Hallo zusammen,

ich habe den Auftrag, einen WSUS-Server ins Netzwerk zu integrieren. Der Server läuft auch und verteilt seine Updates fleißig. Mein Problem ist aber, das auf den WSUS Clients immer noch die Möglichkeit besteht das Sie online nach Updates suchen können. Ich habe die Festlegung des WSUS über mehrere Registryeinträge realisiert. Diese sieht wie folgt aus:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"WUServer"="http://<IP>:8530"
"WUStatusServer"="http://<IP>:8530"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000c
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000003c
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000005
"RescheduleWaitTime"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000000

Trotz der Einstellungen hat man die Möglichkeit den Punkt "Online nach Updates aus Microsoft Updates suchen" anzuklicken.

Kann mir da jemand helfen und verraten wie ich diesen Punkt sperren kann? Wenn das per GPO gehen würde, bin ich dafür auch offen.

Es handelt sich um eine Windows Server 2012 R2 und Windows 7 x64 Domänenumgebung.

Vielen Dank!

Freundliche Grüße

Sandro

Hallo,

ich habe folgendes Problem im Zusammenhang mit lokalen Firewall Einstellungen und den dazugehörigen Domänen Gruppenrichtlinien unter Windows Server 2012 R2.

1. Ich habe eine Lokale Firewall Regel (BLOCK ALL IN) für alle Profile/Ports/Anwendungen/usw.
2. Ich habe lokale Gruppenrichtlinien welche meine Ausnahmen (z.B. Port 80) definieren.
3. Lokale Firewallregeln & Verbindungssicherheitsregeln anwenden steht für alle Profile auf "NEIN"

Bis hierhin funktioniert alles bestens. Jetzt kommen meine Domänen Gruppenrichtlinien ins Spiel.

4. (GPO) Ich habe zusätzliche Ausnahmen innerhalb des Domänen Profils.
5. (GPO) Lokale Firewallregeln & Verbindungssicherheitsregeln anwenden steht ebenfalls für alle Profile auf "NEIN"
6. mittels GPRESULT /H habe ich die aktuellen Firewalleinstellungen überprüft. Hier werden lediglich die lokalen Gruppenrichtlinien und die Domänen Gruppenrichtlinien aufgelistet. Meine Lokale Firewall Regel (BLOCK ALL IN) wird nicht angezeigt ist aber dennoch aktiv!

Hat hierfür jemand eine Erklärung? Mit der Einstellung (Lokale Firewallregeln & Verbindungssicherheitsregeln anwenden => "NEIN") sollten doch keine lokalen Richtlinien mehr angewendet werden.

Hallo zusammen,

ich suche nach einer Möglichkeit, AUSSCHLIEßLICH die generischen Anmeldeinformationen im Bereich der Windows Systemsteuerung/Anmeldeinformationsverwaltung bestenfalls per GPO/GPP zu unterbinden.

Diese Funktion sorgt bei uns dafür, dass beim Speichern des Kennwortes für die Proxyauthentifizierung im IE 11 diese beim nächsten Zugriff auf das Web nicht mehr abgefragt wird und erst wieder "auftaucht", wenn das Passwort geändert wurde.

Prinzipiell soll aber das Speichern von Kennwörtern erlaubt bleiben, wenn sich dies nicht ausschließen sollte.

Danke euch für eure Tipps...

Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

Hallo,

ich möchte das sich ein User nur auf PCs in einem Netzwerk einloggen kann.
Wenn der PC in ein anderes Netzwerk umzieht soll sich der User nicht mehr einloggen können.

Ist so etwas per GPO möglich?

Grund: Datenschutz von verschieden Bereichen (NDAs)

Danke

Hallo zusammen,

wir haben hier neue Windows Server 2012R2 installiert und als Domaincontroller hochgestuft.

Bisher gab es keinerlei Probleme,allerdings ist mir nun aufgefallen das die MMC abstürzt sobald man in der Group Policy Management die Domäne auswählt, quasi wo das Summary erstellt wird.

Exception Code c0000005 (Access Violation)

Jetzt sind wir am Rätseln, wo das Problem ist? Wir setzen zwischen den neuen Domaincontrollern Firewalls ein. Könnte es sein, das eventuell die Firewall eine Anfrage irgendwo blockt? Gerade in Richtung zum PDC? Weil dieser halt in einem anderen Netzabschnitt läuft.

