppen läßt damit der Benutzer dort bestätigen muss daß das Proramm ausgeführt werden darf. Das ist erst der Anfang von allen Programmen die wir noch testen müssen. Wer weiß bei wievielen das noch so auftauchen wird? Daher meien Frage: gibt es eine Möglichkeit die UAC komplett zu deaktivieren UND dabei dennoch die diversen Apps won Windows 8 zu benutzen? Im konkreten geht es mir um die nicht zur Auswahl stehenden JPEGs für den Startbildschirm (komischerweise nicht bei allen JPEGs?) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Problem ist nicht nur das Logonscript mit diversen vorgenommenen Registry-Einstellungen sondern auch einige Programme (z.B. unser ERP-System) welches direkt beim Start die UAC aufpoppen läßt damit der Benutzer dort bestätigen muss daß das Proramm ausgeführt werden darf. Das ist erst der Anfang von allen Programmen die wir noch testen müssen. Wer weiß bei wievielen das noch so auftauchen wird? Deshalb testet man das auch vorher ausführlich.Daher meien Frage: gibt es eine Möglichkeit die UAC komplett zu deaktivieren UND dabei dennoch die diversen Apps won Windows 8 zu benutzen? Im konkreten geht es mir um die nicht zur Auswahl stehenden JPEGs für den Startbildschirm (komischerweise nicht bei allen JPEGs?)Nein, das hört sich für mich so an wie: Wasch mich, aber mach mich nicht nass. Wenn Programme Adminrechte benötigen, dann kann man ihnen das meistens abgewöhnen, indem man mit dem Process Monitor mitsnifft wo überall dem 'normalen' Benutzer Schreibrechte fehlen. Da es ja ein neues ERP System ist, würde ich den Hersteller in die Pflicht nehmen. Windows Design Regeln gibt es erst seit ~20 Jahren, also sollte man erwarten dass im Jahr 2013 jemand das kann und umgesetzt hat. Oder kaufst Du ein neues Auto, bei dem Du zum Bremsen einen Anker aus dem Fenster werfen mußt? Und mittels GPPs kann man richtig schön Registry Keys, Werte und Einstellungen setzen, auch vollständig ohne UAC. Aber wer es nicht probiert wird es nie lernen. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 @Sunny61 Trockenwaschen gibt es schon....aber Spaß bei Seite: Wenn uns die Resourcen fehlen auf Server 2008 und GPO und GPP usw. zu schwenken da kann ich leider nichts dafür. Ich wäre der Erste das das alles auch gerne mitmachen würde.... Ist jetzt nicht so und daher muss ich auf die 'Tunschuhadministration' zurückgreifen. Und was heißt hier 'dann muss man es vorher testen'? Genau das mache ich ja hier bevor wir in die Fläche gehen würden. Das habe ich ja bereits im Anfangsbeitrag gesagt. Beim Testen ist es mir ja aufgefallen das die UAC a) nicht einmal komplett deaktiviert werden kann ohne in der Registry zu fummeln und b) dann die Windeos 8 'Apps' nicht funktionieren (zumindest das eine was ich ausprobiert habe). Und meien Frage ist ja eigentlich ganz einfach und unkompliziert: Gibt es eine Möglichkeit diese verblödeten Apps (muss auch Windwos auf diesen Zug mitspringen???) trotz der deaktivierten UAC auszuführen? Wenn ja: wie? Wenn nein: ein einfach nein würde schon vollkommend ausreichen..... Vielen Dank für eure Mühe. Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 @Sunny61 Trockenwaschen gibt es schon....aber Spaß bei Seite: Wenn uns die Resourcen fehlen auf Server 2008 und GPO und GPP usw. zu schwenken da kann ich leider nichts dafür. Welche Ressourcen sollten das deiner Meinung nach denn sein? Eine GPMC die neuer ist als die von Windows Server 2003? Deinen Aussagen nach testet ihr grad Windows 8 (und habt wahrscheinlich auch Windows 7 im Einsatz), also sind alle Ressourcen vorhanden. Bye Norbert Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Ok ok, dann nochmal ein paar Schritte zurück: Kann ich mein AD Server 2003 auch weiterhin verwenden und kann ihn aber beibringen das neuste bereitzustellen was ich für GPO und GPP benötige? Ich brauch gar keinen Umstieg uaf Server 2008? Das kostet womöglich auch nichts und kostet nicht extrem viel Zeit? Wenn so: dann hört sich das natürlich sehr verlockend an.... Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Ja, genau das bedeutet meine Aussage. (Es gibt Einschränkungen, aber die dürften dich bei deinem jetzigen Problem nicht betreffen). Grundsätzlich ist die Verwendung einer neuen GPMC (Windows 7 besser 8) ausreichend, um GPPs und alle Richtlinien von 2000 an aufwärts in einem AD (egal welche Version) zu konfigurieren. Hier was zum Lesen: http://www.gruppenrichtlinien.de/artikel/group-policy-preferences-gpp/ Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Kann ich mein AD Server 2003 auch weiterhin verwenden und kann ihn aber beibringen das neuste bereitzustellen was ich für GPO und GPP benötige? Ich brauch gar keinen Umstieg uaf Server 2008? Das kostet womöglich auch nichts und kostet nicht extrem viel Zeit? Wenn so: dann hört sich das natürlich sehr verlockend an.... Was glaubst Du eigentlich warum wir das hier dauernd schreiben? Wenn Du GPPs verwendest mußt Du nur drandenken, dass Du die Einstellungen auf einem W2003 NICHT SIEHST, auch wenn KB943729 auf den Systemen installiert ist, die das Update noch benötigen. Holen werden sie sich die Einstellungen sicherlich. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Aber wenn ich die Einstellungen am W2003 nicht sehe, wie kann ich die dann konfigurieren? Wie kann ich Registry-Einträge vornehmen lassen wenn ich das nicht shene kann? Oder ist das so gemeint dasich ihn nur auf dem AD nicht sehen kann, an meinem PC, an welchem ich die GPO erstelle, sehe ich es natürlich sofern ich windwos 7 oder 8 verwende? Und was brauche ich dazu? Wir haben ein alten W2003 am laufen der sicherlich nie aktualisiert wurde... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Aber wenn ich die Einstellungen am W2003 nicht sehe, wie kann ich die dann konfigurieren? Wie kann ich Registry-Einträge vornehmen lassen wenn ich das nicht shene kann? Oder ist das so gemeint dasich ihn nur auf dem AD nicht sehen kann, an meinem PC, an welchem ich die GPO erstelle, sehe ich es natürlich sofern ich windwos 7 oder 8 verwende? Und was brauche ich dazu? Wir haben ein alten W2003 am laufen der sicherlich nie aktualisiert wurde... Sag mal, liest Du auch das was man dir schreibt? Ich bin mittlerweile fest davon überzeugt Du liest hier nie irgendetwas. Lies die Links, lies die Postings von Norbert und mir, wenn Du glaubst du hast es verstanden, dann lies alles mindestens noch einmal. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 19. September 2013 Autor Melden Teilen Geschrieben 19. September 2013 Ok, ich habe kurz, trotz fehlender Zeit hier bei uns, den geposteten Link angeschaut. Wir müssen KB943729 überall installiert haben (eine Mammutaufgabe bei knapp 180 Client-Rechner....). Dabei gibt es noch updates auf diese KB943729 und für XP jedoch die letzten paar nicht mehr (funktioniert aber tortzdem alles, oder? Weil XP haben wir noch viele im Einsatz was nur nach und nach verschwinden wird. Jedes Jahr 20-30 PC die neu angeschafft werden mit neuen Betriebssystemen..). Wir haben kein Softwareverteilungssystem hier ausser die Logon-Batch die schon überfüllt und träge ist. Dennoch: kann man die benötigten KBs per Batch automatisch isntallieren lassen per Logonscript und einer Art RunAs-Lösung (welche wir bereits verwenden für diverse andere Dinge wie Dateikopieren beim Anmelden mit Adminberechtigung, Registry-Einträge setzen in der HKEY_LOCAL_MACHINE, usw..)? Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 19. September 2013 Melden Teilen Geschrieben 19. September 2013 Ok, ich habe kurz, trotz fehlender Zeit hier bei uns, den geposteten Link angeschaut. Wir müssen KB943729 überall installiert haben (eine Mammutaufgabe bei knapp 180 Client-Rechner....). Ja totales Mammut mit WSUS im Einsatz. Ausserdem gilt das NUR für XP Clients. Wir haben kein Softwareverteilungssystem hier ausser die Logon-Batch die schon überfüllt und träge ist. Wie patcht ihr eure Systeme? Gar nicht? Selbst Schuld. Dann heult nicht rum, dass man mit Turnschuhen rumrennen muß. :rolleyes: Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.