Fragen zu Server 2016 und Dienste per Stand Windows 10 1809

[Sunny61 809]

GPMC.MSC != GPEDIT.MSC Installiere dir die RSAT Tools auf dem Client, dann kannst Du auch über Feature hinzufügen die Gruppenrichtlinienkonsole (GPMC.MSC) hinzufügen und die dann mit den passenden Credentials starten.

 

Wenn das W10 1809 oder höher ist, dann hilft dir dieser Artikel: https://www.technipages.com/windows-install-group-policy-management-console

 

[NorbertFe 2.089]

GPMC.MSC was ist da so schwer dran?

[daabm 1.366]

vor 7 Stunden schrieb James_Eric:

@daabm (vorher hatte ich beim Server den Inhalt von "C:\Windows\PolicyDefinitions" komplett gelöscht, damit dort nichts altes übrig bleibt.

 

Kontraproduktiv Die kopiert man zusammen, denn sowohl beim Client als auch beim Server gibt es ADMX, die der jeweils andere nicht im Bauch hat. Deshalb würde ich immer den Download nehmen, da sind ALLE drin. Und die werfe ich dann in den CentralStore und hab meine Ruhe.

 

Machen wir in der Firma natürlich nicht so - da stehe ich extrem darauf, unterschiedliche ADMX verwenden zu können je nach System, aber das ist ein anderes Thema, da könnte ich Bücher drüber schreiben

[tesso 375]

@daabm

Du könntest Bücher ober GPO schreiben? Wirklich?

[daabm 1.366]

Ja, ich könnte. Sollte ich echt mal machen

[Tektronix 21]

Moin, über Start, Einstellungen, Apps, Optionale Features, installierst Du die Gruppenrichtlinienverwaltung am Client. Dann GPEdit.msc und mit der Domäne verbinden.

[NorbertFe 2.089]

vor 15 Minuten schrieb Tektronix:

Dann GPEdit.msc und mit der Domäne verbinden.

Nein! GPMC.msc gpedit.msc startet IMMER den lokalen Gruppenrichtlinieneditor.

[MurdocX 957]

Am 8.5.2019 um 17:13 schrieb zahni:

Was MS da als Download anbietet ist oftmals veraltet oder fehlerhaft.

 

vor 16 Stunden schrieb daabm:

Deshalb würde ich immer den Download nehmen, da sind ALLE drin.

Interessant!  Was denn nun?

Ich persönlich hab bisher immer den ADMX-Download bezogen. 

[NorbertFe 2.089]

Ist doch beides legitim, man sollte halt bei Fehlern/Stolpersteinen (beider Varianten) wissen, was zu tun ist.

[James_Eric 1]

Habt Dank für Eure Geduld und Bemühungen.

Jetzt bin ich in der Lage auf dem Client (Domänenmitglied) GPMC.msc zu starten.

Um mir aber mehr Klarheit zu verschaffen, ob ich überhaupt auf dem richtigen Kurs bin, oder ob ich mir vielleicht viel zu viele Gedanken mache, möchte ich Euch folgende Frage zum Thema Servervorbereitung stellen:

 

Welche Schritte sind Eurer Meinung nach zu tun, wenn Ihr einen quasi frisch aufgesetzten DC (DNS usw. sind erledigt), auf Basis Server 2016 (winver. 1607) habt, damit der zukünftig Windows-10-Clients mit winver 1809 optimal betreuen kann?

[tesso 375]

 Definiere „betreuen“.

 

 

[daabm 1.366]

vor 8 Stunden schrieb MurdocX:

 

Interessant!  Was denn nun?

Ich persönlich hab bisher immer den ADMX-Download bezogen. 

Im Zweifel glaub mir - ich hab das Buch geschrieben, @zahni spricht nur aus eigener Erfahrung

 

@James_Eric Besorg Dir die Microsoft Security Baselines und setze die um. Google ist Dein Freund, Du wirst sie finden...

[NorbertFe 2.089]

vor 1 Minute schrieb daabm:

ich hab das Buch geschrieben

Achso. ;)

[NilsK 2.968]

Moin,

 

vor 4 Stunden schrieb James_Eric:

Welche Schritte sind Eurer Meinung nach zu tun, wenn Ihr einen quasi frisch aufgesetzten DC (DNS usw. sind erledigt), auf Basis Server 2016 (winver. 1607) habt, damit der zukünftig Windows-10-Clients mit winver 1809 optimal betreuen kann?

um es mal zugespitzt zu beantworten:  Gar keine.

 

Der DC muss nichts Besonderes können oder haben, um Clients mit passenden GPOs zu versorgen. Auch ein 2008 R2 kann Windows-10-Clients mit allem betanken, was die brauchen.

 

Wichtig ist, dass immer die Admin-Workstation den höchsten bzw. neuesten OS-Stand hat, den man im Unternehmen einsetzt. Von dort aus (und nur von dort aus) verwaltet man die GPO-Einstellungen, dann hat man die neuesten Optionen zur Auswahl.

 

(Einzelne Ausnahmen bestätigen die Regel. Ich meine hier erst mal das Grundprinzip.)

 

Gruß, Nils

 

[James_Eric 1]

Am 10.5.2019 um 19:04 schrieb tesso:

 Definiere „betreuen“.

 

 

@tesso  "Betreuen" definiere ich in diesem Fall wie folgt: Der DC (Server2016, winver 1607) soll in die Lage versetzt werden, alle Einstellmöglichkeiten, die an einem Client (mit winver 1809) einstellbar sind, auszuführen (obwohl einige Möglichkeiten oder Dienste, die es erst ab 1809 gibt, die in winver 1607 noch nicht zur Verfügung standen).

 

@NilsK Hallo Nils, danke für Deine Anregung. Trotzdem, das ich Deine Aussage noch nicht verstanden habe, habe ich schon mal angefangen sie umzusetzen (hört sich verrückt an, is aber so :) ich versuche ja möglichst alle Eure Anregungen umzusetzen, oder zumindest geistig nachzuvollziehen). Deshalb habe ich jetzt einen Rechner parat gemacht, der die Rolle der Admin-Workstation übernehmen soll. In der Praxis der Admin-Workstation bin ich absolut ungeübt, denn tatsächlich habe ich bisher alle Einstellungen direkt am DC selbst durchgeführt. Das hieß, das ich mich am DC angemeldet habe, und dort z.b. OUs eingerichtet habe und denen dann Gruppenrichtlinienobjekte zugewiesen habe, durch die dann bei den Clients beispielsweise  gewisse Dienste deaktiviert wurden. Aktuell fehlt mir die Vorstellungskraft, wie ein Server, der nur winver 1607 "kennt", dann Clients mit winver 1809 komplett mit allen 1809er Möglichkeiten "betreuen" kann.

 

Weil mir in diesem Bereich noch soviel Wissen fehlt, beschäftigt mich noch die Frage: Würden sich viele meiner Fragen automatisch lösen, indem ich auf Server 2019 umsteige?