Eigentlich kenne ich eine Zugriffsverletzung nur beim Zugriff auf den Arbeitsspeicher, wenn dieser bereits reserviert ist.

In unserer Testumgebung wo keinerlei Firewall dazwischen steht, funktioniert dies auch ohne Probleme.

Ich hoffe ihr könnt mir helfen. Danke im Voraus.

Gruß Dennis

Hallo,

mir ist nicht klar was ich geändert haben sollte. Aber einige Kollegen haben das Problem das wenn sie mit Ihrem Windows7 - IE10 eine Webseite öffnen wo ein Dokument in einem Pop-Up als PDF angezeigt wird, daß dieser nicht mehr im PopUp zu sehen ist.

Ich sehe im Taskmanager das Acrobat gestartet ist, aber leider bleibt das PopUp Fenster leer.

Bis letzt Woche wurden darin z.B. von Speditionen Etiketten oder Formulare angezeigt.

Hat zufällig jemand eine Idee ob es eine Option per GPO gibt womit ich das ausversehen deaktiviert habe?

Eigentlich habe ich nur die Internetoptionen Seite geändert um nur die "Allgemein" Mappe den Usern zur Verfügung zu stellen, vorher war das Menü komplett gesperrt.

Besten Dank

Gruß

HWB

Guten Tag alle Miteinander!

Ich möchte auf meinem Notebook eine sogenannte "Systemabbildsicherung" ausführen, da ich gerne meine Dateien für den Fall eines Systemabsturzes sichern möchte.

Fehlerbeschreibung:

Nachdem auf "Systemabbildsicherung" im "Wartungscenter" im Unterpunkt "Dateiversionsverlauf" geklickt habe, und die Festplatte "My Book (H:)" als Sicherungsmedium ausgewählt habe, gehe ich auf 'Weiter'. Unter "Bestätigen Sie die Sicherungseinstellungen" klicke ich auf 'Sicherung starten'. Danach folgt das Bearbeitungsfenster "Systemabbild erstellen". Nach kurzer Zeit verfärbt sich der grüne Statusbalken rot und die Fehlermeldung (0x80780119) erscheint.

Benutzerumgebung:

Notebook: Sony Vaio VGN-NW21ZF/S

Original-Betriebssystem: Windows® 7 Home Premium (64-bit).

Upgrade: Windows 8 Pro Upgrade (am 26. Oktober 2012) danach Upgrade auf Windows 8.1 Pro.

Festplatte: Western Digital "MyBook" (1 Terrabyte), WDBACW0010HBK.

Bisherige Problembehebungsversuche:

- Kontakt mit Western Digital, E-Mail mit genauer Problembeschreibung, Download eines Diagnosetools ohne Ergenbisse, Abbruch des Kundensupports seitens WD, Weiterleitung mit dem Problem an Microsoft.

- Kontakt mit Microsoft, Weiterleitung an diesen Support.

Ich bitte um Hilfe, ich bin kein Experte zu diesem Thema!

Hallo

Wie kann ich den Bildschirmschöner für alle  Benutzern  auf dem Terminalserver Durch Richtlinien  in Active Directory

so einstellen,

das Der Bildschirmschöner nach z.B. 10 Minuten an geht und bei Reaktivierung das anmelde Fenster zeigt?

Danke für die Hilfe

Hallo,

seit Umstellung auf Windows 8.1 (8.0 wurde übersprungen), funktionieren die Grulis nicht mehr "vollständig".

Speziell betrifft es die Folder Redirection Policies. Was unter W7 bei gleichem Nutzer tadellos funktionierte und auch noch funktioniert, klappt unter W8.1 nur noch teilweise.

So leiten wir die UserProfile Ordner - wie Desktop, Favoriten, Bilder, Dokumente auf ein Servershare um, damit der Nutzer an allen PCs gleiche Einstellungen hat.

Bei Abfrage mit gpresult wird zwar auch Bestätigt, dass die Richtlinie gezogen und verarbeitet wurde, es erscheint aber immer der mysteriöse "Versionskonflikt"

Bsp.

--------------

Ob dies Ursache ist, kann ich nicht einschätzen.

Die Einstellungen der Gruli habe ich zum Test mal neu gemacht, sehen so aus (nur minimal)

Im Event-Log steht auch nichts eigenartiges nur eine Warnung: Event-ID 6035

Danke für Eure Hilfe.

Danke und liebe Grüße Oliver Richter

Guten Morgen Community,

Ich bin schlicht am Verzweifeln. Ich soll für meine Firma, SB ( 30 Mitarbeiter ) eine Migration von AD 2k3R2 auf 2k8R2 vollziehen. Dazu zählt auch die Migration von den GPOs. Die Migration hab ich geschafft! Punkt für mich ;-)

Nun kommt der schwierige Teil, die Domäne ist einfach (kurz gesagt) ne Katastrophe ... keine OU's wenige bis garkeine GPOs ... noch aus Windows Server 2k Zeiten ... seitdem, nie verändert.

Ich möchte für das SB hier nun alles neu machen. Sinnvoll eine OU Struktur erstellen, die GPOs anpassen und suche dafür hilfe über die Community. Wenn ich hiermit fertig bin, möchte ich das ganze in ein Tutorial für andere SBs packen und ins Netz stellen. So damit vielleicht andere unerfahrene Administratoren die hilfe sinnvoll nutzen können :-)

Ich hoffe ich kann hier die hilfe finden, die ich suche. Zu Anfang habe ich mir eine Testdomäne aufgebaut, von dort aus sollen später GPOs und die OUs übernommen werden.

Daten dazu:

- testdomaene.net
- Struktur
      └ Domain Controllers
      └ OU -INTERN
              └ OU - Administrator
              └ OU - pManager
              └ OU - TechnicalUser
              └ OU - TempAdmin

Da wir aufgrund der Geringen Anzahl von Mitarbeitern keine große OU struktur brauchen dachte ich mir halte es simple. ProjectManager in pManager. Technische User in TechnicalUser ... und meine Temporären Admins in TempAdmin. Für die TempAdmin habe ich mir ein Webinterface geschrieben, welches Automatisch einen AD Account anlegt der 1h Gültigkeit hat. Abends wird die Gruppe dann geleer ( so der Plan ).

Nun möchte ich mit der ersten GPO Anfangen. Dazu möchte ich den Usern ( allen in der OU - Intern ), das sie die möglichkeit haben RDP-Verbindungen aufzubauen. Aber nur die Domäne-Admins dürfen auf den DC und die Server zugreifen. Was muss ich dafür machen, um das zu Realisieren?

Bin über jede hilfe/tipps/kritiken Dankbar.

Gruß

Hallo,

bekanntermaßen gibt es die Gruppenrichtlinie für Internet-Explorer Wartung nicht mehr ab IE10. Jetzt sind jedoch noch Einträge z.B. URLs/Wichtige URLs bzw. Favoriten in den GPOs gepflegt. Wie kann ich diese nun nachträglich ändern bzw. entfernen damit ich zukünftig über GPPs arbeiten kann?

Vielen Dank

Hallo Leute

Nach dem Update von Windows 2012 R2 Update 1, habe ich jetzt auf den Windows 8.1 Update 1 Clients, das Problem, dass der Fehler AD / Sysvol Versionskonflikt kommt! Die Versionen aber im AD sowie im Sysvol stimmen überein! Vorher war der Fehler nicht da, erst seit dem Update. Und den Patch den da MS empfiehlt, den habe ich auch eingespielt.

Auch taucht der Fehler nur bei den Windows 8.1 Clients auf, auf den Terminalservern wo ebenfalls Windows 2012 R2 Update 1 installiert ist, funktioniert die GPO!

Ich habe mich jetzt fast totgesucht, hat aber nichts geholfen, gibt es hierzu eine Lösung?

Vielen Dank, mit freundlichen Grüssen

Edin Avdic

Hallo zusammen,
ich suchte bereits einige Stunden und kann den Fehler einfach nicht finden. In den Gruppenrichtlinien wird das Internet Explorer Branding Erweiterung mit Event id 4016 gestartet. In der gleichen Sekunde erscheint der Fehler:

mit der Event id 7016. Weiß jemand woher dieser Fehler stammen könnte? Ich finde einfach keinen Anhaltspunkt und bin für jeden tip dankbar.

Speerle

Hallo zusammen,

wir setzen bei uns AGPM zur Verwaltung von Gruppenrichtlinie ein. Ich habe eine Gruppenrichtlinie in der unter User/Prefrences/StartMenu eine Konfiguration vorgenommen wurde. Diese wird mir auch in dem Settings HTML Report angezeigt.

Nun möchte ich diese Einstellung ändern, aber wenn ich die Gruppenrichtlinie auschecke und editiere habe ist unter Start Menu kein Eintrag mehr vorhanden. Bearbeite ich die deployte Gruppenrichtlinie direkt, werden mir unter Start Menu jedoch meine Einstellungen angezeigt.

Hat jemand eine Idee, woran das liegen kann?

Hallo *,

mir stellt sich das folgende Problem:

Ich habe unter Server 2012 die RAS Rolle installiert und einen VPN Zugang konfiguriert. Den Zugang regele ich über RAS. Das hat gut funktioniert, solange ich in der Netzwerkrichtlinie als Bedingung nur eine Benutzergruppe abgefragt habe. Nun wollen wir den Zugang auf eine bestimmte Computergruppe beschränken. Sobald ich diese Gruppe in der Netzwerkrichtlinie hinzufüge funktioniert die VPN Anmeldung nicht mehr. Der Client ist jedoch in der passenden Computergruppe und der Benutzer in der passenden Benutzergruppe.

Am Client (Win7 und Win8, Domänenmitglieder) erhalte ich einen Fehler 691. Benutzername, Passwort und Protokolle stimmen jedoch mit denen aus dem erfolgreichen Test ohne Computergruppe überein. Sowohl Client- als auch Serverseitig.

Das Eventlog des Servers liefert mir unter Sicherheit einen Fehler 6273 (48) und unter System einen Fehler 20255. Es kommt mir vor, als ob der Hostname des Clients und/oder die Gruppe nicht richtig ermittelt werden können.

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System><Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>6273</EventID> <Version>1</Version> <Level>0</Level> <Task>12552</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2014-05-09T09:31:41.993250000Z" /> <EventRecordID>84233</EventRecordID> <Correlation /> <Execution ProcessID="564" ThreadID="4412" /> <Channel>Security</Channel> <Computer>*****</Computer> <Security /> </System>
- <EventData><Data Name="SubjectUserSid">S-1-5-21-788298791-679236169-893199082-20209</Data> <Data Name="SubjectUserName">username</Data> <Data Name="SubjectDomainName">domain</Data> <Data Name="FullyQualifiedSubjectUserName">domain\username</Data> <Data Name="SubjectMachineSID">S-1-0-0</Data> <Data Name="SubjectMachineName">-</Data> <Data Name="FullyQualifiedSubjectMachineName">-</Data> <Data Name="MachineInventory">-</Data> <Data Name="CalledStationID">x.x.x.x</Data> <Data Name="CallingStationID">x.x.x.x</Data> <Data Name="NASIPv4Address">x.x.x.x</Data> <Data Name="NASIPv6Address">-</Data> <Data Name="NASIdentifier">****</Data> <Data Name="NASPortType">Virtuell</Data> <Data Name="NASPort">0</Data> <Data Name="ClientName">*****</Data> <Data Name="ClientIPAddress">x.x.x.x</Data> <Data Name="ProxyPolicyName">Microsoft Routing und RAS-Richtlinie</Data> <Data Name="NetworkPolicyName">-</Data> <Data Name="AuthenticationProvider">Windows</Data> <Data Name="AuthenticationServer">******</Data> <Data Name="AuthenticationType">EAP</Data> <Data Name="EAPType">-</Data> <Data Name="AccountSessionIdentifier">3532</Data> <Data Name="ReasonCode">48</Data> <Data Name="Reason">Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.</Data> <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data> </EventData></Event>

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System><Provider Name="RemoteAccess" /> <EventID Qualifiers="0">20255</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-05-09T09:31:41.000000000Z" /> <EventRecordID>15224</EventRecordID> <Channel>System</Channel> <Computer>*****</Computer> <Security /> </System>
- <EventData><Data>{AA345D6B-C278-440F-B229-4A2A87B1552B}</Data> <Data>VPN1-127</Data> <Data>username</Data> <Data>Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Insbesondere stimmt möglicherweise die vom Server zum Überprüfen des Benutzernamens und des Kennworts verwendete Authentifizierungsmethode nicht mit der Authentifizierungsmethode überein, die in Ihrem Verbindungsprofil konfiguriert ist. Wenden Sie sich an den Administrator des RAS-Servers, um diesen Fehler zu melden.</Data> <Binary>2C030000</Binary> </EventData></Event>

Eingesetzt werden EAP (PEAP) mit Gesichertem Kennwort (EAP-MSCHAP v2) und SSTP. Ein offizielles Server-Zertifikat ist hinterlegt.

Hat jemand eine Idee?

Schönes Wochenende!

Hallo,

ich habe folgendes Problem.

Ich konfigurierte einen Windows Server 2008 R2 SP1 als Stand-Alone-Server mit folgenden administrativen Vorlagen.

Konfiguration über gpedit.msc auf dem Stand-Alone-Server.

- "Turn off Help and Supprt Center "Did you know?" content" (Registry: HKLM\Software\Policies\Microsoft\PCHealth\HelpSvc!Headlines Wert = 1)

- "Turn off Help and Support Center Microsoft Knowledge Base search" (Registry: HKLM\Software\Microsoft\PCHealth\HelpSvc!MicrosoftKBSearch Wert = 1)

- "Turn off Windows Customer Experience Improvment Program" (Registry: HKLM\Software\Policies\Microsoft\SQMClient\Windows!CEIPEnable Wert = 1)

- "Microsoft Support Diagnostic Tool: Turn on MSDT interactive communication with Support Provider" (Registry: HKLM\Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy!DisableQueyRemoteServer Wert = 1)

Zu dem o.g. administrativen Vorlagen werden auf einem Stand-Alone-Server die entsprechenden Registry Werte auf 1 gesetzt.

Siehe Screenshot:



Demgegenüber werden auf einem Windows Server 2008 R2 SP1 als Domänencontroller die Einstellungen der o.g. administrativen Vorlagen in der Registry auf den Wert 0 gesetzt.

In der Gui sind aber in beiden Fällen diese Werte "Enabled"!

Beide Server sind vom selben Installationsmedium installiert worden und haben einen identischen Update Stand.

Siehe Screenshot DC:

Was ist mir nicht erklären kann, ist die unterschiedliche Behandlung/Auswirkung der Werte bei einem Stand-Alone-Server gegebüber einem Domänencontroller.

Der Hintergrund ist, dass die Einstellungen vollautomatisiert geprüft werden und eine solche Unterschiede diese automatisierte Prüfung erschweren bzw. zu einigen Irritationen führen.

Meine Frage ist, ist diese Verhalten normal, also gewollt und muss mit diesen unterschiedlichen Verhalten gelebt werden?

Mit freundlichen Grüßen

Frank Gerhäuser

Hallo,

Domäne ist Windows 2012R2, Server haben wir von 2003 bis 2012, Clients sind XP (ja ich weiß) und Windows 7.

Für das Anmeldeskript verwenden wir Kixtart.

Hier sind sehr viele Laufwerkszuordnungen (ich schätze so über 100).

Wir würden gerne diese Zuordung durch die Laufwerkszuordnung über GPO ablösen.

Hier würden diese über 100 Einträge mit der jeweiligen Zielgruppenadressierung eingefügt werden.

Hat hier jemand Erfahrung mit der Performance oder kann es hier Probleme geben ?

Vielen Dank für Eure Hile.

Christian

Hallo!

Ich bin gerade in unserem Netzwerk dabei unsere Windows XP Rechner durch Windows 7 Rechner zu ersetzen.

Dabei ist mir auch die UAC eingefallen.

Zunächst einmal die Frage welche Einstellung in der UAC am sinnvollsten ist. Die höchste Stufe oder die Standard Stufe?

Die User haben lokal keine Administratoren Rechte sondern sind Standardbenutzer und einfache Domänenbenutzer.

Meine zweite Frage, wie kann ich die UAC dann auf die am sinnvollsten gewählte Stufe per Gruppenrichtlinie setzen, so dass die Richtlinie nur für Domänenbenutzer gilt.

Vielen Dank für Hilfe

Marco